Evercookies blockieren und löschen in Chrome, Firefox, Internet Explorer

Von den aus ihrer Sicht unzuverlässigen HTTP-Cookies wich die Internet-Wirtschaft vermehrt auf Flash-Cookies aus. Aber auch diese sind mittlerweile entschärft, weil die gängigen Browser diese Daten mittlerweile ebenfalls löschen können.

Die aktuellsten Techniken zum persistenten Speichern von Informationen auf dem Client sind Canvas-Fingerprinting und Evercookies. Ersteres ist noch relativ neu und schwer abzuwehren, so dass sich die Technik steigender Beliebtheit bei großen Websites erfreut. Dagegen sind Evercookies schon seit einigen Jahren im Einsatz.

Redundante Cookies

Ihr Trick besteht darin, dass ein Javascript die gewünschten Informationen gleichzeitig an mehreren Orten speichert. Dazu zählen neben HTTP- und Flash-Cookies auch Silverlight Isolated Storage, der Web Cache, die History, IE userData oder HTML5 Session-, Local- und Global Storage. Entfernt ein Benutzer die Daten durch die Löschfunktion des Browsers an einigen dieser Speicherorte (Cookies, Verlauf, Passwörter, Formulare), dann überleben sie jedoch noch anderswo und können vollständig wiederhergestellt werden.

Privater Modus blockiert Evercookies

Eine wirksame Methode, um das dauerhafte Speichern von Tracking-Informationen an verschiedenen Orten zu verhindern, stellen die InPrivate- und Inkognito-Modi dar. Ihr Zweck besteht genau darin, möglichst keine Spuren der besuchten Websites auf dem lokalen Rechner zu hinterlassen.

Nach Beendigung der Session sind in neuen Browser-Fenstern von Chrome, Firefox oder IE keine Überreste von Evercookies mehr zu finden. Dies lässt sich leicht mit Hilfe der Demo-Seite des Evercookie-Entwicklers Samy Kamkar nachvollziehen.

Der ständige Einsatz des InPrivate- bzw. Inkognito-Modus reduziert jedoch den Benutzerkomfort erheblich, gerade weil sich der Browser keine Historie, Passwörter oder Formulardaten merken kann. Hinzu kommt in Google Chrome, dass die Omnibox keine Suchvorschläge anzeigt und dass standardmäßig alle Erweiterungen deaktiviert sind. Letzteres kann man zwar für jedes einzelne Plug-in ändern, aber damit geht ein sinnvoller Schutz durch den Inkognito-Modus verloren.

Noscript und SciptSafe

Eine weitere Maßnahme könnte der Einsatz von Plug-ins sein, mit denen man die Ausführung von Javascript kontrollieren bzw. blockieren kann, weil Evercookies mit Hilfe eines Scripts gespeichert werden. Für Firefox gibt es zu diesem Zweck das populäre Add-on Noscript, für Chrome existiert als Entsprechung dazu ScriptSafe.

Beide Erweiterungen sind jedoch weit mehr als ein Schutz gegen aggressive Cookies und erfordern die Pflege von Whitelists, um die volle Funktionalität auf vertrauenswürdigen Sites beizubehalten.

Nachträgliches Löschen von Evercookies

Schließlich könnte man in regelmäßigen Abständen das System von Evercookies reinigen. Nachdem dokumentiert ist, welche Speicherorte genutzt werden, könnte man die entsprechenden Dateien manuell entfernen. Im Web existieren mehrere Anleitungen, wie man dabei vorzugehen hat. Dieses Vorgehen ist indes relativ umständlich.

Daher bietet sich an, eine solche wiederkehrende Aufgabe mit Tools zu erledigen. In Frage kommen dabei solche Systemreiniger wie CCleaner oder BleachBit, die neben allen möglichen temporären Daten auch Browser-spezifische Informationen entfernen.

Allerdings sind beide nicht in der Lage, Evercookies für alle Browser zu tilgen. Das Open-Source-Tool BleachBit kann seit einigen Versionen auch den DOM-Speicher von Chrome und Firefox leeren. Dennoch entfernt es Evercookies mit Butz und Stingl nur unter Chrome, während sie unter Firefox und IE auf diesem Weg nicht auszurotten sind.