Auf eine solch schamlos indiskrete Frage dürften die meisten Kohlestoffeinheiten (gemeint sind Weibchen und Männchen) mit einem beherzt entrüsteten “Selbstverständlich...

Auf eine solch schamlos indiskrete Frage dürften die meisten Kohlestoffeinheiten (gemeint sind Weibchen und Männchen) mit einem beherzt entrüsteten “Selbstverständlich nicht!” anworten. Der zugehörige empörte Gesichtsausdruck wird aber in der Regel nur noch durch den Mangel an Glaubwürdigkeit einer solchen Aussage übertroffen. Dabei liegt es diesem Posting fern, mit einem ethischen Zeigefinger wichtigtuerisch in der Luft herumzufuchteln. Gehen wir also in medias res und zeigen, was es mit dem Web, den Browsern und dem Pornokonsum auf sich hat.

Did you watch porn?

Auf der Suche nach Informationen darüber, wie eine Web-Site alle auf dem Rechner eines Besuchers gespeicherten Cookies auslesen kann, hat der Datenkrake u.a. diesen Treffer aus dem Blog des Journalisten Andreas Winter produziert: Did you watch Porn? Dort erfahren wir, daß es, passend zum Betreff [s|m]eines Posts tatsächlich eine Seite gibt, die sich didyouwatchporn.com nennt. Und wir lernen, daß es um die Privatsphäre im Web schlecht bestellt sei, weil Web-Seiten Cookies auf den Rechnern ihrer Besucher speichern. Denn, so der Schluß, wenn eine Web-Site wie didyouwatchporn.com über die auf dem Rechner des Besuchers gespeicherten Cookies herausbekommen kann, welche (Porno-)Seiten dieser besucht hat, dann kann das theoretisch auch jede andere Seite. Und das gilt nicht nur für Schmuddelseiten, sondern ist natürlich auf beliebige Web-Sites nebst deren Inhalten erweiterbar: Politik, Shopping, Religion, etc.

Aber: Wo ist der Zusammenhang zwischen Cookies und besuchten Web-Seiten? Ganz einfach: Es gibt keinen! Oder anders gesagt: didyouwatchporn.com funktioniert, allerdings nicht auf Basis der auf dem Rechner eines Besuchers gespeicherten Cookies. Jeder Browser erlaubt einer Web-Site ausschließlich das Lesen der Cookies, die von dieser Site selber erstellt wurden. Es ist also nicht möglich, über das Auslesen irgendwelcher Cookies die besuchten Seiten eines Web-Surfers abzufragen. Demzufolge ist die Darstellung des Journalisten Winter nicht korrekt.

Es bleibt aber natürlich die Frage, wie didyouwatchporn.com funktioniert? In den guten alten Zeiten des Webs gab es den de facto Standard, noch nicht besuchte Links blau, aktivierte Links rot und bereits besuchte Links violett darzustellen. Und alle Web-Designer da draußen sollten nun einen kurzen Moment inne halten und sich fragen, warum so bekannte Platzhirsche wie Google oder Bing immer noch diesen Standards folgen (Hint: KISS, don’t make me think, gelernt ist gelernt).

Um Links entsprechend ihres Status einzufärben oder bspw. in der Adresszeile eine Web-Adresse während der Eingabe zu vervollständigen (oder auch Alternativen anzubieten), muß sich der Browser merken, welche Seiten bereits besucht wurden. Das macht so ein handelsüblicher Browser eben nicht über Cookies sondern über die sog. Browser-History. Im Firefox kann man sich die zuletzt besuchten Seiten bspw. über das Dreieck am rechten Rand der Adresszeile anzeigen lassen. Bei anderen Browsern gibt es ähnliche Möglichkeiten.

Mit entsprechenden Javascript-Kenntnissen lässt sich nun, unsichtbar für den Besucher einer Web-Site, eine beinahe beliebige Menge an URLs/Internet-Adressen durchprobieren, um zu sehen, ob diese schon einmal besucht wurden. Genau so arbeitet auch didyouwatchporn.com. Dort werden nach dem Laden der Seite im Hintergrund 567 Seiten mit mutmaßlich pornografischen Inhalten als unsichtbare Links in die Seite eingebaut. Im Anschluß wird geprüft, ob eine dieser verlinkten Seiten schon einmal besucht wurde. Im Positivfall gibt es eine entsprechende Meldung.

Did you watch porn?

Allen interessierten Lesern, die sich nur ungern für einen Test von didyouwatchporn.com in den Rotlichtbereich des WWW begeben möchten, stellen wir hier eine Test-Site zur Verfügung.

Haben Sie diese Seiten besucht?

Die Seite prüft gemäß Alexa-Ranking mit Stand 02.08.2010 ob eine oder mehrere der deutschen Top 40 Web-Sites schon einmal besucht wurden. Somit testen wir, abgesehen von Platz 28, nur unverfängliche Seiten.

Das Ganze wurde erfolgreich unter MacOS mit Chrome 5.0, Firefox 3.6, Opera 10.6 und unter Win7 mit IE 8.0 getestet. Mit dem Safari Version 5.0 (MacOS) konnte keine der Top 40 Sites als bereits besucht erkannt werden, obwohl einige davon definitiv zuvor besucht worden waren. Hier versagt auch didyouwatchporn.com, so daß Apple möglicherweise diese Lücke im Safari-Browser geschlossen hat.

Zum Stichwort Sicherheit sei noch erwähnt, daß nur das Abschalten der Browser-History vor einer solchen Spähattacke vollständig schützen kann. Löschen der History in Intervallen oder bspw. bei jedem Schließen des Browsers kann die Größe der Browser-History eindämmen und damit zumindest die Menge bereits besuchter Web-Sites, die mit der beschriebenen Systematik ermittelt werden könnten, reduzieren.

Join the conversation!

  • Leider hat die Industrie mittlerweile auch auf das Wissen vieler Nutzer um die Browser-History und Cookies reagiert und nutzt andere Technologien, um das Verhalten von Nutzern auszuspionieren.
    Dabei bedient man sich einer Browser-Erweiterung, die heutzutage fast jeder Nutzer installiert hat – den Flash-Player.
    Wer alternativ nach Löschen der “normalen” History mal sehen möchte, was der Flash-Player zu den besuchten Webseiten zu sagen hat, sollte die Einstellungen des Players aufrufen, was online über folgende Anwendung geht: http://www.macromedia.com/support/documentation/de/flashplayer/help/settings_manager07.html

    Diese “alternative History” basiert auf der Möglichkeit, in Flash/Flex sog. Local Shared Objects (LSOs) anzulegen, um auch das Verhalten komplexerer Flash-/Flex-Anwendungen unterstützen zu können. Man denke an eine Anwendung, wo man sich mit einem Nutzernamen und Passwort einloggen muss. Stürzt der Browser/Rechner während Ausführung der Anwendung ab, so kann man über zuvor in LSOs gesicherten Informationen beim erneuten Aufruf der Anwendung sicherstellen, dass diese genau an der Stelle fortgeführt wird, wo die Anwendung zuvor unterbrochen wurde.

    Leider kann man diese Technologie auch nutzen, um das Verhalten des Nutzers zu beobachten und zwar auf lange Sicht. Denn LSOs werden in eigenen Verzeichnissen gespeichert, werden nicht automatisch gelöscht und von den normalen Cookie-Protection-Technologien der Browser nicht erkannt. So lungern einige dieser Super-Cookies die gesamte Lebensdauer der Festplatte über auf selbiger herum und nehmen eine teilweise beachtliche Größe an – alles selbstverständlich nur zum Nutzen des Verbrauchers, versteht sich. Ein Schatz für die Marktforschung!
    Solche LSOs werden deshalb auch gern als “Super-Cookies” bezeichnet. Gott sei Dank gibt es zumindest für Firefox eine Erweiterung, die vor solchen Super-Cookies schützt: https://addons.mozilla.org/de/firefox/addon/6623/

    Mit dieser Erweiterung kann man entweder manuell oder automatisch (z.B. bei jeder Beendigung des Browsers) solche Super-Cookies löschen lassen.
    Man sollte alleine einmal die Option der Erweiterung nutzen, sich jedesmal warnen zu lassen, sobald eine Webseite versucht, so ein Super-Cookie anzulegen. Dann sieht man sehr schnell, wie viele Webseiten diese Technologie bereits nutzen. Und beim ersten Start der Erweiterung empfiehlt es sich, die bisher gesammelten LSOs einmal anzeigen zu lassen und insbesondere einen Blick auf die Dateigröße zu werfen. Wenn man in Flash/Flex-Programmierung versiert ist, kann man solche Shared Objects auch versuchen auszulesen. Da kann einem schon mal anders werden, wenn man sieht, was dort alles gespeichert wird. Daher würde ich jedem Firefox-Nutzer die Nutzung des beschriebenen AddOns wärmstens ans Herz legen.

  • Ho DocSao!
    Du beschreibst nur eine von vielen weiteren Möglichkeiten (fast) unlöschbare Cookies zu produzieren. Auf http://samy.pl/evercookie gibt’s ein Javascript-Framework, das alle bisher bekannten Techniken unter einem Dach zusammenführt. Damit dürften sich die meisten Private-Browsing-Versuche erfolgreich unterminieren lassen. Neben den Standard Cookies und den von Dir aufgeführten LSOs führt die Site noch die folgenden Speichermöglichkeiten/-techniken auf:
    – Silverlight Isolated Storage
    – Storing cookies in RGB values of auto-generated, force-cached PNGs using HTML5 Canvas tag to read pixels (cookies) back out
    – Storing cookies in Web History
    – Storing cookies in HTTP ETags
    – Storing cookies in Web cache
    – window.name caching
    – Internet Explorer userData storage
    – HTML5 Session Storage
    – HTML5 Local Storage
    – HTML5 Global Storage
    – HTML5 Database Storage via SQLite
    Die Variante mit den PNGs ist wirklich cool, äh, krass. ;-)
    Proceeding fingers crossed und
    VGhfuhruhurr

Leave a Reply

Your email address will not be published. Required fields are marked *