Nicht löschbarer Cookie erlaubt Browser-Identifikation

So wird das ETag genutzt
Bild: http://lucb1e.com In der Ver­gangen­heit gab es immer wieder Berichte, dass große Tech­nolo­gie­kon­zerne an so ge­nann­ten nicht­lösch­baren Cookies, auch als Super-Cookie betitelt, ar­bei­ten, um Nutzer besser ver­folgen zu können. Was bisher je­doch we­nig bekannt ist: Es exis­tiert be­reits eine Lö­sung, die im Ge­gen­satz zum bekannten Löschen von Cookies nicht ohne Wei­teres de­akti­viert werden kann. Der Grund dafür ist, dass diese sich eine ei­gent­lich sehr nütz­liche Funk­tion des HTTP-Pro­tokolls zu Nutze macht, die so ge­nann­ten ETags.

So wird das ETag genutzt
Bild: http://lucb1e.com Hierbei handelt es sich um eine eindeutige Prüfsumme, die beispielsweise für das Artikel-Bild vergeben werden könnte. Ruft der Leser nun diesen Artikel auf, wird die Prüfsumme des Bildes im Browser gespeichert. Vereinfacht gesagt fragt der Browser bei einem erneuten Aufruf der Seite nun bei dem Server nach, ob sich das Bild geändert hat. Ist dies nicht der Fall, kann er die bereits im Cache gespeicherte Version nutzen. Das hat den Vorteil, dass es zum einen die Geschwindigkeit des Seitenaufbaus erhöht und zum anderen auch das Datenvolumen schont, da beispielsweise das Bild nicht neu geladen werden muss.

Auf dieser Internetseite kann das ETag im Einsatz beobachtet werden.

Nützliche Funktion mit großem Aber

Was nach einer durchaus sinnvollen Funktion aussieht, hat aber einen großen Haken. Anders als Cookies, die für viele als der Inbegriff von Verfolgung gelten, kann das ETag nicht ohne weiteres gelöscht werden. Um es loszuwerden müsste der Nutzer den Cache des Browsers leeren. Das hat aber zur Folge, dass bei einem erneuten Aufruf der Seite das Bild erneut geladen werden muss. Was bei der heimischen Internet-Flat kein Problem sein mag, kann aber bei einem Smartphone eine große Auswirkung auf den Datenverbrauch haben. Die folgenden Tipps, um der Verfolgung durch ETags zu entgehen, beziehen sich deshalb auf die Desktop-Varianten der Browser.

Private Modi der Browser können helfen

Da die ETags im Cache des jeweiligen Browsers gespeichert werden, empfiehlt es sich, diesen beim Schließen des Browsers zu löschen. Dies geschieht beispielsweise im privaten Modus von Firefox und Chrome automatisch. Damit Firefox im privaten Modus startet, muss unter dem Datenschutz-Punkt der Einstellungen "Firefox wird eine Chronik nach benutzerdefinierten Einstellungen anlegen" und "Immer den privaten Modus verwenden" ausgewählt werden.

Der dauerhafte private Modus in Chrome lässt sich dadurch aktivieren, dass man mit der rechten Maustaste auf das Program-Icon klickt, die Eigenschaften öffnet und dort unter dem Punkt "Verknüpfung" beim Ziel "-incognito" am Ende des Textes hinzu fügt. Das hat allerdings zur Folge, dass nicht mehr gespeichert wird, welche Seiten besucht wurden.

Verwendung von Addons erhöht Komfort

Zugegeben, diese Eingriffe können Einbußen beim Thema Komfort mit sich bringen. Nutzer des Firefox-Browsers haben die Möglichkeit, ein Browser-Addon mit dem Namen "Secret Agent" zu installieren. Dieses überschreibt die ETags und beeinflusst gleichzeitig noch weitere Werte, die übergeben werden. Das hat den positiven Nebeneffekt, dass dadurch auch der Fingerabdruck des Browsers beeinflusst werden kann. Hierbei versuchen Seiten, den Browser des Nutzers durch Details wie installierte Addons, Sprachen oder Schriftarten zu identifizieren. Mehr Informationen hierzu finden Sie in diesem Artikel.

Ähnlich wie bei der Verwendung des im Artikel erwähnten FireGloves-Addons kann es aber unter Umständen Probleme mit modernen Webseiten geben. Diese fragen häufig verschiedene Funktionalitäten des Browsers ab und passen dann ihre Seite entsprechend an. Hat das FireGloves-Addon nun aber beispielsweise die Angaben über die Größe des Browser-Fensters geändert, so kann es passieren, dass der Nutzer auf die mobile Version der Internetseite weitergeleitet wird. Im Falle des Secret-Agent-Addons kann es auch vorkommen, dass eine Kennung eines alten Browsers zufällig ausgewählt wurde und die Webseite deshalb nicht richtig dargestellt wird. Abhilfe schafft hier das Entfernen der jeweiligen Browserkennungen aus dem Optionsmenü.