Thema: Gefahren durch Cookies ...

[SiLæncer]

Das amerikanische CERT warnt vor einem Sicherheitsproblem, das vor allem in unsicheren Netzen wie zum Beispiel an WLAN-Hotspots zum Tragen kommt und dazu führen kann, dass Angreifer die Accounts ihrer Opfer komplett übernehmen können. Die Problematik als solche ist nicht neu und durchaus bekannt; das CERT will sie wohl den Anwendern wegen der Veröffentlichung von Tools wie Ferret erneut ins Bewusstsein rufen. Das auf der letzten Blackhat-Konferenz vorgestellte Tool sammelt in Funknetzen unter anderem Session-Cookies ein.

Bei vielen Diensten wie beispielsweise Google Mail, erfolgt zwar die Anmeldung verschlüsselt, sodass Lauscher im Netz die Zugangsdaten, also insbesondere das Passwort, nicht mitlesen können. Der eigentliche Zugriff auf den Dienst erfolgt dann jedoch oft aus Performance- und damit Kosten-Gründen unverschlüsselt. Um die nachfolgenden Zugriffe des Web-Browsers einer Sitzung zuzuordnen, setzt die Web-Site bei der Anmeldung ein Session-Cookie, das der Browser dann bei jedem weiteren Zugriff an den Server sendet.

Gelingt es einem Angreifer, ein solches Session-Cookie abzufangen, kann er damit unter Umständen die Sitzung des Users komplett übernehmen und auch ohne das Passwort zum Beispiel dessen Mail lesen. Überhaupt kann er alles, was keine erneute Eingabe des Passworts erfordert. Wenn das Cookie lange gültig ist und vom Web-Server nicht – etwa beim Abmelden – entwertet wird, kann der Übeltäter damit auch über einen längeren Zeitraum sein Unwesen treiben. Besonders gefährdet sind Nutzer von WLAN-Hotspots, weil jeder im gleichen Funknetz unverschlüsselt gesendete Daten einfach mitlesen kann. Aber auch in fest verkabelten Netzen kann ein Angreifer, der am gleichen Switch hängt, die Übertragung der Daten beispielsweise über ARP-Spoofing belauschen.

Das US-CERT will dieses Risko insbesondere auf den Web-Sites von Microsoft, Google und Yahoo ausgemacht haben; ob eBay und Myspace anfällig sind, ist derzeit noch unklar. Es gibt eine Reihe von Techniken, sich gegen dieses Angriffsszenario zu schützen. So hilft es beispielsweise, wenn man, wie es beispielsweise im Heise-Forum möglich ist, eine Sitzung an eine IP-Adresse koppeln kann. Einen Angreifer hinter dem gleichen NAT-Router hält das jedoch nicht ab und in einem Funknetz könnte er sich die benötigte IP-Adresse auch selbst greifen.

Wirklich vollständigen Schutz bietet nur die Verschlüsselung der kompletten Sitzung. Bietet der Dienstbetreiber das nicht an, können sich beispielsweise Hotspot-Nutzer vor dem neugierigen Nachbarn im Funknetz schützen, indem sie ihren kompletten Verkehr durch einen VPN-Tunnel leiten. Damit bleibt zwar der Übertragungsweg vom VPN-Endpunkt zum Web-Server ungeschützt. Aber zum Mitlauschen wäre dort dann schon Zugriff auf die Infrastruktur der Provider beziehungsweise Backbones erforderlich.

Quelle : www.heise.de

[SiLæncer]

Kate McKinley, IT-Security-Forscherin bei iSec Partners in San Francisco, hat vor Datenschutzproblemen durch Plug-ins wie Adobe Flash gewarnt. Die meisten Web-Programme böten zwar inzwischen einfach zu bedienende Möglichkeiten, private Spuren zu löschen, sagte die Expertin für Browser-Sicherheit gegenüber der Online-Ausgabe von Technology Review. Doch solche Datenkrümel, die von Plug-ins geschrieben würden, gehörten häufig nicht dazu.

So können Websites nicht nur reguläre Browser-Cookies schreiben, die sich über die Sicherheitseinstellungen von Firefox, Safari oder Internet Explorer löschen und einschränken lassen, sondern seit einigen Jahren auch spezielle Flash-Cookies, wenn sie das entsprechende Plug-in benutzen. Diese Datenkrümel halten sich auch dann noch, wenn der Nutzer den Browser wechselt, weil sie an einem eigenen Ort auf der Festplatte gespeichert werden.

Die auch "Local Shared Objects" genannten Datenpakete befinden sich unter Windows im Verzeichnis Programme unter "Macromedia", "Flash Player" und "#SharedObjects", unter Mac OS X in "~/Library/Preferences/Macromedia/Flash Player/#SharedObjects/". Flash-Cookies können deutlich mehr Daten als reguläre Web-Cookies umfassen (100 KByte statt 4 KByte) und zur Speicherung von Einstellungen, aber auch zum Nutzertracking etwa zu Werbezwecken verwendet werden.

Mehr zum Thema in Technology Review online:

    * Der Spion in meinem Browser

Quelle : www.heise.de

[SiLæncer]

Akzeptiert man beim Aufruf des nur online verfügbaren Einstellungsmanagers  des Flash-Players ein gefälschtes Zertifikat, können Angreifer die Konfiguration der Website-Zugriffsschutzeinstellungen manipulieren. In der Folge kann eine Webseite auf angeschlossene Webcams und Mikrofone zugreifen. Damit ließe sich der PC aus der Ferne als Abhörwanze oder Überwachungskamera missbrauchen.

Alexander Klink vom Fraunhofer SIT hat auf den "MetaRheinMain Chaosdays 111b " einen Angriff beschrieben (PDF), bei dem er sich beim Aufruf des Adobe-Einstellungsmananagers über eine Man-in-the-Middle-Attacke in die Verbindung schaltet. Der Einstellungsmanager ist selbst nur ein Flash Applet und wird von Adobes Seiten via HTTPS als SWF-Datei in den Browser geladen – der Link dorthin ist im Browser fest einkodiert.

Durch die MiTM-Attacke lässt sich jedoch ein manipuliertes Applet einschmuggeln, das vereinfacht gesagt auf dem Rechner des Opfers die Flash-Cookies (Local Shared Objects, LSO) manipuliert und auf diese Weise den Zugriff auf Webcam und Mikrofon für sämtliche Domains freigibt – standardmäßig hat keine Domain darauf Zugriff. Anschließend lassen sich Bild und Ton per RTMP-Stream zum Server des Angreifers senden.

Zwar ist ein Angreifer auf die Mithilfe des Anwenders angewiesen, der zum Aufbrechen der SSL-Verbindung ein gefälschtes Zertifikat akzeptieren muss, allerdings dürfte ein Fehler beim Aufruf einer zu Adobe gehörenden Macromedia-Seite nicht unbedingt allzuviel Argwohn erwecken. Adobe ist über das Problem informiert und denkt über eine neue GUI für den Einstellungsmanager nach. Klink schlägt vor, beim Aufruf bestimmter APIs externer Seiten einen Warnhinweis anzuzeigen. Zudem lässt sich durch Setzen der Option "AVHardwareDisable = 1" in der Konfigurations Datei mms.cfg der Zugriff auf Audio- und Video-Hardware für den Flash Player komplett deaktivieren. Wo man diese Datei findet, verrät Adobe unter anderem in einer Technote.

Quelle : www.heise.de

[SiLæncer]

Neben Cookies können Websites heute eine ganze Reihe von Speichertechniken einsetzen, um Browser eindeutig wiedererzukennen. Dazu zählen Flash-Cookies und diverse HTML5-Speichertechniken. Samy Kamkar hat nun auf seiner Homepage eine JavaScript-API vorgestellt, die diverse dieser Techniken kombiniert, um einen fast unlöschbaren Cookie-Zombie zu schaffen, den er selbst evercookie nennt.

Neben den bekannten Verfahren benutzt evercookie auch zwei ausgefallene Speichertechniken: PNG- und History-Caching. In ersterem wird die Cookie-ID in einer speziell angefertigten PNG-Datei gespeichert, die einige Browser via HTML-Canvas wieder auslesen können. History Caching benutzt das sogenannte History Stealing: Beim erstmaligen Besuch einer evercookie-Site kodiert diese die Cookie-ID in eine URL, die im Hintergrund aufgerufen wird. Diese lässt sich dann bei späteren Besuchen wieder aus der Browser-History rekonstruieren.

Alle Verfahren erklärt Kamkar auf seiner Homepage im Detail. Dort lässt sich evercookie auch ausprobieren. Hat der Benutzer mit "click to create an evercookie" ein Cookie angelegt, kann er versuchen, es aus seinem Browser zu entfernen. (Die Cookies bei Kamkar sind Werte zwischen 1 und 1000, mit denen er seine Technik demonstrieren, aber Benutzer nicht wirklich identifizieren kann.)

Für viele der Techniken gibt es keine endanwendertaugliche Löschfunktion im Browser. Daher dürften viele Besucher nicht alle der Teil-Cookies löschen können. Die Demo listet genau auf, welche der IDs die Löschversuche überlebt haben. Ruft der Benutzer die Seite ein weiteres Mal auf, hat evercookie alle mit dem jeweiligen Browser verfügbaren Teil-Cookies aus den vorhandenen wiederhergestellt. Da evercookie auch Browser-übergreifend funktionierende Flash-Cookies verwendet, pflanzt es sich auf allen Browsern des Systems fort.

Das als Version 0.2 Beta veröffentlichte evercookie funktioniert noch alles andere als hundertprozentig zuverlässig. So ließen sich mit der Beta des Internet Explorer 9 keine evercookies anlegen. Mit anderen Browsern zeigte es sporadische Probleme beim Wiederherstellen von Teil-Cookies. Dennoch gibt evercookie eine Idee davon, wie Website-Betrieber ihre Besucher im Blick behalten können. Einziger Schutz scheint derzeit das Surfen im Anonym-Modus zu sein. Testweise im entpsrechenden Modus von Chrome und Firefox angelegte evercookies waren nach der Sitzung nicht mehr vorhanden.

Kamkar stellt den Quelltext seines evercookies als Open Source zum Download bereit. Er will es weiter aufbohren, etwa um die Unterstützung für Isolated Storage in Silverlight.

Quelle : www.heise.de

[SiLæncer]

Dem vor rund vier Wochen vorgestellten Supercookie "Evercookie " lässt sich offenbar doch leichter beikommen als vermutet. Samy Kamkar hatte eine JavaScript-API vorgestellt, die mehrere Techniken zum Speichern von Informationen auf dem PCs eines Besuchers kombiniert, um einen nur schwer löschbaren Cookie-Zombie zu schaffen. Insbesondere HTML 5 erweitert den Browser um viele Speicherorte für verschiedene Daten. Webserver könnten damit zuverlässiger verfolgen, ob ein Besucher ihre Seiten schon einmal aufgerufen hat.

Mit wenigen Schritten ist es aber offenbar doch möglich, auch die von Evercookie verteilt abgelegten Informationen zu löschen – nur leider noch nicht über eine praktische Bedienoberfäche. Der Spezialist für Browser-Sicherheit Jeremiah Grossmann hat beispielsweise eine Anleitung veröffentlicht, wie man sich der Verfolgung unter Googles Browser Chrome entledigt. Unter Windows muss man dazu mögliche Silverlight- und Flash-Cookie sowie sämtliche Internetdaten löschen (Schraubenschlüssel/Tools/Suchdaten löschen).

Dominic White hat indes ein Anleitung für Firefox veröffentlicht. Für Safari auf Mac hat er sogar ein kurzes Skript geschrieben, das Evercookie löscht. Bei seinen Experimenten mit Safari Mobile auf dem iPhone stieß er allerdings auf Probleme. Dort legt jede App die MobileWebKit benutzt ihren eigenen Speicher für Cookies, den Cache und HTML-5-Daten an.

Ruft man die Funktion zum Löschen in dem im Zusammenhang mit der jeweiligen App geöffneten Safari auf, so gilt der Vorgang nur für diese App – die Browserspuren der anderen Apps bleiben unbehelligt. White hat ein Skript geschrieben, das Evercookie in allen installierten Webanwendungen löschen kann. Das funktioniert jedoch nur auf iPhones mit Jailbreak.

Quelle und Links : http://www.heise.de/newsticker/meldung/Killer-fuer-das-Zombie-Cookie-1122819.html

[SiLæncer]

Einige große Websites nutzen raffinierte Tracking-Techniken, mit denen sie Benutzer auch dann zurückverfolgen können, wenn sie dies zu verhindern versuchen – etwa durch Abweisen von Cookies und Surfen im privaten Modus. Wissenschaftler der Universität Berkeley haben die Mechanismen untersucht, die bekannte Angebote wie Amazon, Hulu, Spotify, Etsy oder GigaOm einsetzen, und sind dabei auf den Dienstleister KISSmetrics gestoßen.

Browser bringen längst brauchbare Werkzeuge mit, um mit gewöhnlichen HTTP-Cookies umzugehen. Lange Zeit galten die sogenannten Flash-Cookies (LocalStorage-Objekte) als größte Bedrohung für Datenschutz-sensible Nutzer, doch hat sich auf diesem Gebiet in letzter Zeit die Situation erheblich verbessert – die meisten Browser werfen inzwischen Flash-Cookies zusammen mit den anderen Keksen weg. Letztes Jahr machte jedoch ein "evercookie" Furore, das HTTP-, Flash- und Silverlight-Cookies mit HTML5-Techniken wie LocalStorage kombiniert. Auch ausgefallene Speichermethoden wie die alte userData-Technik des Internet Explorers, Caching mit Hilfe von PNG-Grafiken, History Stealing und HTTP-ETags kamen dabei zum Einsatz.

Kommerzielle Anbieter wie KISSmetrics sind mittlerweile auf einem ähnlichen Stand. Der Code des Tracking-Skripts macht es dem Benutzer praktisch unmöglich, dem Tracking zu entkommen. Wichtigste Stützen des Verfahrens sind offenbar HTTP- und Flash-Cookies, LocalStorage, IE-userData und ETags. Bei letzteren handelt es sich um einen HTTP-Header, der dem Browser eine Art Caching-Signatur mitteilt; die Website kann das ETag später wieder abfragen, um zu entscheiden, ob der Browser eine neue Version der betreffenden Datei benötigt.

KISSmetrics kann den Benutzer über mehrere seiner Kunden-Sites verfolgen und so umfangreiche Profilinformationen zusammentragen. Besonders peinlich ist die Angelegenheit für die Video-Website Hulu: Letztes Jahr waren die Tracking-Anbieter Clearspring und Quantcast verklagt worden, weil sie mit Hilfe von Flash-Cookies gelöschte HTTP-Cookies wiederherstellten; Hulu war einer von Quantcasts Kunden. Nach Informationen von Wired beendete Hulu jetzt umgehend die Zusammenarbeit mit KISSmetrics. Deren Gründer Hitten Shah betonte Wired gegenüber, dass KISSmetrics nichts Ungesetzliches und nichts Bösartiges tue.

In den USA und in Europa haben die Debatten über Tracking durch Webseiten in den letzten Jahren an Fahrt aufgenommen. Während die EU mit ihrem Beschluss, Cookies nur nach vorheriger Genehmigung durch den Benutzer zu erlauben, einige Verunsicherung angerichtet hat, scheint es in den USA derzeit auf eine Opt-out-Lösung hinauszulaufen, wie sie unter den Browser-Herstellern Mozilla befürwortet. Technisch scheint sich Tracking ohnehin nicht verhindern zu lassen: Laut einer Studie der Bürgerrechtsbewegung Electronic Frontier Foundation (EFF) ist fast jeder Browser eindeutig identifizierbar.

Quelle : www.heise.de

[Jürgen]

...fast jeder Browser eindeutig identifizierbar.

Das ist leider wahr.
Selbst eine manuell veränderte Browser-Signatur ändert daran nicht viel, weil die Mixtur an Plugins samt aller Sub-Sub-Versionen in der Regel immer noch ein praktisch eindeutiges Profil ergibt.
Hatten wir hier schon mehrfach.

Nun könnte man vielleicht meinen, es wäre sicherer, für verschiedene Zwecke unterschiedliche Browser einzusetzen.
Aber beispielsweise BetterPrivacy meldet mir unter Firefox (Portable, hier als Standardbrowser) eifrig LSOs, wenn ich parallel mit Opera Portable unterwegs bin.
Erstens sind diese missbrauchten Plugins selbst in aller Regel nicht portabel, sondern im System verankert, zweitens werden sie dann gemeinsam (bzw. abwechselnd) genutzt.
So gesehen helfen mehrere Browser auf demselben Betriebssystem hier nicht, sondern allenfalls streng getrennte Betriebssysteme oder Maschinen.
Oder, mit recht viel Handarbeit in den jeweiligen Browsern verbunden, für jeden konsequent getrennte alternative Erweiterungen.

Meines Erachtens wäre es sinnvoll, wenn ein freier Browser-Hersteller eine Version erstellen würde, die nach aussen hin immer auf dieselbe Art erscheint, meinethalben noch um eine veränderliche zufällige Komponente erweitert.
Nur müssten dafür wohl sämtliche Caches und Erweiterungen in eine Sandbox, die nach jeder Session gelöscht wird.

[SiLæncer]

Auf den Portalen des Videoanbieters Hulu und dem Internetdienstleister MSN wurden neuartige "Supercookies" eingesetzt, wie Wissenschaftler der Universitäten von Berkeley und Stanford kürzlich bekannt gaben. Während Hulu die Vorgänge überprüft, hat Microsoft bereits Abstand vom neuen Verfahren genommen. Die fleißigen Datensammler können nicht wie herkömmliche Cookies vom Computer entfernt werden.

Die bislang unbekannten "Supercookies" sind schwer zu lokalisieren und noch schwerer zu löschen. Bei Tests kamen nach der Löschung einige der Cookies inklusive aller gesammelter Daten einfach wieder zum Vorschein. Die Technik wird beim US-amerikanischen Videoportal Hulu und MSN eingesetzt. Hulu gab offiziell bekannt, die Vorfälle untersuchen zu wollen. Auf dem Blog Microsoft Privacy & Safety gab Mitarbeiter Mike Hintze bekannt, man habe den Einsatz der unlöschbaren Cookies sofort nach Erscheinen des Berichts der Wissenschaftler beendet. Auf den MSN-Servern wurden vor deren Deaktivierung Cookies festgestellt, die nach ihrer Löschung einfach wiederhergestellt wurden, inklusive der schon gesammelten Informationen.

Angeblich könne man bei Microsoft die Verfahrensweise nicht mit den Zielen des Unternehmens in Einklang bringen. Man plant die gesammelten Daten nicht an Dritte zu vertreiben, so Hintze weiter. Die Forscher fanden die "Supercookies" aber auch bei Webseiten kleinerer Anbieter. Noch ist die genaue Anwendung der neuen Cookies nicht dokumentiert. Sie können aber nicht über den Cache des Browser entfernt werden, weil sie per Flash oder HTML5-Code verteilt werden. Lediglich der Einsatz von "No Script" und anderen radikalen Plug-ins kann den Nutzer vor dieser Spionage schützen. Ein perfekter Schutz sei aber nicht möglich, weil sich die Programmierer der Cookies und der Zusatzprogramme für Browser ein ständiges Wettrüsten leisten. Jeder versucht dem Gegenspieler eine Nasenlänge voraus zu sein. Die Forscher der beiden US-amerikanischen Universitäten seien den neuen Datensammlern nur zufällig auf die Schliche gekommen. Es ist also zu befürchten, dass es weitere bisher unbekannte Abkömmlinge gibt, die uns Surfer zum endgültig gläsernen Menschen machen sollen.

Quelle : www.gulli.com

[SiLæncer]

Die "Artikel 29"-Gruppe der europäischen Datenschutzbeauftragten hat an Beispielen erläutert, wie Cookies im Einklang mit den geänderten EU-Vorgaben auch für gezielte Werbeansprachen verwendet werden können. Es sei nicht immer nötig, eine Einwilligung der Nutzer in die Verwendung ihrer personenbezogenen Informationen über ein Pop-up-Fenster einzuholen, schreiben die EU-Datenschützer in einer jetzt veröffentlichten Stellungnahme (PDF-Datei). Rechtmäßig sei es etwa auch, eine Informations- und Opt-in-Seite ähnlich wie bei Herstellern alkoholhaltiger Getränke vorzuschalten oder einen statischen Informationsbanner. Die britische Datenschutzbehörde, die aktuell auf eine stärkere Beachtung der neuen EU-Bestimmungen drängt, praktiziere den letztgenannten Ansatz vorbildlich.

Als Lösung bieten die Kontrolleure auch eine Standard-Voreinstellung an, die den Transfer persönlicher Informationen an weitere Parteien erst nach einer manuellen Freigabe ermöglicht. Das Papier verweist dabei auf den "2-Klick-Ansatz" für mehr Datenschutz bei Facebook-, Twitter- und Google+-Buttons, wie ihn heise online entwickelt hat. Ferner könnten auch die Anpassungsmechanismen eines Browser genutzt werden, wenn dabei zunächst die Akzeptanz von Cookies nicht direkt besuchter Webseiten ausgeschlossen sei. Die Gruppe begrüßt in diesem Zusammenhang auch "Do not Track"-Verfahren, solange die Nutzer dabei im Einzelfall über die Annahme der umstrittenen Browserkrümel entscheiden können.

Die 2008 beschlossene EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation regelt unter anderem den Zugriff Dritter auf Informationen, die vom Nutzer etwa auf Festplatten gespeichert werden. Manipulationen an Dateien, die auf dem Endgerät eines Teilnehmers oder Nutzers liegen, werden laut der im Mai in Kraft getretenen Regelung nur gestattet, wenn der Betroffene "auf der Grundlage von klaren und umfassenden Informationen" seine Zustimmung erteilt hat. Ausgenommen bleiben Verfahren, deren "alleiniger Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist", um einen ausdrücklich gewünschten Dienst zur Verfügung stellen zu können.

Die Datenschützer führen in diesem Sinne aus, dass Cookies etwa für das sichere Einloggen in Webdienste oder für einen virtuellen Einkaufswagen ohne Opt-in-Verfahren gesetzt werden dürften. Eine allgemeine Aufklärung über die Funktionen der Dateien müsse aber trotzdem erfolgen. Habe ein Nutzer einmal in die Annahme eines Cookies für verhaltensgesteuerte Werbung eingewilligt, könne diese Information in einer zusätzlichen Browserdatei gespeichert werden. So sei es nicht nötig, bei jedem Kontakt mit dem Werbenetzwerk eine neue Opt-in-Abfrage durchzuführen.

Nach wie vor nicht als rechtsgemäß schätzt die Gruppe den Vorschlag des Internet Advertising Bureau (IAB) und der European Advertising Standards Alliance (EASA) für einen Opt-out-Widerspruch gegen die Aufzeichnung des Nutzerverhaltens ein. Vorstellbar sei es höchstens, die entsprechende mit einem Banner verknüpfte Informationsseite auf ein Einwilligungsverfahren umzustellen. In einer Mitteilung (PDF-Datei) betonen die Kontrolleure, dass sie die Aufgabe haben, die Einhaltung der geltenden Vorschriften zu gewährleisten, und gegebenenfalls von ihren Mitteln zur Rechtedurchsetzung Gebrauch machen werden.

Quelle und Links : http://www.heise.de/newsticker/meldung/Datenschuetzer-erlaeutern-rechtskonformen-Cookie-Einsatz-1396526.html

[SiLæncer]

Angesichts anhaltender Unsicherheiten rund um die Cookie-Vorgaben der EU hat die "Artikel-29"-Gruppe der europäischen Datenschutzbeauftragten detailliert erläutert, wie sich die Browserdateien rechtskonform einsetzen lassen. Sie erklärt vor allem Ausnahmefälle, in denen die Bits und Bytes Nutzern ohne deren Erlaubnis auf die Festplatte gekrümelt werden dürfen. Dies kann neben Cookies, die für eigene Eingaben von Usern, für die Steuerung von Multimedia-Playern oder Voreinstellungen wie Sprachpräferenzen verwendet werden, auch auf solche zur Webanalyse zutreffen.

Bei der letztgenannten Kategorie sei es aber wichtig, dass die Cookies nicht von Drittparteien gesetzt werden und rein statistischen Zwecken dienten, schränken die Datenschützer ein. Zudem müsse der Besucher aufgeklärt werden, wie die Dateien genutzt werden; sie sollten zumindest die Möglichkeit zum "Opt-out" aus der Datensammlung erhalten. "Umfangreiche Anonymisierungsmechanismen" sollten dafür sorgen, dass andere personenbeziehbare Informationen wie IP-Adressen außen vor bleiben.

Auch die Betreiber sozialer Netzwerke dürfen Cookies ohne Befragung des Nutzers setzen, wenn sie Ein- und Auslog-Prozesse ihrer Mitglieder überwachen wollen und diese vorab prinzipiell darüber in Kenntnis gesetzt haben. Dies gelte auch für Cookies von Dritten, mit denen etwa "Social Plugins" gesteuert werden, solange diese datenschutzkonform seien. Dabei dürften aber keinesfalls Bewegungen der User über mehrere verschiedene Webseiten verfolgt oder Daten von Nicht-Mitgliedern erfasst werden.

Spezielle Hinweise rund um Cookies hatte die Gruppe im Dezember bereits Online-Vermarktern an die Hand gegeben. Seitdem ist vor Kurzem in Großbritannien ein Gesetz zum Umgang mit den Browserdateien in Kraft getreten, das neue Fragen aufgeworfen hat. Die europäischen Vorgaben stammen aus der EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation von 2009; sie gelten prinzipiell seit Mai 2011. Der Bundesbeauftragte für den Datenschutz, Peter Schaar, geht davon aus, dass sie hierzulande auch ohne gesondertes Umsetzungsgesetz direkt anwendbar sind.

Quelle und Links : http://www.heise.de/newsticker/meldung/Datenschuetzer-geben-weitere-Hilfestellung-zum-Cookie-Gebrauch-1617395.html