"Super Cookies" verfolgen Nutzer trotz Privatmodus

7. Jänner 2015, 10:05
34 Postings

Software-Experte findet Lücke im HSTS-Mechanismus, wodurch Inkognito-Modi im Browser nutzlos werden

Jeder Browser bietet mittlerweile einen sogenannten "Inkognito"- oder Privatmodus an, in dem Nutzer (vermeintlich) unerkannt durchs Netz surfen können. "Cookies", die den Nutzer identifizieren und verfolgen, werden ausgeschaltet. Der Software-Experte Sam Greenhalgh hat jetzt aber aufgezeigt, dass eine neue Art von "Super Cookies" den Privatmodus aushebeln kann. Verantwortlich dafür ist ausgerechnet ein Mechanismus namens "Http Strict Transport Security" (HSTS), der für eine sichere Verbindung zu Websites mit HTTPS sorgen soll.

Wiedererkennen

Vereinfacht gesagt sorgt HSTS dafür, dass das Gegenüber von einer Website mit HTTPS "wiedererkannt" wird, wodurch etwa "Man in the Middle"-Angriffe unterbunden werden sollen. Genau dieses "Wiedererkennen" sorgt – naheliegenderweise – für Probleme. Denn Greenhalgh kann diese Kommunikation laut Ars Technica manipulieren und so bis zu zwei Milliarden einzigartige Kombinationen ermöglichen, die als "Super Cookies" dienen.

Multiple Websites

Sie identifizieren Nutzer dann eben auch im Privatmodus. Was zusätzlich für Kopfzerbrechen bei Sicherheitsexperten sorgt: Die "Super Cookies" können von multiplen, voneinander unabhängigen Websites gelesen werden. Allerdings gibt es einen Trick, um "Super Cookies" auszuschalten: Werden die "regulären" Cookies vor der Nutzung des Privatmodus genutzt, haben die HSTS-Cookies keine Chance. Zusätzlich kann der Mechanismus deaktiviert werden, was Greenhalgh als "Privatsphäre vor Sicherheit" bezeichnet. Firefox hat diesen Schritt bereits getätigt. (fsc, derStandard.at, 7.1.2015)

  • Ausgerechnet eine Lücke im HSTS-Mechanismus, der die Sicherheit erhöhen soll, ermöglicht "Super Cookies", die den Nutzer verfolgen.
    foto: reuters/mcnew

    Ausgerechnet eine Lücke im HSTS-Mechanismus, der die Sicherheit erhöhen soll, ermöglicht "Super Cookies", die den Nutzer verfolgen.

Share if you care.