80% der Internetnutzer lehnen das Tracking ihres Surfverhaltens ab. Viele Surfer ergreifen einfache Maßnahmen gegen Tracking Cookies. Nach einer Untersuchung von AdTiger.de blockieren 52,5% der Surfer die Annahme von Cookies, die nicht von der aufgerufenen Website stammen (sogenannte
Third-Party-Cookies). Andere Studien kommen auf 15%...35% Cookie-Verweigerer unter den Surfern.
Dabei handelt es meist um Surfer, die regelmäßig auf dem Datenhighway unterwegs sind und somit die Erstellung präziser Profile ermöglichen könnten. Von Gelegenheits-Surfern kann man kaum umfassenden Interessen-Profile erstellen.
Die Tracking-Branche reagiert auf diese Entwicklung mit erweiterten Markierungen, die unter der Bezeichnung
EverCookie zusammengefasst werden. Zusätzlich zum Tracking-Cookie werden weitere Markierungen im Browser gespeichert. Später kann ein gelöschtes Tracking-Cookie anhand dieser Markierungen wiederhergestellt werden.
Nach
empirischen Untersuchungen der University of California nutzen 38% der TOP100 Webseiten nutzen moderne HTML5-Techniken zur Markierung der Surfer (Stand: Oktober 2012).
Einige Beispiele:
- Die Google-Suche nutzt DOMstorage, was eine Markierung von Nutzern auch bei deaktivierten Cookies ermöglicht.
- Die Firma Clearspring protzt damit, präzise Daten von 250 Mio. Internetnutzern zu haben. Sie setzte bis 2010 Flash-Cookies ein, um gelöschte Cookies wiederherzustellen.
- Ebay verwendet Flash-Cookies, um den Computer zu markieren.
- AdTiger.de bietet umfangreiche Angebote zur gezielten Ansprache von Surfern und protzt damit, 98% der Zugriffen über einen Zeitraum von deutlich länger als 24h eindeutig einzelnen Nutzern zuordnen zu können. Nach einer eigenen Studie kann AdTiger aber nur bei 47,5% der Surfer normale Cookies setzen.
- Die Firma KISSmetrics ("a revolutionary person-based analytics platform") setzte zusätzlich zu Cookies und Flash-Cookies noch ETags aus dem Cache, DOMStorage und IE-userData ein, um Surfer zu markieren. Aufgrund der negativen Schlagzeilen wird seit Sommer 2011 auf den Einsatz von ETags verzichtet.
EverCookies – never forget
Der polnische Informatiker Samy Kamkar hat eine
Demonstration von EverCookie Techniken erstellt, die verschiedene technische Möglichkeiten basierend auf HTML5 zeigen:
- Local Shared Objects (Flash Cookies)
- Silverlight Isolated Storage
- Cookies in RGB Werten von automatisch generierten Bildern speichern
- Cookies in der History speichern
- Cookies in HTTP ETags speichern
- Cookies in Browser Cache speichern
- window.name auswerten
- Internet Explorer userData Storage
- HTML5 Session Storage, Local Storage, Global Storage
- HTML5 Database Storage via SQLite
- HTTP-Auth speichern (zukünftig)
Verteidigungsstrategien
Zur Verteidigung gibt es drei Möglichkeiten:
- Die Verbindung zu Tracking-Diensten kann mit AdBlockern komplett verhindert werden. Es sind Filterlisten zu nutzen, die in der Regel als Privacy Listen bezeichnet werden.
- Viele EverCookie Techniken nutzen Javascript. Die Freigabe von Javascript nur auf wenigen, vertrauenswürdigen Seiten schützt ebenfalls.
- Ein EverCookie-sicherer Browser kann nur mit Konfigurationseinstellungen nicht erreicht werden. Der Datenverkehr ist durch zusätzliche Maßnahmen zu reinigen. Bisher kann nur der JonDoFox alle von Samy Kamkar vorgestellten Markierungstechniken innerhalb einer Surf-Session blockieren.
TorBrowser ab Version 2.2.35-11 (Release: 04 Mai 2012) beseitigt alle Markierungen beim Beenden der Surf-Session (Schließen des Browsers oder "Neue Identität" im TorButton wählen). Während der Session ist man anhand von EverCookies wiedererkennbar. Dieses Verhalten entspricht der Zielstellung der Tor-Entwickler.