Cookies verraten Email-Adressen

Die für statistische Zwecke von Webservern auf der Festplatte von Benutzern abgelegten und anonymen Cookie-Dateien lassen sich missbrauchen. Mit einem geschickten Angriff lässt sich so der gläserne Surfer schaffen.

Jeder Webbrowser hat die Fähigkeit, Cookie-Dateien auf der Festplatte abzulegen. Die Cookies werden von Webservern versandt, um beispielsweise festzustellen, ob der Benutzer die Site schon einmal besucht hat. Der Browser schickt dazu später das Cookie an den Server, irgendwelche Benutzerdaten wie IP- oder gar Email-Adressen enthalten Cookies für gewöhnlich nicht.

Der US-Amerikaner John Smith hat nun auf seiner Webseite ein Verfahren dokumentiert, mit dem sich aus der Kombination von Email-Programmen und Cookies das Surfverhalten eines Benutzers transparent machen lässt. Dazu muss der Angreifer eine Email mit HTML-Inhalt verschicken. Die dafür nötigen Email-Adressen lassen sich bei Agenturen ebenso wie Postadressen für Werbezwecke kaufen.

Im HTML-Code der fraglichen Email ist dann beispielsweise der Abruf einer nur ein Pixel großen Bilddatei bei einer Firma für Werbebanner versteckt. Als Parameter der Abfrage wird die Email-Adresse eingetragen, an die die Mail ursprünglich ging. Mail-Clients wie Netscape Communicator oder Microsoft Outlook führen HTML-Anfragen in Emails automatisch ohne Rückfrage durch.

Der Webserver legt dann ein Cookie auf dem Zielrechner ab, das damit eindeutig einer Mail-Adresse zugeordnet ist. Wenn der Benutzer später Webseiten besucht, die von der selben Bannerfirma mit Werbung bedient werden, lässt er sich identifizieren. Mit der Auswertung der so gewonnen Daten lassen sich Benutzerprofile erstellen, die beispielsweise für zielgerichtete Werbe-Emails genutzt werden können.

John Smith hat wegen dieses Problems Beschwerde bei der US-Handelsbehörde FTC eingereicht. Sein Antrag wird von zahlreichen Privacy Groups, wie der Electronic Frontier Foundation EFF, unterstützt.

Als temporäre Lösung können besorgte Benutzer die Cookies im Netscape Communicator und im Microsoft Internet Explorer generell ausschalten, da die Mail-Programme der beiden Systeme die Browser für Cookie-Transfers benutzen. Damit hagelt es jedoch bei vielen Seiten, die Cookies benutzen, Fehlermeldungen. tecChannel setzt auf seinen Seiten keine Cookies ein. (nie)