What is an evercookie?

An evercookie (also called a 'zombie cookie' or 'supercookie') is a JavaScript technique that creates extremely persistent cookies by storing the same tracking ID across many different browser storage mechanisms simultaneously. When a user deletes their cookies, the evercookie recreates itself from any remaining storage location.

How many storage mechanisms do evercookies use?

Evercookies can exploit 17+ different storage mechanisms including HTTP cookies, localStorage, sessionStorage, IndexedDB, Canvas PNG caching, ETag headers, HSTS supercookies, window.name, Cache API, and historically Flash LSOs and Silverlight storage.

How do I completely remove an evercookie?

To completely remove an evercookie, you must clear ALL storage mechanisms at once - not just cookies. This includes localStorage, IndexedDB, cache, and browser history. Most browsers have a 'Clear all site data' option, but it's easier to use a privacy browser like Brave that prevents evercookies from being set in the first place.

How does Brave protect against evercookies?

Brave protects against evercookies through storage partitioning (isolating storage per-site), ephemeral third-party storage (cleared when you close the site), canvas fingerprint randomization, HSTS supercookie blocking, and ETag stripping for known trackers.

Are evercookies legal?

The legality of evercookies depends on jurisdiction and context. Under GDPR and similar privacy laws, using evercookies without explicit user consent would likely violate regulations. Several companies have faced legal action for using persistent tracking technologies without proper disclosure.

Tools

Evercookie-Tracking-Demo

Verstehen Sie, wie "Zombie-Cookies" über Löschversuche hinweg bestehen bleiben, indem sie mehrere Browser-Speichermechanismen ausnutzen.

Nur zur Bildung

Diese Seite demonstriert Evercookie-Konzepte zu Bildungszwecken. Wir verfolgen Sie NICHT wirklich. Die Demo speichert eine zufällige ID, um zu zeigen, wie Persistenz funktioniert, und Sie können sie jederzeit vollständig löschen.

Was ist ein Evercookie?

Ein Evercookie (auch "Zombie-Cookie" oder "Supercookie" genannt) ist eine JavaScript-API, die extrem persistente Cookies erstellt, indem sie dieselbe Tracking-ID gleichzeitig über viele verschiedene Browser-Speichermechanismen speichert.

Wenn ein Nutzer seine Cookies löscht, erstellt sich der Evercookie aus einem verbleibenden Speicherort neu. Um einen Evercookie wirklich zu entfernen, müssen Sie ALLE Speichermechanismen auf einmal löschen – etwas, das die meisten Nutzer nicht wissen.

Der ursprüngliche Evercookie wurde 2010 von Samy Kamkar, Sicherheitsforscher und Evercookie-Erfinder erstellt, um zu demonstrieren, wie schwierig es ist, die Privatsphäre online zu wahren.

Interaktive Demo

Ihre Demo-Tracking-ID

Wird generiert...

Versuchen Sie, nur Cookies zu löschen, und klicken Sie dann auf "Alle Speicher prüfen", um zu sehen, wie die ID bestehen bleibt

Speichermechanismen

Evercookies nutzen 17+ verschiedene Speichermechanismen aus. Unten sehen Sie, welche in Ihrem Browser verfügbar sind und deren aktuellen Status:

Wie jeder Mechanismus funktioniert

Standard-HTTP-Cookies Verbreitet

Die traditionelle Methode – kleine Textdateien, die vom Browser gespeichert werden. Einfach über Browser-Einstellungen zu löschen.

document.cookie = "tracking_id=abc123; expires=Fri, 31 Dec 9999 23:59:59 GMT";

HTML5 Lokaler Speicher Verbreitet

Speichert bis zu 5-10 MB pro Domain. Bleibt bestehen, bis es explizit gelöscht wird. Wird beim Löschen von "Cookies" oft übersehen.

localStorage.setItem('tracking_id', 'abc123');
// Survives browser restart, never expires

HTML5 Sitzungsspeicher Verbreitet

Ähnlich wie localStorage, wird aber beim Schließen des Tabs gelöscht. Kann verwendet werden, um Daten zum Wiederherstellen anderer Cookies während einer Sitzung weiterzugeben.

sessionStorage.setItem('tracking_id', 'abc123');

IndexedDB Verbreitet

Eine vollständige NoSQL-Datenbank im Browser. Kann große Mengen strukturierter Daten speichern. Wird selten von Nutzern gelöscht.

const request = indexedDB.open('evercookie_db', 1);
request.onsuccess = (e) => {
  const db = e.target.result;
  // Store tracking ID in database
};

Canvas-Fingerprint-PNG Hinterhältig

Kodiert den Cookie-Wert als RGB-Pixelfarben in einem PNG-Bild und erzwingt dessen Caching. Der Cookie wird ausgelesen, indem das gecachte Bild auf ein Canvas gezeichnet und die Pixelwerte gelesen werden.

// Encode "abc" as RGB: R=97, G=98, B=99
ctx.fillStyle = 'rgb(97, 98, 99)';
ctx.fillRect(0, 0, 1, 1);
// Later, read it back from cached image

HTTP ETag Hinterhältig

ETags sind für die Cache-Validierung gedacht, können aber Tracking-IDs speichern. Der Server sendet einen eindeutigen ETag, und der Browser sendet ihn bei nachfolgenden Anfragen zurück.

// Server response:
HTTP/1.1 200 OK
ETag: "tracking_id_abc123"

// Browser's next request:
If-None-Match: "tracking_id_abc123"

HSTS-Supercookie Fortgeschritten

Nutzt HSTS (HTTP Strict Transport Security) aus, indem Bits in Subdomain-HSTS-Richtlinien kodiert werden. Jedes Bit ist eine Subdomain, die entweder HSTS gesetzt hat oder nicht.

// Encoding "5" (binary: 101) across subdomains:
// bit0.tracker.com → HSTS ON  (1)
// bit1.tracker.com → HSTS OFF (0)
// bit2.tracker.com → HSTS ON  (1)
// Reading: check if browser upgrades each subdomain to HTTPS

Web-Cache Hinterhältig

Speichert die Tracking-ID in einer gecachten JavaScript- oder HTML-Datei. Wenn der Browser die gecachte Version lädt, enthält sie die ID.

// Server sends with far-future cache headers:
Cache-Control: max-age=31536000
// File contents:
var cached_tracking_id = "abc123";

window.name Hinterhältig

Die window.name-Eigenschaft bleibt über Seitennavigationen im selben Tab bestehen, sogar zu verschiedenen Domains. Kann bis zu 2 MB speichern.

window.name = "tracking_id=abc123";
// Survives navigation to other sites in same tab!

Flash-Cookies (LSO) Veraltet

Flash Local Shared Objects speicherten Daten außerhalb der Browser-Kontrolle. Erforderte den Besuch der Adobe-Website zum Löschen. Flash ist nun tot, war aber sehr effektiv.

// ActionScript:
var so:SharedObject = SharedObject.getLocal("evercookie");
so.data.tracking_id = "abc123";
so.flush();

Silverlight Isolierter Speicher Veraltet

Microsofts Silverlight-Plugin hatte seinen eigenen Speichermechanismus, getrennt vom Browser-Speicher. Silverlight ist eingestellt.

Verlaufsdiebstahl Gepatcht

Kodierte Daten im Browserverlauf, indem URLs mit der ID besucht wurden. Konnte durch Prüfung der :visited-Link-Styles ausgelesen werden. Browser haben dies gepatcht.

// Create history entries:
location = "http://tracker.com/id/a";
location = "http://tracker.com/id/b";
// Read via CSS :visited (now blocked)

Wie Brave vor Evercookies schützt

Speicher-Partitionierung: Isoliert Speicher pro Website und verhindert Cross-Site-Tracking
Ephemeral Storage: Third-party storage is cleared when you close the site
Canvas Fingerprint Randomization: Defeats PNG-based cookie storage
Blocked HSTS Supercookies: Clears HSTS state for tracking domains
ETag Stripping: Removes tracking ETags from known trackers
Kein Flash/Silverlight: Legacy-Plugins werden vollständig blockiert

Datenschutz-Implikationen

Evercookies demonstrieren ein grundlegendes Problem des Web-Datenschutzes: Der Browser hat zu viele Orte zum Speichern von Daten. Jede neue API (IndexedDB, Service Workers, Cache API) schafft ein weiteres potenzielles Versteck für Tracker.

Während Evercookies ursprünglich ein Proof-of-Concept waren, werden Varianten in freier Wildbahn eingesetzt von:

Werbenetzwerke für Cross-Site-Tracking
Betrugserkennungssysteme
Paywall-Durchsetzung
Staatliche Überwachungstools

Die beste Verteidigung ist die Verwendung eines datenschutzorientierten Browsers wie Brave, der Speicher-Partitionierung implementiert und bekannte Tracking-Techniken aktiv blockiert.

Evercookie-Tracking-Demo

Nur zur Bildung

Was ist ein Evercookie?

Interaktive Demo

Speichermechanismen

Wie jeder Mechanismus funktioniert

Wie Brave vor Evercookies schützt

Datenschutz-Implikationen

Verwandte Browser-Datenschutz-Tools

Browser Detector

Brave Features Detector

Extension Detector