HSTS und die Gefahr der Supercookies ■

HSTS und die Gefahr der Supercookies

Jeder der auf Webseiten unterwegs ist, kennt Sie: die Nachricht, dass für eine optimale Nutzung dieser oder jener Webseite ein Cookie zu setzen wäre. Häufig wird diese Meldung schlichtweg ignoriert. Vielen ist aber bewusst, was das Setzen eines Cookies bedeutet, und dass Cookies ein zweischneidiges Schwert sind. Denn zum Einen sind sie notwendig, um dem Besucher eine bessere Nutzung zu ermöglichen, indem z.B. gesetzte Einstellungen gespeichert werden, oder der Besucher sich nicht bei jeder Wiederkehr erneut einloggen muss. (Die Tatsache, dass dies auch schon ein Sicherheitsrisiko darstellt, sei an dieser Stelle erwähnt, aber jedem selbst überlassen.)

Andererseits werden Cookies auch vielfach dazu eingesetzt, das Nutzungsverhalten der Webseiten-Besucher zu analysieren – sei es im besseren Fall um die Benutzerfreundlichkeit zu erhöhen, im nicht ganz so erfreulichen Fall um Werbung gezielter zu steuern oder im schlimmsten Fall um gezielt Daten zu Personen zu sammeln.

Screenshot Safari/Cookie-Einstellungen

Screenshot: Cookie-Einstellung in Safari 8.0

In den meisten Fällen lassen sich Cookies und/oder das Tracking von Nutzeraktivitäten in Browsern deaktivieren um so ein Stück der digitalen Privatsphäre zu bewahren.

Nun steht aber ein neues Sicherheits-Feature in den Startlöchern, das sogenannte „HTTP Strict Transport Security“ (HSTS). Mit Hilfe von HSTS soll es möglich sein HTTP-Verbindungen besser zu schützen, indem ungesicherte HTTP-Verbindungen bei Bedarf automatisch auf HTTPS-Verbindungen umgeleitet werden, ohne dass dafür ein Redirect nötig ist. Genau dies kann sich aber zu einem unter Umständen unlöschbaren „Supercookie“ entwickeln, wie Sam Greenhalgh herausgefunden hat.

Demnach wird beim Wechsel zur gesicherten Verbindung ein Identifikationsmerkmal gesetzt, das von jeder Webseite gelesen werden und somit zum User-Tracking verwendet werden kann. Da dieses Merkmal auch gesetzt wird, wenn der Browser in den sogenannten „privaten“ betrieben wird, ist dies keine Hilfe gegen die Supercookies.

Betroffene Browser

Da der Internet Explorer das HSTS-Feature aktuell nicht unterstützt besteht hier erst gar kein Problem. Zumindest derzeit. Andere Desktop-Browser wie Chrome und FireFox unterstützen HSTS, bieten aber auch eine Möglichkeit das Identifikationsmerkmal zu deaktivieren.

HSTS Einstellungen des Chome-Browsers (chrome://net-internals/#hsts)

HSTS Einstellungen des Chome-Browsers
(chrome://net-internals/#hsts)

Anders sieht es bei mobilen Browsern aus, da diese über kaum Einstellungsmöglichkeiten verfügen. Auch bei Apples Standardbrowser Safari gibt es keine Möglichkeit das HSTS-Merkmal zu deaktivieren. Schlimmer noch, durch die Verwendung von iCloud wird das HSTS-Cookie zwischen allen Geräten eines Benutzers synchronisiert, so das es geradezu unlöschbar wird:

When using Safari on an Apple device there appears to be no way that HSTS flags can be cleared by the user. HSTS flags are even synced with the iCloud service so they will be restored if the device is wiped. In this case the device can effectively be ‚branded‘ with an indelible tracking value that you have no way of removing.

— Sam Greenhalgh

Eine Reaktion auf diesen Artikel

  1. 4. Februar 2015

    […] Was genau der eigentliche Zweck der HSTS-Cookies ist, hatte ich bereits berichtet. […]

Zu diesem Artikel sind leider keine weiteren Kommentare mehr möglich