Auf der Basis des Konzepts der Forscher aus dem US-amerikanischen Chicago hat der deutsche Softwareentwickler Jonas Strehle eine funktionsfähige Demo gebaut und sie unter dem Namen Supercookie auf GitHub veröffentlicht. Die Demo zeigt, wie leicht sich die eigentlich unverdächtigen Favicons, die in der Adressleiste der Besucherbrowser grafisch die aufgerufene Seite repräsentieren und somit keine echte Funktion haben, zur Identifizierung von Nutzern missbrauchen lassen.
Favicon-Cache überdauert Löschbefehl
Der Ansatz dazu, die Favicons zum Tracking zu missbrauchen, basiert auf einer Besonderheit des Browser-Cache. Der ist nämlich nicht homogen, sondern fragmentiert sich in viele Sonder-Caches, darunter auch einen für die Favicons. Und dieser Cache ist selbst dann, wenn der Nutzer den Browser-Cache manuell und damit ausdrücklich löscht, nicht von dem Löschbefehl betroffen. Einmal gespeicherte Favicons bleiben also auf dem Nutzersystem.
Das Supercookie-Konzept der Forscher setzt nun darauf, dem Nutzer beim ersten Besuch ein diverses Set unterschiedlichster Favicons über verschiedene Subdomains unterzujubeln. Die bleiben dann auf dem Rechner und werden beim nächsten Seitenbesuch nicht erneut abgerufen.
Diesen Umstand missbraucht das Supercookie-Konzept. Dabei wird so vorgegangen, dass beim Besuch einer entsprechend sammelwütigen Seite nicht etwa nur auf den Favicon-Cache vertraut wird, um unnötige Seitenabrufe zu vermeiden. Vielmehr ermittelt der Server, welche Favicons vom Besucherbrowser nicht abgerufen werden, also bereits vorhanden sind.
Eindeutige ID per Favicon möglich
So konnten die Forscher nachweisen, dass ein Desktop-Browser in im Schnitt einer Sekunde Ladezeit mit einer zwölf Bit langen ID beschrieben werden konnte, das Auslesen benötigte die doppelte Zeit. Bei mobilen Browsern war die doppelte Zeit nötig. Eine eindeutige Identifikation kostete die Forscher nach eigenen Angaben rund vier Sekunden.
Kombiniert man das Favicon-Supercookie mit anderen Fingerprinting-Techniken, lassen sich die verhältnismäßig langen Schreib- und Lesezeiten reduzieren, weil die eindeutige Identifikation nicht allein über das Favicon-Tracking erledigt werden muss.
Browser bislang machtlos
Aus der Sicht eines Datensammlers ist das Favicon-Tracking eine solide Idee, in Zeiten strenger werdenden Tracking-Schutzes dennoch Nutzer sauber identifizierbar zu machen. Denn die gängigen Schutzmaßnahmen in aktuellen Browsern wie Firefox oder Safari und sogar Brave schützen vor der Methode nicht. Selbst der brandneue Firefox, der sich ausdrücklich der Bekämpfung von Supercookies verschrieben hat, dürfte mit der Methode aus Illinois zu überlisten sein.
Denn der neue Firefox erstellt zwar für jede Website ein eindeutiges Set an Caches, die nicht von anderen Websites genutzt werden können. Dabei nimmt der Browser die Top-Level-Site als Partitionsebene an. Das Konzept aus Illinois arbeitet mit Subdomains und dürfte auf diese Weise keine Probleme mit dem partitionierten Firefox-Cache haben. Andere Techniken, wie das Einschalten des Inkognito-Modus oder die Nutzung von VPN-Diensten zur Anonymisierung, schützen vor der neuen Methode überhaupt nicht.
Fingerprinting nicht vollends vermeidbar
Wie es aussieht, können Nutzerinnen und Nutzer derzeit wenig gegen diese Art des Supercookie tun. Umso erfreulicher scheint daher, dass es bislang keine Beweise dafür gibt, dass die Technik tatsächlich bereits aktiv verwendet wird. Das lässt Browserherstellern ein Zeitfenster, in dem sie auf die noch theoretische Bedrohung reagieren können.
Dabei dürfen wir uns nicht zu viel erhoffen. Das Ende des Cookies bedeutet nur, dass sich Entwickler immer stärker auf Fingerprinting-Methoden stürzen (müssen). Und dieses Fingerprinting lässt sich nicht völlig verhindern. Browser müssen sich gegenüber Websites identifizieren können. Entsprechend wird es auch weiterhin einen stetigen Wettlauf zwischen Datensammlern und Datenschützern geben.
Der Schlüssel zu deinem Unternehmenserfolg ist, deine Kund:innen zu verstehen. Lerne in unserem Guide, wie du mit Customer Insights erfolgreicher wirst!
Jetzt lesen!
Die Methode ist in jedem Fall äußerst umständlich, benutzerunfreundlich und mit erhöhtem Traffic verbunden. Auf meinem MacBook mit Big Sur werden Favicons und deren Cache übrigens gelöscht, wenn ich die History in Safari bereinige. GoTo: ~/Library/Safari/Favicon Cache