Firefox: So verweist man auch Super-Cookies in ihre Schranken

Die so genannten Super-Cookies erfreuen sich bei verschiedenen Anbietern von Web-Diensten noch immer einer großen Beliebtheit. Und auch Seitens der Geheimdienste greift man gerne auf diese zurück. Denn sie sind besonders langlebig und hartnäckig - so dass sich das Nutzungsverhalten einzelner Anwender auch über einen längeren Zeitraum detailliert nachverfolgen lässt.

Doch gänzlich schutzlos ist der User diesen kratzigen Kekskrümeln dann doch nicht ausgesetzt. Unsere Kollegen von SemperVideo zeigen euch daher, wie ihr beispielsweise beim Einsatz des Open Source-Browsers Firefox die Super-Cookies in ihre Schranken verweisen könnt.

Radical Research: Super-Cookie-Demo

Download Mozilla Firefox 41.0.2 - Kostenloser Open-Source-Browser

Verwandt

Mozilla Foundation: Google-Abhängigkeit beendet, Umsatz gesteigert

Dieses Video empfehlen

Kommentieren17

Tags:

Jetzt einen Kommentar schreiben

[o1] am ++2 --1

Alles (Cache / Cookies) auf eine RAM-Disk auslagern und täglich neu starten...

[re:1] am ++--

@Blaulicht110: Das hatte ich mal mit Chrome probiert. Hat grundsätzlich funktioniert, leider scheinen manche Einstellungen des Profils irgendwie darauf aufzubauen. Ich glaube Chrome öffnete sich jedes Mal nur noch als Fenster und nicht im Vollbild.

[o2] am ++1 --1

Ich benutze BetterPrivacy im Firefox, macht es einfacher:

https://addons.mozilla.org/de/firefox/addon/betterprivacy/

Bearbeitet am 20.10.15 um 16:47 Uhr.

[re:1] am ++2 --

@Gast11962: Hilft nicht. Kannst wie im Video einfach hier testen. http://www.radicalresearch.co.uk/lab/hstssupercookies

[re:1] am ++--

@klink: hmm. Interessant. Ich höre zugegebenermaßen zum ersten mal davon.
Ich nutze Pale Moon 25.7.3 - ich öffnete gerade die Website, erlaubte JS und zog die Tests durch. Der Wert des Cookies war jedes mal ein anderer.

[re:2] am ++--

@klink: Irgend was mach ich falsch oder BetterPrivacy richtig?

Jedenfalls hab ich nach jeden Neustart von Firefox eine neue Tracking ID, auch die Datei SiteSecurityServiceState.txt wird jedesmal gelehrt beim beenden, auf 3 W7 PC und 2 Laptops W7 überprüft und widerholt bestätigt (pro Gerät min. 5 Versuche).

Jetzt frage ich mich mach ich was falsch oder hab ich deine Anmerkung falsch verstanden?

[re:1] am ++--

@Gast11962: BetterPrivacy kann diese nicht löschen, weil die BetterPrivacy Entwicklung vor 3 Jahren aufgegeben wurde und damals HSTS im Firefox nicht gab. Firefox kann von sich aus SiteSecurityServiceState.txt nach jedem Neustart leeren, dies kann man in den Einstellungen einschalten.

[re:2] am ++1 --

@Gast11962: Jap, ich auch. Ist perfekt für diesen Job!

Edit... ok, es handelt sich um 2 verschiedene Arten von Super Cookies.
Better Privacy hilft gegen die sogenannten Flash Cookies. Diese werden extern (von Firefox) gespeichert und haben ebenfalls kein Verfallsdatum.
Da hilft Better Privacy.

Bearbeitet am 20.10.15 um 20:39 Uhr.

[o3] am ++--

Ich habe schon seit langen "Die Chronik löschen, wenn Firefox geschlossen wird" aktiviert.
Warum soll ich Cookies, Cache und Webseiten-Einstellungen etc. aufheben?
Nur "Besuchte Seiten & Download-Chronik" und "Gespeicherte Passwörter" werden behalten.

[re:1] am ++--

@WaylonSmithers: Naja wenn man regelmäßig die selben Seiten aufruft, dann macht der Cache schon Sinn, s ovin wegen Ladezeiten und so.
Und Webseiten Einstellungen... naja manche Einstellungen will man ja haben und muss diese dann jedes mal erneut setzen. Auf einigen interaktiven Webseiten (ohne Account) wird ide Platzierung der Elemente lokal gespeichert... z.B. bei Games ala LstSim. Nicht jeder will für so etwas gleich nen Account und trotzdem seine Fensteranordnung behalten.

[o4] am ++1 --

Interessanter Ansatz um Benutzerverhalten zu tracken. Der Trend geht aber weg von Cookies (vor allem wegen den mobilen Browsern), hin zu Fingerprinting. Dabei ist es aktuell so gut wie unmöglich, die Tracking-Tools zu umgehen. Schutz-Plugins wie Ghostery, Disconnect, Privacy Badger, Random Agent Spoofer, Refcontrol, BetterPrivacy, usw. reichen nicht aus und verschlimmern das Problem sogar, weil die Tracking-Tools erkennen, wenn man solche einsetzt. Wens im Detail interessiert mal nach "Cookieless Monster" von Nikiforakis suchen. Das macht schon Angst, bleibt fast nur noch Tor ;-)

[re:1] am ++--

@Zeussi: Ohne JavaScript ist es aber unmöglich, erweiterte Infos über den Browser herauszubekommen. Installierte Schriftarten, Displaygröße, etc... Ohne JavaScript, keine Chance. Also viele Infos, die nicht in die Fingerprints einfließen und somit unbrauchbar machen, da bei zu vielen Nutzern absolut identisch.

[re:1] am ++--

@SunnyMarx: Doch, mittels installierten Plugins wie Flash, Silverlight oder Java kannst Du Fonts, Displaygröße, Kernel-Version usw. rausfinden - oder welche Plugins installiert sind (z. B. PDF Reader, VLC Player, ...). Und auch wenn Du die deaktivierst: mittels CSS kannst Du den Browser-Verlauf über Caching herausfinden und damit das Nutzerverhalten einem Gerät zuordnen. Also es gibt Möglichkeiten, ohne JavaScript. Und bzgl. JavaScript kannst Du es bei vielen Seiten nicht komplett deaktivieren, sofern Du sie nutzen willst. Und ab dem Zeitpunkt ist es wieder ein leichtes, bestimmte Skripte auszuführen. Man kann z. B. über Dein Tippverhalten Dich auch leicht bestimmen. Man kann prüfen, ob gewisse Funktionen verfügbar sind, HTML-Canvas, usw.

Bearbeitet am 21.10.15 um 13:14 Uhr.

[o5] am ++--

Wie er im Video schön zuerst auf "Übernehmen" und dann noch auf "OK" klickt - ich dachte immer, dass machen nur die SuperDAUs. xD

[re:1] am ++--

@ZappoB: Liegt vermutlich an der Erfahrung. Wenn ein Tool mit "OK" nicht übernimmt und man nicht auf diese Idee kommt, kann die Suche lange dauern. ;)