> Die Missbrauchsmöglichkeiten [mit Cookies] liegen auf der Hand:
> Der Webnutzer speichert so sein eigenes Surfprofil, abrufbar für
> alle, die das eigentlich gar nichts angeht.
Ad 1: Nicht der Webnutzer, sondern der Brauser tut dies.
Ad 2: Nur die Domain, die das Cookie gesetzt hat, kann es
auch wieder auslesen.
> Erfreulicherweise bietet jeder Browser die Möglichkeit, bereits
> vorhandene Cookies zu löschen und neue gar nicht erst anzunehmen
> (was aber Login-Vorgänge ausschließt)
Eben deswegen sind Cookies nicht das Problem (weil sie eben gebraucht
werden), sondern eventuelle Lecks, die domain-fremde Cookies
offenlegen.
Man kann sich nicht waschen, ohne nass zu werden.
> Adobe Flash hat die sehr unangenehme und eigentlich
> kriminalisierungswürdige Nebeneigenschaft, "Zombie-Cookies" in
> geeigneten Unterordnern des Betriebssystems zu hinterlassen,
Wieso kriminalisierungswuerdig? Irgendwo steht davon etwas in den
Lizenzbedingungen. Moralisch fragwuerdig ist es schon, einfach
irgendetwas auf dem Rechner abzuspeichern, aber kriminell?
> die sich auch nach manuellem Löschen selbst wieder herstellen.
> Dagegen helfen vereinzelte Tools (oder Firefox-Plugins) oder das
> manuelle Löschen der Schnüffeldaten, [...]
Einfach einen cron-job starten, der die Dinger alle 3 Minuten
loescht, ist selbst mit Windose kein Problem.
> Nur dort kann man nämlich seinem System via Flash-Einstellungsmanager
> befehlen, keine Flash-Cookies mehr anzunehmen.
Glaube ich kaum. Diese Aenderung laesst sich auch auf lokal
vornehmen.
Edit hier: Dies ist prinzipell korrekt. Nur ist das Format
der *.sol-Dateien ein Binarformat. Besser als hier einen Hex-Editor
zu bemuehen, ist also, den ganzen Baum SharedObjects zu loeschen.
> Allerdings gibt es eine weitere Stufe der Nutzerprofilierung:
> Browser-Fingerabdrücke. Auch hier ist die Grundidee eigentlich
> vernünftig, lädt aber zu Missbrauch ein: Alle Surfprogramme erzählen
> der jeweils angesteuerten Webseite bereitwillig, welche über Plugins
> sie verfügen, auf welchem Betriebssystem sie laufen und welche Schriften
> installiert sind.
Um den User-Agent zu veraendert, gibt es PrefBar.
Das Senden von bestimmten Headern in HTTP-Requests ist per RFC
Standard und wird von Web-Servern benutzt, um z.B. Kompression zu
ermoeglichen.
> Die Konfigurationsmöglichkeiten sind hier so vielfältig, dass viele,
> wenn nicht alle Webnutzer anhand dieses Browser-Fingerabdrucks
> identifiziert werden können.
Nein. Nicht Webnutzer. Nur die Brauser. Solange man auf einer Seite
nicht Realnamen hinterlaesst, wird man kaum ohne groesseren Aufwand
den Brauser-Fingerabdruck (meinten Sie User-Agent-Header?) mit einer
realen Person verbinden lassen.
> erhöhen sanft den Grad der ersehnten Anonymität: "In unserer
> Datenbank aus mehreren Millionen Besuchern hat nur einer von 668.815
> Browsern denselben Fingerabdruck wie Ihrer", verkündet Panopticlick
Haben Sie damit nicht gerade ihre Anonymitaet aufgegeben, wenn sie
mit einer eindeutigen Brauser-Signatur brausen? Was hat das mit
"erhoehter Anonymitaet" zu tun?
O'Brien
> Der Webnutzer speichert so sein eigenes Surfprofil, abrufbar für
> alle, die das eigentlich gar nichts angeht.
Ad 1: Nicht der Webnutzer, sondern der Brauser tut dies.
Ad 2: Nur die Domain, die das Cookie gesetzt hat, kann es
auch wieder auslesen.
> Erfreulicherweise bietet jeder Browser die Möglichkeit, bereits
> vorhandene Cookies zu löschen und neue gar nicht erst anzunehmen
> (was aber Login-Vorgänge ausschließt)
Eben deswegen sind Cookies nicht das Problem (weil sie eben gebraucht
werden), sondern eventuelle Lecks, die domain-fremde Cookies
offenlegen.
Man kann sich nicht waschen, ohne nass zu werden.
> Adobe Flash hat die sehr unangenehme und eigentlich
> kriminalisierungswürdige Nebeneigenschaft, "Zombie-Cookies" in
> geeigneten Unterordnern des Betriebssystems zu hinterlassen,
Wieso kriminalisierungswuerdig? Irgendwo steht davon etwas in den
Lizenzbedingungen. Moralisch fragwuerdig ist es schon, einfach
irgendetwas auf dem Rechner abzuspeichern, aber kriminell?
> die sich auch nach manuellem Löschen selbst wieder herstellen.
> Dagegen helfen vereinzelte Tools (oder Firefox-Plugins) oder das
> manuelle Löschen der Schnüffeldaten, [...]
Einfach einen cron-job starten, der die Dinger alle 3 Minuten
loescht, ist selbst mit Windose kein Problem.
> Nur dort kann man nämlich seinem System via Flash-Einstellungsmanager
> befehlen, keine Flash-Cookies mehr anzunehmen.
Glaube ich kaum. Diese Aenderung laesst sich auch auf lokal
vornehmen.
Edit hier: Dies ist prinzipell korrekt. Nur ist das Format
der *.sol-Dateien ein Binarformat. Besser als hier einen Hex-Editor
zu bemuehen, ist also, den ganzen Baum SharedObjects zu loeschen.
> Allerdings gibt es eine weitere Stufe der Nutzerprofilierung:
> Browser-Fingerabdrücke. Auch hier ist die Grundidee eigentlich
> vernünftig, lädt aber zu Missbrauch ein: Alle Surfprogramme erzählen
> der jeweils angesteuerten Webseite bereitwillig, welche über Plugins
> sie verfügen, auf welchem Betriebssystem sie laufen und welche Schriften
> installiert sind.
Um den User-Agent zu veraendert, gibt es PrefBar.
Das Senden von bestimmten Headern in HTTP-Requests ist per RFC
Standard und wird von Web-Servern benutzt, um z.B. Kompression zu
ermoeglichen.
> Die Konfigurationsmöglichkeiten sind hier so vielfältig, dass viele,
> wenn nicht alle Webnutzer anhand dieses Browser-Fingerabdrucks
> identifiziert werden können.
Nein. Nicht Webnutzer. Nur die Brauser. Solange man auf einer Seite
nicht Realnamen hinterlaesst, wird man kaum ohne groesseren Aufwand
den Brauser-Fingerabdruck (meinten Sie User-Agent-Header?) mit einer
realen Person verbinden lassen.
> erhöhen sanft den Grad der ersehnten Anonymität: "In unserer
> Datenbank aus mehreren Millionen Besuchern hat nur einer von 668.815
> Browsern denselben Fingerabdruck wie Ihrer", verkündet Panopticlick
Haben Sie damit nicht gerade ihre Anonymitaet aufgegeben, wenn sie
mit einer eindeutigen Brauser-Signatur brausen? Was hat das mit
"erhoehter Anonymitaet" zu tun?
O'Brien