Unterschiede zwischen Cookie, sessionStorage und localStorage
Websites speichern manchmal Informationen im Browser.
Login-Zustand erhalten. Anzeigeeinstellungen merken. Inhalte eines Warenkorbs behalten. Die vorige Bedienung fortsetzen. Erneute Besuche vom selben Browser erkennen.
Typische Mechanismen dafür sind Cookie, sessionStorage und localStorage.
Sie machen das Web bequemer. Aus Sicht der Anonymität werden sie jedoch zu Hinweisen, mit denen derselbe Browser erkannt werden kann.
Was ist ein Cookie?
Ein Cookie ist ein kleines Datenstück, das eine Website im Browser speichert und bei passenden Anfragen an den Server gesendet wird.
Es wird für Login-Zustand, Session-ID, Anzeigeeinstellungen, Zugriffsanalyse, Werbekennungen und Ähnliches genutzt.
Wenn man sich zum Beispiel bei einer Website anmeldet, speichert der Browser ein Cookie, das die Session bezeichnet. Wenn man danach dieselbe Website besucht, wird dieses Cookie gesendet. Die Website kann beurteilen: "Dieser Browser gehört zu einem angemeldeten Nutzer."
Für Anonymität ist wichtig, dass Cookies auch dann bestehen bleiben, wenn die IP-Adresse geändert wird.
Wenn man nach einem Zugriff über den eigenen Anschluss mit einem im selben Browser wieder zugreift, wird man trotzdem als derselbe Browser behandelt, wenn dasselbe Cookie gesendet wird.
Was ist sessionStorage?
sessionStorage sind Daten, die vorübergehend pro Browser-Tab oder Fenster gespeichert werden.
Im Allgemeinen verschwinden sie, wenn man diesen Tab schließt. Sie werden für halbfertige Formulareingaben, Bildschirmzustände, vorübergehende Bedieninformationen und Ähnliches genutzt.
Anders als Cookies werden sie normalerweise nicht bei jeder HTTP-Anfrage automatisch gesendet. Sie werden von JavaScript gelesen und geschrieben und für Verarbeitung innerhalb der Seite genutzt.
Das heißt aber nicht, dass sie für Anonymität irrelevant sind, nur weil sie nicht an den Server gesendet werden. Skripte auf einer Website können sie lesen und bei Bedarf an den Server senden.
Was ist localStorage?
localStorage sind Daten, die langfristig im Browser gespeichert werden.
Sie bleiben nach dem Schließen eines Tabs erhalten. Sie bleiben auch nach einem Browserneustart erhalten. Sie können für Website-Einstellungen, Themes, Zustandsspeicherung, Kennungen und Ähnliches genutzt werden.
localStorage kann größere Datenmengen als Cookies speichern und wird über JavaScript verwendet.
Aus Sicht der Anonymität ist wichtig, dass Werte in localStorage zur Wiedererkennung bei erneuten Besuchen genutzt werden können.
Auch wenn Cookies gelöscht wurden, kann derselbe Browser weiterhin erkannt werden, wenn in localStorage eine Kennung zurückbleibt.
Unterschiede zwischen den drei Mechanismen
Cookie, sessionStorage und localStorage unterscheiden sich darin, wie lange sie gespeichert werden und wie sie gesendet werden.
| Punkt | Cookie | sessionStorage | localStorage |
|---|---|---|---|
| Speicherdauer | bleibt bis zur festgelegten Frist erhalten | bis Tab oder Fenster geschlossen wird | bleibt grundsätzlich ohne Frist erhalten, kann aber durch Nutzeraktion, Browsereinstellungen, privates Browsing oder die Behandlung des Speicherbereichs verschwinden |
| Senden an den Server | wird bei passenden Bedingungen automatisch gesendet | wird nicht automatisch gesendet | wird nicht automatisch gesendet |
| Hauptnutzung | Login, Session, Analyse | vorübergehender Bildschirmzustand | Einstellungen, Zustandsspeicherung, Kennungen |
| Hinweis für Anonymität | derselbe Browser bleibt trotz geänderter IP erkennbar | wird in Seitenverarbeitung genutzt | kann auch nach Cookie-Löschung zurückbleiben |
Alle drei sind Informationen, die im Browser zurückbleiben. Bei Anonymität reicht es nicht, nur Cookies anzusehen.
Situationen, in denen es für Anonymität problematisch wird
Problematisch wird es, wenn Klarnamennutzung und anonyme Nutzung im selben Browser vermischt werden.
Zum Beispiel: Man nutzt einen Browser, in dem man mit einem Klarnamenkonto angemeldet war, unverändert für anonyme Aktivität. Man löscht nur Cookies, während localStorage erhalten bleibt. Man öffnet eine anonyme Website und kehrt danach im selben Tab oder Browser zu einem Klarnamendienst zurück.
Bei solchem Betrieb vermischen sich Informationen im Browser.
| Situation | Was passiert |
|---|---|
| Klarnamen- und anonyme Nutzung im selben Browser | Cookies und gespeicherte Informationen vermischen sich |
| nur Cookies löschen | localStorage und andere Speicherbereiche bleiben zurück |
| anonyme Aktivität bei geöffneter eingeloggter Website | Handlungen verbinden sich in derselben Umgebung |
| mehrere Konten im selben Browser nutzen | Kontokorrelation entsteht leichter |
Bei Anonymität ist nicht nur wichtig, gespeicherte Daten zu löschen, sondern Umgebungen zu trennen.
Cookie, sessionStorage und localStorage werden manchmal gemeinsam als "Website-Daten" behandelt. Die Art, wie sie gespeichert werden und verschwinden, ist aber nicht gleich.
Auch wenn man im Browser "Verlauf löschen" drückt, können je nach gewählten Punkten nur Cookies, nur Cache oder nur Browserverlauf gelöscht werden, während ein Teil der Website-Daten zurückbleibt. Umgekehrt verschwinden auch Login-Zustände und Einstellungen, wenn Website-Daten gesammelt gelöscht werden.
| Aktion | Worauf zu achten ist |
|---|---|
| nur Browserverlauf löschen | Cookies oder localStorage können zurückbleiben |
| Cookies löschen | andere Speicherbereiche wie localStorage können zurückbleiben |
| Website-Daten löschen | Login-Zustände und Einstellungen verschwinden ebenfalls |
| privates Fenster | verhält sich anders als die bestehende normale Browserumgebung |
| Browser-Synchronisierung | Informationen können von einem anderen Gerät zurückkehren |
Bei Anonymität prüft man den Löschumfang, um ein "ich dachte, es sei gelöscht" zu vermeiden.
Trennung ist wichtiger als Löschen
Cookies und localStorage lassen sich löschen. Es ist aber schwierig, sie jedes Mal lückenlos weiter zu löschen.
Die Speicherorte unterscheiden sich je nach Website. Der Löschumfang unterscheidet sich je nach Browsereinstellung. Erweiterungen und Synchronisierungsfunktionen wirken sich aus. In dem Moment, in dem man sich anmeldet, wird eine neue Kennung erzeugt.
Deshalb ist es für Anonymität realistischer, nicht nur auf Löschen zu setzen, sondern Browser für Klarnamennutzung und anonyme Nutzung zu trennen.
Bei Aktivitäten mit hohem Risiko kommt in Betracht, nicht nur Browser, sondern auch Gerät, OS und Netzwerkumgebung zu trennen.
Privates Browsing kann als Teil der Trennung in manchen Fällen nützlich sein. Ein privates Fenster ist aber keine Anonymisierungstechnik. Es ist kein Mechanismus, der einen vollständig vor Websites, Kommunikationsanbietern, Netzwerken am Arbeitsplatz oder in der Schule oder Zielservern verbirgt.
Ein privates Fenster dient vor allem dazu, Verlauf und Cookies auf dem Gerät weniger leicht zurückzulassen. Wenn man sich bei einem Klarnamenkonto anmeldet, wird diese Handlung mit dem Konto verbunden.
Was prüfen
Zu im Browser gespeicherten Informationen prüft man die folgenden Punkte.
- Nutze ich denselben Browser für Klarnamennutzung und anonyme Nutzung?
- Melde ich mich im anonymen Browser bei einem Klarnamenkonto an?
- Prüfe ich nicht nur Cookies, sondern alle Website-Daten?
- Denke ich unter der Annahme, dass localStorage und sessionStorage zurückbleiben können?
- Vermischen sich Informationen über Browser-Synchronisierung mit anderen Geräten?
- Besitzen Erweiterungen gespeicherte Informationen?
Besondere Vorsicht ist bei Browser-Synchronisierung nötig. Wenn Lesezeichen, Verlauf, Erweiterungen und gespeicherte Passwörter aus der Klarnamenumgebung in die anonyme Umgebung gelangen, bricht die Trennung zusammen.
Zusammenfassung
Cookie, sessionStorage und localStorage sind Mechanismen, mit denen Websites Informationen im Browser speichern.
Cookies werden bei passenden Bedingungen automatisch an den Server gesendet. sessionStorage wird für vorübergehende Speicherung pro Tab genutzt. localStorage ist ein langfristig verbleibender Speicherbereich.
Sie machen das Web bequemer, werden aus Sicht der Anonymität aber zu Hinweisen, mit denen derselbe Browser erkannt werden kann.
Auch wenn man die IP-Adresse ändert, kann man als derselbe Browser behandelt werden, wenn Cookie oder localStorage bestehen bleiben.
Um Anonymität zu schützen, ist es wichtig, nicht nur gespeicherte Informationen zu löschen, sondern Browserumgebungen für Klarnamen- und anonyme Nutzung zu trennen.
Verwandte Werkzeuge
BrowserLeaks WebRTC
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
BrowserLeaks Fingerprint
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
EFF Cover Your Tracks
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Tor Project
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.