Flash-Cookie

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Ein Flash-Cookie (oder Local Shared Object, kurz LSO) ist ein an den Adobe Flash-Player gebundenes Cookie – also eine Datei, in der beim Internetsurfen benutzerbezogene Daten auf dem PC des Anwenders zum späteren Wiederabruf durch die betreffende Website oder Webanwendung gespeichert werden. Flash-Cookies sind am Zielrechner nicht leicht zu verwalten und haben in der Regel eine längere Verweildauer als normale Text-Cookies. Weil in sie große Mengen benutzerspezifischer Daten geschrieben werden, die später wieder ausgelesen werden können, stellen sie ein Datenschutz-Problem dar. Obwohl die Dateien beim Surfen mit einem Webbrowser entstehen, funktionieren sie Browser-übergreifend und werden von seinem jeweiligen Flash-Player-Plugin verwaltet, welches die Daten zentral und browserunabhängig in der Dateisystemstruktur des verwendeten Betriebssystems ablegt. Ebenso wie der Adobe Flash-Player können auch andere Flash-Player, z. B. Gnash, Flash-Cookies anlegen.

Abgrenzung[Bearbeiten]

Im Gegensatz zu herkömmlichen „HTTP-Cookies“ ermöglicht es diese Technik den Webseitenbetreibern, Inhalte Browser-unabhängig und ohne Verfallsdatum auf dem Zielrechner (Client) zu speichern. So werden Daten, die beim Aufrufen von Flash-Inhalten (Filme, Streaming Media, Werbung usw.) über einen bestimmten Browser (z. B. Mozilla Firefox) geschrieben wurden, auch beim Betrachten der gleichen Internetseite mit einem anderen Browser (z. B. Internet Explorer) an den Zentralrechner (Host) gesendet. Der Host kann dann das Surfverhalten eines lokalen PCs nachvollziehen. Während klassische Cookies auf eine Größe von 4 KB begrenzt sind, können Flash-Cookies bis zu 100 KB speichern. Sollte diese Größe überschritten werden, wird der Nutzer benachrichtigt. Falls er zustimmt, kann der Speicherplatz in Stufen (0 kB, 10 kB, 100 kB, 1 MB, 10 MB, unbegrenzt) verändert werden.

Flash-Cookies können mit klassischen Cookies interagieren, indem sie diese, selbst wenn der Anwender sie explizit in seinem Browser gelöscht hat, kopieren, aufbewahren und beim nächsten Besuch der betreffenden Webseite wiederherstellen (re-spawning, englisch für "nachbrüten").

Umgang mit Flash-Cookies[Bearbeiten]

Auf der datenschutzrechtlichen Seite des Anwenders ist problematisch, dass Flash-Cookies nicht von der Cookieverwaltung des Browsers administriert werden, sondern vom browserexternen Adobe-Flash-Programm selbst. Sie können nur umständlich über den Adobe-Einstellungsmanager verwaltet und gelöscht werden.[1] Auch können sie manuell oder mit Hilfe spezieller Software (Flash-Cookie-Killer, CCleaner) gelöscht werden. Der Informationellen Selbstbestimmung läuft auch das Re-Spawning zuwider, weil es dem Benutzer die Kontrolle über die Cookies entzieht. Besonders aufgrund ihres Langzeitverhaltens stellen Flash-Cookies potenziell personenbezogene Daten dar, die dem § 3 Abs. 1 des Bundesdatenschutzgesetz unterliegen.

Speicherorte[Bearbeiten]

Flash-Cookies werden beim Adobe-Flash-Plugin unter dem Benutzerordner des aktuell angemeldeten Benutzers angelegt. Sollten die entsprechenden Verzeichnisse nicht verfügbar sein, ist es dem Anwender nicht möglich, Flash-Cookies anzulegen und zu nutzen. Für gewöhnlich haben Flash-Cookies die Dateierweiterung .sol. Die Anwendungen legen innerhalb des zugewiesenen Speicherortes einen Domainordner an (Cookies von Wikipedia würden z. B. unter einem separaten Ordner de.wikipedia.org abgelegt). Bei selbstausführenden Flashprogrammen wird für gewöhnlich als Domain localhost (beispielhaft für WinXP: Lokaler Datenträger (C:)\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects) genutzt – oder wie bei Adobe AIR für die Applikation separat ein Verzeichnis erstellt.

Standard-Speicherorte
Betriebssystem Speicherort Anmerkung
Windows
  • %AppData%\Macromedia\Flash Player\#SharedObjects
  •  %APPDATA%\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys
  •  %APPDATA%\[AIR Paket ID]\Local Store\#SharedObjects\
  • %AppData% steht für das Benutzerverzeichnis
  • Adobe-AIR-Anwendungen speichern separat in eigenen Ordner
Mac OS X
  • ~/Library/Preferences/Macromedia/Flash Player/#SharedObjects
  • ~/Library/Preferences/[AIR Paket ID]
  • ~/Library/Preferences/Macromedia/Flash Player/macromedia.com/support/flashplayer/sys
  • ~ steht für das Benutzerverzeichnis
  • Adobe-AIR-Anwendungen speichern separat in eigenen Ordner
Linux
  • ~/.macromedia/Macromedia/Flash Player
  • ~/.macromedia/Flash_Player/#SharedObjects
  • ~/.gnash/SharedObjects (bei der Nutzung von Gnash)
  • ~/.config/freshwrapper-data/Shockwave Flash/WritableRoot/#SharedObjects/ (bei der Nutzung des Freshplayer- und Pepperflash-Plugins)
  • ~/.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects (beim PepperFlash-Plugin in Google Chrome)

Flash-Cookies löschen / Anlegen verhindern[Bearbeiten]

Die Speicherung von Flash-Cookies lässt sich mit dem Einstellungsmanager des Flash-Players konfigurieren, der über die Systemsteuerung oder online über die Adobe-Website zugänglich ist.[2]
Ohne Internetverbindung ist es dem Nutzer auch manuell möglich, das Speichern von Flash-Cookies zu steuern (Verzeichnisse siehe Tabelle).

  • Unter Mac OS X reicht es aus, den Ordner mit Schreibschutz zu versehen. Seitenspezifische Einstellmöglichkeiten des Flashplayers sind dann jedoch nicht mehr möglich. Auch ist es möglich, die Domainordner separat zu sperren und nur einzelnen Seiten das Anlegen von Flash-Cookies zu verwehren.
  • Unter Windows kann man die Verzeichnisse löschen und durch gleichnamige leere schreibgeschützte Dateien ersetzen. Auch ist es hier ebenfalls möglich, Domainordner separat zu „schützen“.
  • Unter Linux ist es analog zu Mac OS X möglich, den Ordnern die Schreibrechte zu entziehen. Bei Gnash ist es möglich, in der Konfigurationsdatei 'gnashrc' einen anderen Speicherort einzustellen, z. B. /dev/null.
  • Zur Verwaltung von Flash-Cookies gibt es für Firefox auch Browsererweiterungen wie BetterPrivacy.[3] Mit dieser Erweiterung lässt sich das Löschen der Flash-Cookies automatisieren. Die Entwicklererweiterung Objection[4] zeigt detaillierte Informationen zu den einzelnen Flash-Cookies, diese ist jedoch mit den aktuellen Firefoxversionen nicht kompatibel.
Liste von Flash-Cookies auf einem PC – Ausschnitt aus einem Screenshot von BetterPrivacy[3]
  • Unabhängig vom Browser gibt es mittlerweile viele Programme, die es dem Nutzer ermöglichen, Cookies auf der Festplatte zu entfernen. So gibt es für Linux und Windows das Systembereinigungsprogramm BleachBit. Unter Windows gibt es mittlerweile viele Programme, die auch Flash-Cookies entfernen können.

Kritik[Bearbeiten]

Durch die Vorteile der Flash-Cookies (umständlicher durch den Nutzer zu löschen, mehr Speicherplatz als HTTP-Cookies) haben viele Webseiten[5] die Flash-Alternative als Ergänzung zu herkömmlichen Cookies erkannt. Eine US-amerikanische Studie von 2009 zählte erstmals die Verwendung von Flash-Cookies bei den populärsten 100 Webseiten und fand diese bei 89 davon, über die Hälfte speicherten damit Informationen über die Nutzer.[6] Im Gegensatz zu HTTP-Cookies sind ihre Flash-Äquivalente zumeist nur von Hand zu löschen[7] oder es wird zumindest eine Browser-Erweiterung benötigt. Auch kann ein Flash-Cookie als eine Art Backup[5] für ein HTTP-Cookie verwendet werden. Dies bedeutet, dass, auch wenn der Nutzer die HTTP-Cookies löscht, diese bei dem erneuten Besuch wieder – anhand der Daten des Flash-Cookies – verfügbar sind. Als problematisch wird ebenfalls angesehen, dass die Flash-Cookies browserübergreifend agieren.[8]

Rechtslage[Bearbeiten]

Deutschland[Bearbeiten]

Flash-Cookies dürfen ohne weiteres lediglich Einstellungen einer Webseite beinhalten. In Fällen, wo in den Cookies jedoch eine Möglichkeit der Identifikation (ID) eingerichtet ist und diese zur Aufzeichnung des Benutzerverhaltens dient, kann es nach § 3, Absatz 1, des deutschen Bundesdatenschutzgesetzes zur Rechtslage von personenbezogenen Daten kommen.[9] In diesem Fall muss die Einwilligung des Nutzers vor einer Speicherung eingeholt werden. Wird dies unterlassen, verstößt der Betreiber der Webseite gegen geltendes Recht. Gemäß der EU Cookie-Richtlinie, bzw. den dadurch geänderten Artikel 5 Absatz 3 der Richtlinie 2002/58/EG (ePrivacy-Richtlinie), ist das Setzen von Cookies grundsätzlich nur noch mit Einwilligung des Betroffenen erlaubt.[10][11]

Klagen in den USA[Bearbeiten]

Am 23. Juli 2010 wurden die Betreiber der Internetseiten von MTV, ESPN, MySpace, Hulu, ABC, NBC und Scribd vor dem United States District Court (Central District of California) verklagt, da sie, laut Klageschrift der Sammelklage,[12] Flash-Cookies dazu genutzt haben, um HTTP-Cookies wiederherzustellen. Hierdurch konnte das Verhalten des Nutzers weiterhin verfolgt werden.[5] Die Klage wurde mit einem Vergleich beendet, in dem die Beklagten die Vorwürfe zurückweisen und 2.5 Millionen US$ spenden für Forschung über Datenschutz im Internet.[13]

Eine weitere Sammelklage von 2011[14] wurde als unzulässig abgewiesen, da den Daten der Betroffenen kein Wert zugeschrieben wurde, der einem Verlust von über 5000 US$ gemäß Computer Fraud and Abuse Act (CFAA) entspricht.[15]

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. Hilfe zu Flash Player, Website-Speichereinstellungen
  2. Hilfe zu Flash Player – Globale Speichereinstellungen
  3. a b https://addons.mozilla.org/de/firefox/addon/6623
  4. http://objection.mozdev.org/
  5. a b c Datenschutz: sind Flash-Cookies bei Webseiten zulässig?. In: www.datenschutzbeauftragter-online.de. 3. August 2010. Abgerufen am 22. September 2015.
  6. Soltani, Ashkan and Canty, Shannon and Mayo, Quentin and Thomas, Lauren and Hoofnagle, Chris Jay, Flash Cookies and Privacy (August 10, 2009), doi:10.2139/ssrn.1446862.
  7. http://www.pcfreunde.de/artikel/a61/flash-cookies-datensammler-der-naechsten-generation/
  8. Expertin warnt vor Flash-Cookies. In: heise online. 12. August 2009. Abgerufen am 22. September 2015.
  9. § 3 BDSG: Weitere Begriffsbestimmungen
  10. Sebastian Kraska: Datenschutz: sind Flash-Cookies bei Webseiten zulässig?. In: Das Datenschutz-Blog www.datenschutzbeauftragter-online.de. 3. August 2010. Abgerufen am 23. September 2015.
  11. Richtlinie 2009/136/EG „Cookie Richtlinie“
  12. Edward Valdez v. Quantcast et al. (No. CV10-05484) Klageschrift, United States District Court (Central District of California), 23. Juli 2010
  13. Brian Tarran: Judge approves Quantcast and Clearspring settlement. In: research-live.com. 20. Juni 2011. Abgerufen am 22. September 2015.
  14. La Court v. Specific Media, Inc., 2011 (WL 2473399), United States District Court (Central District of California), 28. April 2011
  15. Shawn E. Tuma: 3 Recent Computer Fraud and Abuse Act Cases Worth Noting. 12. Juni 2011. Abgerufen am 22. September 2015.