Kekse werden immer böser

Ever-Cookies

10.3.2011 von Wolf Hosbach

ca. 2:45 Min
Ratgeber
VG Wort Pixel
  1. So werden Sie mit Cookies ausspioniert
  2. Flash-Cookies
  3. Ever-Cookies

Keks für die Ewigkeit

image.jpg
Beim diebischen Auslesen der History fragt ein JavaScript viele hundert bekannte Webseiten ab, um festzustellen, welche Links der Browser als besucht markiert.
© PC Magazin

Das Ever-Cookie geht eben über die drei gängigen Cookie-Techniken, HTTP, Flash und Silverlight, hinaus. Der Erfinder Kamkar zeigt auf seinen Seiten sehr ausführlich, wie das geht. Er setzt beim Anwender ein Test-Cookie mit einer ID zwischen 1 und 1000. Nun kann der Anwender probieren, seinen Browser und PC zu reinigen, kehrt auf die Seite zurück, und diese versucht, ihn wieder zu erkennen.

Meist gelingt das. Nur wenn er seine gesamten persönlichen Daten löscht, hat er eine Chance, das Ever-Cookie los zu werden. Und Flash und Silverlight wie oben gezeigt darf er auch nicht vergessen. Dann verbannt er das Cookie in die ewigen Keksgründe.

Für das Reinigen des Verlaufs haben die Browser spezielle Funktionen. Bei Firefox liegt diese unter Extras/Neueste Chronik löschen. Dabei sollte der Anwender Alles wählen (Passwörter sind davon nicht betroffen). Wer die Chronik nach jedem Start löschen möchte, trifft die entsprechende Einstellung im oben genannten Datenschutz-Menü. Hier gibt es einen Punkt, Die Chronik löschen, wenn Firefox geschlossen wird.

Über Einstellungen lässt sich festlegen, was Firefox alles entfernt. Hier sollte der Anwender die komplette Chronik wählen (außer Passwörter). Im IE lautet die entsprechende Einstellung in den Internetoptionen Allgemein/Browserverlauf/Löschen. Auch das lässt sich beim Beenden automatisieren mit einem Häkchen bei Browserverlauf beim Beenden löschen.

Der private Modus bei Firefox und Internet Explorer (In Private) reicht übrigens nicht aus, um vor dem Ever-Cookie zu schützen. Er ist in beide Richtungen durchlässig. Kamkars Skripte erkennen den Anwender wieder, wenn er im geschützten Modus kommt und auch wenn er in diesem Modus den Keks erwischt hat.

Löschautomat

Historys und der Cache der Browser lassen sich automatisiert bei jedem Beenden des Programms löschen (siehe Artikel), nicht hingegen Flash- und Silverlight-Cookies. Dafür können Sie ein kleines Skript einsetzen:

cd C:\Users\<user>\App
Data\Roaming\Macromedia\Flash Player\#SharedObjects
del *.* /s /q
cd C:\Users\<user>\AppData\LocalLow\
Microsoft\Silverlight
del *.* /s /q

image.jpg
Das Löschskript lässt sich in den Gruppenrichtlinien verankern, so dass Windows es bei jedem Herunterfahren ausführt.
© PC Magazin

wobei <user> der Name des Windows-Anwenders ist. Eventuell müssen Sie das Skript also auf mehrere Anwender ausweiten. Speichern Sie es mit dem Texteditor in einer Batch-Datei, z.B. flashkiller.bat. Testen Sie es in der Eingabeaufforderung, es sollten keine Fehlermeldungen kommen.

Soll das Skript bei jedem Beenden von Windows laufen, fügen Sie es einer Gruppenrichtlinie hinzu. Suchen Sie im Startmenü von Windows nach Gruppenrichtlinie bearbeiten. Wählen Sie Computerkonfiguration/Windows-Einstellungen/Skripts/Herunterfahren.

Hier geben Sie den Pfad von flashkiller.bat ein. Dem Skript können Sie weitere reinigende Aufgaben zufügen, beispielsweise das Löschen temporärer Ordner oder der benutzten Dateien (C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent).

Fazit

Wer gegen das Ever-Cookie geschützt sein will, der muss die Browser-Chronik nach jeder Sitzung automatisch löschen lassen und die Daten von Silverlight und Flash. Das geht beispielsweise mit dem Batch-Skript im Kasten.

Ein guter Schutz ist das Firefox-Addon NoScript (https://addons.mozilla.org/de/firefox/addon/722), das verhindert, dass eine Webseite überhaupt ein Cookie setzen kann. Flash und Silverlight werden ebenfalls über Skripte gestartet.

Eigentlich wären die Browser-Hersteller in der Pflicht, um Schutzmechanismen zu stellen, beispielsweise eine Art Sperre für Add-ons und Plug-ins, auf die Festplatte zuzugreifen. Ausnahmen könnten per ausdrücklicher Genehmigung durch den Anwender erfolgen.

Stattdessen lehnen sich die Verantwortlichen bei Microsoft und Mozilla zurück, weisen auf ihre strengen Sicherheitsstandards hin, verheimlichen aber, dass ein riesen Datenloch ganz woanders sitzt.

Dem Anwender ist es letztendlich egal, wer welche Komponente programmiert hat und vertreibt. Er möchte einen einfach sicher zu haltenden Browser, und ihm das zu liefern, ist Aufgabe der Brwoser-Hersteller. Ein Reeder kann auch nicht die Schuld auf den Hersteller des Beiboots schieben, wenn das ganze Schiff gesunken ist.

Mehr lesen

Chronologische Liste und Netflix-Links

Marvel-Filme- und -Serien: Das ist die richtige Reihenfolge

Neuerscheinungen in der Übersicht

Netflix: Neue Filme und Serien

Vorschau auf Film- und Serien-Highlights

Amazon Prime Video: Neuheiten

Weiter zur Startseite  

Mehr zum Thema

Software Installation

Computer ohne Werbung

Adware vermeiden: Mit diesen 5 Tipps bleibt Ihr PC sauber

Wer unachtsam Programme installiert, kann sich schnell unerwünschte Software-Parasiten einfangen. Wir geben 5 Tipps, wie Sie Adware vermeiden.

Spam-Mails

Sicherheit

Phishing-Mails erkennen: 6 Tipps gegen E-Mail Betrug

Betrüger versenden E-Mails, die es auf Ihre Daten und Ihr Geld abgesehen haben. Wie Sie Phishing-E-Mails erkennen und sich schützen.

Sicherheit im Urlaub

Sicherheit im Urlaub

Diebstahlschutz, offene WLANs & Co.: 8 unverzichtbare…

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.

Mann kommt aus dem Laptop und ballt die Faust

Trolle im Internet

Strategien gegen Störenfriede im Netz

Trolle vergiften die Diskussionskultur im Internet - Mit diesen Strategien entledigt man sich der Störenfriede endgültig.

Facebook-Betrug mit Fake-Profilen

Gefälschte Facebook-Konten

Facebook-Betrug mit Fake-Profilen - wie Sie sich und Ihre…

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…