Cookies

Was ist eigentlich ein COOKIE?

Man traut ihnen nicht so recht über den Weg. Angeblich können damit alle persönlichen Daten eines Internetbenutzers heimlich erkundet werden, Hacker erhalten gar Lese- und Schreibzugriffe auf die lokale Festplatte. Was steckt wirklich dahinter, welche Möglichkeiten und welche Einschränkungen gibt es, welchen Nutzen und welche Risiken birgt diese vielgenutzte Technik?

Das zum Betrachten von Webseiten benutzte Hypertexttransferprotokoll ist ein zustandsloses Protokoll: Die Verbindung zu einem Server wird geöffnet, der Browser sendet eine Anfrage, der Server ein Dokument u.s.w., nun wird die Verbindung wieder geschlossen. Damit ist es einem Webserver bei mehreren parallelen Zugriffen unmöglich festzustellen, welche Anfrage von welchem Benutzer kommt, noch kann er diesen auf mehrere Seiten einer Website verfolgen. Beim Online-Shopping z. B. muss der Kunde auf jeder besuchten Seite bekannt sein und das virtuelle Warenhaus muss wissen, welche Artikel der Käufer in seinem Warenkorb hat.

Die von Netscape entwickelte Cookie-Technik erlaubt es einem Webserver auf der Arbeitsstation eines Anwenders Informationen in Textdateien zu hinterlegen und diese in der laufenden Sitzung oder in späteren Sitzungen wieder abzurufen. Damit gibt es für die Verwendung von Cookies zwei Einsatzbereiche:

· Management der aktuellen Sitzung, wie z. B. die Verwaltung von Benutzereinstellungen oder die Gestaltung interaktiver Webseiten.

· Aufzeichnung des Benutzerverhaltens, um Erkenntnisse für Marketing-Maßnahmen zu gewinnen.

Ein Cookie besteht mindestens aus einem Namen und einem Wert. Der Name wird verwendet, um ein bestimmtes Cookie zu identifizieren, da ein einzelner Server mehrere Cookies setzen kann. Der Wert eines Cookies ist die eigentliche Information, die gespeichert wird. Weitere Attribute können optional über Parameter gesetzt werden.

· domain

Grundsätzlich kann nur der Webserver, welcher ein Cookie gesetzt hat, auch auf dieses Cookie zugreifen. Besitzt ein Unternehmen die Webserver server1.firma.de, server2.firma.de und server3.firma.de und soll von jedem dieser Server ein Cookie gelesen werden können, muss das Attribut domain gesetzt werden. In unserem Beispiel auf .firma.de. Da ein Domainname mindestens zwei Punkte enthalten muss, steht ein Punkt vor firma.de. Pro Domain werden nur 20 Cookies akzeptiert, danach werden alte Cookies gelöscht bzw. überschrieben.

 
· expires

Ohne Angabe eines Ablaufdatums wird ein Cookie gelöscht, sobald der Browser beendet wird. Man spricht von einem temporären Cookie. Durch die Angabe eines Ablaufdatums erhält man ein permanentes Cookie, welches spätestens nach diesem Datum gelöscht wird.

· path

Wird das Attribut path nicht übergeben, dann besitzt das Cookie nur Gültigkeit in dem Verzeichnis, in welchem es auch erzeugt wurde. Eine Website besteht doch im allgemeinen aus einer Vielzahl von Verzeichnissen. Wird bei der Erzeugung eines Cookies ein Verzeichnispfad angegeben, so ist es in diesem und allen Unterverzeichnissen gültig. Setzt man als Pfad einen Schrägstrich, so ist das Cookie von allen Seiten einer Website aus zugänglich.

· secure

Ist dieses Attribut gesetzt, so kann das Cookie nur gelesen werden, wenn eine sichere, verschlüsselte Verbindung über das SSL-Protokoll mit der Webseite besteht.

Ein typisches temporäres Cookie beinhaltet damit z. B. folgende Angaben:

Autor=Winfried+Klein; domain=.leu.bw.schule.de; path=/

Das Prinzip der Speicherung von permanenten Cookies ist bei allen Browsern gleich, unterscheidet sich aber in der Form dieser Speicherung. Beim Netscape Communicator werden alle Cookies für jeden einzelnen Benutzer in einer Textdatei mit dem Namen COOKIES.TXT zusammengefasst und in seinem Netscapeprofilverzeichnis abgelegt.

Der Internet Explorer von Microsoft speichert die Cookies verschiedener Webserver separat in einer Textdatei, z. B auf einer Windows NT-Arbeitsstation im Unterverzeichnis COOKIES des Benutzerprofilverzeichnisses. Der Name dieser Textdatei wird dabei aus dem NT-

Benutzernamen und der Domain des Webservers gebildet, z. B. winfried@amazon.txt.

session-id 028-5347420-2159651 amazon.de/ 0 1932892160 29346040 2894552672 29344768

session-id-time 959554800 amazon.de/ 0 1932892160 29346040 2956542672 29344768

Möchte man sich beim Setzen eines Cookies warnen lassen oder verhindern, dass Cookies von Webservern angenommen werden, kann dies durch Einstellungen im Browser geschehen. - Beim Netscape Communicator erfolgt dies unter Bearbeiten/Einstellungen/Erweitert, beim Internet Explorer unter Eigenschaften/Sicherheit und der Auswahl einer Zone.

    


Ist z. B. in den Sicherheitseinstellungen beim Internet Explorer unter Cookies die Eingabeaufforderung aktiviert, muss das Setzen eines Cookie bestätigt werden und sein Wert und die Attribute werden angezeigt.

 
Für ganz Vorsichtige: Bei den Browsern von Netscape kann man den Inhalt der Cookie-Datei löschen und danach diese mit einem Schreibschutz versehen. Beim Microsoft Internet Explorer ist dies nicht möglich, da jedes Cookie unter einem eigenen Dateinamen gespeichert wird. - Aber Achtung: Leider können die Angebote vieler Webserver nur genutzt werden, wenn man die Annahme von Cookies zulässt.

Hat man einen Webserver besucht, der auf der lokalen Festplatte ein Cookie gesetzt hat, ist es möglich, dass man beim nächsten Besuch des Servers persönliche Voreinstellungen wie z. B. Name, E-Mailadresse, Themenschwerpunkte u.s.w. vorfindet, welche nicht mehr neu eingegeben werden müssen. Dies ist für den Nutzer bequem, spart Zeit und damit auch Onlinekosten. _ Mit dieser Technik können aber auch unbemerkt Profile über die Surfgewohnheiten und Interessen der Anwender erstellt werden. Persönlich zugeschnittene Werbebanner und _mails gehören bei vielen Internetanbietern heute schon zum Standard.

Die einzigen Informationen, die ein Webserver von der lokalen Festplatte eines Anwenders lesen kann, sind die, welche er selbst einmal dort in einem Cookie gespeichert hat. - Bei den Browsern von Microsoft und Netscape werden laufend Sicherheitslücken entdeckt, durch welche es z. B möglich ist, unbefugt den Wert fremder Cookies auszulesen oder Warnungen vor ungültigen SSL-Zertifikaten zu unterdrücken. Deshalb sollte man darauf achten, immer die neuesten Bugfixes bzw. Patches installiert zu haben.