Sie bestellen ab und zu bei einem grossen Online-Buchhändler Bücher, CDs oder dergleichen mehr. Immer wenn Sie diese Internetadresse eingeben und sich die Seite aufbaut, werden Sie mit "Hallo Herr xyz!" begrüsst. Aber woher wissen die denn, dass Sie vor dem PC sitzen?
Alles, was ein Web-Server braucht, um jemanden als Benutzer beim nächsten Besuch wiederzuerkennen sind Cookies. Die Technologie wurde ursprünglich von Netscape entwickelt.
Eigentlich sind das ja Kekse (aus dem Englischen). Und die krümeln bekanntlich. Diese Krümel sind Informationen - im Internetumfeld eine kleine Datei, die auf dem PC abgelegt wird. Natürlich nur, wenn der Browser das will. In dieser Datei werden Informationen gespeichert, die im Zusammenhang mit der jeweiligen Internetseite stehen. Man merkt dies daran, dass beim Ausfüllen des Online-Bestellzettels Daten, die einmal eingetragen wurden, nicht immer wieder eingegeben werden müssen. Neben der Benutzererkennung werden Cookies auch eingesetzt, um Internetseiten auf persönliche Wünsche zuzuschneiden. Die Startseite des Servers kann so nach eigenen Wünschen gestaltet werden, zum Beispiel bei "My Yahoo".
Genau wie Kekse haben auch Cookies eine bestimmte Lebensdauer. Manche sind nur so lange aktiv, wie der Browser geöffnet ist, andere haben eine Lebensdauer von mehreren Tagen oder Wochen. Die werden beim Beenden des Browsers dann als Datei in einem "Cookie-Verzeichnis" gespeichert. Wird das "Verfallsdatum" erreicht, werden die Cookies vom Browser automatisch gelöscht. Hat der Browser zu viele Cookies gespeichert, noch bevor die ihr Verfallsdatum erreicht haben - passen also quasi keine neuen Cookies mehr in die Keksdose - dann löscht er die ältesten.
Weil Cookies keine ausführbaren Programme sind, stellen sie kein direktes Sicherheitsrisiko dar. Es können weder Dateien von der lokalen Festplatte auf den Server, noch Viren übertragen werden. Der Web-Server kann auch nicht auf die Festplatte schreiben. Er kann nur den Browser zum Speichern der Cookies-Datei veranlassen.
Nicht unproblematisch ist allerdings die Tatsache, dass durch die Benutzererkennung theoretisch ein sehr genaues Nutzerprofil angelegt werden kann:
z.B: Surft nur am Wochenende, interessiert sich für klassische Musik etc.
Dieses Profil kann für gezielte Werbung genutzt werden. Sie erhalten dann beispielsweise Werbe-E-Mails mit
Veranstaltungshinweisen in Ihrer Region - zu klassischer Musik versteht sich.
Man unterscheidet zwischen:
Cookies sind ein Hilfsmittel, um einen Benutzer und bestimmte Daten zu verknüpfen. Das zugrundeliegende Problem ist, dass das HTTP-Protokoll, mit dem Webseiten übertragen werden, keine Sitzung (Session) kennt: Sobald eine Webseite komplett abgerufen ist, wird der Kontakt zwischen dem Rechner des Benutzers und dem Webserver beendet. Wenn der Benutzer eine zweite Seite aufruft, kann der Webserver in der Regel nicht erkennen, dass es sich um den gleichen Benutzer handelt.
Für eine mehrstufige Transaktion wie Shopping ist dies allerdings von grossem Nachteil, da es nur unter grossem Aufwand möglich ist, Artikel aus dem Warenkorb mit einem bestimmten Besteller zu verbinden. Cookies sind eine der einfachsten Möglichkeiten, diese Verbindung herzustellen. Der Webserver des Anbieters legt dabei in einem Cookie Daten ab, die später von demselben (oder selten: einem anderen) Webserver ausgelesen werden können.
Ein typisches Cookie hat folgendes Aussehen:
.google.com Domain, optional, ansonsten wird der Domainname
gespeichert, unter dem das Cookie gesetzt wurde
tt:mm:jjjj hh:mm:ss Verfalldatum, wenn keins angegeben, so liegt ein
Session-Cookie vor
TRUE Zugriff nur von der angegebenen Domain aus?
/ Pfad, in dem das aufgerufene Programm liegen muss
FALSE nur bei sicherer Übertragung?
2147368345 Lebensdauer des Cookies in Sekunden
PREF Name des Cookies
ID=4220338f79a72718 Eindeutige Nummer
Manche Browser speichern Cookies unleserlich, wie dieses Beispiel zeigt:
MC1 V=3&LV=20017&HASH=1293&GUID=3AA49312B4064289B5626FED73411F18 microsoft.com/ 0 4129511424 29591931 3510479264 29429641 *
Persistente Cookies dagegen erlauben es, Daten aus dem schon vorhandenen Benutzerprofil mit dem aktuellen Besuch des Benutzers zu kombinieren. Das ermöglicht z.B.:
Eine Personalisierung der Webseiten durch den Anbieter, indem man den Rechnerbenutzer namentlich begrüsst und passend zu den bisherigen Bestellungen neue Angebote macht (z.B. Amazon) oder ein erleichtertes Login ohne neue Eingabe von Passwort und Benutzername anbietet.
Hier ist Vorsicht geboten: Jeder, der an einem Rechner mit persistenten Cookies sitzt, hat Zugriff auf die dadurch gegebenen Möglichkeiten. So kann ein Unbefugter z.B. eine Bestellung bei einem Online-Händler aufgeben, falls der eigentliche Rechnerbesitzer bereits ein Identifikations-Cookie dieses Händlers auf dem Rechner hat. Es empfiehlt sich also nicht, persistente Cookies auf Rechnern zuzulassen, zu denen auch andere Personen Zugang haben (etwa am Arbeitsplatz).
Cookies sind technisch gesehen kein Risiko, da sie keinerlei Funktion auf dem Rechner ausführen dürfen, in einem genau definierten Bereich auf dem Rechner abgelegt werden, maximal 4 kB gross sein dürfen, nur 300 Cookies pro Rechner und nur 20 Cookies pro Server erlaubt sind.
Das eigentliche Problem ist die mögliche Verletzung der Privatsphäre. über Cookies kann z.B. ausgewertet werden, wie oft ein Rechner eine bestimmte Webseite aufgerufen hat und welche Seiten genau besucht wurden, und das sowohl in einer einzelnen Session als auch ggf. über Monate hinweg.
Es ist daher ein unerwünschter Nebeneffekt von Cookies, dass viele Webanbieter unbemerkt, ungefragt und unnütig Cookies setzen, mit denen Informationen über die Benutzer gesammelt werden.
Um nur die Cookies zuzulassen, die der Benutzer auch tatsächlich setzen möchte, bieten unterschiedliche Browser unterschiedlich gute Möglichkeiten der Kontrolle von Cookies an. In den neueren Browsern, kann der Benutzer je nach Anbieter und Art des Cookies filtern, welche Cookies er zulassen möchte. In einigen Browsern lassen sich Cookies nur generell an- oder abschalten. Da viele Websites ohne Cookies nicht zufriedenstellend funktionieren, empfiehlt es sich, nach Möglichkeit zumindest die Option "Ich möchte bei jedem Cookie gefragt werden" (die je nach Browser unterschiedlich heisst) zu wählen. Das ist zwar lästig, aber empfehlenswert, wenn man Wert auf Privatsphäre beim Surfen legt.
Neuere Browser lassen auch die Einstellung zu, nur Cookies von der ursprünglich aufgerufenen Web-Site zuzulassen, und alle anderen Cookies z.B. von Dritt-Servern zu sperren (empfohlen).
Da inzwischen viele Web-Surfer Cookies abgeschaltet haben, mussten sich die werbetreibenden Datensammler etwas
neues einfallen lassen, das man nicht einfach abschalten kann oder wird. Sie bauen vermehrt kleine, 1x1 Pixel
grosse transparente GIF-Dateien in die Seiten ein, welche so quasi "unsichtbar" sind. Dabei wird aber nicht
einfach eine einfache GIF-Datei vom Web-Server übertragen, sondern ein sog. CGI-Programm auf dem
Web-Server des Anbieters angestossen, welches zuerst diverse vom Browser gelieferte Daten analysiert und
erst danach das GIF-Image liefert, damit der Browser - aber vorallem der Benutzer am PC - davon nichts merkt.
Oft werden aber auch ganz normale GIF-Dateien mit sichtbarem Inhalt verwendet. Man nennt diese Technik
"Web Bugs". Diese Technik wird an anderer Stelle beschrieben werden.