Cookies werden f�r die Identifizierung des Surfers genutzt. Neben der n�tigen Identifizierung um personalisierte Inhalte zu nutzen, beispielsweise einen Web-Mail-Account oder um Eink�ufe abzuwickeln, werden sie auch f�r das Tracking von Nutzern verwendet.
Der Screenshot von 2011 zeigt die Liste der Cookies, die damals bei einem einmaligen Aufruf der Seite www.spiegel.de ohne Anmeldung gesetzt wurden:
Es ist nicht ungew�hnlich, dass popul�re Webseiten mehrere Datensammler einbinden. Eine Studie der Universit�t Berkeley hat 2011 beim Surfen auf den TOP100 Webseiten 5.675 Cookies gefunden (ohne Login oder Bestellung). 4.914 Cookies wurden damals von Dritten gesetzt, also nicht von der aufgerufenen Webseite. Die Daten wurden an mehr als 600 Server �bermittelt. Spitzenreiter unter den Datensammlern ist Google. 97% der popul�ren Webseiten setzen Google-Cookies.
In den folgenden Jahren gingen immer mehr Tracking Dienste dazu �ber, die Cookies im First-Party Context zu setzen, da Cookies von Drittseiten einfach blockiert werden k�nnen.
Eine empirische Studie der Universit�t Leuven (PDF) von 2014 zeigte, dass damals bereits 44 Tracking Dienste mehr als 40% des Surfverhaltens auch dann verfolgen konnten, wenn man Cookies f�r Drittseiten blockierte und nur First-Party Cookies erlaubt.
Ein Beispiel ist der Trackingdienst WebTrekk, der sich auf Webseiten wie heise.de, zeit.de oder zalando.de mit DNS-Aliases als Subdomain der �berwachten Webseite First-Party Status erschleicht, um seine Tracking Cookies zu setzen (2013).
Der folgende Screenshot von 2022 zeigt die Ver�nderung bei einem einmaligen Aufruf der Seite www.spiegel.de. Die meisten Trackingdienste sind mit verschiedenen Tricks dazu �bergegangen, Cookies im First-Party Context zu platzieren. 22 Cookies werden bei www.spiegel.de im First Party Context geschrieben. Nur drei Tracking Dienste schreiben ihre Cookies noch als Drittseite.
Google hat im Nov. 2023 angek�ndigt, die Unterst�tzung f�r Drittseitencookies bis Ende 2024 aus dem Browser Chrome zu entfernen. Damit wird sich die Trackingbranche endg�ltig umstellen m�ssen und es werden dann auch die letzten Cookies von Drittseiten verschwinden.
Als "EverCookies" bezeichnet man den Missbrauch unterschiedlicher Webtechniken zur Markierung von Surfern f�r Trackingzwecke. Es werden eindeutige Markierungen im HTML5 Storage oder in die IndexedDB geschrieben, ETags f�r das Cache Management k�nnen Tracking-IDs enthalten, TLS Session und HSTS k�nnen f�r das Tracking missbraucht werden u.a.m.
Die Tracking-Cookies wurden auch von der NSA und GCHQ im Rahmen der globalen �berwachung genutzt. Die Geheimdienste beobachteten den Datenstrom und identifizierten Surfer anhand langlebiger Tracking-Cookies. Zielpersonen wurden anhand dieser Cookies verfolgt und bei Bedarf mit Foxit Acid angegriffen, wenn die Identifikation �ber zwei Wochen stabil war. Mit der Verbreitung von HTTPS und des HTTPS-only-Mode wurden NSA und GCHQ diese M�glichkeiten genommen.
Gegen Tracking mit Cookies und EverCookies �ber mehrere Websites bzw. Domains sch�tzen Surf-Container. Es wird f�r jede Domain in der URL-Leiste gem�� Same-Origin-Policy automatisch ein neuer Surf-Container erstellt und alle Daten werden abgeschottet in diesem individuellen "Context" gespeichert. F�r unterschiedliche Website ergeben sich damit unterschiedliche Tracking-IDs in Cookies, HTML5 Storage, unterschiedliche ETags im Cache und TLS Sessions…
"Total Cookie Protection" ist das Konzept zur Isolation von Cookies, Third-Party Cookies, DOMStorage und IndexDB in getrennten Containern f�r jede First-Party Domain.
Dieses Feature kann man unter "about:config" mit mit folgender Einstellung aktivieren:
network.cookie.cookieBehavior = 5Langfristiges Tracking mit Cookies und allen m�glichen Varianten von EverCookies verhindert man mit dem L�schen aller angesammelten Daten beim Schlie�en des Browsers:
privacy.history.custom | = true |
privacy.sanitize.sanitizeOnShutdown | = true |
privacy.clearOnShutdown.cookies | = true |
privacy.clearOnShutdown.cache | = true |
privacy.clearOnShutdown.downloads | = true |
privacy.clearOnShutdown.history | = true |
privacy.clearOnShutdown.sessions | = true |
privacy.clearOnShutdown.offlineApps | = true |
Wenn man besonders streng sein will und alle Surfspuren beseitigen m�chte, k�nnte man zus�tzlich noch die folgenden Daten beim Schlie�en des Browsers bereinigen:
privacy.clearOnShutdown.siteSettings = trueEs besteht manchmal der Wunsch, dass man Cookies f�r einzelne Domains beh�lt und beim Beenden nicht alles radikal beseitigt. Einstellungen f�r die Suchmaschinen searX(NG) oder mojeek werden in Cookies gespeichert, evtl. m�chte man dauerhaft auf einer Webseiten eingeloggt bleiben o.�. Dann darf man die SiteSettings beim Beenden des Browsers nicht l�schen.
privacy.clearOnShutdown.siteSettings = false In den Firefox Einstellungen kann man dann in der Sektion "Daten�schutz und Sicherheit" Ausnahmen f�r Webseiten definieren, deren Cookies nicht beim Beenden gel�scht werden sollen.Beim Redirect Tracking wird der Surfer bei Klick auf einen Link nicht direkt von der Webseite A zur Webseite B geleitet (A → B) sondern von A zur Zwischenstation T geschickt, die den Besucher mit Trackingelementen im First-Party Context markiert und dann automatisch wie gew�nscht nach B weiterleitet (A → T → B). Die Zwischenstation T wird in der Regel kaum bemerkt.
Das Add-on Skip Redirect kann diese Tracking Umleitungen in URLs entfernen, wenn sie nicht kodiert wurden. (F�r WiFi Hotspot Logins muss man das Add-on deaktivieren.)
Im April 2020 hat Mozilla geschrieben, dass Firefox 79+ auch Redirect Tracking erkennen und die Trackingmarkierungen entfernen kann. Das Feature ist seit Firefox 83+ standardm��ig aktiviert:
privacy.purge_trackers.enabled = trueWenn diese Option aktiv ist, dann l�scht Firefox 1x in 24 Stunden alle Cookies und Evercookies von Domains, die in der Blockierliste f�r den Trackingschutz gelistet sind (aber nur wenn die Domain in den letzten 72 Stunden nicht als First-Party mit Nutzerinteraktion aufgerufen wurde). Das Feature ist �berfl�ssig, wenn man beim Beenden von Firefox alle Daten l�scht, wie oben bei (2) empfohlen.
Zus�tzliche Add-ons wie CookieAutoDelete oder CookieController tun in der Regel das, was der Name vermuten l�sst. Sie l�schen oder verwalten Cookies automatisch, die nicht mehr gebraucht werden oder nach vorgegeben Regeln (und machen um jedes gel�schte Cookie viel Get�se).
Das einfache L�schen von Cookies sch�tzt nur wenig gegen Tracking. Trackingdienste verwenden EverCookies, um gel�schte Tracking Cookies wiederherzustellen. Diese Add-ons erf�llen zwar ihre Aufgabe, bieten aber hinsichtlich Trackingschutz kaum eine Verbesserung.