Wie Facebook den Logout simuliert.

Nachdem Facebook dank des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein vor einigen Wochen in den Schlagzeilen stand und beschuldigt wurde mit dem Like-Button und seiner Trackingfähigkeit gegen deutsches Datenschutzrecht zu verstoßen, hat nun der Australier Nik Cubrilovic Interessantes herausgefunden:

Wenn ein Facebook-Nutzer sich aus dem Netzwerk ausloggt, werden nicht alle erhaltenen Cookies gelöscht, sondern lediglich als „ausgeloggt“ markiert und mit neuen Ablaufdaten versehen. Beim Aufruf einer Seite, die Facebook-Elemente integriert hat, werden auch Daten aus der vorherigen Facebook-Session mitgesendet.
Das bedeutet also, dass auch nach dem Ausloggen das Surverhalten des Nutzers mit seinem Facebook-Account in Verbindung gebracht wird. Dies ist sicherlich nicht im Sinne eines Logouts. Die einzige Möglichkeit sich diesem accountgebundenen Tracking zu entziehen ist das vollständige Entfernen der erstellten Cookies.

Facebook begründet dieses Verfahren mit Usability und Sicherheit. Nutzer müssten sich dann nicht aufwendig identifizieren, wenn sie sich von einem anderen Computer einloggen würden. Gleichzeitig wird aber an die Nutzer appelliert, dem Unternehmen zu vertrauen, und an einer Lösung gearbeitet.

Diese Entdeckung reiht sich nahtlos in bereits bekannt gewordene Auswüchse über die Datensammelwut Facebooks ein und trägt sicher nicht dazu bei, das Unternehmen in einem weniger skeptischen Licht zu betrachten.

Update: In seinem neuen Blogpost schreibt Cubrilovic über den Dialog, den er in den letzten zwei Tagen mit Facebook bezüglich des Logoutvorgangs geführt hat. Der fragwürdige Cookie, der die Nutzer-ID enthielt, wird von nun an beim Ausloggen gelöscht. Das Verbleiben dieses Cookies wird von Facebook auf einen Bug zurückgeführt. Übrig bleiben zwei Cookies zur Browseridentifikation, die aber angeblich nicht im Zusammenhang mit dem Account gebracht werden und ein weiterer zur Verhinderung von XSS-Attacken. Zu letzterem wartet Cubrilovic noch auf eine Antwort auf die Frage, ob dieser mit der Nutzer-ID abgeglichen würde. Zusätzlich enthalte ein weiterer Cookie einen Zeitstempel, der es Facebook erlaubt, für die Performanzevaluierung einzelne Anfragen zu identifizieren. Auch dieser Cookie könne mit der Nutzer-ID verlinkt werden, was laut Facebook aber nicht passiere.

45 Ergänzungen

    1. @Klaus Peukert: Das Zauberwort heißt Transparenz. Anscheinend war bei vielen Nutzern die Erwartungshaltung eine andere als die praktizierte Firmenpolitik von Facebook. Sprich: Während viele Nutzer glaubten, dass ihr Surf-Verhalten nicht getrackt wird, wenn sie ausgeloggt sind, wird es wohl doch mit getrackt.

      1. Es wird doch auch, mit dem Like-Button, getracked wenn ich nicht bei facebook angemeldet bin.
        Wieso sollte das anders sein wenn ich mich auslogge?

  1. Immer wieder lese ich hier, neben den allgemein sehr interessanten Artikeln, diese, die ein (in mein Augen berechtigtes) skeptisches Licht auf Facebook werfen. Grade dadurch frage ich mich: Wieso der „Gefällt mir“-Button hier eingebunden ist oder nicht zumindest wie bei Heise gehandhabt wird?

    1. Man beachte, woher das Bild geladen wird… Des Weiteren beachte man, dass dort die ganze Javascript-Schuchtelei fehlt. Das sind bloß nackte Links mit Bildern, die von netzpolitik.org geladen werden.

  2. Mal wieder typisch Facebook: erstmal vorpreschen dass Winston Smith feuchte Träume bekäme und dann kleckerweise abstreiten, beschwichtigen, durch etwas komplexeres mit gleicher Funktionalität (in dieser Reihenfolge) ersetzen.

    Vertrauen bilden? Ach was! – Der Mensch ist doch vergesslich.

    1. Jup wäre es. Ich benutzt verschiedene Browserprofile für so was. Zusätzlich zu gängigen Plugins wie NoScript, RequestPolicy, AdBlock, …

  3. Wenn über den Like-Button auch Daten von Nicht-Mitgliedern gesammelt werden (was IIRC nicht belegt ist), ist das nicht in Ordnung und ich verstehe datenschutzrechtliche Bedenken dahingehend.
    Die allermeisten Aufschreie (auch dieser hier) beziehen sich aber auf Praktiken, wie Daten von Mitgliedern gesammelt werden und ich versteh es einfach nicht.
    Entweder ich bin Teil dieses Netzwerks und zahle mit meinen Daten für ein soziales Erlebnis oder nicht. Es wird doch wirklich niemand gezwungen seine Daten zu FB zu tragen. Was soll diese Panik?

    1. Ich habe einen Facebook-Account und möchte TROTZDEM nicht, dass meine Bewegung im Internet permanent getrackt wird. Deshalb melde ich mich immer ab, wenn ich Facebook nicht nutze, aber wie ich jetzt erfahre, hat das im Grunde keine Wirkung. Reicht das als Erklärung?

  4. Was hat das denn bitte mit Sicherheit zu tun. Oder mit dem Login von einem anderen Rechner?
    Steh ich gerade auf dem Schlauch oder komm ich mir bei der Begründung zu recht als blöd verkauft vor?

    Und was soll der dämliche Spruch von fb, dass an einer Lösung gearbeitet wird? Die meinen eine Lösung wo man die User weiter tracken kann, aber es nicht so auffällt?

  5. Wen man bei den Grünen im Bundestag auf den Server geht, kommt einen Riesen-Sermon:
    „Ihre Besuchsdaten werden nicht von der Piwik Webanalyse erfasst.
    Die Entscheidung gegen eine Auswertung Ihrer aktuellen und künftigen Besuche von http://www.gruene-bundestag.de wird als Cookie auf Ihrem Rechner abgespeichert.
    Wichtige Hinweise
    Nach einem manuellen Löschen aller in Ihrem Browser abgelegten Cookies (bzw. des konkreten Piwik-Deaktivierungs-Cookies) ist auch Ihre Entscheidung nicht mehr dokumentiert. Die Deaktivierungsprozedur muss dann erneut durchlaufen werden. Sollten Sie für den Besuch unserer Website auch andere Rechner nutzen, müssen Sie diese Entscheidung erneut treffen.“

    Wenn man das Persistenz Cookie löscht, kommt der Sermon immer wieder. Also lässt man den Dreck irgendwann auf der Platte leigenb, damit man Ruhe hat. Piwik ist das Tool, für das der ULD aktiv Werbung macht (ohne Geld?). Das BSI meint, bei Cookies sollte man immer vorsichtig sein:
    „Die Verwendung von Cookies kann jedoch im datenschutzrechtlichen Sinne mißbräuchlich genutzt werden.“

    https://www.bsi.bund.de/ContentBSI/Themen/Internet_Sicherheit/Gefaehrdungen/AktiveInhalte/definitionen/cookiesgefahren.html

    Das Problem ist, dass man aus der technischen Möglichkeit nicht auf den datenschutzrechtlichen Missbrauch schließen kann. Oder soll ich etwa annehmen, dass die GRUENEN auch eine Datenkrake seien, die unbedingt wissen wollen, auf welchen Servern ich mich rumtreibe?

    Ich glaube da wird zwischen „kann“ und „macht tatsächlich“ unseriös diskutiert. Besonders scheinheilig und hinterfotzig beim ULD, der Software empfiehlt, die Daten auf meine Festplatte schreibt, um meinen Rechner wiederzuerkennen. Über viele Monate. Das Grünen-Cookie gilt bis 2012.

  6. Das Ende ist nah, wenn ausloggen nicht mehr ausloggen bedeutet. Darum geht es wohl primär. Nicht darum, das persistente cookies persistent sind und ausgelesen werden können.

    Nicht nur der unbedarfte Norm-Fritz (24, Nicht-Informatiker) hat doch eine bestimmte Erwartungshaltung an die Aktivität „ausloggen“ bzw. „abmelden“. Die wird hier schlicht nicht erfüllt.

    Wer hat sich also zu verändern? Der Norm-Fritz? Muss der etwa seine Vorstellung vom „Ausloggen“ revidieren, weil Facebook etwas anderes darunter versteht? Ist Norm-Fritz etwa nicht ausreichend medienkompetent? Müssen wir ihm beibringen:
    »Norm-Fritz, lösche nach dem, äh, ‚Ausloggen‘ doch einfach die Facebook-Cookies!“
    »Kuh- was?«

    Kurze Preisfrage: Will Facebook den Norm-Fritzen a) vor Spam schützen, die Usability erhöhen oder b) täuschen?

    1. Facebook will Daten. Soviel wie möglich. Aus allen (Internet-)Lebenslagen eines Nutzers. Nicht nur über seine Verhalten in Facebook und seine „vernetztung“. Auch Daten von Außerhalb. Was macht der Nutzer im Internet? Auf welchen Seiten „treibt er sich rum“? Wie häufig?… um daraus auf Nutzerverhalten schließen zu können, was wiederum zu individuellen Anpassungen von Werbestrategien etc. verwendet werden kann.
      Mann will also alles über mich wissen um mich besser verstehen zu können und mich besser (im weitesten Sinne) MANIPULIEREN zu können.

      WI-DER-LICH!!!

      1. das manipulieren ist aber kein fakt, niemand zwingt dich, eine werbung anzuklicken, und schließlich ist man im falle von werbung auch froh wen diese wenigstens halbwegs relevant ist. das internet ist hier das bessere fernsehen, bei dem alkohol-entzugler jeden abend krombacher werbung erdulden müssen. das wäre bei facebook nicht der fall. manipulation defniert sich für mich anders. was nicht heisst dass ich die praktiken von facebook gut finde, aber unter manipulation verstehe ich was anderes

  7. Hm… mich beschleicht immer mehr das Gefühl, daß den Facebook-Nutzern das alles relativ wurscht ist, daß nur ein paar wenige „Nerds“ sich darüber einen Kopf machen, was eigentlich alles an Daten über einen Nutzer gesmmelt wird und was mit den Daten passiert :(

    1. So ähnlich sehe ich das auch. Mit folgenden Ergänzungen:
      Nerd =/= Nutzer, da der „Nerd“ als Konsequenz dafür sorgt, dass über ihn weniger Daten gesammelt werden, wenn er es nicht wünscht.
      Und nach meiner Einschätzung ist „dem FB-Nutzer“ das auch nur deshalb relativ wurscht, weil er sich dem Sachverhalt gar nicht bewusst ist.

    2. Das dürfte bei allen wichtigen Dingen so sein. Wer kein Fachwissen hat, kann betrogen werden und beschäftigt sich so lange nicht wirklich mit technischen Fragen. Insofern sind Interessen- und/oder Opferverbände wichtig um entsprechende Vorschriften zu entwickeln.

  8. Technische Frage: Was nutze ich, um sowas zu verhindern? Es ist ja nicht nur Facebook, diese Möglichkeit steht ja im Kern jedem anderen Anbieter offen. Ich habe aber auch keine Lust, ständig alle Cookies zu löschen.
    Futtert Ghostery dieses Tracking? Oder welches Addon/Plugin/Programm sollte man dagegen verwenden?

    1. Man kann jeden Browser so einstellen, das alle cookies nach schließen des Browsers gelöscht werden.
      Ausloggen bedeutet dann „browser fenster zu“ und schwupp alle cookies weg.

    2. Cookies von Drittanbietern sperre ich grundsätzlich. Darüberhinaus lasse ich Cookies nur für die aktuelle Sitzung zu. Beenden des Browsers löscht dann alle Cookies. Die Internetseiten, deren Cookies ich über Sitzungen hinaus aufheben möchte, habe ich auf die Ausnahmeliste gesetzt. Mindestens Firefox und Chrome bieten diese Möglichkeit bereits von Haus aus. („Behalten, bis: Firefox geschlossen wird“ bzw. „Speicherung lokaler Daten nur für aktuelle Sitzung zulassen“)

      Das ist jetzt nicht der Weisheit letzter Schluss und schützt nicht generell gegen Tracking, aber zumindest ist das für mich praktikabel. Generelles Blocken von Cookies kann nach meiner Erfahrung manchmal nervig sein, weil es die Funktionalität von Internetseiten beeinträchtigen kann. Da ist man dann ständig am „temporär erlauben“, das stört den Fluss.

    3. Ich denke Ghostary schluckt das Ding. Er führt ja, wenn erkannt, die Scripte nicht aus. Und die Likebutton Scripte sind dabei. Deswegen kann ich auf Heise.de auch nach dem 2. Klick nicht Liken und tauche auch in meiner eigenen Piwik-Statistk nicht auf. Einziges Problem könnte sein, wenn Bilder (Daumen hoch, Facebooklogo) direkt von Facebook via Parameter geladen werden. Das würde nach meiner Meinung Ghostary nicht merken. Weis jemand mehr?

  9. Und trotzdem hab Ihr weiterhin den „Like“ Button und den 1+ auf der Seite ???

    Was sollen dann die Artikel gegen Facebook, wenn Ihr selbst nicht mal den 2strike button online habt?

  10. Beunruhigend finde ich, dass Facebook-Cookies auch von anderen Webseiten ausgelesen werden und über Facebook Graph API der eigene Name, Profilbild, Freunde, usw. simpel einfach abgefragt und verwendet werden können! Wer bei FB eingeloggt ist, ist auch für alle anderen Webseiten buchstäblich ein offenes Buch! Privatsphäre adé!

    1. Warum sind eigentlich auf Pornoseiten so selten „Like“-Buttons? Ich will auch dort ein „Harry, Thomas und 22.766 anderen gefällt das!“ sehen. Hoffentlich wird die Zurückhaltung auch in diesem Bereich aufgegeben – es ist doch nichts dabei! Heutzutage ist das ganz normal! Inhalte teilen gehört nunmal zum sozialen Erlebnis von social media. Und die Daten haben sie doch wahrscheinlich sowieso schon. Warum noch so tun, als ob nicht.

  11. @update Ein Bug, wie immer bei solchen Sachen. Mein Vertrauen in den Wahrheitsgehalt dieser Aussage liegt so bei 0.

    1. Informierte uns Facebook nicht zunächst, diese Cookies seien harmlos und würden der Spamabwehr und zur Bereitstellung von Sicherheitsmechanismen dienen? Nun sind sie ein Bug? Ja nee, iss klar.

      Das Argument „Zur Spamabwehr und Sicherheitsmechanismen“ schiebt übrigens auch die Telekom als Rechtfertigung für ihre Mini-Vorratsdatenspeicherung in unsere Köpfe, nachdem die ursprüngliche Rechtfertigung „Erforderlich zu Abrechnungszwecken“ nicht mehr so recht ziehen wollte. (Voss-Urteil)

      Spamabwehr-Argumenten bringe ich daher grundsätzlich eine gewisse Skepsis entgegen.

  12. Firefox hat den IE besiegt, Wikipedia hat Brockhaus besiegt, Apache hat die MS Server besiegt und die Piratenpartei die FDP. Es wird Zeit, dass Diaspora Facebook besiegt, aber dafür fehlt noch Usability, Hype, und ein exklusives Killerfeature. Am besten eines, das ein kommerzieller Datenstaubsauger gar nicht bieten kann. Strengt euch mal an!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.