BLOG
Submitted by Karsten Frohwein on 03. March 2010

Third Party Cookies & Java Script aussperren

Unbedarfte WWW-Nutzer hinterlassen Unmengen an Spuren. Wenn ich eine Seite betrete, kann jedes Bild, das ich lade, einen Cookie mitbringen. Lade ich also Werbung, weiß diese, auf welcher Seite ich mich gerade befinde, und versucht einen Cookie abzulegen. Dieser Cookie hat zwar nicht direkt etwas mit der Domain zu tun, auf der ich mich gerade befinde, denn durch eine Sandbox wird erreicht, dass eine Seite nur ihre eigenen Cookies auslesen darf. Aber da ja ein Code übermittelt wurde, weiß der Werbeanbieter trotzdem, was los ist.

Beispiel:

http://www.example.com enthält Werbung von http://ads.ad-example.com.

Die Werbung in Form eines Bildes lädt dann:
http://ads.ad-example.com?site=http://www.example.com

Der Aufruf beschert uns nun einen Cookie zu der Domain des Werbers http://ads.ad-example.com.

Gehe ich nun auf http://www2.example.com, lädt sich dort Werbung wieder über:
http://ads.ad-example.com?site=http://www2.example.com.

Da dieser zweite Aufruf aber wieder den gleichen Cookie abfragt, weiß nun der Werber, dass ich mit der IP XY von Seite A nach B gegangen bin. Teilt nun z.B. Seite B mit, wer ich bin, da der Werber dafür bezahlt, die Seite gehackt wurde oder warum auch immer, dann kann der Werber mich also perfekt einordnen und bewerben. Gut für die Werbung, aber ist das auch gut für uns? Man sollte also genau sehen, wem man seine Daten gibt und wohin die dann gehen.

Glücklicherweise sind wir nicht völlig hilflos dagegen. Es gibt zumindest für Firefox ein AddOn, das Cookies von Dritten ablehnt.

CS Light

Cookie Safe Light ist eine kleine und schlanke Lösung, unsere Cookies zu kontrollieren. Allerdings nervt sie unheimlich, wenn man auf jeder Seite die Cookies freigeben muss. Das bedeutet, dass man sich nirgends anmelden kann und einige Seiten verweigern schon beim ersten Aufruf den Dienst, wenn die Cookies deaktiviert sind.

Wir wollen uns ja auch nur gegen böse Dritte schützen und surfen natürlich so verantwortlich, dass wir den Seiten, die wir ansteuern, trauen können und von denen wir auch Cookies haben wollen. Also geht man in die Einstellungen und setzt unter "Global" -> "Nur von Ursprungs-Site akzeptieren". Das ist dann schon der ganze Trick. Der Werber weiß zwar immer noch durch die übertragenen Daten, welche IP gerade auf welcher Seite ist, aber wir machen es ihm wenigstens ein wenig schwerer und haben keine Leichen im Keller, die auch noch nach Jahren zum Leben erwachen können und Dinge über uns ausplaudern.

Es kann sein, dass eine Seite wie z.B. Microsoft für das live! Login Cookies auf einer anderen Domain braucht. Dies ist dann immer noch von Hand einzustellen, was aber mit ein wenig Nachlesen leicht zu bewältigen ist. Man schneidet also durch diese Einstellungen schon etwas ab, was unter gewissen Umständen sinnvoll sein kann. Aber im Allgemeinen braucht man es einfach nicht und es gibt zu viel Missbrauch.

No script

NoScript tut das gleiche übrigens für Javascript. Es verhindert auch mit einer Einstellung, dass man Skripte von einer anderen als der gerade aktiven Seite hinzulädt. Bei JavaScript ist es allerdings durchaus gängig, dies ohne böse Hintergedanken zu tun. Von daher muss man hier schon darauf achten, die üblichen Seiten freizuschalten, wenn man eine normale JavaScript-Funktion wünscht. NoScript tut auch noch vieles mehr, um uns gegen böses JavaScript zu schützen. Ich finde es aber nervig restriktiv, wenn ich es mit den Standardeinstellungen benutze. Von daher traue ich meinen Seiten und gebe die Top-Level-Domain frei.

Wichtigster Tipp ist aber einfach: Keine Seiten besuchen, die komisch sind. Ein alles-gratis-und-davon-viel.ru ist einfach kein Domain-Name, dem man trauen kann. Immer ein waches Auge haben, bevor man auf die Links klickt.

Third Party Cookies & Java Script aussperren
Third Party Cookies & Java Script aussperren
Tags:
2 comments

Comments

Submitted by neb (not verified) on 07. March 2010.

Firefox bietet diese

Firefox bietet diese Einstellung doch standardmäßig, völlig ohne Add-on:

Einstellungen -> Datenschutz -> Cookies akzeptieren -> Cookies von Drittanbietern akzeptieren (natürlich dann deaktivieren)

Submitted by Alexander Bentz on 08. March 2010.

Flash-Cookies / LSOs

Völlig richtig, leider ist die Option zum Deaktivieren der Third-Party-Cookies in neueren Firefox-Versionen ein kleines bisschen versteckt, da man erst "Chronik: nach benutzerdefinierten Einstellungen anlegen" auswählen muss.

Nicht zu vergessen sind darüber hinaus die Flash-Cookies (auch LSOs = Local Shared Objects genannt), die diverse Flash-Player in verschiedenen (eigenen) Verzeichnissen auf dem Rechner hinterlassen. Sie sind größer als gewöhnliche Browser-Cookies, haben eine unbeschränkte Lebensdauer und eignen sich nicht zuletzt wegen ihres relativ geringen Bekanntheitsgrads hervorragend zum Sammeln von Nutzerinformationen. LSOs werden nicht in Verzeichnissen gespeichert, die dem Browser zugeordnet sind, sondern in solchen, die vom Flash-Player selbst erstellt werden, weshalb sie auch Browser-übergreifend genutzt werden können. Die Konfigurationen für den Adobe Flash Player lassen sich zwar auch auf der Macromedia-Website vornehmen, aber das empfinde ich als weder intuitiv noch komfortabel. Für wesentlich praktischer halte ich das Firefox-AddOn BetterPrivacy, mit dem sich Flash-Cookies beim Öffnen oder Schließen des Browsers oder in regelmäßigen Zeitabständen automatisiert löschen lassen. Wer Firefox nicht nutzt, kann auch sich auch eines der diversen frei erhältlichen Lösch-Tools nutzen.

Add comment

The content of this field is kept private and will not be shown publicly.
By submitting this form, you accept the Mollom privacy policy.