Sonstiges

Sammelklage wegen Zombie-Cookies: Datenschützer nimmt Top-US-Sites ins Visier

Und wieder einmal sorgt in den USA eine Sammelklage für Schlagzeilen. In diesem Fall zieht der Anwalt Jospeh Malley mehrere US-Schwergewichte – darunter ABC, Hulu, MTV und MySpace – vor den Richter (Klageschrift, PDF), da sie auf ihren Websites illegaler Weise sogenannte Zombie-Cookies verwendeten. Damit verstoßen sie dem Datenschutz-Experten Malley zufolge aber gegen die „Federal Computer Intrusion Laws„. Diese stellen unter anderem den wissentlichen, aber unauthorisierten Zugriff auf fremde Computer und den daraus eventuell erwachsenen Datenmissbrauch unter Strafe. Ein prominenter Fall aus der jüngeren Vergangenheit, in dem das Gesetz wirksam wurde, war der Selbstmord der MySpace-Userin Megan Meier.

Was hat es nun aber mit den Zombie-Cookies auf sich? Bei Cookies handelt es sich, stark vereinfacht gesagt, um kurze Einträge in einem Datenverzeichnis oder einer-bank eines Computers. Sie dienen zwei Zielen: einerseits der zeitlich beschränkten Archivierung  von Informationen, andererseits dem Austausch zwischen Computerprogrammen. Nun gibt es aber verschiedene Arten von Cookies, und bei den gerade beschriebenen handelt es sich um sogenannte Magic Cookies, die quasi von Anwendungsprogrammen oder Teilen beziehungsweise Erweiterungen des Betriebssystems gesetzt werden. Darüber hinaus gibt es aber noch HTTP-, Drittanbieter und Flash-Cookies. 

Den zur Gruppe der HTML-Cookies gehörenden HTTP- und Drittanbieter-Cookies ist gemein, dass es sich bei ihnen um Informationen handelt, die beim Besuch einer Website vom Webserver an den Browser des Users geschickt und in einer speziellen Datenbank – dem Cache – gespeichert werden. Bei einem erneuten Besuch dieser Site werden die zuvor gespeicherten Daten dann an den Server zurückgeschickt, was zur komfortableren Nutzung von Websites führen soll. Dadurch entfällt nämlich beispielsweise die erneute Eingabe von Userdaten oder der Aufbau einer Sitzung wird beschleunigt.

Im Unterschied zum HTTP-Cookie handelt es sich beim Drittanbieter-Cookie um einen Eintrag, der nicht nur von dem Webserver der Site gelesen werden kann, die ihn gesetzt hat, sondern auch von denen anderer Anbieter. Dies ist vor allem für Werbetreibende wichtig, da sie auf diesem Wege alle vom User besuchten Seiten protokollieren können, auf denen ihre eigene Werbung eingeblendet wird.

Zuletzt gibt es noch die Flash-Cookies, über die uns dann der Weg schließlich zu den Zombie-Cookies führt. Sie unterscheiden sich von den zuvor genannten dadurch, dass sie von Websites mit eingebundenen Flash-Medien gesetzt werden. Das hat zur Folge, dass sie nicht, wie in den oben genannten Fällen, vom Webbrowser administriert werden. Stattdessen übernimmt ein Browser-externes Flash-Player-Plugin diesen Job. Vorteil hierbei ist, dass die Einträge browserunabhängig auf dem User-PC gespeichert werden können. Beim Betrachten von Seiten mit auf Flash basierten Inhalten wie etwa Werbung, werden die Daten dann an den „Heimat-Server“ geschickt, egal mit welchem Browser die Seite beim nächsten Besuch angeschaut wird. Bis auf die Flash-Cookies lassen sich alle Cookies vom User relativ einfach löschen.

Und nun kommen wir zu den Zombie-Cookies. Entwickelt wurden sie von Quantcast, einem Spezialisten für Web Analytics,  und weisen eine Besonderheit auf. Indem man sie nämlich löscht, erweckt man sie erst zum Leben – ein Umstand, dem sie wohl ihren Namen verdanken. Zudem wandern sie aus dem Ordner, in dem sie entdeckt wurden, woanders hin, wo sie der User nicht vermutet. Vorzugsweise in den Adobe Flash Player. Im Kern funktioniert der Trick, der von einem US-amerikanischen Wissenschaftler-Team im vergangenen Jahr entdeckt wurde, ganz leicht:

Die Flash-Cookies werden einfach mit den „normalen“ Cookies in dem für Letztere vom Browser vorgesehenen Verzeichnis gespeichert. Hierdurch erhalten beide die gleichen ID-Informationen, die im Normalfall nur den HTML-Cookies zugewiesen werden. Das macht es aber möglich, die gelöschten HTML-Cookies mithilfe der Informationen der Flash-Cookies „wiederzubeleben“. Und diese werden dann im Flash-Player versteckt. Und sie dort wegzubekommen, ist für den Durchschnittsuser fast nicht möglich. Hierzu muss er nämlich die Seite von Adobe aufsuchen, da sie nicht lokal auf seinem PC gespeichert werden.  

Auf diesem Wege konnten User durch Quantaost und im Auftrag der oben genannten Unternehmen quasi ununterbrochen im Netz „beobachtet“ werden. Und wofür sie das tun, kann sich bestimmt jeder von euch selbst denken.

(Marek Hoffmann / Foto: Flickr – Fotograf: matt512)


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Marek Hoffmann

Marek Hoffmann hat von 2009 bis 2010 über 750 Artikel für BASIC thinking geschrieben und veröffentlicht.

14 Kommentare

  • Was für ein Unfug.
    Man löscht erst die regulären Cookies, dann die Adobe/Flashplayer-Cookies.
    „Und sie dort wegzubekommen, ist für den Durchschnittsuser fast nicht möglich. Hierzu muss er nämlich die Seite von Adobe aufsuchen, da sie nicht lokal auf seinem PC gespeichert werden. “
    Soll ich lachen oder weinen?
    http://www.macromedia.com/support/documentation/de/flashplayer/help/settings_manager07.html
    Verdammt schwierig, die dort zu löschen, muss ich schon sagen.
    (Den Link im Artikel zu nennen war wohl auch „nicht möglich“)
    .
    „Sie töten einen Zombie, indem sie seinen Kopf abtrennen oder das Gehirn entfernen“
    🙂 lg

  • ja, wir wissen wie man flash-cookies löscht – die meisten „Normalnutzer“ wissen das nicht. Der Normalnutzer weiß nichtmal was ein Cookie ist.

  • Kann mir das bitte nochmal jemand genauer erklären?

    Flash-Cookies landen doch nie im „normalen“ Cookie-Verzeichnis, oder irre ich mich? Und natürlich ist es für den Werbetreibenden schön, wenn er neben dem normalen Cookie auch noch ein Flash-Cookie ablegt, da diese halt nicht so leicht gelöscht werden können.

    Was ist aber nun genau das Zombie-Cookie?

    Ich kann nicht glauben, dass beim Löschen der normalen Cookies ein Flash-Cookie „automatisch“ in einen anderen Ordner „wandert“.

    Ist es nicht eher so, dass zusätzlich ein Flash-Cookie abgelegt wird und beim Besuch entsprechender Webseiten das HTML-Cookie dann notfalls mit den Flash-Cookie-Inhalten neu gesetzt/erstellt wird?

    Es gibt btw auch ein Firefox-Addon, um die Flash-Super-Zombie-Dracula-Cookies zu löschen: BetterPrivacy.

  • Man könnte auch einfach Flash deinstallieren. Nachteil wäre, dass man bei Youtube nicht mehr zu sehen bekommen, dass das Video in Deutschland nicht angezeigt werden darf.

  • @Erna

    Sorry, aber bis heute wusste ich nicht, dass es sowas wie diese Zombiecookies gibt.
    Und ich eigentlich recht bewandert im Umgang mit PC’s. Tatsächlich habe ich mehr Ahnung davon also 90% meiner Freunde/Bekannten/Verwandten.

  • Quantcast ist da bei weitem nicht das einzige Unternehmen, das so Daten sammelt und anschließend aufbereitet/verkauft.

    Prekärer als Cookies sind aber m.E. entsprechende Toolbars (z.B. Alexa, aber auch Google), die eine wahrlich lückenlose Datensammlung ermöglichen – die wenigsten User dürften tatsächlich über das Sammeln Bescheid wissen.

  • Das ist tatsächlich in einigen Punkten fragwürdig. Flash-Cookies können nicht einfach in einen anderen Ordner verschoben werden, Flash hat auch keinen Zugriff auf die Festplatte. Genauso wenig könnte etwas in den Ordner mit den normalen Cookies geschoben werden, da AFAIK nur der IE einen Cookie-*Ordner* hat, alle anderen Browser haben eine Datenbank in einer einzigen Datei. Und diese Datenbank hat nichts mit dem Cache zu tun, das sind zwei Paar Schuhe.
    Und auch, wenn die einzige Möglichkeit die Flash-Cookies zu löschen die Webseite von Adobe ist, die Cookies werden dennoch lokal gespeichert. Es gibt nur lokal keinen Manager dafür.
    Dass man über die bereits verlinkte Seite die Flash-Cookies mit einem Klick löschen kann, wurde oft genug gesagt. Dass es für Firefox ein Addon gibt, dass auch Flash-Cookies berücksichtigt ebenfalls. Und Chrome bietet direkt bei den Cookie-Einstellungen einen Link zu diesem Manager an.
    Hm, von den DOM- oder Super-Cookies oder der DOM-Storage wird hier kein Wörtchen erwähnt, unterstützen mittlerweile aber auch viele Browser.

  • Beim nächsten technischen Artikel vor dem Schreiben erstmal selbst die Hintergründe verstehen, gerade bei der Zielgruppe dieses Blogs fällt wahrscheinlich 80% der Leser mindestens einer der von Felix (#11) genannten Fehler auf und die anderen 20% verstehen überhaupt nichts mehr, wenn so ein inkompetenzer Artikel veröffentlicht wird.
    Den Ansatz, das Thema Datenschutz auch technisch nicht sehr versierten Lesern ins Gedächnis zu rufen, finde ich generell aber sehr gut.

  • Hi Zusammen,

    diese Probleme sind doch aber hinlängst bekannt. Leider, wie seb schon anmerkte oft nur bei den Leuten die täglich damit umgehen. Ich selbst hab meinen Browser so konfiguriert, das ich solche Daten nur in eingeschränkter Form preis gebe.

    Eventuell sollten die Browserhersteller hier einfach die Default werte so setzen, dass das setzen von Cookies nur nach Bestätigung erfolgt. Hier muss einfach ein Umdenken bei den Internet-Nutzern erfolgen.

    .. naja wird aber nciht so einfach sein das umzusezten.

    So long
    Gruß
    Petra

Kommentieren