Bestimmte Cookies blockieren (z.B. Google Analytics)

Zitat von coder42

Prima wäre es, wenn man Cookie Namen verwalten könnte, die generell abgelehnt werden, also z.B. _umza bei Google Analytics...

Das kannst du eigentlich mit den Firefox Bordmitteln machen.
Fragt sich ob deine Erweiterung das auch übernimmt, am besten mal überprüfen.

Selbst wenn das Firefox-Forum Google Analytics verwenden würde: Die Forum-Cookies gehören selbstversändlich der Domain firefox-browser.de und nicht Google Analytics. Es würde also in jedem Fall genügen, die Google-Cookies zu blockieren, auf das Forum hätte das überhaupt keinen Einfluss. In deinem Beispiel musst du also -unabhängig vom Inhalt- Cookies von google-analytics.com ablehnen, aber Cookies von firefox-browser.de zulassen.

Noch einfacher geht's natürlich mit Adblock Plus, denn es spricht im Prinzip nichts dagegen, sämtliche Inhalte von Google Analytics (und anderen Tracking-Systemen) und zu blocken.

Zitat von coder42

Angenommen eine-domain.de verwendet Analytiks. Dann werden auf dieser Seite Cookies für .eine-domain.de mit dem Namen __utma, __utmz, etc. angelegt die zu Analytiks gehören. Diese Cookies werde nicht mit der Domain google.com, etc. angelegt!

Nein, das kann ich so nicht bestätigen. Es hätte technisch gesehen auch wenig Sinn, weil Cookies nur von der Domain abgerufen werden können, die sie erstellt hat. Natürlich kann auch Google nicht nach Belieben Cookies anderer Domains abfragen, das wäre sicherheitsmäßig betrachtet ja eine Katastrophe.

Für ein Beispiel musste ich jetzt eine Weile suchen, habe aber jetzt diese Seite gefunden, die ich vorher nie geladen hatte, also bei mir noch keine Cookies anlegen konnte und auch nicht gecachet war. Ich blocke google-analytics komplett und akzeptiere nur Cookies von der Originalseite. Folgende Cookies wurden bei dieser Konfiguration angelegt, wobei auch der erste Cookie nicht von Google, sondern von einem eigenen Contersystem stammt:

Name	exa_counter
Value	vcVbR12FFvdL
Host	www.fr-online.de
Path	/
Secure	No
Expires	At End Of Session


Name	sid
Value	594fe09a1ddef3dab6efb4d0e6d76239
Host	www.fr-online.de
Path	/
Secure	No
Expires	At End Of Session


Name	testSessionCookie
Value	Enabled
Host	www.fr-online.de
Path	/in_und_ausland/kultur_und_medien/medien/
Secure	No
Expires	At End Of Session

Also kein __umza usw.!

Meine Empfehlung ist wie gesagt, das Ganze über Adblock Plus zu realisieren. Wenn dort google-analytics.com geblockt wird, kommen auch keinerlei entsprechende Cookies an.

Zitat

Ich weiß, dass Cookies nur von der Webseite ausgelesen werden können, die diese erzeugen.

Das stimmt so nicht ganz. Sie werden entsprechend der Domain bei HTTP-Anfragen durch den Browser im Header mitgeschickt.
Durch das Einbinden von JavaScript über google analytics kann der Google-Code aber auf die Cookies der anderen Seiten zugreifen.

Ich nutze es nicht, aber ich meine gehört zu haben, dass Cookie Culler eine Filterung ermöglicht. Schau es dir mal an.

Alternativ kannst du dir auch einen lokalen Proxy einrichten und die Cookies dort filtern lassen.

Zitat von boardraider

Durch das Einbinden von JavaScript über google analytics kann der Google-Code aber auf die Cookies der anderen Seiten zugreifen.

Deswegen sage ich ja: Google Analytics komplett blockieren! Ich bekomme auf Winload nur den Example_Session-Cookie. Mir wäre eine Filterung nach Cookie-Namen viel zu umständlich. Warum denn nicht sämtliche Inhalte eines Trackers blockieren? Wenn die JavaScripts nicht geladen werden können, kann Google Analytics auch keine Cookies anlegen.

Zitat

Deswegen sage ich ja: Google Analytics komplett blockieren!

In dem Fall scheint der Google-Code selbst die Cookies zu setzen. Daher ist dieser Vorschlag natürlich zielführend.
Prinzipiell könnte eine Seite die Cookies aber selbst setzen, daher müsste man tatsächlich auf eine sehr feingranulare Filterung setzen. Ich halte das aber auch für einen Overkill.

Sommerrain
Damit geht es nicht, da die Erweiterung nur auf den Fx-internen Mechanismus aufsetzt, der nur Domain-basiert arbeitet.

Zitat von boardraider

In dem Fall scheint der Google-Code selbst die Cookies zu setzen.

Nach meinen Information ist es anders auch in keinem Fall möglich. Die Übertragung funktioniert deswegen, weil ein JavaScript von Google Anlaytics mitteilt, welche Cookie-Werte der Host setzen soll. Außerdem kann dieses Skript eine Funktion ausführen, die die im Cookie gespeicherten Informationen an Google-Analytics überträgt, die aber der Host(!) aufrufen muss. Es ist auf keinen Fall möglich, dass der Host von sich auf (also ohne ein eingebundenes Fremdskript) ein Cookie setzt und eine völlig andere Seite, in diesem Fall der Tracker, dieses Cookie dann ausliest.

Man stelle sich vor, das wäre mögich: Jede private Homepage könnte dann Cookies anderer Domains abgreifen, in denen vielleicht Logindaten gespeichert sind. Versucht man direkt Cookies großer Portale, ist die Wahscheinlichkeit groß genug, früher oder später hinreichend viele gültige Logins entführen zu können. In diesem Fall wären Cookies dann wirklich das Sicherheitsproblem, für das sie zu Unrecht oft gehalten werden.

Zitat

Nach meinen Information ist es anders auch in keinem Fall möglich.

Die Seite kann selbst beliebige Cookies setzen und diese können durch eingebundenen JS-Code gelesen werden. Der JS-Code muss die Cookies nicht zwingend setzen.

Zitat

Es ist auf keinen Fall möglich, dass der Host von sich auf (also ohne ein eingebundenes Fremdskript) ein Cookie setzt und eine völlig andere Seite, in diesem Fall der Tracker, dieses Cookie dann ausliest.

Weshalb soll das nicht möglich sein? Beispiel:
http://edjwcetz.ed.ohost.de/setcook.php
Es wird ein TestCookie mit dem Wert ohost gesetzt und durch das externe Script auf ueuo.com gelesen.

Zitat

Jede private Homepage könnte dann Cookies anderer Domains abgreifen

Und wie bekommt die private Homepage ihren Code in die Seite? Da sind wir dann bei Sicherheitslücken und XSS - anderes Thema.

Zitat

In diesem Fall wären Cookies dann wirklich das Sicherheitsproblem, für das sie zu Unrecht oft gehalten werden.

Session-Cookies sind ein Problem in Verbindung mit Schwachstellen in Webanwendungen.

Hi!

Ich hänge mich mal an den Fred dran, da ich eine sehr ähnliche Fragestellung habe. Ich verwende den Google Reader, wozu ich mich bei Google einloggen muss. Dann werden aber auch alle meine Suchanfragen unter diesem Profil geloggt, was ich nicht möchte. Gibt es eine Möglichkeit mit der ich ausschließlich Cookies von google.de zulasse, die den Pfad /reader/ enthalten? Damit müsste ich dieses Problem eigentlich in den Griff bekommen. CookieSafe kann nur ganze Domains blocken, oder habe ich diese Funktion übersehen?

Gruß,
jakewalk

Hallo jakewalk
Schau Dir mal das Add-on CustomizeGoogle 0.73 an
https://addons.mozilla.org/de/firefox/addon/743

da kannst Du einiges einstellen, damit Google sowenig wie möglich
über Dich erfährt.
zbs.
[Blockierte Grafik: http://files.fastpic.de/CustomizeGoogle_5682.png]

[Blockierte Grafik: http://files.fastpic.de/CustomizeGoogle2_5683.png]

Endor

Zitat

Ich verwende den Google Reader, wozu ich mich bei Google einloggen muss. Dann werden aber auch alle meine Suchanfragen unter diesem Profil geloggt, was ich nicht möchte.

Du kannst auch ein getrenntes Fx-Profil verwenden, falls du beides parallel machen willst. Allerdings sieht dann google noch immer die selbe IP. Willst du das ebenfalls verhindern, dann musst du ein Profil über einen Proxy laufen lassen.
Alternativ die Dienste sequentiell nutzen, dann kannst du die Session-Cookies von google löschen und dir ne neue IP besorgen.