Zun\u00e4chst einmal, ein Cookie hat nur vom Namen her etwas mit dem guten alten Keks zu tun. Technisch gesehen sind Cookies
\nkurze Informationen, die ein Webserver zu einem Browser sendet oder die clientseitig durch JavaScript erzeugt werden. Der Client sendet die Informationen in der Regel bei sp\u00e4teren Zugriffen an denselben Webserver im Hypertext-Transfer-Protocol-Header an den Server. Cookies sind clientseitig persistente\/gespeicherte Daten.
\nHTTP-Cookies sind eine spezielle Form der allgemeinen Magic Cookies. Sie erm\u00f6glichen das clientseitige Speichern von Information, die auch vom Server stammen k\u00f6nnen und die bei weiteren Aufrufen f\u00fcr den Benutzer transparent an den Server \u00fcbertragen werden. Dadurch erleichtern Cookies die Erstellung von Webseiten, die auf Benutzereinstellungen reagieren oder den Aufbau von Sitzungen.
\nDaraus folgert, das ein Cookie dazu da ist, f\u00fcr Webseitenbetreiber das Surfverhalten der Internetbesucher „auszusp\u00e4hen“.<\/b>
\nUnd darin bergen sich zum Teil auch Gefahren f\u00fcr den einzelnen Internetbesucher. Doch dazu sp\u00e4ter mehr.<\/p>\n
Funktionsweisen von Cookies:<\/b><\/p>\n
Es gibt zwei M\u00f6glichkeiten f\u00fcr die \u00dcbertragung, Zuweisung und Auswertung von Cookies durch eine Website:<\/p>\n
1. \u00dcbertragung in den Kopfzeilen (Header) von Anfragen und -Antworten via HTTP.
\n Cookies entstehen, wenn bei einem Zugriff auf einen Webserver neben anderen
\n HTTP-Kopfzeilen in derAntwort zus\u00e4tzlich eine Cookie-Zeile \u00fcbertragen wird (siehe Aufbau).
\n Die Cookie-Information wird auf dem Server generiert und ausgewertet.<\/p>\n
2. Zus\u00e4tzlich kann ein Cookie auch zun\u00e4chst lokal generiert werden, n\u00e4mlich durch
\n JavaScript, Java oder weitere Skriptsprachen. Die lokal vorgefundenen Cookies
\n derselben Domain k\u00f6nnen ausgelesen, verwertet und ge\u00e4ndert werden.
\n Damit k\u00f6nnen Informationen \u00fcber die lokalen Benutzeraktivit\u00e4ten eingearbeitet
\n werden, die in der Sitzung ohne weiteren Serverkontakt angefallen waren.
\n Mit dem n\u00e4chsten Kontakt zur Website werden sie auch dorthin \u00fcbertragen.<\/p>\n
Diese Cookie-Informationen werden dann lokal auf dem Endger\u00e4t gespeichert, \u00fcblicherweise in einer Cookie-Textdatei. Bei nachfolgenden weiteren Zugriffen auf den Webserver wird der eigene Browser alle Cookies in dieser Datei heraussuchen, die zum Webserver und Verzeichnispfad des aktuellen Aufrufs passen, und schickt diese Cookie-Daten im Header des HTTP-Zugriffs mit zur\u00fcck, womit die Cookies jeweils nur an jenen Webserver zur\u00fcckgehen d\u00fcrfen, von dem sie einst stammten.<\/p>\n
Ein Cookie kann beliebigen Text enthalten, kann also neben einer reinen Identifikation auch beliebige Einstellungen lokal speichern, jedoch sollte seine L\u00e4nge 4 Kilobyte (4\u00b71024 Byte) nicht \u00fcberschreiten, um mit allen Browsern kompatibel zu bleiben. Die Cookies werden mit jeder \u00fcbermittelten Datei \u00fcbertragen, also auch mit Bilddateien oder jedem anderen Dateityp; dieses gilt insbesondere f\u00fcr eingebettete Elemente wie Werbebanner, die von anderen Servern eingebunden werden als dem Ursprung einer angezeigten HTML-Datei. So kann eine einzelne Webseite zu mehreren Cookies f\u00fchren, die von verschiedenen Servern kommen und an diese jeweils wieder zur\u00fcckgeschickt werden; mit einer Anfrage des Browsers werden alle den Server betreffenden Cookies gesendet.<\/p>\n
Die Cookies werden ausschlie\u00dflich vom Client verwaltet. Somit entscheidet der Client, ob beispielsweise ein Cookie gespeichert wird oder die vom Webserver gew\u00fcnschte eingeschr\u00e4nkte Lebensdauer des Cookies durch L\u00f6schung ausgef\u00fchrt wird.<\/p>\n
Moderne Browser (wie etwa Mozilla Firefox) erlauben dem Nutzer meist einschr\u00e4nkende Einstellungen zum Umgang des Client mit Cookies, z. B.:<\/p>\n
• Keine Cookies annehmen.
\n • Nur Cookies des Servers der aufgerufenen Seite annehmen
\n (keine Cookies von Drittservern wie bei Werbebannern).
\n • Benutzer bei jedem Cookie fragen.
\n hier kann dann meist gew\u00e4hlt werden zwischen:
\n – „erlauben“ (bleibt), „f\u00fcr diese Sitzung erlauben“
\n (wird immer angenommen, aber nach dem Schlie\u00dfen des Browsers gel\u00f6scht)
\n – „ablehnen“ (nicht akzeptieren)
\n – Alle Cookies bei Beendigung des Client l\u00f6schen („Sitzungs-Cookie“)
\n wobei die gew\u00e4hlte Option zumeist gespeichert wird.<\/p>\n
Dazu erlauben einige Browser verwaltende Aktionen wie:<\/p>\n
• Daten im Cookie ansehen.
\n • Einzelne oder alle Cookies l\u00f6schen.<\/p>\n
Schlie\u00dflich ist dem Benutzer mit Hilfsmitteln (Browser-Plugin) oder auch nur einem einfachen Editor die Ver\u00e4nderung der Inhalte von Cookies m\u00f6glich.
\nDies gilt jedoch nicht f\u00fcr jeden Browser. So sind bei vielen Browsern die angesammelten Cookies so versteckt, das man sie nur mit erweiterten
\nKenntnissen der Browserstrukturen auffindet oder externe Programme dazu benutzt.<\/p>\n
Ob ein Cookie angenommen (clientseitig gespeichert) wurde, muss die serverseitige Anwendung in weiteren HTTP-Anfragen erkennen, da vom Client keine R\u00fcckmeldung erfolgt.<\/p>\n
Der Server kann ein Cookie durch \u00dcberschreiben mit leeren Daten l\u00f6schen.<\/p>\n
Die Verwendung von Cookies:<\/b><\/p>\n
Eine typische Anwendung von Cookies ist das Speichern pers\u00f6nlicher Einstellungen auf Websites, zum Beispiel in Foren. Es ist eine M\u00f6glichkeit eine Webseite zu besuchen, ohne jedes Mal die Einstellungen erneut vornehmen zu m\u00fcssen.<\/p>\n
Mit Cookies k\u00f6nnen auch Sitzungen realisiert werden. Das HTTP ist per Definition ein zustandsloses Protokoll, daher ist f\u00fcr den Webserver jeder Zugriff v\u00f6llig unabh\u00e4ngig von allen anderen. Eine Webanwendung, die sich \u00fcber einen l\u00e4ngeren Zeitraum hinzieht, muss mit Zus\u00e4tzen auf der Anwendungschicht (im Browser) arbeiten, um den Teilnehmer \u00fcber mehrere Zugriffe hinweg identifizieren zu k\u00f6nnen. Dazu wird in einem Cookie vom Server eine eindeutige Session-ID gespeichert, um genau diesen Client bei weiteren Aufrufen wieder zu erkennen und damit nicht bei jedem Aufruf einer Unterseite das Passwort erneut eingegeben werden muss.<\/p>\n
Auch Online-Shops verwenden oft Cookies, um sitzungslose virtuelle Einkaufsk\u00f6rbe oder \u00dcbersichten \u00fcber bereits angesehene Artikel zu erm\u00f6glichen. Der Kunde kann damit Artikel in den Einkaufskorb legen und sich weiter auf der Website umschauen, um danach die Artikel zusammen online zu kaufen. Die Artikel-Kennungen werden in einem Cookie gespeichert und erst beim Bestellvorgang serverseitig ausgewertet.
\n
\nVor allem Suchmaschinen (wie Google) sind in dieser Hinsicht sehr neugierig. Sie fragen oft die IP-Adresse und bsw. den Standort des Benutzers ab.<\/p>\n
Damit bei Webanwendungen Benutzeraktionen und -eingaben, die f\u00fcr den Server bestimmt sind, bei Abbr\u00fcchen der Verbindung zum Server zum Beispiel in Mobilfunknetzen nicht verloren gehen, k\u00f6nnen Cookies zur Zwischenspeicherung eingesetzt werden. Sie werden dann bei Wiedererrichtung der Verbindung automatisch zum Server geschickt. Die Webanwendung erkennt dabei die Reihenfolge, in der die Cookies erzeugt wurden, und markiert bereits verarbeitete Cookies oder l\u00f6scht deren Inhalt. Weil bei dieser Verwendung unter Umst\u00e4nden viele Cookies erzeugt werden, die fr\u00fchestens beim Schlie\u00dfen des Browsers gel\u00f6scht werden, der Speicherplatz des Browsers f\u00fcr Cookies aber beschr\u00e4nkt ist, muss die Webanwendung Vorkehrungen gegen einen Cookie-\u00dcberlauf treffen.<\/p>\n
Die Gefahren von Cookies<\/b><\/p>\n
Die eindeutige Erkennung kann f\u00fcr Zwecke eingesetzt werden, die von vielen Benutzern als missbr\u00e4uchlich angesehen werden. Cookies werden unter anderem daf\u00fcr verwendet, Benutzerprofile \u00fcber das Surfverhalten eines Benutzers zu erstellen. Ein Online-Shop kann beispielsweise diese Daten mit dem Namen des Kunden verkn\u00fcpfen und zielgruppenorientierte Werbemails schicken. Jedoch kann der Online-Shop nur das Surfverhalten innerhalb seiner eigenen Webseite verfolgen.<\/p>\n
Server, die nicht identisch mit dem Server der aufgerufenen Webpage sind, k\u00f6nnen etwa mit Bilddateien (Werbebanner oder auch Z\u00e4hlpixel) auch so genannte „serverfremde“ Cookies setzen. Diese werden aufgrund ihrer Verwendung auch als „tracking cookies“ bezeichnet (englisch f\u00fcr Verfolgen). Gegebenenfalls kann so der Besuch unterschiedlicher Websites einem Benutzer zugeordnet werden. Es entsteht eine „server\u00fcbergreifende“ Sitzung. Daraus kann auf die Interessen des Besuchers geschlossen und Websites entsprechend angepasst („personalisiert“) werden. Bei einer Bestellung in einem Webshop etwa werden die angefallenen Daten naturgem\u00e4\u00df einer konkreten Person zugeordnet.<\/p>\n
Denkbar w\u00e4re ein potentieller Missbrauch bei einer m\u00f6glichen Kooperation zwischen dem Webshop und dem Werbeunternehmen; diese kann verhindert werden durch eine entsprechende Browser-Einstellung, die nur Cookies des Servers der aufgerufenen Seite (Webshop) annimmt, nicht die der fremden Server, die die Werbung einblenden. Wirbt der Webshop allerdings selber, k\u00f6nnte diese zielgerichtete Werbung so nicht verhindert werden, aber sogar n\u00fctzlich sein. Amazon wertet bekanntlich die Bestellhistorien der K\u00e4ufer systematisch aus, um auch unbekannten Besuchern konkrete Vorschl\u00e4ge zu machen.<\/p>\n
Noch nicht zu \u00fcbersehen sind die Gefahren, die dadurch entstehen, dass Gro\u00dfunternehmen wie Google, deren Dienste praktisch jedermann st\u00e4ndig nutzt, sich vorbehalten, die dadurch entstehenden Daten auf unbegrenzte Zeit zu bevorraten und auszuwerten. Um Daten \u00fcber das Nutzerverhalten zu sammeln, ist man nicht auf Cookies angewiesen. Das Problem ist also wesentlich allgemeinerer Natur.<\/p>\n
In Umgebungen, in denen sich mehrere Nutzer denselben Rechner teilen, etwa in Schulen oder Internet Caf\u00e9s, besteht allerdings die ganz konkrete und offensichtliche Gefahr, dass ein noch g\u00fcltiger Sitzungs-Cookie vom n\u00e4chsten Nutzer des Rechners verwendet wird, um diese Sitzung fortzusetzen. Dieses Risiko kann verhindert werden, indem man grunds\u00e4tzlich alle Cookies vor dem Beenden des Browsers l\u00f6scht oder eine entsprechende Browser-Einstellung nutzt.<\/p>\n
Internetspuren beim Beenden des Browsers l\u00f6schen:<\/b><\/p>\n
Abschliessend empfehle ich jedem Internetbesucher, seinen Browser nach M\u00f6glichkeit so einzurichten, da\u00df dieser beim Beenden seiner selbst die w\u00e4hrend der Nutzung angesammelten Cookies l\u00f6scht, soda\u00df bei
\nbeim neuen Aufruf der selben Webseiten bei sp\u00e4teren Sitzungen keine weiteren Benutzerinformationen von vorherigen Sitzungen abgefragt werden k\u00f6nnen.
\nKann man seinen Browser nicht so einstellen, sollte man zu einem Programm greifen, mit dem man nach dem Gebrauch des Browsers seine Internetspuren (Cookies, tempor\u00e4re Internetdateien, Besuchsverlauf usw.)
\nverwischen, bzw. entfernen kann oder das bei einem Neustart des Computers kurzfristig aktiv wird, um vor einer weiteren Benutzung des Computers und des Browsers die Internetspuren zu verwischen. Hierzu eignet sich bsw. der Privacy Eraser.<\/p>\n