Re: Cookies und Datenschutz

[Hary Tihomirov <verkauf@schlaufuchs.de>]

Hallo, 



>Sie werden in
> der cookies.txt gespeichert, wenn der Browser beendet wird, um
> dann beim naechsten Neustart erneut gelesen (und ggf. garbage
> collected) zu werden. 

Mit Ausnahmen : Unter NT respektive W2000 ist es nicht mehr nur die
Datei Cokies Txt. 
Vielmehr existiert in jedem Userprofil eine Datei  ( C:\Dokumente und
Einstellungen \Administrator\Cookies\index/start/*.adtech.dat ) die
solche Informationen verwalten. 
Desweiteren hat man auf bestimmte Arten von gesetzen Cokies unter W200
keinerlei Zugriff mehr. Die entsprechende Dateien  lässen sich nur noch
mit mit einem Hexeditor betrachten. 
Inhalt ist zumindest mir unverständlich. Bestimmte Sorten scheinen sich
zudem direkt in die Pref.js einzutragen. ( Über URL ) 

>Cookies ohne Zeitangabe haben eine
> Lebensdauer, die mit der Lebensdauer des Browserprozesses
> identisch ist. Sie werden niemals in der cookies.txt gespeichert
> und sie haben kein festes Ablaufdatum.
> 
> Wenn man die cookies.txt schreibschuetzt oder nach /dev/null
> linked, verhindert man die Speicherung von Cookies mit
> Lebensdauer. Man behaelt also Warenkorbfunktionalitaet, weil man
> "Session-Cookies" weiter akzeptiert und zuruecksendet. Man
> verliert aber Autologin-Cookies und GUID-Cookies.

Zumindest in 2000 bewirkt der Schreibschutz nichts. 
Daten werden trotzdem gespeichert.



> Wenn man stattdessen Cookies im Browser abschaltet, verliert man
> alle Cookie-Funktionalitaet.
Scheint nicht so zu sein. 
Wenn ich z.b mit dem IE all Cookies disabelt auf die Seite
www.hardware-guide.de 
gehe werden anfragen zumindest temporär gespeichert. Bis ich IE beende
habe ich immer ein Sesion Cookie in der Datei. ( Nachgesehen mit Cookie
Crusher )



>    Die personenbezogenen Daten sind in einer Datenbank auf
>    dem Webserver gespeichert und verlassen dieses System auch
>    niemals; 
>jedenfalls nicht in Richtung Browser des Anwenders.

Man könnte aber anhand der Informationen bei Kenntis des Systems 
einen relativ leichten Hack auf diese Daten ausführen ?? 
Ferner lassen Sich diese Daten ja auch nach Aussen weiterreferenzieren
z.b wenn 
man die Ziffernfolge an ein befreundetes System weitergibt und die Daten
so gegenseitig abgleicht. Wenn bei diesem Abgleich ein transparentes
Protokoll verwendet wird ...




>    Cookies abzuschalten nuetzt also exakt nichts, wenn man
>    die Erfassung von Sessiondaten verhindern moechte, da gute
>    Installationen dann automatisch auf ein Fallback mit Hilfe
>    eines anderen Verfahrens zurueck schaltet. Diese Verfahren
>    sind fragiler als Cookies; Cookies sind genau fuer diese
>    Aufgabe (eine Session-ID zur Referenzierung von Session-Datensaetzen
>    in einer Datenbank transportieren) geschaffen worden.

Nun zumindest kann man im Zusammenhang mit WWW User Agent/weiterleitung
auserhalb der 
Domäne verhindern das man versteckt irgendwo landet und das die
verhobenen Daten korrekt sind ??




> 
>    Schlechte Webshops funktionieren mit abgeschalteten Cookies
>    gar nicht mehr. Man beraubt sich also im Namen einer nicht
>    funktionierenden Methode zur Wahrung der eigenen Privacy der
>    Moeglichkeiten, im Internet Einkaufen zu gehen oder
>    komplexere Webanwendungen zu nutzen (es gibt schliesslich
>    noch mehr sinnvolle Anwendungen fuer Session-Variablen als
>    Warenkoerbe).

Also unser "Shop" ist zwar kein Shop weil wir keinerlei Warenkorb
instaliert haben. 
Ich bilde mir aber ein das er doch recht gut funktioniert. Und zwar ohne
jegliches ERheben von irgendwelchen Nutzerdaten außer für den Fall das
der User Waren kaufen möchte. 

>Das nuetzt dem Kunden, dessen
>    Kreditkartennummer auf dem Server gespeichert ist, auch
>    nicht.
Siehe oben : Kompelt SSL, Userdaten werden per Script auf eine
verschlüsselte festplatte
geschrieben, einmal täglich wähle ich mich direkt verschlüsselt in den
Server ein 
( auf einer nummer die nur diesem Zwecke dient , der Server ruft zurück
) dann haben 
ich eine 10 MB Datei die ich hier lokal entschlüsseln muss. Einzigste
Ausnahme sind Visa
Mastercard. 
Die sind direkt ans SET angebunden. Was auch ziemlich zu sein dürfte. 
Und den ganzen andren Kram brauche ich nicht. 


> 3. Seine Privacy schuetzt man also nicht durch das Abschalten
>    von Cookies: Zum einen koennen Gute wie Boese mit anderen
>    Verfahren als Cookies weiter korrelieren, zum anderen macht
>    man sich das Leben nur unnoetig unbequem.

Ich finde man macht den Datensammlern das leben zumindest etwas
schwerer. 
Ob es letztendlich wirklich was bringt....


>    (Blocken von allen Zugriffen auf *doubleclick* und so weiter)

Was ist mit den Seiten die du täglich brauchst ??
Ich brauche MS , Intel, Asus, ect. pp täglich. 



>    Man kann ausserdem sein System so konfigurieren, dass es
>    Set-Cookies, die nicht an HTML-Dateien haengen, automatisch
>    ausfiltert und dass es vorhandene Cookies ausfiltert, wenn
>    diese an Requests von Bilddateien haengen. (Ausfiltern von
>    Set-Cookie-Zeilen in allen Responses, wenn der Content-Type
>    nicht text/html ist schaltet ankommende Cookies an
>    GIF-Bildern und dergleichen aus; Ausfiltern von
>    Cookie-Zeilen in Requests, wenn es sich um einen "GET /*gif"
>    handelt, schaltet abgehende Cookies in GIF-Bildern und
>    dergleichen aus).

Wie unter NT/2000  ??


> 
>    Man kann zusaetzlich verhindern, dass das eigene System
>    Requests fuer Bilddateien absendet, wenn die letzten zwei
>    Komponenten der Domain im GET-Request nicht mit den letzten
>    zwei Komponenten der Domain des Referers uebereinstimmt.
>    (Blocken von Requests fuer "GET /1x1.gif; Host:
>    www27.doubleclick.com", wenn "Referer:
>    http://www.kunde.de/artikel/art17.html").

Auch hier , wie genau ?

Hast du weiterführende Quellen ??


Gruß

Hary





-- 
"Ich mag die Zahl 32 nicht, also sind SIMMs Scheiße."
Donnerhacke in d.o.c.

To every DAU : Thats NOT the right way to qoute.