User-Tracking im Web: Forscher warnt vor heimtückischer Tracking-Technik
Ein Forscher demonstriert wie Web-Seiten Benutzer wiedererkennen -- auch ganz ohne Cookies, JavaScript, Flash oder andere aktive Inhalte. Der Verräter ist der Browser-Cache.
Dass Cookies genutzt werden, um Surfer wiederzuerkennen, ist kein Geheimnis. Es hat sich auch herumgesprochen, dass Web-Seiten das auch mit Flash-Cookies oder dem Fingerabdruck des Browsers bewerkstelligen. Weniger bekannt ist jedoch, dass auch der Cache des Browsers genutzt wird, um Anwender bei sich wiederholenden Besuchen oder auch auf anderen Seiten zu verfolgen.
Als Basis der "Cookies ohne Cookies" fungieren dabei die sogenannten Etags. Das sind eindeutige Zeichenketten, die bestimmungsgemäß einem bestimmten Objekt – etwa einem Bild – zugeordnet werden. Ruft der Browser das Bild static.jpg ab, sendet der Server einen zusätzlichen Header wie:
Etag: 7b449...
Wenn eine weitere Seite dieses Bild einbettet, befindet es sich ja bereits im Cache des Browsers. Deshalb fügt er seiner neuen Anfrage den Header
If-None-Match: 7b449...
(Bild: lucb1e )
hinzu. Das bedeutet: "Nur schicken, wenn es nicht das gleiche wie damals ist." Hat sich das Bild nicht geändert, antwortet der Server lediglich mit einem "304 Not Modified" und spart sich die erneute Übertragung.
Dieser Mechanismus lässt sich auch ganz einfach für User-Tracking missbrauchen. Dazu muss der Server lediglich jedem Anwender, der noch kein Etag schickt, eine eindeutige Zeichenkette zuordnen, die dann als Index für seine Datenbank dient. Also im Prinzip genau das gleiche wie mit Cookies – mit dem entscheidenden Unterschied, dass diese Etags natürlich auch geschickt werden, wenn der Anwender Cookies durch die Einstellungen oder entsprechende Erweiterungen blockiert. Web-Seiten können mit solchen Cache-Cookies sogar Anwender wiedererkennen, die JavaScript abschalten und den privaten Modus des Browsers benutzen.
Das erste Mal hat ein Forscherteam 2011 solche Cache-Cookies auf Hulu.com nachgewiesen. Seither gab es zwar viele Diskussionen über Flash- beziehungsweise HTML5-Cookies und Browser-Fingerabdrücke. Aber es gibt kaum Ansätze, das Tracking durch Cache-Cookies zu verhindern; überhaupt ist deren Existenz immer noch weitgehend unbekannt. Deshalb hat ein Niederländer jetzt eine Demo-Seite aufgesetzt, die den Mechanismus sehr anschaulich vorführt.
Wer sich vor Cache-Cookies schützen will, muss seinen Browser-Cache regelmäßig leeren. Ihn ganz abzuschalten, bedeutete deutlich höhere Ladezeiten und Bandbreitenbelastung, was insbesondere auf Smartphones problematisch wäre. Das Firefox Add-on Secret Agent soll angeblich das Tracking durch zufällig ausgewählte Etags unterbinden; wir haben es jedoch bislang nicht getestet.
Update 19.11.2013, 15:20: Bei näherer Analyse der Demo-Seite stellt sich heraus, dass diese zum Teil sehr seltsame Ergebnisse produziert, die keineswegs auf Cache-Cookies zurück zu führen sind. So führt schon ein Abruf des Tracking-Pixels mit dem Kommandozeilen-Tool curl dazu, dass der Besuchszähler der Seite auf 2 hoch geht. Dabei hat curl definitiv kein einziges Etag gesendet. (ju)
