Evercookies blockieren und löschen in Chrome, Firefox, Internet Explorer

    CookiesImmer mehr Websites und vor allem Ad Networks verwenden Evercookies, um Besucher nachverfolgen zu können. Diese hartnäckigen Daten lassen sich über die Browser-eigenen Mechanismen nicht vollständig entfernen. Daher muss man entweder verhindern, dass sie gespeichert werden, oder sie nachträglich mit externen Tools entfernen.

    Ein User Agent für ein zustandsloses Protokoll wie HTTP muss einen Speicher bieten, damit Anwendungen ihre Statusinformationen über eine Sitzung hinweg vorhalten können. Seit den Anfängen des Web fällt Cookies diese Aufgabe zu. Nachdem sie von diversen Analyse- und Tracking-Tools der Werbewirtschaft ausgiebig genutzt werden, löschen viele Anwender regelmäßig ihre Cookies und moderne Browser helfen ihnen dabei durch verschiedene Funktionen.

    Cookie-Wettrüsten

    Von den aus ihrer Sicht unzuverlässigen HTTP-Cookies wich die Internet-Wirtschaft vermehrt auf Flash-Cookies aus. Aber auch diese sind mittlerweile entschärft, weil die gängigen Browser diese Daten mittlerweile ebenfalls löschen können.

    Die aktuellsten Techniken zum persistenten Speichern von Informationen auf dem Client sind Canvas-Fingerprinting und Evercookies. Ersteres ist noch relativ neu und schwer abzuwehren, so dass sich die Technik steigender Beliebtheit bei großen Websites erfreut. Dagegen sind Evercookies schon seit einigen Jahren im Einsatz.

    Redundante Cookies

    Ihr Trick besteht darin, dass ein Javascript die gewünschten Informationen gleichzeitig an mehreren Orten speichert. Dazu zählen neben HTTP- und Flash-Cookies auch Silverlight Isolated Storage, der Web Cache, die History, IE userData oder HTML5 Session-, Local- und Global Storage. Entfernt ein Benutzer die Daten durch die Löschfunktion des Browsers an einigen dieser Speicherorte (Cookies, Verlauf, Passwörter, Formulare), dann überleben sie jedoch noch anderswo und können vollständig wiederhergestellt werden.

    Privater Modus blockiert Evercookies

    Eine wirksame Methode, um das dauerhafte Speichern von Tracking-Informationen an verschiedenen Orten zu verhindern, stellen die InPrivate- und Inkognito-Modi dar. Ihr Zweck besteht genau darin, möglichst keine Spuren der besuchten Websites auf dem lokalen Rechner zu hinterlassen.

    Der Inkognito-Modus von Google Chrome und der InPrivate-Browsing von IE und Firefox verkürzen die Lebensdauer von Evercookies.

    Nach Beendigung der Session sind in neuen Browser-Fenstern von Chrome, Firefox oder IE keine Überreste von Evercookies mehr zu finden. Dies lässt sich leicht mit Hilfe der Demo-Seite des Evercookie-Entwicklers Samy Kamkar nachvollziehen.

    Der ständige Einsatz des InPrivate- bzw. Inkognito-Modus reduziert jedoch den Benutzerkomfort erheblich, gerade weil sich der Browser keine Historie, Passwörter oder Formulardaten merken kann. Hinzu kommt in Google Chrome, dass die Omnibox keine Suchvorschläge anzeigt und dass standardmäßig alle Erweiterungen deaktiviert sind. Letzteres kann man zwar für jedes einzelne Plug-in ändern, aber damit geht ein sinnvoller Schutz durch den Inkognito-Modus verloren.

    Noscript und SciptSafe

    Eine weitere Maßnahme könnte der Einsatz von Plug-ins sein, mit denen man die Ausführung von Javascript kontrollieren bzw. blockieren kann, weil Evercookies mit Hilfe eines Scripts gespeichert werden. Für Firefox gibt es zu diesem Zweck das populäre Add-on Noscript, für Chrome existiert als Entsprechung dazu ScriptSafe.

    Das Add-on Noscript verhindert zwar das Speichern von Evercookies, indem es generell die Ausführung von Javascripts blockiert.

    Beide Erweiterungen sind jedoch weit mehr als ein Schutz gegen aggressive Cookies und erfordern die Pflege von Whitelists, um die volle Funktionalität auf vertrauenswürdigen Sites beizubehalten.

    Nachträgliches Löschen von Evercookies

    Schließlich könnte man in regelmäßigen Abständen das System von Evercookies reinigen. Nachdem dokumentiert ist, welche Speicherorte genutzt werden, könnte man die entsprechenden Dateien manuell entfernen. Im Web existieren mehrere Anleitungen, wie man dabei vorzugehen hat. Dieses Vorgehen ist indes relativ umständlich.

    Das Open-Source-Tool BleachBit entfernt Evercookies zuverlässig nur unter Google Chrome.

    Daher bietet sich an, eine solche wiederkehrende Aufgabe mit Tools zu erledigen. In Frage kommen dabei solche Systemreiniger wie CCleaner oder BleachBit, die neben allen möglichen temporären Daten auch Browser-spezifische Informationen entfernen.

    Allerdings sind beide nicht in der Lage, Evercookies für alle Browser zu tilgen. Das Open-Source-Tool BleachBit kann seit einigen Versionen auch den DOM-Speicher von Chrome und Firefox leeren. Dennoch entfernt es Evercookies mit Butz und Stingl nur unter Chrome, während sie unter Firefox und IE auf diesem Weg nicht auszurotten sind.

    Keine Kommentare