Trotz deaktivierten Cookies können Internetnutzer beim privaten Surfen getrackt werden. Dies zeigt der britische IT-Berater Sam Greenhalgh auf seiner Website. Hierfür missbraucht er das HTTP Strict Transport Security-Verfahren (HSTS).
Ursprünglich dient das HSTS-Verfahren dazu, eine sichere Nutzung des HTTPS-Protokolls zu garantieren. Dies geschieht beispielsweise durch eine automatische Umwandlung von HTTP- zu HTTPS-Anfragen. Im Zuge der Umwandlung schreibt die Website Informationen wie die URL oder Voreinstellungen in eine Browser-Datenbank.
Greenhalgh zeigte nun, dass aus den eingetragenen Daten per JavaScript eine eindeutige Identifikation des Browsers möglich ist. Dazu werden die URL-Einträge mit einer von Browser zu Browser unterschiedlichen Gültigkeitsdauer hinterlegt.
Dadurch lässt sich der Browser beim nächsten Besuch der Website wiedererkennen - auch, wenn der Nutzer eigentlich den privaten Modus verwendet, da auch der Inkognito-Modus auf die relevanten HSTS-Einträge zugreift.
Von der Problematik betroffen ist vor allem Google Chrome, der HSTS unterstützt. Mozilla Firefox wies zwar zum Zeitpunkt von Greenhalghs Analyse dieselben Probleme auf, greift in der aktuellen Version 34.0.5 jedoch beim privaten Surfen nicht mehr auf die Daten zu. Einzig die Nutzer des Internet Explorers bleiben verschont, denn der unterstützt HSTS erst gar nicht.
