Firefox 2 glänzt mit vielen neuen Features. Unter anderem auch mit einer Implementierung von Client-side session and persistent storage, welches im Gegensatz von herkömmlichen Cookies erweiterte Möglichkeiten – aber auch Gefahren für die Privatssphäre – bietet.

So ist die neue Storage nicht mehr der normalen Größenbeschränkung für HTTP Cookies unterlegen, kann aktive Inhalte beinhalten(?), und unterliegt in der Spezifikation nicht dem Sicherheitsmodell von HTTP Cookies, so daß Inhalte als „global lese/schreibbar“ deklariert werden können.

Das funktioniert zwar im Firefox 2 noch nicht so richtig, so daß Storage Inhalte mindestens einer second-level Domain zugeordnet werden müssen, aber dies könnte sich unter Umständen ja noch ändern.

Die in meinen Augen sowieso immer reißerische c’t (und somit zu Recht nicht mehr als Fachmagazin anerkannt 😉 ) schreibt in Ausgabe 24/06 Seite 226 ff:

Es ist schwer nachvollziehbar, warum die Mozilla-Entwickler diese bislang wenig beachtete Spezifikation implementiert haben. Um ihre Privatsphäre besorgte Anweder müssen sich künftig zusätzlich zu den bestehenden Schnüffeltricks neugieriger Anbieter und Werbetreibender auch noch mit einem Supercookie auseinandersetzen. oeber die Programmoberfläche lassen sich die Riesenkekse nicht abschalten“.

Das stimmt so nicht ganz. Die Einstellungen für Cookies werden für die erweiterte Session Storage auch angewendet – werden Cookies generell verboten, oder als am Sitzungsende zu löschen deklariert, so gilft dies auch für die erweiterte Storage.

Weiterhin wird – entgegen zur Spezifikation – nicht die Möglichkeit geschaffen, global lese/schreibbare Inhalte zu hinterlegen. Der Sinn dieser halben Implementierung ist mir zwar nicht so ganz klar, aber vielleicht wird in zukünftigen Versionen ja neben einer besseren Konfigurationsmöglichkeit auch vorgesehen die Spezifikation – auf eigenes Risiko – richtig anzuwenden.

Weitere Infos zur Session Storage.