#1 3. Oktober 2010 Das Zombie-Cookie Neben Cookies können Websites heute eine ganze Reihe von Speichertechniken einsetzen, um Browser eindeutig wiedererzukennen. Dazu zählen Flash-Cookies und diverse HTML5-Speichertechniken (siehe dazu auch den c't-Artikel und die Demos). Samy Kamkar hat nun auf seiner Homepage eine JavaScript-API vorgestellt, die diverse dieser Techniken kombiniert, um einen fast unlöschbaren Cookie-Zombie zu schaffen, den er selbst evercookie nennt. Neben den bekannten Verfahren benutzt evercookie auch zwei ausgefallene Speichertechniken: PNG- und History-Caching. In ersterem wird die Cookie-ID in einer speziell angefertigten PNG-Datei gespeichert, die einige Browser via HTML-Canvas wieder auslesen können. History Caching benutzt das sogenannte History Stealing: Beim erstmaligen Besuch einer evercookie-Site kodiert diese die Cookie-ID in eine URL, die im Hintergrund aufgerufen wird. Diese lässt sich dann bei späteren Besuchen wieder aus der Browser-History rekonstruieren. Alle Verfahren erklärt Kamkar auf seiner Homepage im Detail. Dort lässt sich evercookie auch ausprobieren. Hat der Benutzer mit "click to create an evercookie" ein Cookie angelegt, kann er versuchen, es aus seinem Browser zu entfernen. (Die Cookies bei Kamkar sind Werte zwischen 1 und 1000, mit denen er seine Technik demonstrieren, aber Benutzer nicht wirklich identifizieren kann.) Für viele der Techniken gibt es keine endanwendertaugliche Löschfunktion im Browser. Daher dürften viele Besucher nicht alle der Teil-Cookies löschen können. Die Demo listet genau auf, welche der IDs die Löschversuche überlebt haben. Ruft der Benutzer die Seite ein weiteres Mal auf, hat evercookie alle mit dem jeweiligen Browser verfügbaren Teil-Cookies aus den vorhandenen wiederhergestellt. Da evercookie auch Browser-übergreifend funktionierende Flash-Cookies verwendet, pflanzt es sich auf allen Browsern des Systems fort. Das als Version 0.2 Beta veröffentlichte evercookie funktioniert noch alles andere als hundertprozentig zuverlässig. So ließen sich mit der Beta des Internet Explorer 9 keine evercookies anlegen. Mit anderen Browsern zeigte es sporadische Probleme beim Wiederherstellen von Teil-Cookies. Dennoch gibt evercookie eine Idee davon, wie Website-Betrieber ihre Besucher im Blick behalten können. Einziger Schutz scheint derzeit das Surfen im Anonym-Modus zu sein. Testweise im entpsrechenden Modus von Chrome und Firefox angelegte evercookies waren nach der Sitzung nicht mehr vorhanden. Kamkar stellt den Quelltext seines evercookies als Open Source zum Download bereit. Er will es weiter aufbohren, etwa um die Unterstützung für Isolated Storage in Silverlight. quelle: heise online + Multi-Zitat Zitieren
#2 4. Oktober 2010 AW: Das Zombie-Cookie Wieso entwickelt er das teil wenn er es im gleichen Zug veröffentlich damit sich alle daran probieren können es zu knacken bzw es zu löschen.. Ganz ehrlich wer kommt da noch auf die idee zu sagen er will nicht dagegen arbeiten sondern mehr möglichkeiten finden es noch unzerstörbarer zu machen?! + Multi-Zitat Zitieren
#3 4. Oktober 2010 AW: Das Zombie-Cookie Frage: was hat das Teil fürn Sinn oO also welche vorteil bringt so ein zombiecookie mitsich? + Multi-Zitat Zitieren
#4 6. Oktober 2010 AW: Das Zombie-Cookie stelle dir vor du klickst auf einen ref-link, weiß auch das es einer ist und willst dich bei der seite anmelden... der user der den reflink veröffentlicht hat bekommt dann z.B. eine gutschrift... dann gibt es seiten die dir anbieten einen teil der gutschrift abzubekommen, so das du selber dran verdienst... du löscht also deine cookies, klickst auf den link von der gutschriftseite und meldest dich dann an, der eigentliche werber bekommt garnix. durch einen solchen cookie könnte sowas verhindert werden... als webentwickler ist das ne super sache, man kann personen auch mit dynamischen ip's und gelöschten cookies wiedererkennen. Für den user der die cookies bekommt ist es denke ich eher ein nachteil, da wenn er den cookie erlauben will ihn ja nicht löschen muss und wenn nicht kann er ihn nun nicht mehr löschen^^ und warum er sowas öffentlich macht?! damit er es testen kann und fehler entdeckt... außerdem gibt es vllt noch leute mit neuen ideen... man könnte jetzt sagen "dann gibt es wieder leute die einen löschmechanismus erstellen" aber mal ehrlich, wer ihn weg haben will und sich mit der materie gut auskennt, der bekommt es auch irgendwann weg, die frage nach dem aufwand stellt sich dann aber! + Multi-Zitat Zitieren
#5 6. Oktober 2010 AW: Das Zombie-Cookie was hat der lhc für nen sinn? da wird eben geforscht. was geht und vorallem wie! und dieser cookie zeigt eben, dass man sehr schnell erkannt werden kann. auch ohne gleich ip etc. deswegen ist es interessant ob das jemand knacken kann. damit z.b. browser entwickler darauf eingehen und die "lücke" schließen können. finds nen geiles projekt das wirklich zeigt was heute möglich ist, wenn man nur will. greeze wurm + Multi-Zitat Zitieren
#6 22. Oktober 2010 Killer für das Zombie-Cookie Killer für das Zombie-Cookie Dem vor rund vier Wochen vorgestellten Supercookie "Evercookie " lässt sich offenbar doch leichter beikommen als vermutet. Samy Kamkar hatte eine JavaScript-API vorgestellt, die mehrere Techniken zum Speichern von Informationen auf dem PCs eines Besuchers kombiniert, um einen nur schwer löschbaren Cookie-Zombie zu schaffen. Insbesondere HTML 5 erweitert den Browser um viele Speicherorte für verschiedene Daten. Webserver könnten damit zuverlässiger verfolgen, ob ein Besucher ihre Seiten schon einmal aufgerufen hat. Mit wenigen Schritten ist es aber offenbar doch möglich, auch die von Evercookie verteilt abgelegten Informationen zu löschen – nur leider noch nicht über eine praktische Bedienoberfäche. Der Spezialist für Browser-Sicherheit Jeremiah Grossmann hat beispielsweise eine Anleitung veröffentlicht, wie man sich der Verfolgung unter Googles Browser Chrome entledigt. Unter Windows muss man dazu mögliche Silverlight- und Flash-Cookie sowie sämtliche Internetdaten löschen (Schraubenschlüssel/Tools/Suchdaten löschen). Dominic White hat indes ein Anleitung für Firefox veröffentlicht. Für Safari auf Mac hat er sogar ein kurzes Skript geschrieben, das Evercookie löscht. Bei seinen Experimenten mit Safari Mobile auf dem iPhone stieß er allerdings auf Probleme. Dort legt jede App die MobileWebKit benutzt ihren eigenen Speicher für Cookies, den Cache und HTML-5-Daten an. Ruft man die Funktion zum Löschen in dem im Zusammenhang mit der jeweiligen App geöffneten Safari auf, so gilt der Vorgang nur für diese App – die Browserspuren der anderen Apps bleiben unbehelligt. White hat ein Skript geschrieben, das Evercookie in allen installierten Webanwendungen löschen kann. Das funktioniert jedoch nur auf iPhones mit Jailbreak. quelle: heise online + Multi-Zitat Zitieren
#7 29. Oktober 2010 AW: Killer für das Zombie-Cookie wunderbar amazon freut sich bestimmt Weiß nicht warum so nen teil entwickelt wird, weil der user eher nur nachteile daran hat. Aber die entwickler ein super teil wenns denn funktioniert. mcuck + Multi-Zitat Zitieren
#8 8. November 2010 AW: Das Zombie-Cookie naja,um anschließend diese türen zu schließen. gnaz normales bugfixing eben. viele firmen zahlen da sehr viel geld dafür. obwohl ich es schon mehr als bedenklich finde, so etwas zu entwickeln. + Multi-Zitat Zitieren
#9 14. November 2010 AW: Das Zombie-Cookie Quelle: How to remove evercookie from firefox | Monirul Islam + Multi-Zitat Zitieren
#10 15. November 2010 AW: Das Zombie-Cookie Zeigt doch, dass die Entwickler von den Browsern doch nicht so doof sind. + Multi-Zitat Zitieren
#11 15. November 2010 AW: Das Zombie-Cookie Ich benutze Firefox mit Better Privacy addon (löscht LSO cookies) und eine Whitelist für normale Cookies. Außerdem wird bei jedem Neustart des Browsers die History, Cache und Formdaten gelöscht (im Grunde alles außer erlaubte Cookies und Passwörter). Nach dem Neustart des Browsers erkennt evercookie mich nicht mehr... Trotzdem ein interessantes Konzept. + Multi-Zitat Zitieren