Was sind Supercookies, Zombie Cookies und Evercookies und sind sie schädlich?

Tracking war schon immer eines der größten Datenschutzprobleme für Cookie- Benutzer , aber das hat sich dank des Internets geändert. Während normale Browser-Cookies recht nützlich und leicht zu löschen sind , gibt es auch andere Varianten, die darauf ausgelegt sind, die Surfaktivitäten der Benutzer festzuhalten und zu verfolgen. Zwei dieser Varianten sind Supercookies und Zombie-Cookies (allgemein bekannt als „Evercookies“). Diese beiden Varianten sind berühmt, weil sie denjenigen, die sie entfernen möchten, große Schwierigkeiten bereiten. Glücklicherweise haben sie die entsprechende Aufmerksamkeit von Sicherheitsexperten „erhalten“, und die heutigen Webbrowser entwickeln sich ständig weiter, um diese komplexen hinterhältigen Tracking-Techniken zu bekämpfen.

Supercookies

Dieser Begriff kann etwas verwirrend sein, da er zur Beschreibung verschiedener Technologien verwendet wird, von denen einige eigentlich Cookies sind. Im Allgemeinen bezieht sich dieser Begriff auf Dinge, die Ihr Browserprofil überschreiben, um Ihnen eine eindeutige ID zu geben. Auf diese Weise unterstützen sie dieselben Funktionen wie Cookies und ermöglichen es Websites und Werbetreibenden, Sie zu verfolgen. Im Gegensatz zu Cookies können sie jedoch nicht gelöscht werden.

Sie werden oft den Begriff „Supercookie“ hören, der in Bezug auf Unique Identifier Headers (UIDH) und als Schwachstelle in HTTP Strict Transport Security (HSTS) verwendet wird, obwohl sich der ursprüngliche Ausdruck auf Cookies bezieht, die von Top-Level-Domains stammen . Dies bedeutet, dass ein Cookie für einen Domänennamen wie „.com“ oder „.co.uk“ gesetzt werden kann, sodass jede Website mit diesem Domänensuffix ihn sehen kann.

Wenn Google.com ein Supercookie setzt, ist dieses Cookie für jede andere „.com“-Website sichtbar. Dies ist offensichtlich ein Datenschutzproblem, aber da es sich ansonsten um ein normales Cookie handelt, blockieren die meisten modernen Browser es standardmäßig. Da niemand mehr viel über diese Art von Supercookies spricht, hört man oft mehr über die anderen beiden (Zombie-Cookies und Evercookies).

Unique Identifier Header (UIDH)

Ein Unique Identifier Header ist normalerweise nicht auf Ihrem Computer vorhanden, er erscheint zwischen Ihrem ISP und dem Website-Server. So wird UIDH erstellt:

1. Sie senden eine Anfrage für eine Website an Ihren ISP.
2. Bevor Ihr ISP die Anfrage an den Server weiterleitet, fügt er dem Header Ihrer Anfrage eine eindeutige Kennungszeichenfolge hinzu.
3. Mithilfe dieser eindeutigen Kennungszeichenfolge können Websites Sie bei jedem Besuch als denselben Benutzer identifizieren, selbst wenn Sie deren Cookies gelöscht haben. Sobald Websites wissen, wer Sie sind, setzen sie einfach dasselbe Cookie direkt in Ihrem Browser.

Einfach ausgedrückt: Wenn Ihr ISP UIDH-Tracking verwendet, sendet er Ihre persönliche „Signatur“ an jede Website, die Sie besuchen. Dies ist vor allem bei der Optimierung der Werbeeinnahmen nützlich, aber es ist schon ärgerlich genug, dass die FCC Verizon eine Strafe in Höhe von 1,35 Millionen US-Dollar auferlegt hat, weil es seine Kunden nicht darüber informiert oder es ihnen nicht zur Verfügung gestellt hat. Geben Sie ihnen die Möglichkeit, sich abzumelden.

Außerhalb von Verizon gibt es nicht viele Daten zu Unternehmen, die Informationen im UIDH-Stil verwenden, aber die Gegenreaktion der Verbraucher hat diese Strategie zu einer unpopulären Strategie gemacht. Auch wenn es nur bei unverschlüsselten HTTP-Verbindungen funktioniert. Da die meisten Websites heutzutage standardmäßig HTTPS verwenden und Sie problemlos Add-ons wie HTTPS Everywhere herunterladen können, ist dieser Supercookie außerdem keine so große Sache mehr und wird wahrscheinlich auch nicht weit verbreitet sein. Wenn Sie zusätzliche Schutzebenen wünschen, verwenden Sie ein VPN . VPN stellt sicher, dass Ihre Anfrage ohne angehängte UIDH an die Website weitergeleitet wird.

HTTPS Strict Transfer Security (HSTS)

HSTS (HTTP Strict Transport Security) ist eine Sicherheitsrichtlinie, die erforderlich ist, um HTTPS-sichere Websites vor Angriffen auf niedriger Ebene zu schützen. HSTS stellt sicher, dass alle Verbindungen zu einer Website mit dem HTTPS-Protokoll verschlüsselt werden und niemals das HTTP-Protokoll verwenden. Derzeit wendet Google HSTS auf 45 Top-Level-Domains an, darunter Domainnamen mit den Endungen .google, .how und .soy.

HSTS ist wirklich eine gute Lösung. Es ermöglicht Ihrem Browser, sicher zur HTTPS-Version einer Website umzuleiten, anstatt zur unsicheren HTTP-Version. Leider lässt sich damit auch ein Supercookie mit folgender Formel erstellen:

1. Erstellen Sie mehrere Subdomains (z. B. „domain.com“, „subdomain2.domain.com“ ...).
2. Weisen Sie jedem Besucher Ihrer Hauptseite eine Zufallszahl zu.
3. Erzwingen Sie, dass Benutzer alle Ihre Subdomains laden, indem Sie sie zu versteckten Pixeln auf einer Seite hinzufügen, oder leiten Sie Benutzer durch jede Subdomain um, während die Seite geladen wird.
4. Bei einigen Subdomains ist es erforderlich, dass der Browser des Benutzers HSTS verwendet, um zur sicheren Version zu wechseln. Bei einigen anderen wird die Domäne als HTTP-unsicher belassen.
5. Wenn die HSTS-Richtlinie der Subdomain aktiviert ist, wird sie als „1“ gezählt. Wenn es ausgeschaltet ist, wird es als „0“ gezählt. Mit dieser Strategie kann eine Website die zufällige ID-Nummer des Benutzers als Binärdatei in den HSTS-Einstellungen des Browsers aufzeichnen.
6. Jedes Mal, wenn ein Besucher zurückkehrt, überprüft die Website die HSTS-Richtlinien im Browser des Benutzers. HSTS gibt dieselbe anfänglich generierte Binärzahl zurück, die den Benutzer identifiziert.

Es klingt kompliziert, aber kurz gesagt: Die Website kann Ihren Browser dazu bringen, Sicherheitseinstellungen für viele Seiten zu erstellen und zu speichern, und beim nächsten Besuch kann er anhand von Daten erkennen, wer Sie sind.

Apple hat auch Lösungen für dieses Problem eingeführt, z. B. das Festlegen von HSTS-Einstellungen nur für eine oder zwei Hauptdomänen pro Site und die Begrenzung der Anzahl der Weiterleitungen, die Sites verwenden dürfen. Andere Browser werden diese Sicherheitsmaßnahmen wahrscheinlich ebenfalls befolgen (der Inkognito-Modus von Firefox ist ein Beispiel), aber da keine Bestätigung zur Wirksamkeit vorliegt, ist dies nicht der Fall. Für die meisten Browser hat dies oberste Priorität. Sie können die Probleme selbst lösen, indem Sie mehr über einige Möglichkeiten zum manuellen Installieren und Entfernen von HSTS-Richtlinien erfahren.

Zombie-Kekse/Evercookies

Zombie-Cookies, auch bekannt als Evercookie, sind im Wesentlichen eine JavaScript-API, die entwickelt wurde, um die Schwierigkeiten zu veranschaulichen, mit denen Sie beim Versuch, ein Cookie zu löschen, konfrontiert werden.

Zombie-Cookies können nicht gelöscht werden, da sie außerhalb Ihres regulären Cookie-Speichers verborgen sind. Lokaler Speicher ist ein Hauptziel von Zombie-Cookies ( Adobe Flash und Microsoft Silverlight nutzen dies häufig), und auch ein gewisser HTML5- Speicher kann ein Problem darstellen. Zombie-Cookies befinden sich möglicherweise sogar in Ihrem Browserverlauf oder in den RGB-Farbcodes , die Ihr Browser zwischenspeichern lässt.

Allerdings verschwinden viele Sicherheitslücken nach und nach. Flash und Silverlight sind kein wichtiger Bestandteil des modernen Webdesigns und viele Browser sind mittlerweile nicht mehr anfällig für Evercookie. Da es so viele verschiedene Möglichkeiten gibt, wie diese Cookies Ihr System stören und „parasitieren“ können, gibt es keine Möglichkeit, sich selbst zu schützen, aber eine Browser-Reinigungsroutine ist nie eine gute Idee. Schlechte Maßnahme.

Sind wir sicher oder nicht?

Die Entwicklung der Online-Tracking-Technologie ist in der heutigen Sicherheitswelt ein ständiger Wettlauf. Wenn Ihnen also der Datenschutz besonders am Herzen liegt, sollten Sie sich wahrscheinlich daran gewöhnen, dass wir in einer Online-Umgebung niemals 100 % Sicherheit garantieren können.

Über Supercookies müssen Sie sich jedoch keine allzu großen Sorgen machen, da sie nicht allzu häufig vorkommen und immer aggressiver blockiert werden. Diese Cookies bleiben aktiv, bis etwaige Schwachstellen behoben werden, und sie können jederzeit mit neuen Technologien aktualisiert werden.

Mehr sehen:

• So löschen Sie Cookies in Chrome für jede Website
• Cookies richten auf Ihrem Computer keinen Schaden an?
• So löschen Sie Cache und Cookies in Chrome, Firefox und Coc Coc
• Anleitung zum Löschen von Cookies auf einem Windows-PC