Benutzer durchschnittlich mit 14 Cookies pro Website getrackt

[docanonymous]

Das US-Unternehmen TRUSTe stellt für Firmen und Organisationen Datenschutz-Zertifikae aus und berichtet nun von Datenschutzproblemen bei englischsprachigen Websites. Aus einem veröffentlichten Bericht des Unternehmens geht hervor, dass Benutzer durchschnittlich mit 14 Cookies pro Seite getrackt werden.

zur News

[Falcon]

Auch werden nur 49 Prozent der Cookies ungültig, sobald man die Seite verlassen hat

Hast du dir mal die Quelle angeguckt? Da steht es andersrum. 51 % bleiben bis zum Verlassen gültig, 49 unbegrenzt. Unwatched hats auch falsch.

[fabih1]

Kann eine Seite die ich besuche eigentlich all meine Cookies sehen, oder nur die die Seite selbst gesetzt hat?

[akumu00]

Gut dass ich cookies global geblockt habe und nur diejenigen die ich möchte per whitelist für die session zulasse

[scherzeking]

Kann eine Seite die ich besuche eigentlich all meine Cookies sehen, oder nur die die Seite selbst gesetzt hat?

Jede Seite kann alle Cookies lesen.
Dabei steht bei den meisten nur Einstellungen, die man an der Seite gemacht hat oder Logininfos drin, damit man sich nicht jedesmal neu einloggen muss.

[deminder]

Jede Seite kann alle Cookies lesen.
Dabei steht bei den meisten nur Einstellungen, die man an der Seite gemacht hat oder Logininfos drin, damit man sich nicht jedesmal neu einloggen muss.

Blödsinn. Eine Webseite kann nur die Cookies auslesen, welche diese auch gesetzt hat.

[hansgans24]

Jede Seite kann alle Cookies lesen.

Das gesamte www hat also Zugriff auf meinen Cookie-Ordner. Das wäre lustig, Filesharing, Cookiestealing, so schwer ist das doch alles gar nicht. Passwörter wären praktisch unnötig. *lacht*

[Caarcrinolas]

Wie schon mehrfach gesagt wurde können Cookies nur von der Urheberdomain gelesen werden. Wer was anderes behauptet sollte sich die technische Spezifikation durchlesen.

Das wäre ja der größte technische Irrsinn wenn mein Online Banking Cookie von kinox.to gelesen werden könnte

Ich wüsste spontan nicht mal eine Webseite die keine Cookie setzt, es ist auch nicht sonderlich Useability freundlich wenn es kein Autologin gibt.

Gegen Cookies kann man sich schützen, die Frage ist nur wieviel Einschnitte der persönlichen Surfens dadurch resultieren.

[Stichlasser]

Wäre cool, wenn gulli sowas wien "Cookies richtig nutzen"-How To oder sowas rausbringen würde

Ist der automatische gulli-login z.B. auch ein cookie?

[Kugelfisch23]

Ja, ebenso werden zur Speicherung der Session-ID nach einem Login (auch ohne Angemeldet-bleiben-Funktion) standardmässig Session-Cookies genutzt. Das ist auch sinnvoll, da die (von vBulletin auch als Fallback zur Verfügung gestellte) Alternative - Session-IDs in alle URIs einzubauen - einerseits unnötig umständlich ist und andererseits bei der Weitergabe von URIs (auch z.B. über Referer-Header beim Folgen von Links) mit Sicherheitsproblemen verbunden ist, wenn dabei die Session-ID nicht manuell aus dem URI entfernt wird, da mit Kenntnis der Session-ID eine laufende Session übernommen werden kann.

In der Untersuchung kann ich übrigens nicht erkennen, dass der konkrete Nutzen der gefundenen Cookies für den Nutzer weiter verfolgt worden wäre, nur die Anzahl wurde gemessen. Das ist meines Erachtens wenig sinnvoll, da Cookies - sofern richtig eingesetzt - einem Benutzer durchaus einen Mehrwert bieten können, z.B. zur Speicherung einer Session-ID (s.o.) oder - nach expliziter Nachfrage - zur Speicherung eines längerfristig gültigen Passwort-Hashes zwecks Auto-Login bei folgenden Besuchen.

Ohne Probleme abgelehnt werden können in aller Regel Cookies von Drittanbietern, d.h. Cookies, welche nicht von der besuchten Website, sondern von eingebundenen externen Inhalten - in der Regel von Werbenetzwerken oder Web-Analytics-Diensten - stammen. Moderne Browser lassen sich so konfigurieren, dass sie Drittanbieter-Cookies ablehnen, Erstanbieter-Cookies (d.h. Cookies der aktuell besuchten Website) jedoch annehmen. Das scheint mir in aller Regel eine sinnvolle Konfiguration.
Ausserdem lässt sich in vielen Browsern einstellen, ob sämtliche Cookies (nicht bloss Session-Cookies) beim Beenden des Browsers verworfen werden sollen. Diese Option ist für diejenigen sinnvoll, die keine längerfristig gültigen Cookies nutzen, die ihnen einen konkreten Mehrwert (z.B. Auto-Login) bieten, auf den sie nicht verzichten möchten.

[Shadow27374]

Jede Seite kann alle Cookies lesen.

Dann können sie auch Passwörter als MD5-Hash auslesen. Diese sind nämlich z.B. beim Woltlab Burning Board im Cookie.

[Przantotti Rhwa]

Blödsinn. Eine Webseite kann nur die Cookies auslesen, welche diese auch gesetzt hat.

An alle hier, die ähnliches behaupten (ok, hab noch nicht in die specification geguckt, weil faulheit und so;-)...) und an jene, die eben dieses nicht behaupten:

Ich hab mich mal über irgendwas schlau machen wollen. Danach erhielt ich auf anderen Websites Werbung für eben das vorher Gesuchte --> bis ich es mit "Blödsinn" fütterte und das nicht mehr so stark bemerkte, weil ich den "Blödsinn" vergessen hatte bzw. wusste, wo der Braten den ich roch herkam...

Intelligente Cookies oder Cookies der nächsten Generation oder so?
Ich find das gruselig. Technisch könnte doch inzwischen möglich sein, den "Cookiespace" auch nicht-eigener Cookies zu lesen, oder?

[Trollolol]

Ist es nicht so, dass eine Seite auch alle Cookies von Subdomains auslesen kann?
Ich finde Zähl-Pixel gefährlicher als Tracking-(Flash-)Cookies, denn die sind nicht auf diese Art begrenzt.
Ich habe mir kürzlich mal Ghostery installiert und war erschrocken, wieviele dieser Dinger in nahezu jeder Seite zu finden sind.

[P7BB]

Dann können sie auch Passwörter als MD5-Hash auslesen. Diese sind nämlich z.B. beim Woltlab Burning Board im Cookie.

Kennwörter als md5-Hash in Cookies zu speichern, ist grob fahrlässig! Immerhin könnte dasselbe Kennwort auch woanders genutzt worden sein und dementsprechend ist der md5-Hash derselbe. Für Angreifer ist es nun ein Kinderspiel, die Cookies zu manipulieren und den Hash als Kennwort einzutragen - ohne das eigentliche Kennwort zu kennen!

Das würde ich jetzt nicht unbedingt als Backdoor bezeichnen, aber es ist vergleichbar mit einem halb-offenem Fenster.

Edit: Ich rede gerade übrigens von md5-Hashes ohne Salt.

[SleepProgger]

Ich hab mich mal über irgendwas schlau machen wollen. Danach erhielt ich auf anderen Websites Werbung für eben das vorher Gesuchte --> bis ich es mit "Blödsinn" fütterte und das nicht mehr so stark bemerkte, weil ich den "Blödsinn" vergessen hatte bzw. wusste, wo der Braten den ich roch herkam...

Wenn auf verschiedenen Seiten Inhalte von einer Domain(A) eingebunden werden kann goog.. aehh Domain A natürlich ihren eigenen Cookie lesen

Des weiteren gibt es auch die Moeglichkeit Browserspezifischen Einstellungen (ip, browser, Version, Sprache, Fonts, Plugins...) zu speichern und dadurch User wieder zu erkennen. Allerdings weiß ich nicht ob diese Technik mittlerweile wirklich angewandt wird.

[Przantotti Rhwa]

Ich finde Zähl-Pixel gefährlicher als Tracking-(Flash-)Cookies, denn die sind nicht auf diese Art begrenzt.
[...] und war erschrocken, wieviele dieser Dinger in nahezu jeder Seite zu finden sind.

Stecken in diesen Bildchen versteckte Informationen, die im Browsercache landen und die Seite weiß dann später durch Vergleich, dass du (ich, wir, sie) schonmal da warst - sonst hättest du (ich, wir, sie) diese "Info" ja nicht auf dem Rechner?

Wenn ich Seite wär, würde ich den Browser doch drum fragen, ob er mir Cookies zeigt. Wenn ich mich nun als eine andere Seite ausgebe, bspw durch DNS-Host-File über Schädlinge verändern - trojaner, würmer etc. Oder aber der Browser lässt mich aus einem "Karteikasten" selbst nach dem Zettel suchen. Und spätestens dann weiß ich womöglich doch, dass Max Schulze mal wieder bei xy.com (wäre i.d.F. nicht ich) gesurft ist, oder?

Ist irgendwie so ähnlich wie Fahrkartenkontrolle mit persönlicher Zeitmarke oder einkaufen von Alkohol - da wollen die auch ständig den Ausweis sehen. Und dann weiß prinzipiell jede/r potentielle Nießer, wie wir heißen und wo wir wohnen.

[Trollolol]

Ja.

[Kugelfisch23]

Stecken in diesen Bildchen versteckte Informationen, die im Browsercache landen und die Seite weiß dann später durch Vergleich, dass du (ich, wir, sie) schonmal da warst - sonst hättest du (ich, wir, sie) diese "Info" ja nicht auf dem Rechner?

Das (über präparierte, individuelle ETags) Informationen zur Wiedererkennung im Browser-Cache abgelegt werden, ist zwar nicht ausgeschlossen, mir ist jedoch kein Werbenetzwerk und auch kein Web-Analytics-Anbieter bekannt, der diese Möglichkeit für seine Zählpixel nutzen würde. Allerdings werden einerseits sehr häufig die erwähnten Drittanbieter-Cookies gesetzt, andererseits inzwischen neben klassischen Zählpixeln leider auch immer mehr aktive Inhalte (JavaScript, Flash-Inhalte, ...) von Werbenetzwerken oder Analytics-Diensten nachgeladen und im Kontext der besuchten Website ausgeführt. Diese können auch Cookies im Kontext der besuchten Website setzen und auslesen. Diese Cookies dienen in der Tat sehr oft dem Tracking, d.h. der späteren Wiedererkennung eines bestimmten Clients.

Wenn ich Seite wär, würde ich den Browser doch drum fragen, ob er mir Cookies zeigt. Wenn ich mich nun als eine andere Seite ausgebe, bspw durch DNS-Host-File über Schädlinge verändern - trojaner, würmer etc. Oder aber der Browser lässt mich aus einem "Karteikasten" selbst nach dem Zettel suchen. Und spätestens dann weiß ich womöglich doch, dass Max Schulze mal wieder bei xy.com (wäre i.d.F. nicht ich) gesurft ist, oder?

Der Browser schickt bei jeder HTTP-Anfrage unaufgefordert alle Cookies (in Form von `Cookie`-Request-Headern) mit, welche gültig sind und zum aktuellen URI passen. Dazu muss der Hostname sowie ein ggf. gesetzter URI-Pfad übereinstimmen. Ist das SecureOnly-Flag für ein Cookie gesetzt, muss das Protokoll zudem HTTPS (nicht HTTP) sein. Dass durch durch eine Schwachstelle im Browser besuchte Websites fremde Cookies z.B. per JavaScript auslesen können, ist natürlich nicht ausgeschlossen, aber bei einem aktuell gehaltenen Browser eher unwahrscheinlich.

Wenn das System durch beliebige Malware kompromittiert wurde, ist es nicht einmal nötig, dass der Angreifer zum Auslesen der Cookies eine bestimmte Website vortäuscht - schliesslich könnten sämtliche Cookies auch direkt aus dem Cookie-Speicher des Browsers ausgelesen werden. Tracking-Cookies werden in diesem Fall allerdings das geringste Problem sein (abgesehen davon finden sind detailliertere Informationen über dein Nutzungsverhalten in der Browser-History), wesentlich problematischer ist, dass auch authentifizierende Cookies und gespeicherte oder eingegebene Zugangsdaten abhanden kommen können.


Das Hauptargument gegen Tracking-Cookies sehe ich nicht in der Gefahr, dass Dritte über Schwachstellen u.U. davon Kenntnis erlangen können, sondern darin, dass die die Privatsphäre auch im regulären Betrieb einschränken, ohne dem Benutzer einen echten Mehrwert zu bieten. Allerdings sollten aus diesem Grund nicht Cookies prinzipiell als schlecht betrachtet werden, da sich das Konzept an sich auch sehr sinnvoll einsetzen lässt.