Viel wurde bereits über Cookies geschrieben und berichtet, nur meist ohne den wirklichen Sinn von Cookies und Ihre Funktionsweise zu verstehen. Ich will versuchen hier einmal aufzuführen, worin Nutzen und Sinn dieser Cookies besteht, wie sie funktionieren und auch worin die wirklichen Gefahren zu sehen sind. Ich hoffe, damit einmal etwas mehr Licht in das Dunkel zu bringen.

Cookies wurden ursprünglich von Netscape als eine Art Erweiterung des HTTP Protokolls eingeführt [NETS96e]. Aufgabe der Cookies sollte es sein, dem Web-Browser zu helfen sich Informationen über einen längeren Zeitraum zu merken, um dem User somit umständliche Mehrfacheingaben von Informationen zu ersparen.

Cookies sind im Prinzip nichts anderes als kleine, passive Textdateien, in welchen verschiedene Informationen als Text hinterlegt werden, um zu einem späteren Zeitpunkt wieder darauf zurückgreifen zu können. Diese Cookie-Dateien können nicht mehr als 255 Zeichen enthalten, wobei jedoch die wenigsten Cookies eine Größe von ca. 20-30 Zeichen übersteigen. Die Anzahl der Cookies ist auf einem Windows 95 Computer auf Maximal 20 pro Server und maximal 300 Server limitiert. Wenn das Limit überschritten wird, löscht der Computer die ältesten.

Die Cookies befinden sich je nach Browser in einem anderen Verzeichnis; z.B.:

Internet Explorer 4 (PC):
c:\Windows\Profiles\<user name>\cookies\ oder c:\Windows\cookies\

Netscape Communicator 4 (PC):
c:\Programme\Netscape\Users\<user name>\cookies.txt

Diese Verzeichnisse können je nach Installation variieren. Wenn die Cookie-Datei dort nicht gefunden wird, einfach nach einer Datei namens "cookie.txt" beim PC bzw. nach der Datei "MagicCookie" beim Mac suchen. Diese Dateien können ganz einfach mit einem normalen Texteditor geöffnet und betrachtet werden (z.B. Notepad).

Beispiel Cookie-Datei von www.webart.org:

	Date
	13%2E10%2E99+13%3A12%3A26
	www.webart.org/
	0
	1295976704
	29373501
	1926575504
	29300076
	*

Wie funktionieren Cookies?

Eine Internetseite oder ein Webserver können dem Browser Informationen schicken und bitten, diese als Cookie zu speichern. Folgende Informationen würden in so einem Fall normalerweise übertragen werden:

• Welcher Server schickt die Cookie-Datei?
• Wie lange ist dieser Cookie gültig?
• Unter welcher Variable soll ich die Information speichern?
• Welche Informationen soll ich in diese Variable speichern?

Welche Browser unterstützen Cookies?

• Netscape Navigator ab Version 0.94 Beta
• Microsoft Internet Explorer ab Version 2.0
• Spyglass Mosaic 2.11 Win32
• Spyglass 2
• NETCOMplete
• HotJava 1.1
• OmniWeb 2.0
• Opera
• GNNworks v1 2.0
• WebSurfer 5.0
• NetManage Chameleon

Sind Cookies nun gefährlich?

Gerade zu den Anfängen der Cookies war in vielen Magazinen und Fachpublikationen oftmals die Rede davon, daß Cookies potentielle Gefahren in sich bergen. Diese Aussagen sind so nicht ganz richtig: Cookies haben - wie die meisten Dinge auf der Welt - natürlich auch ihre zwei Seiten. Wenn man jedoch einmal die Funktionsweise der Cookies genauer betrachtet, zeigt sich sehr schnell, wann und wie sie gefährlich werden können.

• Nur der Webserver, welcher einen Cookie schreibt, kann auch diesen Cookie wieder lesen.
• Das Lesen von anderen Informationen, die z.B. auf der Festplatte des Users liegen, ist auch mit Hilfe von Cookies NICHT möglich.
• Ein Webserver kann natürlich nur Daten in einen Cookie schreiben, die er kennt. Z.B. User-ID, Session-ID, Besuchernummer,etc. Andere Informationen wie Name, Adresse, Kundennummer usw. können einem Besucher nur dann zugewiesen werden, wenn sich der Besucher mindestens einmal als dieser identifiziert (durch Eingabe in ein Formular beispielsweise). Ab diesem Zeitpunkt ist es jedoch möglich, den Besucher bei späteren Besuchen wiederzuerkennen. Wie in Punkt 1 bereits erwähnt, können auch diese "persönlichen" Informationen nur von dem Server gelesen werden, der diese geschrieben hat. Beim Besuch einer andere Seite besteht also nicht die Gefahr, daß diese Daten unrechtmäßig gelesen/ausgewertet werden.

In gewisser Weise ist es natürlich möglich, einem User, der z.B. auf Amazon.de ein Buch zum Thema Autos kauft, in Zukunft auf Amazon.de nur noch Werbebanner zum Thema Autos zu zeigen.

Eine wirkliche Gefahr besteht dann, wenn verschiedene Internet-Dienstleister ihre Cookie- Informationen von einem gemeinsamen Server schreiben und auswerten lassen. Denn in einem solchen Falle wäre es möglich, anhand der verschiedenen Informationen ein Nutzerprofil zu erstellen. Der eine Anbieter bekommt Informationen über die Interessen eines Nutzers (z.B. Suchmaschine), der nächste die persönlichen Daten (z.B. OnlineShop) usw., wobei der Informations-Austausch in dem Moment illegal wird, wo der Dienstleister eine Weitergabe persönlicher Daten an Dritte ausgeschlossen hat. In diesem Fall sind Cookies nicht die Gefahr, sondern nur ein Mittel zum Zweck und solche wie eben beschriebenen Praktiken finden wohl im normalen Leben derzeit noch häufiger statt.

Man sollte einfach darauf achten, welchen Anbietern man seine persönlichen Daten anvertrauen möchte und welchen nicht.

Cookies deaktivieren

Je nachdem, wie relevant man die oben beschriebenen, möglichen Sicherheitsrisiken findet, kann man natürlich auch die Cookies in den meisten Browsern deaktivieren. Ich möchte hier nur auf die derzeit gänigsten eingehen:

Microsoft Internet Explorer 4.0:
Ansicht -> Internetoptionen -> Erweitert -> Sicherheit -> Cookies

Microsoft Internet Explorer 5.0:
Extras -> Internetoptionen -> Sicherheit -> Stufe anpassen -> Cookies

Netscape Communicator 4.72:
Bearbeiten -> Einstellungen -> Erweitert -> Cookies

Weiterführende Informationen zu Cookies

Cookies: What They Are, Why You Are In Charge (engl.)
http://www.microsoft. com/info/cookies.htm

Alles über Cookies (engl.)
http://www.cookiecentral.com/

Cookie Definition of Netscape (engl.)
http://developer.netscape.com/docs/manuals/js/client/jsref/cookies.htm

Markus M. Deuerlein, 25.02.00