Wie „alle Cookies zulassen“ zum Standard wurde

Cookies ermöglichen es Websites, sich bei deinem nächsten Besuch an deinen Anmeldestatus und den Inhalt deines Warenkorbs zu erinnern oder Sprach- und Währungspräferenzen zu speichern. Anhand dieser Funktionen können von dir besuchte Seiten („Erstanbieter”) das Benutzererlebnis verbessern und bestimmte Inhalte nach Anmeldung bereitzustellen, die nur für dich zugänglich sind.

Allerdings senden Browser standardmäßig auch Cookie-Informationen an alle Drittanbieter, die von Seitenbetreibern eingebettet wurden. In einigen Fällen werden diese lediglich verwendet, um es Drittanbieter-Widgets (wie Disqus) zu ermöglichen, dich automatisch bei Diensten anzumelden, deren Inhalte in die Seite eingebettet sind. Jedoch können diese Drittanbieter auch dein gesamtes Surfverhalten verfolgen.

Drittanbieter-Cookies zuzulassen, öffnet eine Datenschutzlücke in deinem Browser. Auf vielen Websites führt der bloße Besuch einer Seite dazu, dass Cookies von mehr als 50 verschiedenen Drittanbieter-Domains gespeichert werden. Jede von ihnen setzt Cookies, damit sie Anfragen, die über Tage, Monate oder sogar Jahre von deinem Browser kommen, zusammenführen kann. Wenn du beispielsweise eine Seite mit einem eingebetteten Facebook-Widget besuchst (oder Facebook direkt), wird ein Cookie gesetzt, der erst in zwei Jahren abläuft. Einige Google-Cookies haben sogar ein Verfallsdatum von 20 Jahren!

Die (Tracking-)Domains facebook.com und google.com finden sich als Drittanbieter bei 24 % respektive 30 % aller Webseitenaufrufe, wodurch Facebook und Google den Surfverlauf eines durchschnittlichen Internetnutzers entsprechend umfangreich verfolgen können.

Drittanbieter-Cookies bedrohen nicht nur deine Privatsphäre, sondern stellen auch ein Sicherheitsrisiko dar. Cross-Site Request-Forgery-Angriffe (CSRF) nutzen die Tatsache aus, dass man eine Drittanbieteranfrage an eine Website richten kann, an der sich der Browsernutzer zuvor angemeldet hat. Der Browser sendet dann die Anmeldeinformationen mit der Anfrage, so dass der Angreifer letztlich beliebige Aktionen auf der Seite ausführen kann. Würden Browser keine Drittanbieter-Cookies zulassen, wären CSRF-Angriffe viel schwieriger durchzuführen als sie es derzeit sind. Diese Art Angriffe gibt es seit über 15 Jahren, und es werden immer noch neue Methoden entwickelt, sie zu entschärfen. Browserseitige Schutzmaßnahmen wie Erstanbieter-Isolation sind hingegen nur sehr wenig verbreitet.

Für Anwendungsfälle mit berechtigtem Einsatz von Drittanbieter-Cookies, wie Single-Sign-on-Portale oder Drittanbieter-Authentifizierungssysteme, gibt es ebenfalls Alternativen, die ganz ohne Cookies auskommen. Websites, die eine zentralisierte Authentifizierungsdomäne verwenden, können Authentifizierungstoken per Umleitung zum Erstanbieter erhalten. Und zur Anmeldung an Seiten mittels Drittanbieter-Zugangsdaten kann beispielsweise OAuth verwendet werden. Beide Verfahren haben den zusätzlichen Vorteil, dass sie transparent sind und die Zustimmung des Nutzers implizieren: Wenn sich ein Nutzer per Facebook auf einer Website anmeldet, lässt er diese Verbindung zwischen der Seite und Facebook aktiv zu. (Allerdings sind auch bei diesen beiden Verfahren Datenschutzprobleme bekannt, die etwa Nutzer-Tracking oder Berechtigungsausweitung ermöglichen.)

Also warum gibt es dann überhaupt Drittanbieter-Cookies? Die Cookie-Idee wurde erstmals in der RFC-2109-Spezifikation von 1997 formuliert. Die Autoren äußerten sich schon damals besorgt über mögliche Auswirkungen auf die Privatsphäre, wenn Drittanbieter-Cookies grundsätzlich zugelassen würden. Daher empfahlen sie, dass Browseranbieter diese standardmäßig deaktivieren sollten. Diese Empfehlung ignorierten die Browserentwickler damals jedoch und machten „alle Cookies zulassen“ zur Voreinstellung. Das hat sich bis heute nicht geändert.

Fast alle derzeit gängigen Browser lassen standardmäßig alle Cookies zu. Weil dies schon seit gut 20 Jahren die übliche Voreinstellung ist, gehen Entwickler heute davon aus, dass Cookies in jeglichen Kontexten erlaubt sind. Dies ist auch ein Grund dafür, dass häufig Seitenfunktionen beeinträchtigt sind, wenn einmal nicht alle Cookies zugelassen werden. Und dadurch sind Versuche, Drittanbieter-Cookies einzuschränken, oft von vornherein zum Scheitern verurteilt.

Selbst bei Websites und Diensten führender Anbieter, einschließlich Microsoft und Google, kommt es teilweise zu massiven Störungen, wenn Drittanbieter-Cookies blockiert wurden. Darauf werden wir im zweiten Teil unserer Blogserie mit einigen konkreten Beispielen näher eingehen.

Dieser Artikel erschien zuerst in einer ungekürzten englischen Fassung auf WhoTracks.me.