DOM Storage in Firefox 2.0 (oder: Super-Cookies in Firefox 2.0)


Seit der Version 2.0 bringt Mozilla Firefox ein umgangssprachlich als "Super-Cookie" bezeichnetes, clientseitiges Speicherobjekt mit sich, das dem HTTP-Cookie zwar ähnelt, auf den zweiten Blick aber doch weitaus mächtigere Möglichkeiten bietet - ob positiv oder negativ gesehen. Im Gegensatz zum klassischen Cookie mit 4 Kilobyte liegt die Größenbegrenzung beim so genannten "DOM Storage"-Cookie bei wesentlich großzügigeren 5 Megabyte.
Während ein HTTP-Cookie, das von der Seite "http://www.foo.de/" angelegt wurde, auch nur an diese Seite wieder zurückgeschickt wird, schickt die "DOM Storage"-Technik das Cookie auch dann zurück, wenn die Schreibweise variiert, der Anwender also beispielsweise das vorangestellte "www"1 weglässt bzw. hinzufügt oder aber eine Subdomain der Domain ansteuert.

In Firefox 2.0 gelten für die neuen Cookies die gleichen Regeln, die im Einstellungsdialog auch für HTTP-Cookies festgelegt sind. So werden die Kekse beim Beenden der Sitzung gelöscht, wenn das selbige auch für HTTP-Cookies eingestellt wurde. Das gilt natürlich ebenso für alle definierten Ausnahmen.
Leider werden die neuen Cookies in Firefox 2.0 nicht unter "Cookies anzeigen" aufgelistet. Führt man dagegen die Funktion "Alle Cookies löschen" aus, so werden die "DOM Storage"-Elemente dennoch gelöscht - eine Inkonsistenz, die bald zu Problemen führen könnte.

Zum einen mögen die neuen Cookies sicherlich nützlich sein. Ein Beispiel dafür ist ein WYSIWYG-Editor, der die vom Anwender verarbeiteten Dokumente in einem Super-Cookie speichern kann. So muss ein Anwender, der Services des "Web 2.0" nutzt, seine Daten nicht gezwungenermaßen einem fremden Server preisgeben. Auf diese Weise spart der Betreiber der Webseite außerdem Speicherplatz. Zum anderen aber kann die neue Technik auch missbraucht werden und gegen die Datenschutzauffassung einiger Benutzer stoßen, was auf den schlechten Ruf der HTTP-Cookies zurückzuführen sein könnte. Abhilfe schaffen hier Cookie-Manager, die moderne Browser allesamt mitbringen. Durch das Festlegen einer Ausnahmeliste für bestimmte, vertrauenswürdige Webseiten, die man regelmäßig besucht und die Cookies voraussetzen, unternimmt man dagegen einen ersten und effektiven Schritt.

Die Super-Cookies können in Firefox 2.0 auch getrennt deaktiviert werden:
- about:config aufrufen.
- dom.storage.enabled auf false setzen.
- Browser neu starten.

DOM Storage:
- Es ist eine Dateigröße von bis zu 5 Megabyte möglich.
- Cookie wird auch dann an den Server gesendet, wenn die Schreibweise variiert oder eine Subdomain aufgerufen wird (z.B. "http://www.foo.de/", "foo.de" oder "bar.foo.de").

HTTP-Cookies:
- Es ist eine Dateigröße von bis zu 4 Kilobyte möglich.
- Cookie wird nur dann an den Server gesendet, wenn die Schreibweise der Domain bzw. die Subdomain mit der im Cookie hinterlegten übereinstimmt (Zugriff mit einem Cookie für die alleinige Domain auf die Cookies einer Subdomain z.B. nicht möglich).

-- Valentin Hauner

1 Ausgenommen sind diejenigen Webseiten, die in diesem speziellen Fall mit Hilfe eines Scripts automatisch auf die Domain mit vorangestelltem "www" weiterleiten - aus "http://foo.de" würde also "http://www.foo.de".