Cookies sind ein Hilfsmittel, um einen Benutzer und bestimmte Daten zu
verknüpfen. Das zugrundeliegende Problem ist, dass das HTTP-Protokoll, mit dem Webseiten übertragen werden, keine
Sitzung (Session) kennt: Sobald eine Webseite komplett abgerufen ist, wird der
Kontakt zwischen dem Rechner des Benutzers und dem Webserver beendet. Wenn der Benutzer eine zweite Seite
aufruft, so kann der Webserver in der Regel nicht erkennen, dass es sich um den
gleichen Benutzer handelt.
Der Vorteil des sitzungslosen HTTP-Protokolls ist, dass sich nach der
Übertragung der Webseite alle Informationen auf dem Rechner des Benutzers
befinden und keine Verbindung mehr zum Webserver bestehen muss. Die Internet-Verbindung kann unterbrochen werden, und die Seite
ist dennoch lokal lesbar.
Für eine mehrstufige Transaktion wie Shopping ist dies allerdings von grossem
Nachteil, da es nur unter grossem Aufwand möglich ist, Artikel aus dem
Warenkorb mit einem bestimmten Besteller zu verbinden. Cookies sind eine der
einfachsten Möglichkeiten, diese Verbindung herzustellen. Der Webserver des
Anbieters legt dabei in einem Cookie Daten ab, die später von demselben (oder
selten: einem anderen) Webserver ausgelesen werden können.
Ein typisches Cookie hat folgendes Aussehen:
| .google.de |
Domain, optional, ansonsten wird der
Domainname gespeichert, unter dem das Cookie gesetzt wurde |
| tt:mm:jjjj hh:mm:ss |
Verfalldatum, wenn keins angegeben, so
liegt ein Session-Cookie vor |
| TRUE |
Zugriff nur von der angegebenen Domain
aus? |
| / |
Pfad, in dem das aufgerufene Programm
liegen muss |
| FALSE |
nur bei sicherer Übertragung? |
| 2147368345 |
Lebensdauer des Cookies in Sekunden |
| PREF |
Name des Cookies |
| ID=4220338f79a72718 |
Eindeutige Nummer |
Manche Browser speichern Cookies unleserlich, wie dieses Beispiel
des Internet Explorers zeigt:
MC1
V=3&LV=20017&HASH=1293&GUID=3AA49312B4064289B5626FED73411F18
microsoft.com/
0
4129511424
29591931
3510479264
29429641
*
Session-Cookies werden häufig bei Online-Shops verwendet, um die Verbindung zwischen
Warenkorb und Benutzer zu wahren, auch wenn der Benutzer verschiedene
Unterseiten besucht, bis er seine Bestellung tätigt. Sie sind nach dem Ende der
Sitzung nicht mehr gültig.
Persistente Cookies dagegen erlauben es, Daten aus dem schon vorhandenen
Benutzerprofil mit dem aktuellen Besuch des Benutzers zu kombinieren. Das
ermöglicht z.B.:
- eine Personalisierung der Webseiten durch den Anbieter, indem man den
Rechnerbenutzer namentlich begrüsst und passend zu den bisherigen Bestellungen
neue Angebote macht (z.B. Amazon) oder
- ein erleichtertes Login ohne neue Eingabe von Passwort und Benutzername enbietet (z.B. ADAC).
Hier ist Vorsicht geboten: Jeder, der an einem Rechner mit persistenten Cookies
sitzt, hat Zugriff auf die dadurch gegebenen Möglichkeiten. So kann ein
Unbefugter z.B. eine Bestellung bei einem Online-Händler aufgeben, falls der
eigentliche Rechnerbesitzer bereits ein Identifikations-Cookie dieses Händlers
auf dem Rechner hat. Es empfiehlt sich also nicht, persistente Cookies auf
Rechnern zuzulassen, zu denen auch andere Personen Zugang haben (etwa am
Arbeitsplatz).
Cookies sind technisch gesehen kein Risiko, da sie
- keinerlei Funktion auf dem Rechner ausführen dürfen,
- in einem genau definierten Bereich auf dem Rechner abgelegt werden,
- maximal 4 kB gross sein dürfen,
- nur 300 Cookies pro Rechner und
- nur 20 Cookies pro Server erlaubt sind.
Das eigentliche Problem ist die mögliche Verletzung der Privatsphäre. Über
Cookies kann z.B. ausgewertet werden, wie oft ein Rechner eine bestimmte
Webseite aufgerufen hat und welche Seiten genau besucht wurden, und das sowohl
in einer einzelnen Session als auch ggf. über Monate hinweg. Es ist daher ein
unerwünschter Nebeneffekt von Cookies, dass viele Webanbieter unbemerkt,
ungefragt und unnötig Cookies setzen, mit denen Informationen über die Benutzer
gesammelt werden.
Um nur die Cookies zuzulassen, die der Benutzer auch tatsächlich setzen möchte,
bieten unterschiedliche Browser unterschiedlich gute Möglichkeiten der
Kontrolle von Cookies an. In manchen Browsern, z.B. Opera, kann der Benutzer je
nach Anbieter und Art des Cookies filtern, welche Cookies er zulassen möchte.
In einigen Browsern lassen sich Cookies nur generell an- oder abschalten. Da
viele Websites ohne Cookies nicht zufriedenstellend funktionieren, empfiehlt es
sich, nach Möglichkeit zumindest die Option "Ich möchte bei jedem Cookie
gefragt werden" (die je nach Browser unterschiedlich heisst) zu wählen. Das ist
zwar lästig, aber empfehlenswert, wenn man Wert auf Privatsphäre beim Surfen
legt.
Webbugs
Webbugs sind kleine unsichtbare Grafiken in einer Webseite, die aber anders als
ein normales Bild über ein Skript von einem anderen Server (z.B. dem eines
Werbeanbieters) abgerufen werden. Sie sind an besonders kryptischen Aufrufen
erkennbar; hier ein Beispiel von www.quicken.com:
![]()
Durch diesen Aufruf wird dem Webserver (hier: dem Webserver des Werbeanbieters
doubleclick.net) eine Reihe von Daten übermittelt. Die Daten werden so zentral
und gut auswertbar gesammelt. Webbugs werden meist zusammen mit Cookies
eingesetzt - um daher Webbugs auszuhebeln, sollten Sie nur erwünschte Cookies
annehmen.
