Flash-Cookie

Cookie des Adobe-Flash-Players

Ein Flash-Cookie (oder Local Shared Object, kurz LSO, häufig auch ungenau Supercookie genannt) ist ein an den Adobe-Flash-Player gebundenes Cookie – also eine Datei, in der beim Internetsurfen benutzerbezogene Daten auf dem PC des Anwenders zum späteren Wiederabruf durch die betreffende Website oder Webanwendung gespeichert werden. Flash-Cookies sind am Zielrechner nicht leicht zu verwalten und haben in der Regel eine längere Verweildauer als normale Text-Cookies. Weil in sie große Mengen benutzerspezifischer Daten geschrieben werden, die später wieder ausgelesen werden können, stellen sie ein Datenschutz-Problem dar. Obwohl die Dateien beim Surfen mit einem Webbrowser entstehen, funktionieren sie Browser-übergreifend und werden von seinem jeweiligen Flash-Player-Plugin verwaltet, welches die Daten zentral und browserunabhängig in der Dateisystemstruktur des verwendeten Betriebssystems ablegt. Ebenso wie der Adobe Flash-Player können auch andere Flash-Player, z. B. Gnash, Flash-Cookies anlegen.

Abgrenzung

Bearbeiten

Im Gegensatz zu herkömmlichen „HTTP-Cookies“ ermöglicht es diese Technik den Webseitenbetreibern, Inhalte Browser-unabhängig und ohne Verfallsdatum auf dem Zielrechner (Client) zu speichern. So werden Daten, die beim Aufrufen von Flash-Inhalten (Filme, Streaming Media, Werbung usw.) über einen bestimmten Browser (z. B. Mozilla Firefox) geschrieben wurden, auch beim Betrachten der gleichen Internetseite mit einem anderen Browser (z. B. Internet Explorer) an den Zentralrechner (Host) gesendet. Der Host kann dann das Surfverhalten eines lokalen PCs nachvollziehen. Während klassische Cookies auf eine Größe von 4 KB begrenzt sind, können Flash-Cookies bis zu 100 KB speichern. Sollte diese Größe überschritten werden, wird der Nutzer benachrichtigt. Falls er zustimmt, kann der Speicherplatz in Stufen (0 kB, 10 kB, 100 kB, 1 MB, 10 MB, unbegrenzt) verändert werden.

Flash-Cookies können mit klassischen Cookies interagieren, indem sie diese, selbst wenn der Anwender sie explizit in seinem Browser gelöscht hat, kopieren, aufbewahren und beim nächsten Besuch der betreffenden Webseite wiederherstellen (englisch re-spawning ‚nachbrüten‘).

Umgang mit Flash-Cookies

Bearbeiten

Auf der datenschutzrechtlichen Seite des Anwenders ist problematisch, dass Flash-Cookies nicht von der Cookieverwaltung des Browsers administriert werden, sondern vom browserexternen Adobe-Flash-Programm selbst. Sie können nur umständlich über den Adobe-Einstellungsmanager verwaltet und gelöscht werden.[1] Auch können sie manuell oder mit Hilfe spezieller Software (Flash-Cookie-Killer, CCleaner) gelöscht werden. Der Informationellen Selbstbestimmung läuft auch das Re-Spawning zuwider, weil es dem Benutzer die Kontrolle über die Cookies entzieht.

Speicherorte

Bearbeiten

Flash-Cookies werden beim Adobe-Flash-Plug-in unter dem Benutzerordner des aktuell angemeldeten Benutzers angelegt. Sollten die entsprechenden Verzeichnisse nicht verfügbar sein, ist es dem Anwender nicht möglich, Flash-Cookies anzulegen und zu nutzen. Für gewöhnlich haben Flash-Cookies die Dateierweiterung .sol. Die Anwendungen legen innerhalb des zugewiesenen Speicherortes einen Domainordner an (Cookies von Wikipedia würden beispielsweise unter einem separaten Ordner de.wikipedia.org abgelegt). Bei selbstausführenden Flashprogrammen wird für gewöhnlich als Domain localhost (beispielhaft für WinXP: Lokaler Datenträger (C:)\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects) genutzt – oder wie bei Adobe AIR für die Applikation separat ein Verzeichnis erstellt.

Standard-Speicherorte
Betriebssystem Speicherort Anmerkung
Windows
  • %APPDATA%\Macromedia\Flash Player\#SharedObjects
  • %APPDATA%\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys
  • %APPDATA%\[AIR Paket ID]\Local Store\#SharedObjects\
  • %APPDATA% steht für das Benutzerverzeichnis
  • Adobe-AIR-Anwendungen speichern separat in eigenen Ordner
macOS
  • ~/Library/Preferences/Macromedia/Flash Player/#SharedObjects
  • ~/Library/Preferences/[AIR Paket ID]
  • ~/Library/Preferences/Macromedia/Flash Player/macromedia.com/support/flashplayer/sys
  • ~ steht für das Benutzerverzeichnis
  • Adobe-AIR-Anwendungen speichern separat in eigenen Ordner
Linux
  • ~/.macromedia/Macromedia/Flash Player
  • ~/.macromedia/Flash_Player/#SharedObjects
  • ~/.gnash/SharedObjects (bei der Nutzung von Gnash)
  • ~/.config/freshwrapper-data/Shockwave Flash/WritableRoot/#SharedObjects (bei der Nutzung des Freshplayer- und Pepperflash-Plugins)
  • ~/.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects (beim PepperFlash-Plugin in Google Chrome)

Flash-Cookies löschen/Anlegen verhindern

Bearbeiten

Die Speicherung von Flash-Cookies lässt sich mit dem Einstellungsmanager des Flash-Players konfigurieren, der über die Systemsteuerung oder online über die Adobe-Website zugänglich ist.[2]
Ohne Internetverbindung ist es dem Nutzer auch manuell möglich, das Speichern von Flash-Cookies zu steuern (Verzeichnisse siehe Tabelle).

  • Unter Mac OS X reicht es aus, den Ordner mit Schreibschutz zu versehen. Seitenspezifische Einstellmöglichkeiten des Flashplayers sind dann jedoch nicht mehr möglich. Auch ist es möglich, die Domainordner separat zu sperren und nur einzelnen Seiten das Anlegen von Flash-Cookies zu verwehren.
  • Unter Windows kann man die Verzeichnisse löschen und durch gleichnamige leere schreibgeschützte Dateien ersetzen. Auch ist es hier ebenfalls möglich, Domainordner separat zu „schützen“.
  • Unter Linux ist es analog zu Mac OS X möglich, den Ordnern die Schreibrechte zu entziehen. Bei Gnash ist es möglich, in der Konfigurationsdatei 'gnashrc' einen anderen Speicherort einzustellen, z. B. /dev/null.
  • Zur Verwaltung von Flash-Cookies gibt es für Firefox bis einschließlich Version 56 auch Browsererweiterungen wie BetterPrivacy[3] – mit dieser Erweiterung lässt sich das Löschen der Flash-Cookies automatisieren – oder die Entwicklererweiterung Objection,[4] die detaillierte Informationen zu den einzelnen Flash-Cookies anzeigt. Seit Firefox-Version 57 sind diese jedoch nicht mehr kompatibel. Ab Version 57 – genauer: für alle Firefox-Versionen, die die WebExtension-API unterstützen – gibt es das Addon Clear Flash Cookies,[5] das aber keine gespeicherten Flash-Cookies anzeigen kann.
 
Liste von Flash-Cookies auf einem PC – Ausschnitt aus einem Screenshot von BetterPrivacy
  • Unabhängig vom Browser gibt es mittlerweile viele Programme, die es dem Nutzer ermöglichen, Cookies auf der Festplatte zu entfernen. So gibt es für Linux und Windows das Systembereinigungsprogramm BleachBit. Unter Windows gibt es mittlerweile viele Programme, die auch Flash-Cookies entfernen können.

Durch die Vorteile der Flash-Cookies (umständlicher durch den Nutzer zu löschen, mehr Speicherplatz als HTTP-Cookies) haben viele Webseiten[6] die Flash-Alternative als Ergänzung zu herkömmlichen Cookies erkannt. Eine US-amerikanische Studie von 2009 zählte erstmals die Verwendung von Flash-Cookies bei den populärsten 100 Webseiten und fand diese bei 89 davon, über die Hälfte speicherten damit Informationen über die Nutzer.[7] Im Gegensatz zu HTTP-Cookies sind ihre Flash-Äquivalente zumeist nur von Hand zu löschen[8] oder es wird zumindest eine Browser-Erweiterung benötigt. Auch kann ein Flash-Cookie als eine Art Backup[6] für ein HTTP-Cookie verwendet werden. Dies bedeutet, dass, auch wenn der Nutzer die HTTP-Cookies löscht, diese bei dem erneuten Besuch wieder – anhand der Daten des Flash-Cookies – verfügbar sind. Als problematisch wird ebenfalls angesehen, dass die Flash-Cookies browserübergreifend agieren.[9]

Rechtslage

Bearbeiten

Deutschland

Bearbeiten

Flash-Cookies dürfen ohne weiteres lediglich Einstellungen einer Webseite beinhalten. In Fällen, wo in den Cookies jedoch eine Möglichkeit der Identifikation (ID) eingerichtet ist und diese zur Aufzeichnung des Benutzerverhaltens dient, handelt es sich um personenbezogenen Daten.[10] In diesem Fall muss die Einwilligung des Nutzers vor einer Speicherung eingeholt werden. Wird dies unterlassen, verstößt der Betreiber der Webseite gegen geltendes Recht.[11] Gemäß der EU Cookie-Richtlinie, bzw. den dadurch geänderten Artikel 5 Absatz 3 der Richtlinie 2002/58/EG (ePrivacy-Richtlinie), ist das Setzen von Cookies grundsätzlich nur noch mit Einwilligung des Betroffenen erlaubt.[12][13]

Klagen in den USA

Bearbeiten

Am 23. Juli 2010 wurden die Betreiber der Internetseiten von MTV, ESPN, Myspace, Hulu, ABC, NBC und Scribd vor dem United States District Court (Central District of California) verklagt, da sie, laut Klageschrift der Sammelklage,[14] Flash-Cookies dazu genutzt haben, um HTTP-Cookies wiederherzustellen. Hierdurch konnte das Verhalten des Nutzers weiterhin verfolgt werden.[6] Die Klage wurde mit einem Vergleich beendet, in dem die Beklagten die Vorwürfe zurückweisen und 2,5 Millionen US$ spenden für Forschung über Datenschutz im Internet.[15]

Eine weitere Sammelklage von 2011[16] wurde als unzulässig abgewiesen, da den Daten der Betroffenen kein Wert zugeschrieben wurde, der einem Verlust von über 5000 US$ gemäß Computer Fraud and Abuse Act (CFAA) entspricht.[17]

Bearbeiten

Einzelnachweise

Bearbeiten
  1. Hilfe zu Flash Player, Website-Speichereinstellungen
  2. Hilfe zu Flash Player – Globale Speichereinstellungen
  3. Archivlink (Memento vom 5. Dezember 2010 im Internet Archive)
  4. http://objection.mozdev.org/
  5. Clear Flash Cookies
  6. a b c [1]Sebastian Dr. Kraska: Datenschutz: sind Flash-Cookies bei Webseiten zulässig? In: www.iitr.de. 3. August 2010, abgerufen am 22. September 2015.
  7. Soltani, Ashkan and Canty, Shannon and Mayo, Quentin and Thomas, Lauren and Hoofnagle, Chris Jay, Flash Cookies and Privacy (August 10, 2009), doi:10.2139/ssrn.1446862.
  8. http://www.pcfreunde.de/artikel/a61/flash-cookies-datensammler-der-naechsten-generation/
  9. Expertin warnt vor Flash-Cookies. In: heise online. 12. August 2009, abgerufen am 22. September 2015.
  10. Art. 4 Nr. 1 der Datenschutz-Grundverordnung
  11. Catrin Bialek: Harter Schlag für die Werbewirtschaft: Speicherung von Cookies ist nur mit Einwilligung erlaubt. In: Handelsblatt.com. 1. Oktober 2019, archiviert vom Original (nicht mehr online verfügbar); abgerufen am 12. Dezember 2019.
  12. Sebastian Kraska: Datenschutz: sind Flash-Cookies bei Webseiten zulässig? In: iitr.de. 3. August 2010, abgerufen am 23. September 2015.
  13. Richtlinie 2009/136/EG „Cookie Richtlinie“
  14. Edward Valdez v. Quantcast et al. (No. CV10-05484) Klageschrift, United States District Court (Central District of California), 23. Juli 2010
  15. Brian Tarran: Judge approves Quantcast and Clearspring settlement. In: research-live.com. 20. Juni 2011, abgerufen am 22. September 2015.
  16. La Court v. Specific Media, Inc., 2011 (WL 2473399), United States District Court (Central District of California), 28. April 2011
  17. Shawn E. Tuma: 3 Recent Computer Fraud and Abuse Act Cases Worth Noting. 12. Juni 2011, abgerufen am 22. September 2015.