Der Sicherheitsspezialist Alexander Klink hat über eine Möglichkeit berichtet, PCs über eine Art Super-Cookie wiederzuerkennen. Betroffen sind nach bisherigem Kenntnisstand aber nur PCs, deren Anwender den Webbrowser Firefox in seinen Standardeinstellungen nutzen. Die Idee die hinter dem Cookie steckt, beruht auf TLS-Client-Zertifikaten, die auf dem PC beim Besuch einer präparierten Webseite mittels "Signed Public Key And Challenge" (SPKAC) generiert und gespeichert werden.

Diese Zertifikate dienen normalerweise zur bidirektionalen TLS/SSL-Authentifizierung, durch die sich ein Server von der Echtheit eines Clients überzeugen kann. Allerdings lässt sich solch ein Zertifikat ohne viel Zutun des Anwenders von jedem Server mit beliebigen Inhalten installieren. Alles was der Firefox-Anwender sieht, ist eine kurze Meldung "Key generation in progress ... This may take a few minutes ... Please wait ...", die auf schnellen Rechnern innerhalb von Sekundenbruchteilen wieder verschwindet.

Anschließend kommt noch der Hinweis "Your personal certificate has been installed. You should keep a backup copy of this certificate." Die wenigsten Anwender dürften bei derlei Meldungen Verdacht schöpfen oder dazu in der Lage sein, den Vorgang nachzuvollziehen, um das gespeicherte Zertifikat wieder löschen zu können. In Fällen, in denen mit dem Firefox noch kein einziges Passwort im Passwort-Manager gespeichert wurde, erscheint zusätzlich ein Dialog zur Eingabe eines Kennwortes für das Zertifikat. Allerdings dürften auch diesen Dialog nur noch wenige zu Gesicht bekommen.

Da Firefox in der Standardeinstellung versucht, ein vom Server angefordertes Client-Zertifikat automatisch auszusuchen, kann jeder beliebige Server – auch aus einer anderen Domain – beim Besuch das Zertifikat herunterladen und so den Rechner wiedererkennen. In einer Diskussion zu dem Problem wurde hervorgehoben, dass auch sehr sicherheitsbewußte Anwender des Anonymisierungsnetzes Tor davon betroffen sind, da sich so zumindest die besuchten Seiten nachvollziehen ließen. Auch Privoxy soll nicht vor den Super-Cookies schützen.

Anders als von Klink zunächst angenommen, funktioniert solch ein Cookies sowohl in Firefox 2.0 als auch in Firefox 1.5 (jeweils unter Windows und Linux). Andere Browser sollen laut Bericht von dem Problem nicht betroffen sein: Opera und Konqueror öffnen mehrere Dialoge, die den Anwender misstrauisch werden lassen sollten, der Internet Explorer unterstützt kein SPKAC, und bei Safari ist es dem Autor nicht gelungen, ein Zertifikat zu übermitteln. Eine Online-Demo führt das Problem vor: Firefox 2.0.x TLS client certificate tracking POC. In der Demo ist zwar noch die Angabe eines Namens erforderlich, bei einem echten Tracking-Versuch könnte dies ein JavaScript jedoch automatisch übernehmen. Abhilfe bringt derzeit nur, unter "Einstellungen/Erweitert/Verschlüsselung/Zertifikate" die Option "Jedes mal nachfragen" zu setzen. Dann erscheint immerhin ein Dialog, dass ein Server ein Zertifikat abfragen möchte, was sich im Zweifel unterbinden lässt.
Quelle: http://www.heise.de/newsticker/meldung/96229

Ich dachte das interessiert vielleicht den einen oder anderen Firefox-Nutzer. Letztes Jahr gab es ja schon einmal ein datenschutzrelevantes Problem mit einer anderen Standardeinstellung des Browsers.