Die Internetzugang-Kunden-Identität für Jedermann

Kürzlich wurde ich von heise online über eine Möglichkeit informiert, mit der sich Internet-Service-Provider am Big-Data-Geschäft beteiligen können. Der US-Amerikanische Internet-Service Provider Verizon soll in den HTTP-Header einen UID-Header einbauen. Mit dieser sogenannten „PrecisonID“ möchte Verizon den Anzeigennetzen Informationen liefern, um Werbung auf Mobilgeräten möglichst zielgerichtet auszuliefern.

Supercookie: US-Provider Verizon verkauft Daten über seine Kunden | heise Security

Verizon dokumentiert in seinen FAQs zum Relevant Mobile Advertising zwar einen Opt-out für seine Kunden. Doch der führt offenbar nur dazu, dass Verizon im Rahmen von Precision Market Insights keine Daten mehr zu der jeweiligen UIDH rausgibt; eine Option das Einschleusen des Tracking-Headers ganz abzuschalten, gibt es nach unserem bisherigem Kenntnisstand nicht.

Siehe auch diesen Heise-Artikel.

Entsprechend HTTP/1.1 Standard wird die „PrecisonID“ – auch genannt „Super-Cookie“ – als Header-Field in eine HTTP-Message eingefügt: „Each header field consists of a name followed by a colon („:“) and the field value.“ (RFC2616). Der „field-name“ ist „x-uidh“. Anbei ein Message-Header mit mehreren Header-Fields eines HTTP-Request:

GET /rfcview/RFC/2616.html HTTP/1.1
Host: www.rfcsearch.org
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:41.0) Gecko/20100101 Firefox/41.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: userid=<EineZahlenKolonne>; websession=<EineZahlenKolonne>
Connection: keep-alive 
Cache-Control: max-age=0

Werden HTTP-Messages über eine gesicherte Verbindung gesendet, so kann der Internet-Service-Provider ohne Man-In-The-Middel Attacke das „Super-Cookie“ nicht einschleusen. Gesicherte HTTP-Verbindungen können über SSL (Secure Socket Layer) via Port 443  oder über TLS (Transport Layer Security) via Port 80 aufgebaut werden.