Wenn ein Anonymer Benuzter zum ersten mal ein Forum besucht und dann ein Posting verfasst, dann kann man ihm in der Regel ja ein Cookie unterschieben.

Wenn er nun aber sich aus dem Internet ausloggt und neu einloggt und dadurch eine neue dynamische IP Adresse bekommt, kann man dann das alte Cookie, dass man ihm zuvor untergeschoben hat wieder auslesen?

Wenn ja, könnte man damit aus einer Anzahl von mehreren anonymen Postern den einen herausfiltern?

alleine durch die IP Adresse hat der Staat alles braucht um dich zu belästigen

Der Forenbetreiber kann anhand des IP Adressblocks denen verschiedene Einwahlpunkte im Normalfall zugewiesen werden in etwa schätzen ob es der gleiche Benutzer ist.

Wenn der Cookie nicht gelöscht wird kann der Forenbetreiber (oder jeder sonstiger Webseitebetreiber) den Benutzer eindeutig wiedererkennen. Da braucht man nur die Seite besuchen.
Zum identifizieren gibt es aber wie gesagt die IP-Adresse und die Logs beim Provider, die daraus den Anschluss erkennbar machen.

Wenn dein Browser so eingestellt ist, dass er für Seite x keine Cookies annimmt, kann man doch keines untergeschoben bekommen.
Ich meine, solange man nicht eingeloggt ist, braucht man von einem Forum keine Cookies.

Du kannst beim Firefox Cookies solange behalten lassen... bis es geschlossen wird.

Oder, für die ganz ausgefuchsten Cookies-Schieber, BetterPrivacy benutzen.

Für den FIrefox und Kompatible gibt es sehr schöne Erweiterungen, um das Verhalten im Umgang mit Cookies zu kontrollieren. Ich selbst verwende CookieCuller. Damit werden grundsätzlich alle vorhandenen Kekse beim Start des Browsers gelöscht. Dazu kann man dann Ausnahmen definieren; die Cookies dieser Sites werden dann behalten. Hat gegenüber anderen Cookie-Control-Extensions den Vorteil, dass die Website der Meinung ist, sie dürfe Cookies setzen (was sie ja eigentlich auch darf, nur werden diese eben nicht behalten). Viele Sites bringen Fehlermeldungen, wenn sie keine (Session-)Cookies setzen dürfen. Ansonsten ist z.B. CS Lite auch ganz brauchbar, verfolgt aber ein etwas anderes Konzept.

Eine Whitelist finde ich optimal, weil ich keinen Grund sehe, weshalb jede aufgerufene Website einen dauerhaften Cookie setzen sollen dürfte. Noch dazu, wenn sie auch noch Code von Werbeanbietern einbinden, die auch noch Trackingcookies setzen wollen.

Vorsicht: Die browserinternen EInstellungen betreffen nur HTTP-Cookies und nicht die sog. "Flash-Cookies/SuperCookies" (eigentlich LSO, Local storage object), wie sie von Plugins wie Adobe Flash gesetzt werden. Die unterliegen keinerlei Kontrolle durch den Nutzer über das Browserinterface, da Plugins grundsätzlich eigenständige Programme sind. Diese können mithilfe Flash theoretisch alle dem jeweiligen Benutzer zugänglichen Daten enthalten, sowie ungewollt eine z.B. durch TOR erlangte Anonymität sabotieren (das trifft generell auf Flash zu, weil es sich nicht an Proxy-Regeln im Browser hält). Es gibt eine weitere Firefox-Extensions namens BetterPrivacy, die die bequeme Verwaltung dieser LSOs erlaubt bzw. auch das regelmäßige Löschen. Von selbst würde die Haltbarkeit dieser Cookies nämlich nicht auslaufen, sie bleiben unbegrenzt lange erhalten und ausschließlich die Seite, die sie gesetzt hat, kann sie wieder löschen.

Wer wissen will, wo der Kram gespeichert wird:
GNU/Linux: ~/.macromedia/Flash_Player/#SharedObjects
Windows: %AppData%\Macromedia\Flash Player\#SharedObjects
MacOS: ~/Library/Preferences/Macromedia/Flash Player/#SharedObjects

<bezügl. Flash Cookies>


Wow! Danke, diese Info ist Goldwert. Das wußte ich echt nicht.
Wie sieht es mit anderen Plugins aus, z.B. Java?

Noch ne Frage zu den Flash Cookies.

Gibt es ein Programm mit dem man genau auslesen kann, was in den *.sol Dateien (Flash Cookies) genau drinsteht?

Wenn ich die in nem normalen Editor öffne, dann ist das alles kryptisch.


Und wie sieht es bei normalen HTML Cookies aus?

Und wie sieht es bei normalen HTML Cookies aus?Normale html-Cookies sind in erster erstmal nur Dateien. Ein ordentlicher, ehrlicher Serverbetrieber speichert dort die Informationen im Klartext (soweit möglich und sinnvoll). Niemand hält ihn aber davon ab, die Informationen zu verschlüsseln.

Für Flash-Cookies gibt es auch Editoren (http://en.wikipedia.org/wiki/Local_Shared_Object#Editors_and_toolkits), aber auch hier kann dir keiner helfen, wenn der Serverbetreiber da "bbbaacbcccba" reinschreibt und nur er weiß, was er damit meint.

Wenn er nun aber sich aus dem Internet ausloggt und neu einloggt und dadurch eine neue dynamische IP Adresse bekommt, kann man dann das alte Cookie, dass man ihm zuvor untergeschoben hat wieder auslesen?Ja. Cookies sind nicht an die IP des Nutzers gebunden.
Wer etwas anonymer surfen will, sollte also den Umgang seines Briowsers mit Cookies kontrollieren. Tips dazu gibt es ja hier schon genug.

mfg

Bin eben bei Heise (http://www.heise.de/newsticker/meldung/EFF-demonstriert-den-Fingerabdruck-des-Browsers-918262.html) über einen Artikel gestolpert, der ein Projekt der EFF beschreibt. Es geht darum, dass es trotz nicht vorhandener Cookies und dynamischer IP-Adresse für einen Website-Betreiber immer noch beschränkt möglich, einen Nutzer (bzw. dessen Browser) mehr oder weniger eindeutig zu identifizieren. Dazu bedient man sich einerseits des User-Agent-Strings, sowie des HTTP-Headers, welcher Dinge wie die verwendete Sprache oder akzeptierte MIME-Typen offenbart. Andererseits wird versucht, mittels Javascript an Informationen zu vorhandenen Schritarten, installierten Plugins oder auf der Festplatte vorhandenen LSOs zu gelangen. Der auf diese Weise ermittelte "Fingerabdruck" des Browsers ist dann mehr oder weniger eindeutig.

Ihr könnt den Test ja mal selbst machen:
http://panopticlick.eff.org/

Bei abgeschaltetem Javascript gibt es unter etwa 4000 Browsern lediglich einen einzigen, der den gleichen Fingerprint hat wie ich. Erlaube ich hingegen Javascript und andere aktive Inhalte sind die von meinem Browser gelieferten Daten unter allen bisher durchgeführten Tests einzigartig und ich bin somit zu identifizieren. Zum Verhängnis werden mir hier u.a. die durch Adobe Flash offenbarten Systemfonts, neben der doch recht seltenen Kombination aus User Agent und den restlichen Informationen.

Verbreitete Kombinationen aus Browser, Betriebssystem und installierten Plugins sind hier also tendenziell im Vorteil. Bei aktiviertem Javascript war ich sowohl mit Iceweasel, als auch einem aktuellen Chromium unter Linux x86-64 eindeutig wiederzuerkennen. Ohne Javascript geht man aber schon eher in der Masse unter. Daher NoScript. :)

Bin eben bei Heise (http://www.heise.de/newsticker/meldung/EFF-demonstriert-den-Fingerabdruck-des-Browsers-918262.html) über einen Artikel gestolpert, der ein Projekt der EFF beschreibt. Es geht darum, dass es trotz nicht vorhandener Cookies und dynamischer IP-Adresse für einen Website-Betreiber immer noch beschränkt möglich, einen Nutzer (bzw. dessen Browser) mehr oder weniger eindeutig zu identifizieren. Dazu bedient man sich einerseits des User-Agent-Strings, sowie des HTTP-Headers, welcher Dinge wie die verwendete Sprache oder akzeptierte MIME-Typen offenbart. Andererseits wird versucht, mittels Javascript an Informationen zu vorhandenen Schritarten, installierten Plugins oder auf der Festplatte vorhandenen LSOs zu gelangen. Der auf diese Weise ermittelte "Fingerabdruck" des Browsers ist dann mehr oder weniger eindeutig.

Ihr könnt den Test ja mal selbst machen:
http://panopticlick.eff.org/

Bei abgeschaltetem Javascript gibt es unter etwa 4000 Browsern lediglich einen einzigen, der den gleichen Fingerprint hat wie ich. Erlaube ich hingegen Javascript und andere aktive Inhalte sind die von meinem Browser gelieferten Daten unter allen bisher durchgeführten Tests einzigartig und ich bin somit zu identifizieren. Zum Verhängnis werden mir hier u.a. die durch Adobe Flash offenbarten Systemfonts, neben der doch recht seltenen Kombination aus User Agent und den restlichen Informationen.

Verbreitete Kombinationen aus Browser, Betriebssystem und installierten Plugins sind hier also tendenziell im Vorteil. Bei aktiviertem Javascript war ich sowohl mit Iceweasel, als auch einem aktuellen Chromium unter Linux x86-64 eindeutig wiederzuerkennen. Ohne Javascript geht man aber schon eher in der Masse unter. Daher NoScript. :)Ohne JS hab ich es nicht probiert, aber mit habe ich zwei, drei recht seltene Fonts, die mich in Kombination mit den anderen Merkmalen bzw. ziemlich sicher sogar allein) unique machen.

mfg