IndexedDB: Mozilla will Datenschutz-Leck in Firefox schnellstens stopfen
Bereits nächste Woche könnte Firefox sein acht Jahre altes Problem mit IndexedDB loswerden. Mozilla will die Datenschutzlücke sobald wie möglich schließen.
Mozilla auf dem MWC 2013.
(Bild: heise online)
Nachdem Mozillas Browser Firefox seit mehreren Jahren die von Webseiten angelegten Datenbanken nicht löscht, soll es nun sehr schnell gehen: "Jetzt, wo wir auf diesen Bug aufmerksam gemacht wurden, arbeiten unsere Entwickler an einer Reihe von Patches, um dieses Problem zu lösen", erklärte ein Mozilla-Sprecher gegenüber heise online. "Wir sind dabei, das gründlich zu prüfen und zu testen – mit der Absicht, das in Firefox 56, unserem nächsten Release, zur Verfügung zu haben." Firefox 56 soll am kommenden Donnerstag veröffentlicht werden.
Ein etwas älterer Bug
Sollte das gelingen, wäre es ein bemerkenswert schnelles Ende eines sehr alten Problems: Firefox 56 soll nämlich bereits in einer Woche herauskommen. Offenbar hatte Mozilla die Brisanz des Themas lange unterschätzt. Acht Jahre, bis in die Zeit von Firefox 3.5, reichen die Bug-Berichte zurück. Betroffen sind Desktop- und Android-Version des Browsers, nicht aber deren privater Modus sowie Firefox Klar.
IndexedDB erlaubt es einer Website, Daten auf dem Rechner des Benutzers zu speichern und – sofern diese von der eigenen Domain stammen – später wieder auszulesen; sie kann damit also eine Art Super-Cookie hinterlegen. In der Praxis wird diese Schnittstelle nicht nur von Web-Anwendungen, sondern auch von Erweiterungen genutzt. Anders als sonstige Datenspuren beseitigt Firefox diese lokalen Datenbanken nicht, wenn der Benutzer die Chronik löscht, womit er für die betreffenden Websites weiterhin identifizierbar bleibt.
Anderer Browser, andere Sitten
Während Chrome, Opera, Internet Explorer, Edge und Samsung Internet für Android beim Leeren der Chronik auch IndexedDB-Datenbestände vernichten, steht Firefox mit Problemen auf diesem Gebiet nicht allein da: Vivaldi tastet auf unserem Testgerät die Datenbank nicht an. Dies lässt dem Nutzer nur die Wahl, über den Web Inspector (Reiter "Application") zu gehen oder den betreffenden Ordner im Profilverzeichnis zu löschen; wo dieser liegt, lässt sich am einfachsten mittels der Spezial-URL vivaldi://indexeddb-internals herausfinden.
Immerhin schreddert Vivaldi die Daten im sensiblen privaten Modus korrekt. Hier erlaubt sich Apples Safari einen kleinen Schnitzer: Er hinterlässt zwar keine Daten, aber die leeren Verzeichnisse für die Websites mit IndexedDB; diese Datenspuren lassen sich jedoch nur bei Zugriff auf den Rechner, nicht beim Surfen auswerten. (vbr)
