Bericht: Ätzendes Monstercookie serienmäßig in Firefox 2

    Hallo zusammen!

    Ich beziehe mich hier auf die c't 24/06 Seite 226ff.

    Hier geht es um den neuen Firefox und clientseitige Datenspeicherung.
    Hier wurde eine Spezifikation von whatwg.org eingebaut.
    Das ist so ne Art von Supercookie. Der speichert auf dem Rechner nicht nur ein paar Byte, sondern fette Megabytes wenns sein soll. Abschalten von der Programmoberfläche läßt sich das nicht.
    Noch sind vielleicht wenige Sites in der Lage, damit zu arbeiten, das wid sich aber sicher ändern.

    Zitat c't:
    "Es ist schwer nachvollziehbar, warum die Mozilla-Entwickler diese bislang wenig beachtete Spezifikation implementiert haben. Um ihre Privatsphäre besorgte Anweder müssen sich künftig zusätzlich zu den bestehenden Schnüffeltricks neugieriger Anbieter und Werbetreibender auch noch mit einem Supercookie auseinandersetzen. Über die Programmoberfläche lassen sich die Riesenkekse nicht abschalten; dazu ist die Einstellung
    dom.storage.enabled = false
    in about:config notwendig."

    Hinweis: Dazu einfach about:config anstelle einer URL eintippen, die Zeile Suchen und Ändern. Nur dumm, daß vielleicht fast niemand davon Kenntnis hat.

    Meinung: Der Firefox sollte schleunigst so umgebaut werden, daß im Lieferzustand der Schalter abgeschaltet ist!
    Wozu soll das Feature überhaupt gut sein?

    Liebe Grüße

    Danke. Schön, überall so liebe Leute zu treffen.

    Interessant! Aber doch wohl keine Entwarnung. Das scheint eben doch nicht einfach einfach ein größeres Cookie zu sein. Es scheint ein Cookie, bei dem irgendwie doch Code ausgeführt werden kann. Es ist nicht zu vergleichen mit einem bisherigen Cookie. Die konnte man sich ruhig geben lassen, wenn sie am Ende der Sitzung sowieso gelöscht wurden...

    Also ein unübersehbarer Hinweis und ein großer Abschalter wären doch angebracht!

    Danke. Schön, überall so liebe Leute zu treffen.

    Hallo hoppel

    Wozu ein spezieller Schalter? Das Session Storage befolgt die Einstellungen, die man zu Cookies gemacht hat. Lässt man Cookies zu, lässt man auch Session Storage zu. Sollen Cookies beim Beenden des Browsers gelöscht werden, werden auch die Session Storage-Daten gelöscht.

    Wo ist da das Problem?

    Man kann sich ja drüber streiten, ob es gut war, das einzubauen, aber Mozilla ist recht fleißig mit seinen selbst mitgestalteten WHATWG-Spezifikationen (nicht verwechseln mit offiziellen W3C-Spezifikationen, die Quasi-Standards sind). Das Session Storage ist nicht gefährlich und auch nicht Privatsphären-gefährdender als Cookies, wenn man Cookies eh schon zulässt. Siehe 5.3. Client-side session and persistent storage - 5.3.8. Security and privacy

    Hallo!

    Also so wie ich das verstanden habe, ist es eben viel mehr. Nicht nur ein Cookie. Es kann viel mehr. Insifern ist es eben nicht ausreichend, wenn derselbe Schalter benutzt wird, der für Cookies vorgesehen ist. Auch wenn ich mit der Verwendung eines Cookie zufrieden bin, kann mich das Monstercookie trotzdem unglücklich machen.

    Zitat c't:

    Und die clientseitige Datensicherung muß nicht auf eine Second-Level-Domain begrenzt bleiben - mögliche Angaben sind hier auch "com" oder ein leerer String."

    Wenn ich mich nicht irre, kann ein Cookie nur von der Site gelesen werden, die es auch herausgegeben hat. Dieses Zitat verstehe ich so, daß eine Site als Herausgeber einen Leerstring abliefert und dann alle anderen Sites problemlos Zugriff auf das Cookie haben können?

    Sicherheit war ja für mich ein wichtiger Grund zumn Wechsel.

    Also wenn ich mir den Cookiebedarf zb. bei ebay vorstelle, den ich zulassen muß um Zugriff zu haben. Und dann gehe ich irgendwo anders hin gleich im Anschluß und da wird dann mein frisches ebay-cookie weiter bearbeitet?

    Ich habe ja nicht viel Ahnung von Browsersicherheit. Aber ich erwarte irgendwie schon, das Datenschutz eine wichtige Rolle spielt und ich die Einstellungen im Menü vornehmen kann.
    Auch wenn die natürlich nicht alles wissen, fällt einer Einschätzung in der c't für mich jedenfalls ein gewisses Gewicht zu. Wenn die schreiben, es wäre nicht nachzuvollziehen...


    Antworten:
    Nicht einmal erfahrene Anwender können zum Beispiel verstehen, was hier:
    http://www.whatwg.org/specs/web-apps…rk/#refsRFC2965
    diskutiert wird. Da bin ich dann schon irgendwo auf populäre Hinweise angewiesen.

    Und hier finde ich dann doch etwas:

    The globalStorage object also introduces a way for sites to cooperate to track users over multiple domains, by storing identifying data in "public" top-level domain storage area, accessible by any domain.

    Also stimmt doch meine obige Vermutung!!! Das ist viel mehr als ein Cookie! Da schreibt irgendeine Site in den Cookie rein:
    "Achtung - hoppel ist blöde!" und alle anderen Sites können das lesen, solange bis die Cookies gelöscht werden! /EMPÖRUNG!/

    Auch wenn es weiter unten dann wieder irgendwelche Einschränkungen gibt! Wer kann schon wissen, ob diese Schutzmechanismen sich nicht umgehen lassen. Nur was gar nicht da ist, kann auch nicht mißbraucht werden.

    Ich bin mir sicher, das es deutliche Proteste geben würde, wenn dieses Feature öffentlich deutlich klar herausgestellt würde.
    Und um das zu tun, habe ich diesen Thread eröffnet. Es gibt einfach Benutzer, die wollen sowas nicht.

    Danke. Schön, überall so liebe Leute zu treffen.

    Naja, man wird sehen, was Seitenbetreiber mit dem Session Storage anstellen werden. Noch kann ich mir ja nicht vorstellen, dass das jemand produktiv nutzt. Denn das ist bis jetzt nur in Firefox eingebaut.

    Zitat

    globalStorage['com'] is accessible to all .com domains

    Das ist schon richtig, dass das möglich ist, aber ich frage mich ernsthaft, wer sowas denn einsetzen wollen würde? Ebay wird sicher nicht die Daten seiner Nutzer freiwillig an die Konkurrenz weitergeben über Session Storage.

    Und wenn du bedenken hast wegen der Sicherheit, empfehle ich, diese Funktion abzuschalten. Wie das geht, hast du ja zitiert in deinem Eingangsbeitrag und steht auch auf der Wiki-Seite.

    Genau wie bei "Ping" sind Bedenken und aufklärende Diskussionen sicher angebracht, aber man sollte erst abwarten, was damit gemacht wird, bevor man voreilig Hexenverbrennung betreibt. Wahrscheinlich gab es zur Zeit der Aktivierung von Session Storage in den Usegroups von Mozilla Diskussionen zu diesem Thema. Die sollte man mal durchstöbern.

    Zitat von hoppel

    Ich bin mir sicher, das es deutliche Proteste geben würde, wenn dieses Feature öffentlich deutlich klar herausgestellt würde.


    Steht ja klar und deutlich auch in den Release Notes von Firefox 2 beschrieben:

    Zitat von <woltlab-metacode-marker data-name=

    " data-link="">

    Client-side session and persistent storage: New support for storing structured data on the client side, to enable better handling of online transactions and improved performance when dealing with large amounts of data, such as documents and mailboxes. This is based on the WHATWG specification for client-side session and persistent storage.


    Außerdem ist sicher diese Seite interessant:
    http://www.lubyte.de/webentwicklung/javascript/storage

    Zitat von http://www.lubyte.de/webentwicklung/javascript/storage#globaledaten

    Folgende Möglichkeiten hat man dabei:

    * globalStorage[''] – Zugreifbar für alle Webseiten
    * globalStorage['de'] – Zugreifbar für alle .de-Webseiten
    * globalStorage['foobar.de'] – Zugreifbar nur von der Domain foobar.de
    * globalStorage['http://www.lubyte.de'] – Zugreifbar von http://www.lubyte.de, aber nicht von lubyte.de bzw. trash.lubyte.de

    Bemerkung: die ersten beiden funktionieren nicht mit der Firefox Beta 2.

    Siehe letzte Zeile.

    Mal abgesehen vom Sicherheitsaspekt (den ich nicht so krass sehe), würde ich auch dafür plädieren, dass man diese Funktion über die UI ein- und ausschalten kann. Nicht jeder braucht und möchte dieses Feature und kennt sich mit about:config aus bzw. hat keine Angst, etwas kaputt zu machen, um es auszuschalten.

    Also einfach eine Einstellung in den Einstellungen einrichten. So kann jeder entscheiden ob er das Feature nutzen möchte oder nicht. genauso wie man vorher sich eine entsprechende Erweiterung erst noch selber installieren musste.

    Nur meine kleine, unbedeutende Meinung dazu :)

    Zitat

    Bemerkung: die ersten beiden funktionieren nicht mit der Firefox Beta 2.


    Das ist auch mein Wissensstand und ansonsten unterscheidet sich das "Monstercookie" (Buuuuh! Halloween ist doch vorbei, oder?) von einem normalen nur in den Funktionen mit denen man es bearbeiten kann und halt der Grösse. Und die Grösse ist dabei auch nur trivial, da man heutzutage beliebig viele Cookies setzen könnte. Das heisst man könnte auch jetzt schon eine Vielzahl von normalen Cookies zu einem Monstercookie vereinen. Unterm Strich also nix anderes.

    Aber nööööö. Was der Bauer nicht kennt (und die Meisten kennen Cookies nicht mal) das frisst er nicht. Und wenn man ihm sagt, dass seine ganze Bude mit Hausstaubmilben übersät ist, dann bekommt er erstmal die Panik, holt den Kammerjäger und verklagt den Vermieter. Dabei ist das mit den Hausstaubmilben das normalste von der Welt.

    Ist schön dass man sich auf Meinungsmacher verlässt (vor allem wenn man nur einem vertraut, statt auf eine breite Basis zu bauen), aber selbst bei Fachzeitschriften findet man selten wirklich gute Berichte (zeigen die Firefox-Berichte immer wieder). Bei vielen ist die Berichterstattung auch nur aus 3. Hand. Und wir kennen das Spiel ja schon. Das ist wie mit dem Referer oder dem Ping-Feature. Panikmache erzeugt Auflage.

    Gerade die die gar nicht wissen was und worum es eigentlich geht, schreien dabei am lautesten.

    Albern. Einfach nur albern. Anstatt sich wegen jedem Feature, das man nicht mal wirklich kennt oder versteht, dauernd aufzuregen und wie vom Affen gebissen rum zu rennen, sollten die Leute sich vielleicht mal mit der Thematik befassen und versuchen zu verstehen. Wenn man das hat, kann man immer noch nach Änderungen, Verboten und Verbrennungen schreien.

    Jedes mal das selbe. Wirklich JEDES MAL! Und JEDES MAL hat sich am Schluss rausgestellt das Mozilla.org sehr wohl auf die Privatsphäre und Sicherheit des Benutzers geachtet hat. Aber nööööö. Erstmal vom schlimmsten Fall ausgehen und am besten noch gleich Böswilligkeit unterstellen. Eigentlich warte ich wieder nur darauf, dass die Käuflichkeit von Mozilla.org oder deren Selbstbereicherung, vorzugsweise natürlich über den Verkauf von Benutzerdaten, unterstellt wird.

    Dieser Mangel an Grundvertrauen ist jämmerlich. Nichts gehen Vorsicht und kritische Betrachtung. Aber Verurteilen sollte man erst bei Nachweis der Schuld, nicht bei irgendwelchen aufkommenden Verdächtigungen.

    Zitat von nightrat

    Also einfach eine Einstellung in den Einstellungen einrichten. So kann jeder entscheiden ob er das Feature nutzen möchte oder nicht.


    Deine Meinung ist nicht unbedeutend. Allerdings, wenn das für Monstercookies gemacht werden soll, dann muss das ganze auch mit allen anderen ähnliche relevanten Einstellungen gemacht werden.

    Das führt dann dazu das wir die about:config-Oberfläche dann ja doch komplett in eine UI packen müssen, denn der eine will z.B. nicht dass die Adresszeile in Popups abschaltbar ist. Und ernsthaft: 99% der Leute wissen selbst mit den Einstellungen dann nicht mehr, was deren Änderungen eigentlich wirklich bedeuten.

    Wenn ich nur an so Einstellungen denke wie "Webseiten erlauben Software zu installieren" oder "Grafiken laden - Nur von Orginalseite". Immer wieder Gründe für Problemreporte, weil die Leute schlicht nicht verstehen wie das Web funktioniert und damit die Funktion der Option nicht beurteilen können. Kontraproduktiv. Absolut kontraproduktiv. Und auch wenn einige mir jetzt widersprechen werden: das MozOrg einige Optionen aus dem Einstellungsdialog genommen hat finde ich gut, wirklich gut.

    Die die wissen was die Option bedeutet, können immer noch dran. Der Rest würde sich bloß den Browser so verstellen, dass am Schluss keine Seite mehr geht.

    Was ich begrüssen würde, wäre einen Schalter, der eine Profi-UI aktiviert, also eine Standard-UI für Normaluser und auf Wunsch eine erweiterte UI für die Profis. Was aber nichts daran ändert, dass Anfänger dadurch immer noch nicht verstehen, was die Optionen bewirken.

    Und es ist nicht die Aufgabe des Browers dem Benutzer das Internet zu erklären. Zumindest nicht die Aufgabe von Firefox (Siehe Missionstatment). Wenn man das erwartet sollte man sich einen Browser suchen, der genau das möchte. Firefox möchte es den Benutzer ermöglichen problemlos das Web zu besuchen und das auf Basis eines gesunden Verhältnisses zwischen Komfort und Sicherheit. Und da Firefox eigentlich nicht anfällig ist (sofern aktuell gehalten, was über Autoupdate ja so bequem ist wie sonst nichts) und auch keine persönlichen Daten verbreitet werden, ist die Sicherheit gewährleistet und der Komfort dadurch gegeben, dass Firefox "out of the Box" mit den meisten Seiten des Internet klar kommt.

    Dann hat sich ja hoffentlich vieles in Wohlgefallen aufgelöst ... zumindest mit dem Wissen, dass die Domain-übergreifende Ablage in Firefox nicht funktioniert. Wieder mal ein gutes Zeugnis für das Mozilla-Projektes.

    PS: Ich schlage "Monstercookie" für das Wort des Monats vor.

    PPS: bugcatcher, wie immer ein berührender Vortrag. :)

    Zitat von Lendo

    Wieder mal ein gutes Zeugnis für das Mozilla-Projektes.


    Das wäre es, wenn die Funktion, zusammen mit einigen anderen, für den Endnutzer wenig sinnvolle Funktionen wie das Ping oder Prefetching im normalen Einstellungsdialog abgeschaltet werden könnte.

    Quis custodit custodes?

    Zitat von wupperbayer

    Das wäre es, wenn die Funktion, zusammen mit einigen anderen, für den Endnutzer wenig sinnvolle Funktionen wie das Ping oder Prefetching im normalen Einstellungsdialog abgeschaltet werden könnte.

    Ping ist in Firefox 2 nicht eingebaut, also brauchts keinen Einstellungsdialog dafür.
    Und ob Prefetching sinnvoll ist oder nicht, muss jeder selbst entscheiden. Bisher setzen es aber nur wenige Seiten ein. Ich hab damit zumindest keine Probleme.

    Zitat von Lendo

    Hallo hoppel

    Wozu ein spezieller Schalter? Das Session Storage befolgt die Einstellungen, die man zu Cookies gemacht hat. Lässt man Cookies zu, lässt man auch Session Storage zu. Sollen Cookies beim Beenden des Browsers gelöscht werden, werden auch die Session Storage-Daten gelöscht.

    Wo ist da das Problem?

    Man kann sich ja drüber streiten, ob es gut war, das einzubauen, aber Mozilla ist recht fleißig mit seinen selbst mitgestalteten WHATWG-Spezifikationen (nicht verwechseln mit offiziellen W3C-Spezifikationen, die Quasi-Standards sind). Das Session Storage ist nicht gefährlich und auch nicht Privatsphären-gefährdender als Cookies, wenn man Cookies eh schon zulässt. Siehe 5.3. Client-side session and persistent storage - 5.3.8. Security and privacy

    Sehe ich auch so!

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate