- Werbung -


Hier könnte Ihre Werbung stehen. Interessiert? Sprechen Sie uns an.


Neueste Kommentare

Cookies - wie funktioniert das eigentlich?

Druckversion

Cookies werden von vielen Usern oft aus Unkenntnis stark verkannt. Was in der Praxis entweder zu übertriebener Vorsicht oder allzu sorglosem Umgang mit diesen, zunächst einmal recht harmlosen, Helfern führt. Dieser Artikel möchte mit vorhandenen Vorurteilen aufräumen, aber auch für die tatsächlich vorhandenen Risiken sensibilisieren.

Was sind Cookies?

Cookies sind Datensätze, die ein Webserver erzeugt, wenn er eine Webseite an den Browser eines Users übermittelt. Der Browser empfängt diesen Cookie und speichert ihn auf der lokalen Festplatte des Users in einem bestimmten Bereich ab. Wird die Webseite von dem User (vom gleichen PC und mit dem gleichen Browser) erneut aufgerufen, so wird dieser Cookie an den Server, der ihn erzeugt hat, zurückgesendet. Damit ist es möglich den anfragenden User wiederzuerkennen. Was allerdings nicht automatisch bedeutet, dass man auch seine Identität kennt. Durch das "Wiedererkennen" eines Users besteht für den Server die Möglichkeit diesem individuell angepasste Webseiten zu liefern. Das können beispielsweise bestimmte Einstellungen auf der Webseite sein (Farben, ein- oder ausgeblendete Inhalte, die zuletzt besuchte Seite usw.), aber auch, ob sich der User auf der Webseite eingeloggt hat - auch die AUGE-Webseite merkt sich so, wenn man sich auf ihr einloggt. Jeder Browser kann nur seine eigenen Cookies verwalten und speichert diese in einer oder mehreren Textdateien ab. 

Die Struktur eines jeden Cookies ist festgelegt. Er enthält u.a. folgende Felder

  • Host: Die Domain, für die er gültig ist
  • Name: Damit der Webserver weiß, wozu dieser Cookie gut ist
  • Lebensdauer: Sobald dieser Zeitpunkt überschritten ist, wird der Cookie gelöscht
  • Inhalt: Die eigentlichen Informationen, die der Cookie sich merken soll
  • weitere Felder können z.B. verwendet werden, um den Cookie auf einen bestimmten Pfad oder Port zu beschränken, oder um einen Cookie als "sicher" zu kennzeichnen, dann wird er über eine gesicherte (SSL-)Verbindung gesendet.

Wie viele Cookies ein Browser verwalten kann, ist ganz unterschiedlich. Der Firefox 3 lässt standardmäßig pro Domain 50 Cookies zu, und 1000 Cookies insgesamt. Beide Werte können jedoch zwischen 0 und 65535 eingestellt werden. Der Internet Explorer 7 konnte ohne speziellen Patch von Microsoft nur 20 Cookies pro Domain annehmen, die Version 8 schafft immerhin 50. Wird die maximal zulässige Zahl Cookies überschritten so löscht der Browser selbsttätig ältere Cookies. Das kann dann beispielsweise zu unerklärlichen Logouts auf Webseiten führen, auf denen man eigentlich dauerhaft eingeloggt bleiben will oder zum "Vergessen" von gemerkten Einstellungen.

Was können Cookies (nicht)?

Cookies sind reine Textdateien mit einer maximalen Größe von 4 kByte (theoretisch könnten sie zwar größer sein, aber das lassen die Browser i.d.R. nicht zu) und als solche nicht in der Lage irgendwelche Aktionen auf dem Rechner des Users auszuführen. Sie enthalten Informationen, die der Browser oder User sowieso an den Webserver liefern. Daher können sie insbesondere nicht

  • Viren oder Schadsoftware übertragen
  • E-Mails versenden
  • Daten auf der Festplatte löschen oder verändern
  • Die Festplatte vollschreiben
  • E-Mail-Adressen auslesen

So sieht zum Beispiel der Cookie aus, den Drupal auf auge.de generiert, um die Sitzung eines Users zu speichern, der sich auf der Seite eingeloggt hat (ein sogenannter Session-Cookie).

Name: SESSd4bbccda32ba7eac8f5843da48d522f7
Inhalt: aadb7c99ac05ae5a432302308ba16b38
Host: www.auge.de
Pfad: /
Sicher: Nein
Gültig bis: Sitzungsende

Unter "Inhalt" steht eine zufällig erzeugte Zeichenfolge, die dem Webserver anzeigt, welchem User diese Sitzung gehört, d.h. wer da gerade von diesem PC und diesem Browser aus eingeloggt ist. Ebenso wird der Name des Cookies zufällig erzeugt, so dass es praktisch unmöglich ist, einen gültigen Session-Cookie zu erraten - selbst wenn der User über einen langen Zeitraum eingeloggt bleibt.

So gesehen sind Cookies zunächst einmal völlig harmlos.

Wann können Cookies gefährlich werden?

Cookies sind in der Lage, das Surf-Verhalten eines Benutzers transparent zu machen. Webseiten, die Werbung von Werbepartnern auf ihrer Webseite einblenden, können Cookies mit der Domain des Werbepartners anlegen. Das bleibt solange ohne Auswirkung, bis man die Webseite des Werbepartners besucht. Dessen Server kann nun die Cookies (für seine Domain!) auslesen und so ein Profil des Besuchers erstellen.

Ein weiteres Problem sind Session-Cookies, die nach dem Schließen des Browsers nicht gelöscht werden. Diese Komfortfunktionen kann zum Sicherheitsrisiko werden, wenn auch andere User Zugriff auf den Rechner haben. Hat man sich vor dem Verlassen der Webseite nicht explizit ausgeloggt (und damit die Session beendet). Kann der nächste User die Session übernehmen und ist nach dem Aufrufen der Webseite automatisch eingeloggt - mit dem fremden Account! Da das Auslesen der Cookies einfach ist, sollten darin niemals sensible Daten wie Passwörter, Kreditkarteninformationen, E-Mailadressen oder ähnliches gespeichert werden.

Und wie gehe ich nun mit Cookies um?

Tja, das ist die Gretchenfrage. Zunächst muss man sich entscheiden, was einem wichtiger ist: Komfort oder Datenschutz und Sicherheit. Wer seinen PC stets nur alleine benutzt oder für andere User eigene Accounts eingerichtet hat, damit diese ihre persönlichen Daten (auch Browser-Infos wie Cookies) getrennt speichern, braucht sich keine Gedanken über Session-Cookies und bestehenbleibende Logins machen. Moderne Browser bieten darüber hinaus diverse Möglichkeiten den Einsatz von Cookies zu kontrollieren. So kann man im Firefox unter "Extras >> Einstellungen >> Datenschutz" festlegen, ob dieser Cookies von Drittanbietern akzeptiert und wie lange er Cookies speichert. Im folgenden Bild sind keine Drittanbieter-Cookies zugelassen und alle Cookies werden nach dem Beenden von Firefox gelöscht - unabhängig von ihrer Gültigkeitsdauer. Daneben lassen sich abweichende Einstellungen pro Domain festlegen, z.B. um besonders vertrauenswürdigen Seiten Cookies zu erlauben, sie aber ansonsten zu verbieten. Dort kann man sich übrigens auch alle gespeicherten Cookies anzeigen lassen. Einfach auf "Cookies anzeigen" und Firefox listet sie auf.

Datenschutz-Einstellungen im Firefox (Cookies, Chronik etc.)

Einstellungen für den Datenschutz im Firefox

Besonderheit Flash-Cookies

Neben den oben beschriebenen (HTTP-)Cookies gibt es leider auch noch weniger freundliche Cookie-Gattungen: Eine davon sind Flash-Cookies. Diese werden beim Betrachten von Flash-Inhalten (Werbung, Filme, Animationen, Streaming Media) von Adobes Flash-Plugin geschrieben. Sie werden nicht von der Cookie-Verwaltung des Browser administriert, sondern vom Adobe-Flash-Programm. Da dieses browserunabhängig arbeitet, können derartige Cookies auch dann abgerufen werden, wenn die Webseite vom gleichen Rechner, aber mit einem anderen Browser aufgerufen wird. Weiterhin haben diese Cookies kein Verfallsdatum und können erheblich größer als 4 kByte werden - erst bei Größen von mehr als 100 kByte erfolgt eine Anfrage an den Benutzer, damit dieser dem erweiterten Speicherbedarf zustimmt. Das Löschen muss entweder manuell, über den Adobe-Einstellungsmanager erfolgen (einfach das Häkchen bei "Zulassen, dass Flash-Inhalte von Drittanbieter Daten auf dem Computer speichern" wegmachen und den Regler für den Festplattenspeicher nach links auf "keinen" setzen) oder mit Hilfe spezieller Programme wie dem CCleaner oder dem Firefox-Add-On BetterPrivacy erfolgen.

Einstellungsmanager für Adobe Flash-Player
Einstellungsmanager des Adobe Flash-Player. Hier werden Flash-Cookies unterbunden

Fazit

Cookies sind an sich eine nützliche Erfindung. Leider werden sie, wie vieles andere im Internet auch, missbraucht und zum sammeln von Daten und Erstellen von Nutzerprofilen eingesetzt. Ein Schutz vor solchen unerwünschten Nebeneffekten bieten die oben beschriebenen Konfigurationsmöglichkeiten des Browsers. Ansonsten empfiehlt sich eine gelegentliche Überprüfung welche Cookies auf dem Rechner angelegt wurden. Flash-Cookies sollte man generell nicht zulassen. Dagegen ist es unnötig (HTTP-)Cookies generell abzublocken. Es behindert die Benutzung vieler Webseiten.

Links

Firefox Add-On BetterPrivacy: https://addons.mozilla.org/de/firefox/addon/betterprivacy/

CCleaner Homepage (englisch): http://www.piriform.com/ccleaner

Adobes Einstellungsmanager für den Flash-Player (englisch/deutsch): http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager03.html

Umgang mit Cookies

 

Sehr informativ!

Ich habe gerade kürzlich den lokalen Einstellungs-Manager entdeckt:

Hier las ich, dass der erst seit Version 10.3 existiert und den Online-Einstellungs-Manager ersetzt.

"Ab Flash Player Version 10.3 wird anstelle des Online-Einstellungs-Managers der lokale Einstellungs-Manager für die Verwaltung der globalen Einstellungen auf Windows-, Mac OS- und Linux-Computern verwendet. ...."

Ich habe ihn mal so (s. Screenshot) eingestellt. Ist das OK?

Ja, diese Einstellung ist auf

Ja, diese Einstellung ist auf jeden Fall sinnvoll, damit nicht jede Webseite ungefragt Zeugs ablegen kann.

Cookies mit Trojaner-Technik - sog. Ever-Cookies

es soll jetzt z.B. von einer Fa. Kissmetrics (Entwickler) Cookies mit Trojaner-Technik geben, die sich auf dem Rechner, in Bruchstücke aufgesplittet, in verschiedenen Speicherbereichen verstecken.

Helfen soll dagegen, dass man keine Chronik (Verlauf) anlegt und z.B mit NoScipt beim Firefox Skripte nur bei ausgesuchten Seiten zuläßt.

NoScript sollte man

NoScript sollte man eigentlich standardmäßig installiert haben. Es ist zwar beim Besuch neuer Webseiten etwas umständlicher, wenn man erstmal die Skripte freigeben muss, aber dafür bleibt man von dem ganzen (unerwünschten) Trackingkram verschont. Bei mir ist z.B. GoogleAnalytics grundsätzlich gesperrt.