/Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht

Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht

Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht


Herbert Braun

Der Firefox-Browser bringt ein großes Datenschutzproblem mit sich. Nur umständlich lässt sich die Firefox-Chronik von Nutzern löschen. Webseiten können mühelos auf zuvor im Browser gespeicherte Daten zugreifen.

Mozillas Browser Firefox räumt die durch Websites gespeicherten Daten nicht vollständig auf. Eine aktuelle Diskussion auf einem Admin-Forum förderte ein jahrelanges Versäumnis des Browser beim Datenschutz zutage. Selbst nachdem ein Anwender die Firefox-Chronik aufgeräumt hat, kann eine Website mühelos auf zuvor im Browser gespeicherte Daten zugreifen.

Umständlich und schwierig

Grundlage des Problems ist die Speichertechnik IndexedDB, die mittlerweile alle gängigen Browser unterstützen (ausgenommen Opera Mini bei serverseitigem Rendering). Im Vergleich zu den älteren Speichertechniken Cookies und DOM Storage (auch bekannt als “Web Storage” oder “LocalStorage”), die beide nur Schlüssel-Wert-Paare speichern können, ist IndexedDB ein echtes Schwergewicht mit ziemlich komplexem API. Tatsächlich steckt eine vollwertige NoSQL-Datenbank im Browser, die verschiedene Datentypen, Indices und Transaktionen kennt und asynchron arbeitet. Viele große Websites, aber auch Browser-Erweiterungen nutzen diese Technik.



Firefox

Vergrößern

Bild: Firefox


Wie ein Test unter Windows 10 und Android zeigt, greift Firefox beim Umgang mit IndexedDB gleich mehrfach daneben. Am schwerwiegendsten: Der Benutzer kann die in diesen Datenbanken gespeicherten Inhalte nicht einfach über die Chronik zerstören. Der Standardweg, um die Daten loszuwerden, führt über die “Seiteninformationen”, die sich über das Kontextmenü aufrufen lassen (nicht die über die Adressleiste zugänglichen). Im Reiter “Berechtigungen” findet sich bei “Offline-Speicher anlegen” der Menüpunkt, um die lokale Datenbank zu löschen – allerdings nur für die zur geöffneten Seite gehörenden Domain.

Brachial vorgehen

Was nicht funktioniert, ist, den Haken bei “Standard verwenden” abzuwählen, um die IndexedDB-Einstellung für die betreffende Website auf “Blockieren” zu setzen. Auch die Voreinstellung “Jedes Mal nachfragen” ignoriert der Browser. Wie sich aus der Dokumentation unter developer.mozilla.org erschließen lässt, war offenbar ursprünglich geplant, dass IndexedDB nur auf Nachfrage aktiviert wird – ähnlich wie der Zugriff auf die Ortungsfunktion oder die Kamera. Dies ist aber zumindest in aktuellen Firefox-Browsern nicht der Fall.

Alternativ setzen Sie eine IndexedDB über die Entwicklerwerkzeuge (Reiter “Storage”) zurück. Dieser Weg hat den Vorteil, dass Sie hier auch die gespeicherten Daten ansehen können. Ein dritter Weg ist der brachiale über den Datei-Manager: Firefox speichert jede IndexedDB in Form einer SQLite-Datenbank im Verzeichnis [Profil]/storage/default/[Domain]. Anscheinend ist dies derzeit auch die einzige Option, um zu sehen, welche Websites Datenbanken angelegt haben, denn die Überblicksseite about:permissions hat Mozilla stillgelegt.

Wer diese Datenbanken ein für Allemal loswerden will, setzt in about:config den Schlüssel dom.indexedDB.enabled auf false – oder wechselt in den privaten Modus. Darin weigert sich Firefox nämlich komplett, mit IndexedDBs zu arbeiten, was auch eine suboptimale Lösung ist und die Funktionalität von Webseiten wie Erweiterungen beeinträchtigen kann.

Altes Problem

Besonders unschön: Mozilla sitzt bereits seit acht Jahren auf diesem Problem. Ob Mozilla das Problem (siehe auch 1 oder 2) nun endlich löst, wird sich zeigen – doch verbessern wird sich die Lage in jedem Fall mit Firefox 57 (derzeit in der Nightly-Phase). Dessen neue Bedienoberfläche “Photon” wird es ermöglichen, in den Browser-Einstellungen IndexedDBs aller Domains einzusehen und zusammen mit anderen Website-Daten zu löschen.

Firefox’ Konkurrenz macht es besser: Sowohl unter Windows 10 wie auch auf einem Android-Gerät beseitigen Chrome und Opera beim Löschen der Nutzerdaten auch IndexedDBs. Surft man im privaten Modus, verschwinden die Datenbanken nach Sitzungsende, wie man es erwarten würde. Edge kann wie Firefox im privaten Modus nicht mit lokalen Datenbanken arbeiten (und unterstützt den IndexedDB-Standard nur teilweise), macht aber bei der Datenbereinigung alles richtig.


(kbe)