Artikelformat

Facebook erklärt den datr-Cookie

Dient alles nur der Sicherheit

Dem Spiegel gegenüber hat Arturo Bejar, ein Entwicklungsleiter bzw. laut Spiegel der Technik-Chef von Facebook, erstmals Facebooks Sicherheitsmechanismen genauer erläutert. Darin wird auch erklärt, warum Facebook den Langzeit-Cookie „datr“ setzt. Ich möchte hier einmal versuchen, in möglichst einfachen Worten zu erklären, wie ich mir das vorstelle, die folgende Beschreibung muss also nicht zwangsläufig den Tatsachen entsprechen.

Facebook frägt nach unbekanntem Gerät

Facebook frägt nach unbekanntem Gerät

Wenn ein Browser (PC, Handy, Tablet, whatever) zum ersten Mal facebook.com besucht, wird u.a. ein Cookie namens „datr“ gesetzt, der eine zufällig generierte Nummer enthält. Gleichzeitig wird in einer Facebook-internen Datenbank ein Eintrag für diese Nummer (also diesen Browser) mit der benutzten IP-Adresse angelegt. Weiterhin wird der Benutzer nach einer Bezeichnung für dieses Gerät gefragt.

Wenn das Facebook-Mitglied sich nun mit eben diesem Browser wieder anmeldet, erkennt Facebook dass der „datr“ Cookie bereits angelegt ist und fordert den Nutzer nicht zur Benennung des Geräts auf. Weiterhin wird vermutlich ein weiterer Eintrag in der Datenbank angelegt, worin vermerkt wird, dass Benutzer X sich am Tag Y wieder mit Gerät Z von IP-Adresse – äh – sagen wir mal A angemeldet hat.

Daraus lassen sich Verhaltensprofile bilden. So gibt es vermutlich Facebook-Mitglieder die sich permanent mit dem gleichen Gerät von immer der gleichen IP-Adresse anmelden, oder doch zumindest immer wieder aus dem gleichen Netzwerk (Provider), das wäre der klassische Heimanwender. Dann gibt es wieder andere, die zwar immer das gleiche Gerät benutzen, also immer wieder den bekannten „datr“ Cookie an Facebook übermitteln, dies aber von ständig wechselnden IP-Adressen tun. Mal zu Hause, mal am Arbeitsplatz. Dann wieder beim Kumpel im WLAN oder im hippen Café in der City. Der letztgenannte Typ Facebook-Anwender wird das Netzwerk vermutlich auch aus allen möglichen WLANs und Mobilfunknetzen mit seinem Smartphone benutzen.

Liste der aktuellen Facebook Sitzungen

Liste der aktuellen Facebook Sitzungen

Aufgrund dieser Verhaltensprofile kann Facebook nun die Vermutung anstellen, dass der oben zuerst beschriebene Anwender vermutlich nicht wirklich derjenige ist, der sich 5 Minuten nach einem Login zu Hause auch noch von einem neuen Gerät über eine isländische IP-Adresse einloggen will. In einem solchen Fall hätte Facebook dann die Möglichkeit, dem Benutzer Fragen zu stellen, die nur er beantworten können sollte.

Na, dann ist ja alles gut

Soweit so gut. Dass Facebook mit seinen 800 Millionen Mitgliedern und daraus folgend Milliarden von Verbindungen ein interessantes Ziel für böse Buben – und Mädchen – ist, das ist nachzuvollziehen. Und dass Facebook dagegen etwas tun will und muss ist auch klar. Aber warum geht man nicht, wie Google, zunächst den Schritt, alle Nutzer nur noch über SSL zu bedienen? Das wäre sehr leicht umzusetzen, wenn auch mit erhöhtem Aufwand seitens der Hardware. Immerhin stellt Facebook auch heute schon die Möglichkeit zur Verfügung, „Sicheres Durchstöbern“ zu aktivieren. Damit ist gemeint, dass man FB immer über sichere Verbindungen benutzt.

Um ehrlich zu sein, ich glaube nicht, dass Identitätsdiebstahl auf Facebook dadurch der Vergangenheit angehört. Und das allgegenwärtige Problem des Clickjackings wird dadurch auch nicht behoben. Dennoch können diese Maßnahmen ein Puzzleteil für mehr Sicherheit darstellen, auch wenn sich mir nicht erschließt, warum auch dann ein Lagzeit-Cookie gesetzt werden muss, wenn der Benutzer sich gar nich anmeldet, sondern lediglich die Facebook Startseite besucht.

Die EU e-Privacy Richtlinie

Warum treibt Facebook den ganzen Aufwand? Könnten die aufkeimenden Bedenken, die nicht nur in Deutschland, sondern auch in Großbritannien und den USA vorhanden sind, dabei eine Rolle spielen? In der EU e-Privacy Richtlinie 2009/136/EC, die in nationale Gesetze umgesetzt werden soll, steht:

(66) Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.

(Betonung durch den Blog-Autor)

Wenn man Facebooks Ausführungen bezüglich seiner Sicherheitssysteme folgt, dann ist der Langzeit-Cookie „datr“ unverzichtbar für den Betrieb des Systems und darf daher nach wie vor ohne Nachfragen gesetzt werden. Clever, oder?

Ohne diesen Browser-identifizierenden Cookie hätte Facebook massive Probleme, die Interessen seiner Mitglieder außerhalb des eigenen Netzwerks zu identifizieren. Dies würde die Möglichkeiten des Netzwerks zur Platzierung individuell zugeschnittener Werbung deutlich verringern. Sollte das ungefragte Setzen des Cookies allerdings als legitim durchgehen, dann hätte Facebook damit auch einen Vorteil gegenüber reinen Werbenetzwerken für die der Nutzer zwar im Prinzip anonym ist, die aber sicherlich so gut wie nie als ein „vom Teilnehmer oder Nutzer ausdrücklich angeforderter Dienst“ durch gehen.

Und obwohl ich das weiß, habe ich dennoch nicht vor, nach jedem Facebook-Besuch alle Cookies zu löschen.

 

Ähnliche Beiträge:

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.