23.02.2021 | Letztes Update: 23.02.2021

Super Mega Hyper Tera Giga Exa Cookies

Allmählich geht mir dieser Begriff auf den Senkel: "Supercookie". Meine Güte. Das artet aus wie mit "Superfood" seinerzeit. Dabei hat das, was immer als Supercookie bezeichnet wird, mit dem ursprünglichen Cookie zumindest technisch gesehen nichts mehr zu tun. Cookie klingt so irreführend lecker und harmlos.

Worum geht's eigentlich? Zunächst einmal sei gesagt, dass der Begriff Supercookie eher meta-artig verwendet wird. Fragt ihr unterschiedliche Leute, kriegt ihr unterschiedliche Antworten, wie Supercookies konkret technisch funktionieren. Allen Beschreibungen gemeinsam ist aber: Es handelt sich um besonders robuste Maßnahmen zum Tracking, die nur schwer entfernbare Merkmale zur eindeutigen Identifikation der User beinhalten.

• Variante A: Missbrauch einer Sicherheitsfunktion (HTST)
• Variante B: Missbrauch von Favicons und Caches (siehe auch)
• Variante C: Flash-Cookies (zum Glück obsolet)
• Variante D: Evercookies, häufig auch ungenau als Supercookies bezeichnet

Zum Thema User-Tracking im Allgemeinen habe ich immer mal wieder ein paar Zeilen geschrieben, siehe hier und hier und hier. Die gute Nachricht: 3 von 4 Supercookie-Varianten sind weitgehend obsolet bzw. weniger dramatisch:

• Variante C, da Flash erledigt ist.
• Variante D lässt sich immerhin durch konsequentes Löschen des Browser-Caches bzw. Adblocker in den Griff kriegen.
• Variante A wird von den gängigen Browsern bereits abgewehrt.

Die schlechte Nachricht: Variante B, im Zusammenhang mit Favicons, ist aktuell noch unkaputtbar. Schutzmaßnahmen (z.B. komplette Isolation des Browsers in virtuellen Maschinen o.ä.) sind so sperrig oder alltagsuntauglich, dass sie keinen Spaß machen.

Betroffen ist offenbar alles, was Rang und Namen hat im Browsergeschäft. Nicht einmal die neueste Version vom Firefox 86 scheint immun, die nach "Super Cookie Protection" jetzt auch die "Total Cookie Protection" hat. Außer auf Linux. Phew. :)

Tolle Sache, dieser Überwachungskapitalismus.

Edit: Muss mich selbst mal wieder etwas zügeln mit meinen zynische Ausschweifungen. Ein Leser moniert zurecht: Es ist übertrieben von mir zu behaupten, dass man virtuelle Maschinen braucht, um Variante B zu mitigieren. Ich sollte etwas Hirnschmalz bemühen. Theoretisch dürfte auch eine Löschung des Browser-Profils genügen. Aber der Punkt, dass derzeit noch im Alltag unangemessen unhandliche Maßnahmen nötig sind, um die Wirksamkeit von Favicon-Supercookies zu begrenzen, bleibt bestehen. Ob dieser "Exploit" tatsächlich in freier Wildbahn schon umfassend genutzt wird, wage ich zu bezweifeln - er ist schon sehr abgefahren.