Datensammler Flash-Cookies
Sie haben denselben Zweck wie Browser-Cookies, sind aber weitaus gefährlicher: Flash-Cookies. Wir zeigen, wie Sie die Datensammler stoppen.
Geht es um den Datenschutz, so fallen vielen Anwendern Cookies ein. Doch nicht nur die Browser setzen Cookies, sondern auch das Flash-Plug-in. Das ist insofern brisant, da inzwischen fast alle Werbebanner auf Flash basieren. Außerdem gibt es auf jedem Rechner nur einen gemeinsamen Speicherort für ...
Geht es um den Datenschutz, so fallen vielen Anwendern Cookies ein. Doch nicht nur die Browser setzen Cookies, sondern auch das Flash-Plug-in. Das ist insofern brisant, da inzwischen fast alle Werbebanner auf Flash basieren. Außerdem gibt es auf jedem Rechner nur einen gemeinsamen Speicherort für Flash-Cookies, auf den alle Browser zugreifen. Sprich, der Anwender ist identifizierbar, ganz egal, welchen Browser er verwendet. Ferner dürfen die Flash-Kekse standardmäßig 25 Mal so groß sein wie die des Browsers: nämlich hundert Kilobyte.
Zur Erinnerung: Ein herkömmliches Cookie ist eine kleine Textdatei, die ein Webserver auf dem Rechner des Anwenders platzieren darf. Dort sind oft Login-Informationen gespeichert oder der Inhalt des Warenkorbs beim Online-Shopping.
Natürlich kann ein Webserver den Anwender über das Cookie identifizieren, wenn es eine ID enthält. Er erkennt dann zum Beispiel: "Dieser Kunde hat mich zuletzt vor drei Tagen besucht und nach Hagebuttentee gesucht."
Noch kritischer wird es für den Websurfer, wenn nicht nur eine Webseite ein Cookie ausliest, sondern verschiedene. Das ist oft bei Werbebannern der Fall. Sie kommen von einem einzigen Server, schicken Banner aber an viele Webseiten. Da Cookies auch mit Bildern übertragen werden, kann der Bannerserver über alle Webseiten hinweg sein Cookie abfragen.
Er weiß dann, der Surfer hat nicht nur den Shop des Teehauses in Bremen, sondern auch den in Kempten besucht. Die Informationen, die in einem normalen Cookie stecken können, sind reichlich: vier Kilobyte. Das reicht für viertausend Buchstaben, was fast der Länge dieses Artikels entspricht.
Versteckte Ordner
Gegen HTTP-Cookies gibt es viele Maßnahmen, die den Missbrauch einschränken und dennoch eine sinnvolle Verwendung erlauben. Flash-Cookies jedoch gehen wie gesagt einen Schritt weiter: Sie arbeiten browserübergreifend und können als Standardwert hundert Kilobyte groß sein. Es passen also etwa zwanzig PC-Magazin-Seiten an Text hinein.
Hinzu kommt, dass es sich bei ihnen nicht um Textdateien handelt. Sie liegen stattdessen in einem binären Format vor, das normale Anwender gar nicht öffnen können. Betrachtet es der Experte im Texteditor, so sieht er immerhin die Text-Elemente.
Eine Flash-Anwendung darf nicht nur eine einzelne Datei ablegen, sondern ganze Pfade und Unterordner mit vielen Dateien. Alle liegen im folgenden Ordner, der jedoch im Normalfall versteckt ist:
...\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects
Was in den Cookies steckt, ist oft belanglos. So manches darin ist aber durchaus für Anwender bedenklich, die auf Anonymität und Datenschutz Wert legen. Recht umfangreiche Informationen legt beispielsweise Quelle.de auf der Festplatte ab, etwa die letzten Produktsuchen und Artikel, die der Anwender angesehen hat. Diese finden sich dann beim nächsten Besuch am unteren Rand der Quelle-Seite wieder.
Kino.de legt eine ganz offensichtliche ID des Besuchers an, so dass dieser immer eindeutig zu identifizieren ist. Adobe speichert bei Betrachtern der Produktseite der Creative Suite 3 alle zehn Sekunden einen Zeitstempel, so dass die Firma genau belegen kann, wie lange sich ein Anwender auf der Seite aufgehalten hat.
Oft sind die abgelegten Informationen technischer Natur und stehen im Zusammenhang mit Flash-Anwendungen. So merken sich die Player von YouTube oder Amazon Angaben zur Lautstärke und Anzeige. Bedenklicher ist schon, dass ICQ2Go den Nickname und die Nummer speichert.
Vista-Keule gegen Super-Cookies
Es gibt einen sehr einfachen Weg, die Super-Cookies von Flash zu unterbinden: Aktivieren Sie einfach die Nutzerkontensteuerung von Vista. Dann läuft der Internet Explorer mit niedrigen Rechten und Flash kann nicht mehr ins Dateisystem schreiben. Firefox- und XP-Anwender profitieren von diesem Trick jedoch nicht, außerdem wird die Vista-Bedienung damit wieder etwas umständlicher.
Super-Cookies stoppen
Anders als bei normalen Cookies bieten Browser bei Flash-Cookies keine Verwaltungsmöglichkeit. Der Anwender muss die Einstellungen stattdessen auf der folgenden Webseite von Adobe vornehmen: www.macromedia.com/support/documentation/de/flashplayer/help/settings_manager.html . Im Inhaltsverzeichnis auf der linken Seite finden Sie Links zu den verschiedenen Einstellungsbereichen. Die Einstellungen selbst nehmen Sie jeweils in einem kleinen Flash-Objekt vor.
Ein Klick auf Globale Speichereinstellungen öffnet zum Beispiel das Flash-Tool Einstellungsmanager. Das bietet einen Schieberegler, den man nun einfach auf Null Kilobyte setzt: keinen Platz für Cookies. Es ist eine Überlegung wert, Nicht mehr fragen offen zu lassen. Dann hat der Anwender die Wahl, ob er bestimmten Seiten (z.B. YouTube) auf Nachfrage die Möglichkeit gibt, Einstellungen zu speichern.
Über Website-Speichereinstellungen zeigt die Adobe-Website an, welche Webseiten der Browser aufgerufen hat und welches Speichervolumen diese auf der Festplatte reservieren. Diese Liste legt Flash immer an, auch wenn der Anwender Cookies wie oben geschildert auf Null gesetzt hat. Sie liegt im Ordner
...\Anwendungsdaten\Macromedia\FlashPlayer\macromedia.com
und muss von Hand gelegentlich geleert werden. Ebenfalls von Hand muss der Anwender die älteren Cookies löschen, die sich angesammelt haben, bevor er die Cookie-Einstellung geändert hat. Aber es schadet nicht, die Ordner zu leeren -- das Plug-in legt sie beim nächsten Start ohne Inhalt neu an.
Maßnahmen gegen herkömmliche Cookies
Herkömmliche Cookies bekommt man schnell in den Griff, weil der Anwender sie mit seinem Browser sinnvoll verwalten kann. Firefox kennt die Einstellung Cookies behalten bis Firefox geschlossen wird. Das ist angemessen, um Sitzungs-, Login- und Warenkorb-Kekse zu ermöglichen. Nach Beenden des Browsers sind dann alle weg. Für wichtige Seiten definieren Sie bei Bedarf Ausnahmen.
Bei IE stellt der Anwender ein, dass Sitzungs- Cookies immer erlaubt sind - sie verfallen nach Beenden des Browsers. Ferner lassen sich Cookies von Dritten komplett ablehnen, die zum Beispiel von Werbebannern kommen. Schade, dass Flash nicht ebenso intelligente Mechanismen anbietet, derzeit kennt es nur die Entscheidung zwischen ganz oder gar nicht.
