Hintergrundwissen
In der herkömmlichen Webseitenentwicklung der frühen Zeit gab es keine Möglichkeit einen Bezug zwischen 2 Webseitenaufrufen herzustellen.
Nach dem der Webserver die Seite an den Browser übertragen hat, war die Verbindung gelöst.
Eine Antwort des Benutzers hatte keinen Bezug zur ursprünglichen Seite.
Das verhinderte aber die Vereinbarung einer Session (deutsch: Sitzung). Hierbei wird die Eröffnung einer Sitzung typischerweise mit Benutzername/Kennwort begonnen. Alle weiteren Aufrufe innerhalb der Sitzung erfordern nicht mehr die Übertragung des Benutzernamens, wenn zwischen Server und Browser eine Sitzung definiert ist.
Woran sollte der Server genau ihren Browser wiedererkennen ? Ihre IP-Adresse fällt als eindeutiges Kriterium aus, da die Adresse vielfältiger Möglichkeit der Veränderung und Manipulation unterliegt. Häufig wird auch gar nicht die richtige IP ihres Rechners übertragen, sondern ihre ==> NAT-Adresse oder die Adresse des verwendeten ==> Proxys.
Cookies werden aber heute nicht nur zur Definition von Verbindungen genutzt, sondern sehr häufig um ihre Bewegungen im Internet aufzuzeichnen.
Welche Seiten haben sie genutzt oder wie häufig besuchen sie eine bestimmte Webseite. Hinzu kommen noch Warenkorbfunktionen, also auch ihre Konsumgewohnheiten.
Technik der Cookies
Technisch gesehen sind Cookies Dateien, die der Webserver dem Browser sendet. Der Browser merkt sich von welchem Server er die Cookies erhalten hat und speichert die Cookiedaten in einem speziellen Verzeichnis innerhalb ihres Benutzerprofils. Bei Bedarf kann der Server jederzeit auf diese Dateien zugreifen.
Jedes Cookie hat mehrere Merkmale/Eigenschaften, die für das Gefahrenpotential entscheidend sind:
Merkmal |
Beschreibung |
|---|---|
Name |
Eindeutige Bezeichnung des Cookies |
Inhalt |
Was immer man über sie speichern möchte |
Domain |
Wer hat das Cookie gesetzt |
Pfad |
Gilt das Cookie ggf. nur für ein bestimmtes Unterverzeichnis oder für das Wurzelverzeichnis "/" |
Verbindungstyp |
Mögliche Werte sind z.B.: |
Gültig bis: |
Datum und Uhrzeit, an dem die Gültigkeit des Cookies beendet wird. |
Der Name muss dabei nicht sofort den wahren Inhalt des Cookies beschreiben.
Der Domainname kann gefälscht werden oder es wird nur eine IP-Adresse angegeben.
Der Pfad wird häufig auf / gesetzt, damit können alle Bereiche eines Servers auf das Cookie zugreifen.
Die Gültigkeit ist oft so großzügig gesetzt, dass die Gültigkeit für viele Jahre gegeben ist.
Wie kann ich mich gegen Cookies zur Wehr setzen ?
Die gängigen Browser bieten die Möglichkeit Regeln für die Cookiebehandlung einzustellen.
Standard sollte sein: Cookies werden nur für Server angenommen, die ich zuvor angegeben habe.
Also keine darf Cookies setzen, außer ich habe das für diesen Fall erlaubt.
Damit kann man zwar immer wieder unerwünschte Ergebnisse erzielen: Webseiten verhalten sich nicht wie erwartet, speichern ihre Eingaben nicht oder ähnliches.
Wenn sie bestimmte Funktionalitäten unbedingt benötigen, können sie sich immer noch entscheiden, Cookies für diesen Fall ausnahmsweise zu erlauben.
Auch sollten sie die Möglichkeit in Betracht ziehen, alle Cookies automatisch beim schließen des Browsers zu löschen.