Datenschutz bei HTML5 Der Cookie, der ewig am Surfer klebt
Trotz der weitverbreiteten Begeisterung über den neuen Webstandard HTML5 werden neuerdings auch Bedenken laut: Die Angst vor einem hartnäckigen Dauercookie zum Beispiel.
Es klingt nach schöner neuer Web-Welt: Mit der sogenannten "HyperText Markup Language Version 5", kurz HTML5, könnten in den kommenden Jahren ganz neue Anwendungen im Browser möglich werden. Der Zug in Richtung HTML5 scheint nicht mehr aufzuhalten: Immer mehr Browser unterstützen immer mehr HTML5-Funktionen.
Die Motivation ist dabei ganz unterschiedlich. Google etwa hofft, mit der eingebauten Datenbankunterstützung Desktop-Software wie Microsoft Office in einigen Jahren den Rang ablaufen zu können. Bei Apple hingegen sieht man HTML5 vor allem als vollwertigen Ersatz zur verhassten (und von iPhone und iPad offiziell nicht unterstützten) Flash-Technik. Mit dieser Technik werden derzeit noch die meisten Internet-Videos dargestellt.
Anzeige
- HTML5 als Zukunftsgarant für Browser
-
HTML5 ist ein Webstandard, der seit 2004 vom Standardisierungsgremium World Wide Web Consortium (W3C) vorangetrieben wird. Auch große Unternehmen wie Apple und Google setzen derzeit massive Hoffnungen auf die Technik.
Dennoch rechnen Experten damit, dass es noch drei bis fünf Jahren dauern könnte, bis der Standard allgemeine Verbreitung und Anwendung findet. Ohnehin ist es so, dass ein Browser-Entwickler sich immer nur für einen Teil der angebotenen Elemente entscheidet.
Obwohl der Standard also eigentlich noch gar nicht endgültig verabschiedet ist, überbieten sich die Hersteller in den letzten Monaten mit Kompatibilitätsnachrichten. Apples Safari 5, Mozillas Firefox 4, Googles Chrome 6 und zuletzt auch Microsofts Internet Explorer 9 betrachten ein Ja zu HTML5 offensichtlich als Zukunftsgaranten.
- Vorteile des neuen Standards
-
Im Grunde genommen ist er eine Weiterführung und Synthese bestehender Standards. Die Hauptleistung von HTML5 besteht darin, dass er Plug-ins überflüssig macht, die man bislang benötigte, um sich in Webseiten eingebundene Videos, 3D-Grafiken für schnelle Spiele im Browser oder Geo-Daten anzeigen zu lassen. Sie können nun im Browser direkt gezeigt werden.
Flash ist Schätzungen zu Folge derzeit noch auf 98 Prozent aller Computer installiert. HTML5 könnte vor allem die Zukunft mobiler Anwendungen wie Spiele und Videos auf Smartphones voranbringen.
Tatsächlich betont Firmenboss Steve Jobs bei fast jeder Gelegenheit – zuletzt bei der Bekanntgabe der Quartalszahlen – mittlerweile stünden fast so viele HTML5- wie Flash-Videos im Internet bereit. Das stimmt vor allem deshalb, weil Google mit dem weltweiten Clip-Marktführer YouTube seine Filme längst parallel auch in HTML5 präsentiert.
Doch so rosig, wie mancher Unternehmensführer tut, ist die HTML5-Welt dann doch nicht. So existieren die unterschiedlichsten Implementierungen des vorläufigen Standards. In der aktuellen Version des Browsers Firefox kann man aufgrund von Lizenzproblemen HTML5-Videos nur abspielen, wenn sie in einem freien Videoformat kodiert sind. Apples Safari unterstützt derweil nur den kommerziellen Standard H.264. Google versucht deshalb gerade, einen eigenen, freien Videostandard in den Markt zu drücken, der lizenzfrei wäre.
Auch lässt sich noch nicht sagen, ob die schöne neue HTML5-Welt für die Nutzer nur Gutes bringt. Die Technik liefert nämlich einige Funktionen, die Datenschützer Albträume bereiten. Dazu gehört die erwähnte Datenbankunterstützung: Statt nur kleiner Datenkrümel wie bislang üblich, können Betreiber von Web-Seiten künftig größere Informationsmengen auf der Festplatte des Nutzers ablegen. Google nutzt das beispielsweise für die Offline-Unterstützung bei Google Mail: Ist der Nutzerrechner vom Netz getrennt, wird auf eine lokal abgelegte Kopie des Nachrichtenspeichers zugegriffen.
Die Datenbankfähigkeit von HTML5, die es gleich in mehrfacher Ausführung gibt, lässt sich zum Ablegen sogenannter Dauercookies nutzen, wie der Sicherheitsforscher Samy Kamkar kürzlich demonstrierte. Momentan sind Cookies noch relativ kleine Datenkrümel. Werbefirmen und Website-Betreiber nutzen sie zum Tracking einzelner Computer und zu Statistikzwecken. Sie lassen sich relativ einfach über die Browser-Einstellungen entfernen, was viele Nutzer mittlerweile wissen. Mit HTML5 wird das schwieriger: Der User wird oftmals gar nicht mitbekommen, dass es diesen Speicher gibt und was er enthält. Eigentlich wären die Browser-Hersteller in der Pflicht, darüber aufzuklären.
Anzeige
- Datum 19.10.2010 - 17:24 Uhr
- Seite 1 | 2 | Auf einer Seite lesen
- Quelle ZEIT ONLINE
- Kommentare 4
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
"[XSLT10]
XSL Transformations (XSLT) Version 1.0, J. Clark. W3C"[
http://dev.w3.org/html5/s...
].
"Editor's Draft 19 October 2010"[
http://dev.w3.org/html5/s...
].
Im Html5 bleibt seit der Erfindung des Cookie im Washington Browser: Der in einem temporären _versteckten_ Verzeichnis generierte Cookie kann durch intensive Suche gefunden und
entfernt werden.
Eine opake Datenbank von Keksen findet man beim Durchgang.
Alle Files muss man anschauen ! Dies bedeutet Sicherheit !
Danke für diesen klar strukturierten und instruktiven Beitrag.
Danke für diesen klar strukturierten und instruktiven Beitrag.
Danke für diesen klar strukturierten und instruktiven Beitrag.
Eine solche Mixtur aus korrekten, irreführenden, übertriebenen und schlicht falschen Informationen in der ZEIT zu veröffentlichen, dazu gehört schon Mut.
Zum ersten muss man beim Begriff HTML5 bereits zwischen zwei verschiedenen Entwicklungssträngen unterscheiden. Da aber im Kasten ausdrücklich auf W3C verwiesen wird, kann ich mich hier auf diese Schiene beschränken.
Erstens ist HTML 5 vom W3C noch gar nicht verabschiedet. Auch hat keine offizielle Browser-Version HTML5 bereits implementiert.
Sodann: es gibt keine HTML5-Videos. Es gibt Videoformate, die von HTML5 direkt unterstützt werden. Es ist auch zukünftig Sache des jeweiligen Browsers, welche dieser Formate er direkt unterstützt.
Es gibt bereits jetzt Cookies (insbesondere von Flash), die nicht unter den normalen Cookies eines Browsers auftauchen. Und es gibt, wie von Kankar demonstriert, Cookies, die nicht leicht zu entfernen sind. Aber die Panikmache Schwans ist unberechtigt. Flash-Cookies lassen sich beispielsweise bereits jetzt in Firefox 3.6.x mit der Erweiterung Better Privacy problemlos entsorgen. Und im verlinkten Artikel zu Kankar wird ebenfalls darauf verwiesen, dass im Privat-Modus des selben Firefox (ohne Erweiterung!) sich auch die sogenannten "Dauercookies" nicht halten können.
Statt in Panik zu machen, hätte Herr Schwan also besser daran getan, auf sinnvolle Sicherheitsmaßnahmen wie richtige Browserwahl, verfügbare Sicherheitstools sowie Aufmerksamkeit der Benutzer hinzuweisen.
Ein wenig hilfreicher Artikel, der (typisch deutsch) den Zwischenstand dramatisiert, lange bevor das Ziel in Sicht ist - Ian Hickson rechnet damit, dass HTML5 im Jahr 2022 (!) eine W3-Recommendation wird.
Man könnte diesen Zweiseiter zusammenfassen mit "Mein GOTT; was böse Menschen/Firmen damit alles anstellen könnten! Friede; das kommt uns nicht ins Haus!"
Ja, Offline Storage hat Missbrauchpotenzial. Man kann aber auch mit Word-Dateien Erschröckliches tun; ausführbaren Code in die Kegelclubmitgliederliste schummeln etc.
Auf der Haben-Seite: Eine lokale DB ermöglicht Webanwendungen, die auch offline funktionieren - komplexe, stabile Programme, die im Browser laufen, überall verfügbar sind und dem Benutzer brav von Rechner zu Rechner folgen.
Ich gehe davon aus, dass alle Browserhersteller schon aus Wettbewerbsgründen Mechanismen zum Einsehen und Ausjäten der lokalen Datenbanken implementieren werden. Ein Doppelsatz wie dieser aber:
"Der User wird oftmals gar nicht mitbekommen, dass es diesen Speicher gibt und was er enthält. Eigentlich wären die Browser-Hersteller in der Pflicht, darüber aufzuklären."
... ist unredlich. Da fordert ein Autor, der sich einer Grusel-affinen Leserschaft ("Google böse! Microsoft auch!") sicher weiß, dass Firmen sich jetzt schon an den Pranger stellen für Probleme, die bei zukünftigen Implementierungen auftreten *könnten*. Was denn noch?
Und warum die aktuelle Video-Codec-Debatte hier noch hereingerührt werden muss, ist mir auch nicht klar.
Bitte melden Sie sich an, um zu kommentieren