Datenschutz "In Private Browsing" ausgehebelt

QuHno

Außer Betrieb
"In Private Browsing" ...

... ist unmöglich, wenn man nicht auch Flash ausschaltet.

Schaut einmal mit eingeschaltetem Flash dort:
Flash Manager (Flash muss dafür aktiv sein).

Dort sieht man alle Flash Cookies (verharmlosend "Inhalte" genannt), die sich gerade auf dem eigenen Rechner befinden und kann sie dort auch löschen.

Warum ist eine Deaktivierung / regelmäßige Löschung empfehlenswert?

Mittlerweile habe ich leider bei bei ein paar Seiten feststellen müssen, dass sie 1*1px oder unsichtbare bzw. durchsichtige Flashs einsetzen, weil sie damit prima an den sonstigen Sicherheitseinstellungen des Browsers vorbei Tracking Cookies speichern können, die nicht so einfach vom Rechner zu entfernen sind. Einige Werbe-Provider sind darin ganz groß, achtet einfach ein mal auf die dort sichtbaren Adressen, das ist beinahe ein "Who is Who" der Werbeindustrie ...

Diese Cookies werden selbst dann gespeichert, wenn man die "In Private Browsing" Funktion benutzt, die einige Browser anbieten, aber vergessen hat vorher das Flash Plugin zu deaktivieren oder die Speicherung von Daten mittels des Flash Managers zu verbieten.

Im Gegensatz zu normalen Cookies mit max 4k Speicherplatz können in Flash Cookies bis zu ca. 100kB pro Cookie abgelegt werden, damit lassen sich schon recht ordentliche Surf-Verläufe anlegen. Plugins wie "Flash Block" helfen dabei übrigens wenig, da sie AFAIK lediglich verhindern, dass die Inhalte angezeigt werden. Was sicherer helfen würde wäre, das Flash Plugin nur bei Bedarf zu aktivieren.

Software wie z.B. "CCleaner" kann zwar teilweise die Inhalte der Flash Cookies löschen, die Cookies selbst jedoch nicht. Das bedeutet, dass dennoch festgestellt werden kann, ob man bestimmte Seiten besucht hat, da ein leeres Cookie ebenfalls erkannt wird - lediglich die Dauer des Besuchs, ein weiterer Verlauf oder was auch sonst immer die betreffende Seite in diesem Flash Cookie gespeichert hat, ist dann nicht mehr auslesbar, da sich diese Informationen im Datenteil des Cookies befinden / befunden haben.
 
Ist bei den meisten echten Plugins so, die Online Inhalte darstellen können.

Auch Silverlight und Co oder das VLC Plugin gehen locker am Browser vorbei ins Netz. Das ist oft auch der Sinn eines solchen Plugins, denn sie müssen ja teilweise andere Protokolle abarbeiten, als sie der Browser beherrscht - der Browser übergibt ja nur die Adressen an das Plugin wie an eine andere Anwendung, das macht den Rest und der Browser stellt nur noch das Drumherum zur Verfügung - im Prinzip sind sie eine Anwendung ohne eigenes Fenster...

Was mich an Flash und dessen Anwendung durch einige Werbe(Müll)verbreiter halt nur so nervt ist, dass es mittlerweile verschärft zum Tracken verwendet wird, ähnlich wie z.B. diese unsäglichen extern nachgeladenen 1*1px .gif (Web Bugs genannt, geht aber auch mit größeren Bildern und anderen Formaten) mit diesen elendiglich langen Dateinamen (ef8258365865614a1bc1717054.gif), der letztendlich auch nichts anderes als eine Benutzer ID ist - bloß das die gespeicherten Daten bei Flash schwieriger zu finden sind bzw. die meisten Leute nicht darauf achten und das Plugins teilweise deutlich heftigere Rechte eingeräumt bekommen. Das, in Verbindung mit den scripting-Fähigkeiten der Plugins lässt mir einen kalten Schauder den Rücken runter laufen...

PS: Daran, dass der CCleaner gleich den ganzen Ordner killen kann, hatte ich beim Erstellen des Beitrags nicht gedacht, hatte den auch nur als ein bekannes Beispiel für die Aufräumtools genannt ;)

edit:
Das Thema hatten wir schon mal hier im Forum, wie ich gerade bemerkt habe - aber damals gab's die "In private Browser" noch nicht und nach 4 Jahren kann man ruhig ein mal wieder was zu einem solchen Thema schreiben. Dennoch auch den alten Beitrag von Supie lesen, denn er hat da unter anderem den direkten Speicherpfad und ein paar zusätzliche Tipps angegeben ;)
 
Zuletzt bearbeitet:
Nachtrag:

Es gibt einen Demo Exploit auf der Seite des Sicherheitsexperten Aviv Raff, der zeigt, dass auf die gespeicherten Informationen Seiten und Browser übergreifend zugegriffen werden kann. Prinzipiell müsste man nach jedem Besuch einer Seite mit aktiviertem Flash die Flash Cookies löschen, aber wer macht das schon?

Ein Hinweis noch:
Wenn man sich irgendwo auf einer Seite einloggt, die sensitive Informationen verlangt, sollte man auf alle Fälle Flash deaktiviert haben - nicht nur mittels eines Flash Blockers geblockt, da es auch Mechanismen gibt, die die gängigen Flash Blocker aushebeln, weil die meisten erst reagieren, nachdem schon ein minimaler Teil der Flash Inhalte geladen wurde. Nur weil ein Video oder eine Werbung nicht direkt startet, heißt es nicht, dass nicht schon Teile aktiv sein können.

Die einzige andere Art, Flash Inhalte sicher zu blocken ohne jeweils das Plug-In zu deaktivieren, besteht darin, dass man für die entsprechenden Seiten einen Proxy benutzt, der die Seite selbst umschreibt bzw. die Flash Inhalte heraus filtert, bevor sie beim Browser ankommen.

Das Löschen der Flash Cookies mit Hilfe von Tools wie Better Privacy oder auch das Löschen des Ordners mit CCleaner könnte als Nachteil haben, dass auch das Cookie mit dem Namen "settings.sol" gelöscht wird. Dieses wurde jedoch vom Settings Manager gesetzt und wenn es weg ist, führt es dazu, dass die Einstellungen, die man vorher mit dem Adobe/Macromedia Settings Manager gemacht hat, ebenfalls weg sind und man in der nächsten Session im default Modus unterwegs und somit trackbar ist.

(bitte korrigiert mich wenn ich bei Better Privacy falsch liege, die Infos dazu habe ich nur aus 3. Hand)
 
Zuletzt bearbeitet:
In Opera: Extras - Erscheinungsbild - Schaltflächen - Einstellungen und einfach die Plugin Schaltfläche auf irgendeine Leiste ziehen, wo man sie ständig sehen kann. Dann kann man nach Bedarf die Plugins aktivieren oder deaktivieren (sie werden dann nicht mehr angesprochen).

Wenn jemand auch noch für IE, Safari usw. einfache Lösungen kennt, her damit :)

... und nicht vergessen, die Flash Cookies regelmäßig zu löschen, wenn man ein klein wenig privater bleiben will ...
 
Nachdem ich den oben Verlinkten Flash Manger aufgerufen und auf "nichts Speichern" gestellt habe, meinte ich meine Ruhe zu haben.

Rein Flash basierte Webseiten klicke nach spätestens 5 Sekunden weg um erstens nicht Blind zu werden und zweitens gibt es auf solchen Seiten erfahrungsgemäß eh keine brauchbaren Informationen.

Anders sieht das bei einzelnen Objekten, wie dem verlinkten Exploid aus.
Ordentlich verpackt ist es dann schon schwer als Flash auszumachen, mit den Passenden Einstellungen im Flash Manager merkt man das aber schnell.
 
In Opera: [...] Dann kann man nach Bedarf die Plugins aktivieren oder deaktivieren (sie werden dann nicht mehr angesprochen).
Hihi, Standard-Browsing-Modus à la Ernst:
JavaScript: Nö
Java: Nö
Plug-Ins: Nö
Bilder: erst mal nur die aus dem Cache
Cookies: annehmen und nach der Sitzung löschen, Drittanbietercookies verboten.

Wenn ich 'was brauche, dann wird's explizit zugeschaltet. Wie QuHno beschrieben hat, hab' auch ich zur Kontrolle die Knöpfchen in eine Leiste geschubst (Statusleiste) und Shortcuts vergeben. Ein Knopfdruck für "an" und einer für "aus".
Außerdem verwende ich intensiv die seitenspezifischen Einstellung (gibt's ja nicht nur für Opera).
 
Es gibt eine erste Klage vor einem Amerikanischen Bundesgericht wegen Hinterherschnüffelei mit Flash Cookies. Unter anderem wurden MTV, ESPN, MySpace, Hulu, ABC, NBC und Scribd verklagt. Bin mal gespannt wie das ausgeht ...

Quelle: ars technica (engl)

BTW: Man kann sie auch ganz einfach mit ein paar Zeilen Batch Datei killen, wie ich z.B. hier beschrieben habe.
 
Oben