Von fleschcookies am Do, 14. Dezember 2006 um 13:49 #
also erstens ist es mal egal ob die daten client oder serverseitig gespeichert werden, wenn der cookie eine eindeutige id hat kann der server dazu ja recht x-beliebig grosse datensätze anlegen. Das macht hier auch als einziges sinn, denn wer nutzerdaten über olap etc. auswerten will der braucht ja die datenbank auf dem server sowieso. Selbst wenn man aber clientseitig datenspeicherung und cookies abschaltet dann gibt es immer noch z.b. flashplugins die ebenfalls cookies setzen. Also am Ende doch sehr viel Aufwand dafür um das eigene Surfverhalten vor Anbietern zu schützen.
Unfaßbar. Ich schreibe diesen Comment gerade mit Firefox 2, danach werde ich diesen Sch... sofort deinstallieren. Das ist unterstes Niveau, einen solchen "Übercookie" derart zu verstecken. Man merkt, wie kommerziell die Mozilla-Mutterfirma mittlerweile geworden ist. Das haben die bestimmt mir Ihren Internetwerbepartnern, Google und Konsorten ausgeheckt, um noch ein paar Milliönchen dazu verdienen zu können. Ich schau mir noch Seamonkey an, wenn es da genauso sein sollte, ist Mozilla für mich tot.
Bestätigt. Seamonkey 1.06 hat diesen "dom.storage.enabled"-Eintrag noch nicht, die Beta von Seamonkey 1.1 hat ihn aber bereits. Sehr schade! Ich kenne mich da leider nicht aus: Kann man, wenn man die Sourcen nimmt, diesen Datengauschrott "herauskompilieren"?
Ich habe jetzt unter OpenSuse 10.2 KDE mit Konqueror nachinstalliert (diesem mono- und beagle-Zeugs konnte ich zum Glück durch die "Tabu"-Einstellungen in Yast die Installation untersagen). Konqueror (ich nutze ihn unter Windowmaker) ist ein bißchen zäh, manchmal ein bißchen langsam, innerhalb der Webseiten eines Webangebots aber sehr schnell (mit Ausnahme von Seiten wie spiegel.de). Das Abschalten von IPv6 hilft ein wenig weiter. Unter Suse ist zudem noch der nscd standardmäßig eingeschaltet. Hilft aber irgendwie alles nicht so wirklich, ich werde mich wohl mit dem dns-cache-Problem (siehe anderer Thread) beschäftigen müssen.
Das hängt wohl auch davon ab, was Deine Bank für den Zugriff an Technologien verlangt (z.B. Javascript muß eingeschaltet sein o.ä.).
Andererseits: Ich habe jetzt unter Opensuse 10.2 und Debian Sarge alles sinngemäß gleich eingestellt. Ergebnis: Suses Konqueror 3.5x ist von der Geschwindigkeit her recht durchwachsen, Debians Konqueror 3.3x rennt wie der Teufel. Sehr merkwürdig.
Das mit Firefox habe ich übrigens noch nicht akzeptiert. Vielleicht macht Iceweasel diesen Mist ja nicht mit. Uns so wie es aussieht, kommt in Etch ja sehr wahrscheinlich die ältere, noch nicht "verseuchte" Firefoxversion zum Einsatz.
(ich musste den link umbrechen, da: Die maximale Länge eines Wortes in diesem Absatz darf nicht 80 Zeichen überschreiten....- der link gehört in eine Zeile)
Solange man keine echten persönlichen Daten im Firefox speichert also konsequent auf pseudonyme setzt und nichts speichert was einen bezug zur real existierenden Person erlaubt ist es normalerweise nicht notwendig die Funktion abzuschalten.
Die größte Sicherheitslücke ist eben immer noch der Benutzer der eben persönliche Daten an nicht vertrauliche Seiten gibt. ich verstehe auch überhaupt nicht was alle gegen Cookies haben, die sind ja auch nützlich und sorgen z.b. dafür dass man nur interessante werbung eingeblendet bekommt
Von antiStephan am Do, 14. Dezember 2006 um 13:51 #
Wozu soll diese clientseitige Datenspeicherung gut sein? Reicht der serverseitige Festplattenspeicher nicht mehr aus? Warum hat Firefox sowas überhaupt implementiert?
Es könnte offline-Web-Apps möglich machen, weil mehr gespeichert werden kann als sonst.
Mit mangelndem Datenschutz bzw. Privatsphäre hat das aber nichts zu tun, weil in Cookies heutzutage nur noch eine ID gespeichert wird - alles andere ist online auf den Servern. Und selbst wenn - es ist übertrieben, immer von Privatsphäre/Datenschutz-Problemen zu jammern im Zusammenhang mit Cookies/Persistent Storage - die Seiten, die am meisten Daten sammeln, sind die Seiten, wo man sich einloggt bzw. einloggen muss.
Warum habt ihr die, afaik korrekte, Kritik an der News unter den Threshold gesetzt?
Nehmts mir nicht krumm, aber ihr bringt eure Meinung zur Privatsphäre vor, gleichzeitig seit ihr aber durchaus ein bischen am zensieren. Das ist nicht wirklich angemessen. (ja, ich weiß das es keine Zensur ist, aber es wirkt einfach unglücklich).
Die Kritik war zu kurz von Peter, aber ihn deswegen ausblenden? Da gibts bessere Methoden.
Mensch das ist ein Satireartikel, lies doch mal Vom Standpunkt des Datenschutzes und der Privatspäre ist diese Einstellung katastrophal
Achso der Passwortmanager ist natürlich NICHT gefährlich und noch weniger katastrophal, Nein das ist sogar ungefährlich. Denn wenn ich mich auf einer Seite anmelde habe ich prinzipiell nie etwas dagegen, dass mir wildfremde Leute beim Betrachten ihrer Postings oder ihres Profils meine Passwörter auslesen. Immerhin sind in onlinemcomunities (ebay, studi-vz) alle wie eine grosse Familie. Also also der Passwordmanager-bug ist kein Bug sondern Feature, welches dazu dient dazu das Soziale miteinander in online Communities zu verbessern. Gefährlich wird es erst wenn der Betreiber der Seite statistiken über mein Surfverhalten erstellt, das verletzt dann schon voll die Privatsphäre.
Mal ganz ehrlich, in den Cookies ist genügend Platz um jedem User eine eindeutige ID zuzuweisen. Mehr ist garnicht nötig um einen Benutzer zu verfolgen. Irgend wie verstehe ich die ganze Aufregung nicht. Was lässt sich denn damit bitte so "katastrophales" machen was vorher nicht möglich war?
Vor einiger Zeit las ich mal was vom Umdenken im Sicherheitsbereich. So sollte alles verboten sein, was der User nicht explizit erlaubt hat. Anscheinend ist diese Denkweise nicht bis zu den Firefox-hackern durchgedrungen.
Von Hans Maulwurf am Do, 14. Dezember 2006 um 22:21 #
Der Artikel im Firefox-Wiki zu Session Storage (http://www.firefox-browser.de/wiki/Session_Storage) beschreibt das Verhalten von Firefox genauer. Daraus und aus den verlinkten Bugzilla-Einträgen geht eindeutig hervor, daß die Steuerung durch den Benutzer über die Cookie-Einstellungen erfolgt:
"Die Ablage wird genauso wie Cookies gehandhabt und folgt deren Konfiguration.
* Sind Cookies deaktiviert, so ist auch die Ablage deaktiviert (es sei denn, sie befindet sich in den Ausnahmen). * Werden alle Cookies zugelassen, so ist auch die Ablage aktiviert (außer der Server befindet sich unter den Ausnahmen). * Werden Cookies beim Beenden des Browsers gelöscht, werden auch die Daten der Ablage gelöscht."
Mit den im Firefox-Wiki verlinkten Beispielen kann das jeder auch selbst überprüfen. Deshalb halte ich Session Storage für keine Verschlechterung der Privatsphäre im Vergleich zu Cookies.
Bug 335540 - Implement webapps session and persistent storage https://bugzilla.mozilla.org/show_bug.cgi?id=335540
Bug 341524 - Make webapps session storage follow the cookie prefs https://bugzilla.mozilla.org/show_bug.cgi?id=341524
Hätte, wäre, könnte. Wie soll ich als Nutzer alles das überprüfen, was sich nach dem Eintippen von "about:config" offenbart? Vertrauen ist in einem solchen Fall das Wichtigste. Und das ist jetzt vollkommen zerstört.
Es ist ganz einfach: Flash-Cookies? Folge: Flash deinstalliert. "dom.storage.enabled" auf true gesetzt? Folge: Firefox deinstalliert. Ich habe keine Lust, jetzt alle "about:config"-Einträge dahingehend abzuchecken, ob irgendetwas hiervon meine Datenschutzrechte und meine Privatsphäre verletzt.
Zudem stinkt es mir sowieso schon seit langem, daß jede neue Firefox- oder Seamonkey-Version, die ich von mozilla.org herunterlade, jeden Datengau-Mist schon aktiviert hat (z.B. im Hinblick auf die klassischen Text-Cookies: aktiviert ist immer "solange sie gültig sind" und nicht "bis Firefox geschlossen wird".) Und schließlich ist dieses "dom.storage.enabled" ja ebenfalls schon aktiviert. Na ja, das wird ja schon keiner merken!
Wenn ich den Text unter http://www.firefox-browser.de/wiki/Session_Storage schon lese: "Diese Funktion nennt sich Browser-seitige Sitzungen und Speicherung von dauerhaften Daten (Client-side session and persistent storage) und wird hier kurz als Storage oder "Ablage" bezeichnet. Es ist als Ergänzung zu Cookies gedacht und bietet etwas mehr an Funktionalität als jene." Ich bin an so einer "Trojaner-Funktion" nicht interessiert, genausowenig wie an Cookies gleich welcher Couleur.
"Speicherung von dauerhaften Daten": Völlig inakzeptabel!!!
Das Ganze ist auf die Unwissenheit und Überrumpelung der Nutzer ausgelegt, warum hätte man eine solche Funktion auf diese Weise implementieren sollen? Warum steht das nicht in den Datenschutzeinstellungen im Browser selbst ausdrücklich drin?
Ich hätte so etwas Microsoft nie durchgehen lassen, da mache ich mit Mozilla keine Ausnahme.
Ich finde, das ist etwas zu kurz gedacht. Was ich auch noch bedenklich finde, auch wenn es vielleicht ein Einzelfall sein mag, ist, daß in dem zweiten Bugreport Nutzer des Browsers einmal als "idio^H^H^H^Hpeople" bezeichnet wurden. Ehrlich gesagt, zähle ich mich zu den angesprochenen "idio^H^H^H^Hpeople" und möchte einen solchen Super-Cookie im Preferences-Panel ausschalten können. Und wenn ich das tatsächlich mit den normalen Cookie-Einstellungen ausschalten kann, dann muß das trotzdem dastehen, da dieses Feature ansonsten immer noch vor dem Nutzer verborgen bleibt. Aus dem Text geht das nicht eindeutig hervor. Ist es nun explizit wirklich so, daß der "dom.storage.enabled"-Supercookie session-only ist, wenn die Cookies auf session-only gestellt wurden? Und vor allen Dingen: Wie kann ich diese angebliche Löschung des Supercookies nach Sitzungsende kontrollieren? Wo wird der Datenmüll abgespeichert? Es scheint sich hier nicht um ein paar kb, sondern um einige MB zu handeln.
Von Hans Maulwurf am Sa, 16. Dezember 2006 um 13:05 #
Firefox speichert die Daten für "Global Storage" (sitzungsübergreifende Daten) in einer Sqlite-Datenbank im Profil. Den Inhalt dieser Datenbank namens webappsstore.sqlite kann man z.B mit der Erweiterung Storage Inspector (https://addons.mozilla.org/firefox/3072/) betrachten. Ich habe mit dem Beispiel zu "Global Daten speichern (gloabalStorage)" von http://www.lubyte.de/webentwicklung/javascript/storage verschiedene Cookie-Einstellungen ausprobiert:
Cookies nicht akzeptieren: Beispiel funktioniert nicht. Cookies akzeptieren, Behalten, bis Firefox geschlossen wird: Beispiel funktioniert nur während einer Sitzung. Alle Cookies entfernen: Daten werden gelöscht.
Das Verhalten von Firefox müsste aber wirklich klarer mitgeteilt werden, sonst kommt es zu einem Vertrauensverlust, obwohl die Vorwürfe unbegründet sind. Selbst in der c't stand ein Artikel der in die selbe Richtung wie der Pro-Linux Artikel geht (http://www.firefox-browser.de/forum/viewtopic.php?t=43471).
Eine Möglichkeit: Poste Deine Frage doch einfach auf http://my.opera.com/community/forums/ Opera ist zwar Closed Source-Freeware, aber wenn diese Firma den Datenschutz genau so einhält, wie sie es verlautbaren, dann könnte Opera tatsächlich eine Alternative sein. Das ist dann aber wieder eine Frage des Vertrauens, eine Kontrolle dürfte wohl unmöglich sein. Bei aller Kritik an Firefox: Immerhin ist für diejenigen Nutzer, die es schon wissen, der entsprechende Eintrag in "about:config" manuell zugänglich. Aber wie schon gesagt, die "about:config" ist sehr umfangreich und die meisten Nutzer werden es trotz der Prolinux-Meldung wohl niemals erfahren.
Danke für den Tipp!
Selbst wenn man aber clientseitig datenspeicherung und cookies abschaltet dann gibt es immer noch z.b. flashplugins die ebenfalls cookies setzen. Also am Ende doch sehr viel Aufwand dafür um das eigene Surfverhalten vor Anbietern zu schützen.
Das ist unterstes Niveau, einen solchen "Übercookie" derart zu verstecken.
Man merkt, wie kommerziell die Mozilla-Mutterfirma mittlerweile geworden ist. Das haben die bestimmt mir Ihren Internetwerbepartnern, Google und Konsorten ausgeheckt, um noch ein paar Milliönchen dazu verdienen zu können.
Ich schau mir noch Seamonkey an, wenn es da genauso sein sollte, ist Mozilla für mich tot.
http://kb.mozillazine.org/Dom.storage.enabled
"Has an effect in
* Mozilla Firefox (nightly builds after 2006-08-18; 2.0)
* SeaMonkey (nightly builds after 2006-08-18)"
Seamonkey 1.06 hat diesen "dom.storage.enabled"-Eintrag noch nicht, die Beta von Seamonkey 1.1 hat ihn aber bereits.
Sehr schade!
Ich kenne mich da leider nicht aus:
Kann man, wenn man die Sourcen nimmt, diesen Datengauschrott "herauskompilieren"?
Konqueror (ich nutze ihn unter Windowmaker) ist ein bißchen zäh, manchmal ein bißchen langsam, innerhalb der Webseiten eines Webangebots aber sehr schnell (mit Ausnahme von Seiten wie spiegel.de). Das Abschalten von IPv6 hilft ein wenig weiter. Unter Suse ist zudem noch der nscd standardmäßig eingeschaltet. Hilft aber irgendwie alles nicht so wirklich, ich werde mich wohl mit dem dns-cache-Problem (siehe anderer Thread) beschäftigen müssen.
Andererseits: Ich habe jetzt unter Opensuse 10.2 und Debian Sarge alles sinngemäß gleich eingestellt. Ergebnis: Suses Konqueror 3.5x ist von der Geschwindigkeit her recht durchwachsen, Debians Konqueror 3.3x rennt wie der Teufel. Sehr merkwürdig.
Das mit Firefox habe ich übrigens noch nicht akzeptiert. Vielleicht macht Iceweasel diesen Mist ja nicht mit. Uns so wie es aussieht, kommt in Etch ja sehr wahrscheinlich die ältere, noch nicht "verseuchte" Firefoxversion zum Einsatz.
Ich nehme also an das man damit nicht besser dran ist.
Wusste bis vor kurzem auch nicht, dass es zu Flash auch noch Cookies gibt. So eine Seuche...
www.macromedia.com/support/documentation/de/
flashplayer/help/settings_manager03.html
(ich musste den link umbrechen, da: Die maximale Länge eines Wortes in diesem Absatz darf nicht 80 Zeichen überschreiten....- der link gehört in eine Zeile)
und "Festplatten Speicher" auf keinen stellen?
Danke für die Aufklärung
Mit mangelndem Datenschutz bzw. Privatsphäre hat das aber nichts zu tun, weil in Cookies heutzutage nur noch eine ID gespeichert wird - alles andere ist online auf den Servern.
Und selbst wenn - es ist übertrieben, immer von Privatsphäre/Datenschutz-Problemen zu jammern im Zusammenhang mit Cookies/Persistent Storage - die Seiten, die am meisten Daten sammeln, sind die Seiten, wo man sich einloggt bzw. einloggen muss.
Nehmts mir nicht krumm, aber ihr bringt eure Meinung zur Privatsphäre vor, gleichzeitig seit ihr aber durchaus ein bischen am zensieren. Das ist nicht wirklich angemessen. (ja, ich weiß das es keine Zensur ist, aber es wirkt einfach unglücklich).
Die Kritik war zu kurz von Peter, aber ihn deswegen ausblenden? Da gibts bessere Methoden.
Vom Standpunkt des Datenschutzes und der Privatspäre ist diese Einstellung katastrophal
Achso der Passwortmanager ist natürlich NICHT gefährlich und noch weniger katastrophal, Nein das ist sogar ungefährlich. Denn wenn ich mich auf einer Seite anmelde habe ich prinzipiell nie etwas dagegen, dass mir wildfremde Leute beim Betrachten ihrer Postings oder ihres Profils meine Passwörter auslesen. Immerhin sind in onlinemcomunities (ebay, studi-vz) alle wie eine grosse Familie. Also also der Passwordmanager-bug ist kein Bug sondern Feature, welches dazu dient dazu das Soziale miteinander in online Communities zu verbessern. Gefährlich wird es erst wenn der Betreiber der Seite statistiken über mein Surfverhalten erstellt, das verletzt dann schon voll die Privatsphäre.
sys0
Jetzt benutze ich Firefox aber schon eine Weile und möglicherweise sind schon Daten gespeichert.
Frage: Wie lösche ich bereits gespeicherte Daten???
"Die Ablage wird genauso wie Cookies gehandhabt und folgt deren Konfiguration.
* Sind Cookies deaktiviert, so ist auch die Ablage deaktiviert (es sei denn, sie befindet sich in den Ausnahmen).
* Werden alle Cookies zugelassen, so ist auch die Ablage aktiviert (außer der Server befindet sich unter den Ausnahmen).
* Werden Cookies beim Beenden des Browsers gelöscht, werden auch die Daten der Ablage gelöscht."
Mit den im Firefox-Wiki verlinkten Beispielen kann das jeder auch selbst überprüfen. Deshalb halte ich Session Storage für keine Verschlechterung der Privatsphäre im Vergleich zu Cookies.
Bug 335540 - Implement webapps session and persistent storage
https://bugzilla.mozilla.org/show_bug.cgi?id=335540
Bug 341524 - Make webapps session storage follow the cookie prefs
https://bugzilla.mozilla.org/show_bug.cgi?id=341524
Wie soll ich als Nutzer alles das überprüfen, was sich nach dem Eintippen von "about:config" offenbart?
Vertrauen ist in einem solchen Fall das Wichtigste. Und das ist jetzt vollkommen zerstört.
Es ist ganz einfach:
Flash-Cookies? Folge: Flash deinstalliert.
"dom.storage.enabled" auf true gesetzt? Folge: Firefox deinstalliert.
Ich habe keine Lust, jetzt alle "about:config"-Einträge dahingehend abzuchecken, ob irgendetwas hiervon meine Datenschutzrechte und meine Privatsphäre verletzt.
Zudem stinkt es mir sowieso schon seit langem, daß jede neue Firefox- oder Seamonkey-Version, die ich von mozilla.org herunterlade, jeden Datengau-Mist schon aktiviert hat (z.B. im Hinblick auf die klassischen Text-Cookies: aktiviert ist immer "solange sie gültig sind" und nicht "bis Firefox geschlossen wird".) Und schließlich ist dieses "dom.storage.enabled" ja ebenfalls schon aktiviert.
Na ja, das wird ja schon keiner merken!
Wenn ich den Text unter http://www.firefox-browser.de/wiki/Session_Storage
schon lese:
"Diese Funktion nennt sich Browser-seitige Sitzungen und Speicherung von dauerhaften Daten (Client-side session and persistent storage) und wird hier kurz als Storage oder "Ablage" bezeichnet. Es ist als Ergänzung zu Cookies gedacht und bietet etwas mehr an Funktionalität als jene."
Ich bin an so einer "Trojaner-Funktion" nicht interessiert, genausowenig wie an Cookies gleich welcher Couleur.
"Speicherung von dauerhaften Daten": Völlig inakzeptabel!!!
Das Ganze ist auf die Unwissenheit und Überrumpelung der Nutzer ausgelegt, warum hätte man eine solche Funktion auf diese Weise implementieren sollen?
Warum steht das nicht in den Datenschutzeinstellungen im Browser selbst ausdrücklich drin?
Ich hätte so etwas Microsoft nie durchgehen lassen, da mache ich mit Mozilla keine Ausnahme.
Ich empfinde die Art des PL Artikels tatsächlich als Panikmache.
Was ich auch noch bedenklich finde, auch wenn es vielleicht ein Einzelfall sein mag, ist, daß in dem zweiten Bugreport Nutzer des Browsers einmal als "idio^H^H^H^Hpeople" bezeichnet wurden.
Ehrlich gesagt, zähle ich mich zu den angesprochenen "idio^H^H^H^Hpeople" und möchte einen solchen Super-Cookie im Preferences-Panel ausschalten können. Und wenn ich das tatsächlich mit den normalen Cookie-Einstellungen ausschalten kann, dann muß das trotzdem dastehen, da dieses Feature ansonsten immer noch vor dem Nutzer verborgen bleibt.
Aus dem Text geht das nicht eindeutig hervor. Ist es nun explizit wirklich so, daß der "dom.storage.enabled"-Supercookie session-only ist, wenn die Cookies auf session-only gestellt wurden?
Und vor allen Dingen: Wie kann ich diese angebliche Löschung des Supercookies nach Sitzungsende kontrollieren?
Wo wird der Datenmüll abgespeichert? Es scheint sich hier nicht um ein paar kb, sondern um einige MB zu handeln.
Ich habe mit dem Beispiel zu "Global Daten speichern (gloabalStorage)" von http://www.lubyte.de/webentwicklung/javascript/storage verschiedene Cookie-Einstellungen ausprobiert:
Cookies nicht akzeptieren: Beispiel funktioniert nicht.
Cookies akzeptieren, Behalten, bis Firefox geschlossen wird: Beispiel funktioniert nur während einer Sitzung.
Alle Cookies entfernen: Daten werden gelöscht.
Das Verhalten von Firefox müsste aber wirklich klarer mitgeteilt werden, sonst kommt es zu einem Vertrauensverlust, obwohl die Vorwürfe unbegründet sind. Selbst in der c't stand ein Artikel der in die selbe Richtung wie der Pro-Linux Artikel geht (http://www.firefox-browser.de/forum/viewtopic.php?t=43471).
ich benutze sowol Firefox als auch Opera.
Weiß jemand von euch ob Opera auch eine clientseitige Datenspeicherung betreibt?
Ansonsten wäre Opera eine gute Alternative.
Opera ist zwar Closed Source-Freeware, aber wenn diese Firma den Datenschutz genau so einhält, wie sie es verlautbaren, dann könnte Opera tatsächlich eine Alternative sein.
Das ist dann aber wieder eine Frage des Vertrauens, eine Kontrolle dürfte wohl unmöglich sein.
Bei aller Kritik an Firefox: Immerhin ist für diejenigen Nutzer, die es schon wissen, der entsprechende Eintrag in "about:config" manuell zugänglich. Aber wie schon gesagt, die "about:config" ist sehr umfangreich und die meisten Nutzer werden es trotz der Prolinux-Meldung wohl niemals erfahren.