zurück zum Artikel

Das Zombie-Cookie

Jo Bager

Der Hacker Samy Kamkar demonstriert auf seiner Homepage, wie man verschiedene Techniken, mit denen sich Browser identifizieren lassen, kombinieren kann, um ein fast unlöschbares Cookie zu schaffen.

Neben Cookies können Websites heute eine ganze Reihe von Speichertechniken einsetzen, um Browser eindeutig wiedererzukennen. Dazu zÀhlen Flash-Cookies und diverse HTML5-Speichertechniken (siehe dazu auch den c't-Artikel [1] und die Demos [2]). Samy Kamkar hat nun auf seiner Homepage eine JavaScript-API vorgestellt, die diverse dieser Techniken kombiniert, um einen fast unlöschbaren Cookie-Zombie zu schaffen, den er selbst evercookie [3] nennt.

Neben den bekannten Verfahren benutzt evercookie auch zwei ausgefallene Speichertechniken: PNG- und History-Caching. In ersterem wird die Cookie-ID in einer speziell angefertigten PNG-Datei gespeichert, die einige Browser via HTML-Canvas wieder auslesen können. History Caching benutzt das sogenannte History Stealing [4]: Beim erstmaligen Besuch einer evercookie-Site kodiert diese die Cookie-ID in eine URL, die im Hintergrund aufgerufen wird. Diese lÀsst sich dann bei spÀteren Besuchen wieder aus der Browser-History rekonstruieren.

Alle Verfahren erklÀrt Kamkar auf seiner Homepage im Detail. Dort lÀsst sich evercookie auch ausprobieren. Hat der Benutzer mit "click to create an evercookie" ein Cookie angelegt, kann er versuchen, es aus seinem Browser zu entfernen. (Die Cookies bei Kamkar sind Werte zwischen 1 und 1000, mit denen er seine Technik demonstrieren, aber Benutzer nicht wirklich identifizieren kann.)

FĂŒr viele der Techniken gibt es keine endanwendertaugliche Löschfunktion im Browser. Daher dĂŒrften viele Besucher nicht alle der Teil-Cookies löschen können. Die Demo listet genau auf, welche der IDs die Löschversuche ĂŒberlebt haben. Ruft der Benutzer die Seite ein weiteres Mal auf, hat evercookie alle mit dem jeweiligen Browser verfĂŒgbaren Teil-Cookies aus den vorhandenen wiederhergestellt. Da evercookie auch Browser-ĂŒbergreifend funktionierende Flash-Cookies verwendet, pflanzt es sich auf allen Browsern des Systems fort.

Das als Version 0.2 Beta veröffentlichte evercookie funktioniert noch alles andere als hundertprozentig zuverlĂ€ssig. So ließen sich mit der Beta des Internet Explorer 9 keine evercookies anlegen. Mit anderen Browsern zeigte es sporadische Probleme beim Wiederherstellen von Teil-Cookies. Dennoch gibt evercookie eine Idee davon, wie Website-Betrieber ihre Besucher im Blick behalten können. Einziger Schutz scheint derzeit das Surfen im Anonym-Modus zu sein. Testweise im entpsrechenden Modus von Chrome und Firefox angelegte evercookies waren nach der Sitzung nicht mehr vorhanden.

Kamkar stellt den Quelltext seines evercookies als Open Source zum Download bereit. Er will es weiter aufbohren, etwa um die UnterstĂŒtzung fĂŒr Isolated Storage in Silverlight. (jo [5])

URL dieses Artikels:
https://www.heise.de/-1094770

Links in diesem Artikel:
[1] http://www.heise.de/kiosk/archiv/ct/2009/21/108_kiosk
[2] http://www.heise.de/ct/Redaktion/heb/supercookies/
[3] http://samy.pl/evercookie/
[4] https://www.heise.de/news/History-Stealing-2-0-Ich-weiss-wo-du-wohnst-1005016.html
[5] mailto:jo@ct.de

Copyright © 2010 Heise Medien