Flash-Cookies erlangen in letzter Zeit eine immer größere Popularität, da sie wesentlich mehr Informationen speichern können, als die herkömmlichen HTTP-Cookies. Leider muss man sich mit ihrer Verwendung aber auch wieder um neue Sicherheitsprobleme kümmern, wie dieser Artikel aufzeigen will.

Im Allgemeinen dienen Cookies der Zwischenspeicherung von Daten und ermöglichen dem sonst zustandslosen HTTP Protokoll das Wiederaufnehmen unterbrochener Sitzungen. Das Vorhalten von „Session“-Informationen bietet dabei nur eine Möglichkeit. Um den Komfort für die Besucher von Webseiten zu erhöhen, können Cookies auch Logindaten speichern, um so beispielsweise ein automatisches Einloggen auf der Seite zu realisieren.

Leider werden Cookies auch von vielen Unternehmen gezielt eingesetzt, um Informationen über das Verhalten und die „Surf“-Gewohnheiten der Nutzer im Internet zu sammeln. Dies geschieht meistens nicht nur innerhalb einer bestimmten Domäne, sondern kann durch das Setzen der Cookies von Dritt-Anbietern, über die Grenzen eines Unternehmens hinweg, realisiert werden. Die so gesammelten Informationen bieten unter anderem eine Grundlage, um gezielt Werbung schalten oder statistische Auswertungen generieren zu können. Es ist daher nicht verwunderlich, das Cookies ein schlechter Ruf anhaftet und sie unter „Surfern“ als Gefahr für den Datenschutz gesehen werden.

Im Normalfall werden diese Informationen als einfache Textdateien auf dem Computer abgelegt und können jederzeit durch den Anwender gelöscht werden. Die gängigsten Browser wie Firefox, Internet Explorer, Opera oder Safari bieten zudem eine Unterstützung, die es dem Anwender erleichtert, Regeln und Einschränkungen für Cookies festzulegen, um so einen besseren automatischen Datenschutz zu ermöglichen.

Wenig bekannt ist dagegen die Tatsache, dass neben den üblichen HTTP-Cookies, die vom Browser verwaltet werden, eine neue Art Cookies existiert, die von diesen Einschränkungen nicht betroffen ist und auch nicht über den üblichen Weg gelöscht werden kann. Es handelt sich dabei um die so genannten Flash-Cookies, die inzwischen auch immer wieder gerne als „Super Cookies“ bezeichnet werden. Flash-Cookies werden, wie der Name schon sagt, durch eine Zusatzsoftware, den Adobe Flashplayer, auf dem Rechner gesetzt. Dieser Player ist Adobe zufolge auf ca. 99% aller privaten mit dem Internet verbundenen Computern installiert.

Die durch Flash gesetzten Cookies folgen im Prinzip den gleichen, auch für HTTP-Cookies gültigen Regeln. Nur die Webseiten bzw. Domänen, die Cookies gesetzt haben, können diese später auch wieder lesen. Der Unterschied zu den herkömmlichen „Keksen“ ist zum einen die Menge an Informationen, die in den von Flash erzeugten „local shared objects“ kurz „.lso“ Dateien gespeichert werden können. So können Flash-Cookies anstatt der üblichen 4Kb bis zu 100Kb an Daten aufnehmen. Zum anderen sind die Informationen nicht im Cache des Browsers als Textdatei gespeichert, sondern werden als „shared objects“ im „\Dokumente und Einstellungen\[Nutzername]\Anwendungsdaten\Macromedia\Flash Player“ Softwareverzeichnis abgelegt. Da diese Cookies nicht browsergebunden sind, gelten die dort gesetzten Einstellungen zu Cookies von Dritt-Anbietern oder der Lebensdauer dieser kleinen Spione nicht. Ist so ein Cookie einmal gesetzt, ist es über die Grenzen eines Browsers hinweg verfügbar und wird in der Regel auch nicht durch den Browser gelöscht.

Wie werden Flash-Cookies von Webseiten genutzt?

Tatsächlich dient auch bei Flash nicht jeder Cookie dem Zweck, Informationen über den Anwender zu sammeln. Eigentlich wurden sie entwickelt, um Einstellungen zur Lautstärke, Kamera, etc. für einzelne Flashanwendungen zu speichern. Jedoch aufgrund der besonderen Eigenschaften der über Flash gesetzten Cookies, werden diese nicht nur für den ursprünglichen Zweck, dem Speichern von Einstellungen des Flashplayers, verwendet. Da die meisten Anwender nicht wissen, dass es diese kleinen Datenspeicher gibt, werden diese auch nicht gelöscht. So kann es durchaus sein, das einige Computer über Jahre hinweg Informationen über ihre Anwender sammeln und den jeweiligen Webseiten bereitstellen, ohne dass die eigentlichen Benutzer etwas davon mitbekommen. Dazu müssen die gegebenen Flashanwendungen nicht einmal sichtbar sein. Es reicht schon eine pixelgroße Anwendung in eine Webseite einzubetten, um diese kleinen „Schnüffler“ zu aktivieren. Die geschieht in der Regel völlig transparent und unbemerkt für den Anwender.

Eine andere Art der Nutzung ist das so genannte „re-spawning“. Da gewöhnliche HTTP-Cookies üblicherweise schneller verarbeitet werden, können durch das Vorhalten von Nutzer- oder Cookie-IDs in Flash-Cookies, die durch den Anwender gelöschten HTTP-Cookies wieder zurückgeholt werden und erfüllen damit, zum Leid des Benutzers, eine gewisse Backupfunktionalität.

Wie kann man sich schützen?

Aber auch für diese Art von Cookies gibt es Wege, um sich zu schützen. Eine Möglichkeit wird den Benutzern durch die Adobe Webseite direkt geboten. Über folgenden Link gelangt man zu einem Menü, das den Manager des Flash Players zeigt, der es erlaubt die Einstellungen direkt zu ändern.

• http://www.macromedia.com/support/documentation/de/flashplayer/help/settings_manager03.html

Das Menü selbst wirkt auf den ersten Blick wie eine Anleitung, um gewisse Einstellungen zu setzen. Tatsächlich verändert man aber direkt die globalen Einstellungen des eigenen Flashplayers. Besonders interessant sind die Einstellungen, die das Setzen der Inhalte von Dritt-Anbietern verhindern oder den Speicherplatz für diese generell auf Null setzen. Zudem ist es möglich, sich die Webseiten anzeigen zu lassen, die bereits Cookies gesetzt haben, um diese zu entfernen.

Eine weitere sehr zu empfehlende Möglichkeit für die Nutzer des Firefox bietet das Add-On „Better Privacy“. Diese Erweiterung zeigt einem nicht nur alle existierenden Flash-Cookies an, sie ermöglicht auch sehr einfach diese zu entfernen oder bestimmte Regeln zur Gültigkeitsdauer zu definieren. Runterladen kann man dieses Add-On unter „ https://addons.mozilla.org/en-US/firefox/addon/6623 “ Auch das Tool CCleaner bietet für Windows Anwender eine alternative um den Flash Cookies zu Leibe zu rücken: „ http://www.ccleaner.com/ “

Für OS X Betriebssysteme bietet die Seite  http://machacks.tv/2009/01/27/flushapp-flash-cookie-removal-tool-foros-x/     eine Lösung, um Herr über die unliebsamen Cookies zu werden.

Liebhaber von Linux-Distributionen können dem Flashplayer in den entsprechenden Verzeichnissen auch einfach die Schreibrechte nehmen und so verhindern, dass Cookies oder andere Dateien automatisch gesetzt werden.

Andy Schuster, (GAI NetConsult GmbH)

• Verwandte Themen
• Risiken bei „Cloud Computing“
• Sicherheit im elektronischen Geschäfts- und Behördenverkehr (2)
• Sicherheit im elektronischen Geschäfts- und Behördenverkehr (1)
• Juristische Fallstricke bei Scan-/Pentests?
• Probleme im Zertifikatsmanagement der elektronischen Gesundheitskarte
• Sicherheit von Web-Applikationen – Therapieren von Symptomen oder Schaffung einer gesunden (sicheren) Basis?
• GAI NetConsult: Secure Mail Gateways – Anmerkungen aus der Praxis
• GAI NetConsult: Sicheres Passwort-Management