Flash-Cookie

Flash-Cookies oder Local Shared Objects (LSO) sind Dateien, in die Webseiten, welche Flash-Medien einbinden, benutzerspezifische Daten auf dem Rechner des sie abrufenden Benutzers schreiben und später wieder auslesen können. Verwaltet werden diese Dateien nicht vom Webbrowser selbst, sondern von seinem jeweiligen Flash-Player-Plugin.

Abgrenzung

Im Gegensatz zu herkömmlichen HTTP-Cookies ermöglicht diese Technik den Webseiten, Inhalte browserunabhängig und ohne Verfallsdatum auf dem Client-Rechner zu speichern. So werden Daten, die beim Betrachten von Flash-Inhalten (Filme, Streaming Media, Werbung usw.) mit einem Browser (z. B. Mozilla Firefox) geschrieben wurden, auch beim Betrachten der gleichen Internetseite mit einem anderen Browser (z. B. Internet Explorer) an den Server gesendet.

Im Gegensatz zu HTTP-Cookies sind Flash-Cookies nicht auf eine Größe von 4 KB begrenzt. Unter den Standardeinstellungen ist es möglich, 100 KB zu speichern. Sollte diese Größe überschritten werden, wird der Nutzer benachrichtigt. Falls der Nutzer zustimmt, kann der Speicherplatz in Stufen (0 kB, 10 kB, 100 kB, 1 MB, 10 MB, unbegrenzt) verändert werden.

Umgang mit Flash-Cookies

Problematisch ist, dass Flash-Cookies nicht von der Cookieverwaltung des Browsers administriert werden, sondern vom browserexternen Adobe-Flash-Programm selbst. Sie können über den Adobe-Einstellungsmanager verwaltet und gelöscht werden ^[1]. Auch können sie manuell oder mit Hilfe spezieller Software (Flash-Cookie-Killer, CCleaner) gelöscht werden.

Betriebssystemebene

Flash-Cookies werden beim Standard-Adobe-Flash-Plugin unter dem Benutzerordner des aktuell angemeldeten Benutzers angelegt. Sollten die entsprechenden Verzeichnisse nicht verfügbar sein, ist es dem Anwender nicht möglich, Flash-Cookies anzulegen und zu nutzen. Für gewöhnlich haben Flash-Cookies die Dateierweiterung .sol. Die Anwendungen legen innerhalb des zugewiesenen Speicherortes einen Domainordner an (Cookies von Wikipedia würden z. B. unter einem separaten Ordner de.wikipedia.org abgelegt). Bei selbst-ausführenden Flashprogrammen wird für gewöhnlich als Domain localhost genutzt – oder wie bei Adobe AIR für die Applikation separat ein Verzeichnis erstellt.

Standard-Speicherorte

Betriebssystem	Speicherort	Anmerkung
Microsoft Windows	%AppData%\Macromedia\Flash Player\#SharedObjects %APPDATA%\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys %APPDATA%\[AIR Paket ID]\Local Store\#SharedObjects\	%AppData% steht für das Benutzerverzeichnis Adobe-AIR-Anwendungen speichern separat in eigenen Ordner
Mac OS X	~/Library/Preferences/Macromedia/Flash Player/#SharedObjects ~/Library/Preferences/[AIR Paket ID] ~/Library/Preferences/Macromedia/FlashPlayer/macromedia.com/Support/flashplayer/sys	~ steht für das Benutzerverzeichnis Adobe-AIR-Anwendungen speichern separat in eigenen Ordner
Linux	~/.macromedia/Macromedia/Flash Player ~/.macromedia/Flash_Player/#SharedObjects	~ steht für das Benutzerverzeichnis

Anlegen von Flash-Cookies verhindern

Die Speicherung von Flash-Cookies lässt sich mit dem Einstellungsmanager des Flash-Players konfigurieren, der allerdings nur online über die Adobe-Website zugänglich ist.^[2]
Ohne Internetverbindung ist es dem Nutzer auch manuell möglich, das Speichern von Flash-Cookies zu steuern (Verzeichnisse siehe Tabelle).

• Unter Mac OS X reicht es aus, den Ordner mit Schreibschutz zu versehen. Seitenspezifische Einstellmöglichkeiten des Flashplayers sind dann jedoch nicht mehr möglich. Auch ist es möglich, die Domainordner separat zu sperren und nur einzelnen Seiten das Anlegen von Flash-Cookies zu verwehren.

• Unter Windows kann man die Verzeichnisse löschen und durch gleichnamige leere schreibgeschützte Dateien ersetzen. Auch ist es hier ebenfalls möglich, Domainordner separat zu „schützen“.

• Unter Linux ist es analog zu Mac OS X möglich, den Ordnern die Schreibrechte zu entziehen.

Firefox

Seit Version 5.0 löscht Firefox beim Löschen von Cookies auch Flash-Cookies. Zur Verwaltung der Flash-Cookies gibt es auch Browsererweiterungen wie BetterPrivacy.^[3] Mit dieser Erweiterung lässt sich das Löschen der Flash-Cookies automatisieren. Die Entwicklererweiterung Objection^[4] zeigt detaillierte Informationen zu den einzelnen Flash-Cookies, diese ist jedoch mit den aktuellen Firefoxversionen nicht kompatibel.

Externe Programme

Unabhängig vom Browser gibt es mittlerweile viele Programme, die es dem Nutzer ermöglichen, Cookies auf der Festplatte zu entfernen. So gibt es für Linux und Windows das Systembereinigungsprogramm BleachBit. Unter Windows gibt es mittlerweile viele Programme, die auch Flash-Cookies entfernen können.

Kritik

Durch die Vorteile der Flash-Cookies (umständlicher durch den Nutzer zu löschen, mehr Speicherplatz als HTTP-Cookies) haben viele Webseiten^[5] die Flash-Alternative als Ergänzung zu herkömmlichen Cookies erkannt. Im Gegensatz zu HTTP-Cookies sind ihre Flash-Äquivalente zumeist nur von Hand zu löschen^[6] oder es wird zumindest eine Browser-Erweiterung benötigt. Auch kann ein Flash-Cookie als eine Art Backup^[5] für ein HTTP-Cookie verwendet werden. Dies bedeutet, dass, auch wenn der Nutzer die HTTP-Cookies löscht, diese bei dem erneuten Besuch wieder – anhand der Daten des Flash-Cookies – verfügbar sind. Als problematisch wird ebenfalls angesehen, dass die Flash-Cookies browserübergreifend agieren.^[7]

Rechtslage

Flash-Cookies können lediglich Einstellungen einer Webseite beinhalten. In Fällen, wo in den Cookies jedoch eine Möglichkeit der Identifikation (ID) eingerichtet ist und diese zur Aufzeichnung des Benutzerverhaltens dient, kann es nach § 3, Absatz 1, des deutschen Bundesdatenschutzgesetzes zur Rechtslage von personenbezogenen Daten kommen.^[8] In diesem Fall müsste die Einwilligung des Nutzers vor einer Speicherung eingeholt werden.

Klage

Am 23. Juli 2010 wurden die Internetseiten von MTV, ESPN, MySpace, Hulu, ABC, NBC und Scribd vor dem United States District Court (Central District of California) verklagt, da sie, laut Klageschrift, Flash-Cookies dazu genutzt haben, um HTTP-Cookies wiederherzustellen. Hierdurch konnte das Verhalten des Nutzers weiterhin verfolgt werden.^[9]

Einzelnachweise

1. ↑ Hilfe zu Flash Player, Website-Speichereinstellungen
2. ↑ Hilfe zu Flash Player – Globale Speichereinstellungen
3. ↑ https://addons.mozilla.org/de/firefox/addon/6623
4. ↑ http://objection.mozdev.org/
5. ↑ ^{a b} http://www.datenschutzbeauftragter-online.de/datenschutz-flash-cookies-zombies-datenschutzrecht/
6. ↑ http://www.pcfreunde.de/artikel/a61/flash-cookies-datensammler-der-naechsten-generation/
7. ↑ http://www.heise.de/newsticker/meldung/Expertin-warnt-vor-Flash-Cookies-750517.html
8. ↑ § 3 BDSG: Weitere Begriffsbestimmungen
9. ↑ http://www.wired.com/images_blogs/threatlevel/2010/07/CV10-5484-GW-JCGx-Complaint-Summons-Civil-Case-Cover-Sheet1.pdf

Weblinks

• Einstellungsmanager des Adobe Flash Players auf der Herstellerseite
• drweb.de: Flash-Cookies tricksen Cookie-Löscher aus
• Firefox-Erweiterung BetterPrivacy zur Verwaltung des Umgangs mit Flash-Cookies
• BleachBit-Herstellerseite