Was ist ein Super-Cookie?
Der Internet Service Provider fügt einen Super-Cookie in den HTTP-Header ein und sammelt auf diese Weise Daten über das Surfverhalten des Anwenders, der Browserverlauf wird also aufgezeichnet. Die Daten erlauben unter anderem Rückschlüsse auf die besuchten Webseiten und die Aufenthaltsdauer. Super-Cookies können Informationen speichern, die klassische Browser-Cookies sammeln. Dazu gehören zum Beispiel Login-Daten oder Bilder aus dem Cache. Ein Super-Cookie kann bis zu 100 Kbyte groß sein. Das Entfernen der Super-Cookies ist im Gegensatz zu Browser-Cookies schwieriger. Zum Beispiel gelten Flash-Cookies als Super-Cookies, anders als Browser-Cookies haben diese kein Verfallsdatum. Flash-Cookies werden wie Browser-Cookies lokal auf dem System gespeichert, andere Super-Cookies liegen nicht lokal auf dem System. So lässt sich die Security-Funktion HSTS (HTTP Strict Transport Security) als Super-Cookie fürs Web-Tracking missbrauchen. Das HSTS-Tracking überwindet beispielsweise den Inkognito-Modus des Browsers. Ebenso ist der Web Storage (DOM Storage genannt) eine Art Super-Cookie. Die Technik ermöglicht Webanwendungen das Abspeichern von Daten im Webbrowser. Wie klassische Cookies unterstützt der Web Storage die persistente Datenspeicherung und die lokale Speicherung. Es handelt sich dabei vereinfacht gesagt um eine Weiterentwicklung von Cookies, die als Super-Cookie bezeichnet werden kann. Im Firefox-Browser ist mit der Technik das Abspeichern von 5 MB Daten pro Domain möglich. Während Server und Client auf Cookies zugreifen können, wird der Web Storage jedoch nur vom Client gesteuert.
Wie werden Super-Cookies entfernt?
Zum Deaktivieren von Super-Cookies in Form von Flash-Cookies muss der Anwender das Flash Player Plugin im Browser deaktivieren. Entfernen lassen sich diese über spezielle Browser-Addons wie das Addon „Better Privacy“ für Firefox. Das Addon kann zur Sicherheit auch die vom Web Storage lokal gespeicherten Daten entfernen.Verschlüsselte HTTPS-Verbindungen und VPN-Verbindungen gelten als geeigneter Schutz vor der Datensammlung über das eigene Surfverhalten. Beim Surfen im Inkognito-Modus löscht der Browser am Ende der Sitzung nur die klassischen Browser-Cookies. Der Missbrauch der Security-Funktion HSTS lässt sich derzeit nicht zuverlässig verhindern.