|
* Cookies *
Was sind Cookie? / Die Risiken
/ Schutzmöglichkeiten / Empfehlungen
Was ist ein Cookies
Ein Cookie (Keks) ist eine sehr kleine Hilfsdatei, die dem Browser des
Besuchers übermittelt wird. Die Datei enthält meist den Namen
der Webseite, die den Cookie verschickt hat und kann auch nur von dieser
wieder gelesen werden. Der Cookie wird
auf die Festplatte des Benutzers geschrieben, um z.B. eine Identifikationsnummer
zuzuteilen. Wenn Sie die Seite, die den
Cookie geschickt hat, das nächste Mal aufrufen, kann der Cookie
ausgelesen werden, und dient dem Webserver zur
Identifizierung des Online-Besuchers. Ein Cookie kann aber auch zu
weitreichenderen Zwecken, z.B. der Erforschung des
Nutzerverhaltens genutzt werden.
Als Cookie (Datei bis zu 4000 Zeichen) wird die Information bezeichnet,
die ein WWW-Server bei einem Verbindungsaufbau an den Browser
schickt, um ihn bei nachfolgenden Interaktionen wiedererkennen zu können.
Die Motivation für die
Entwicklung des Cookie-Mechanismus war, dass im WWW jeder Verbindungsaufbau
eines Browsers mit einem Server
als
eine eigenständige Interaktion behandelt wird. Dadurch kann auf
Daten, die ein Nutzer in einer vorhergehenden Interaktion
eingegeben hat, in späteren Interaktionen nicht zurückgegriffen
werden, da der Server keinerlei Hinweise dafür hat, dass beide
Interaktionen zusammengehören. Cookies erlauben die Kennzeichnung
zusammengehöriger Interaktionen, wodurch der
Nachteil des WWW ausgeglichen werden kann. Cookies sind Informationen,
meistens nicht mehr als eine eindeutige
Identifikationsnummer, die der WWW-Server beim ersten Verbindungsaufbau
an den Browser schickt. Der Browser legt
diese Information in einer Datei oder einem Verzeichnis ab. Bei allen
darauffolgenden Verbindungen zu diesem Server liefert
der Browser diese Information (Cookies) zurück an den Server,
der damit den Nutzer identifizieren und den Kontext und die
Einstellungen der letzten Sitzung wiederherstellen kann. Der Browser
liefert die Cookies nur an den Server zurück, der ihm
dieses Cookie geschickt hat. Hierzu verfügen die Cookies über
einen Domänennamen, der kennzeichnet, von welchem Server
sie stammen. Der Browser vergleicht vor jeder Anforderung einer neuen
Seite die URL der Seite mit dem Domänennamen der Cookies. Nur wenn
der Domänenname der Cookies in der URL der Seite enthalten ist, schickt
er die Cookies an den Server.
Problematisch ist, dass der Domänenname der Cookies beliebig gesetzt
werden kann. Somit kann beispielsweise der
Domänenname eines gesendeten Cookies auf acme.com gesetzt werden,
womit dieser Cookie bei weiteren Anforderungen
des Browsers an alle Server, die in ihrer URL acme.com enthalten, gesendet
wird. Um jedoch Domännamen in der Form: edu, .com usw. zu vermeiden,
müssen die Domänennamen mindestens zwei Unterteilungen haben
(z.B. www.rsa.com).
Musterbeispiel für die Verwendung von Cookies ist das Online-Shopping,
um die Einkaufsliste in eine weitere Sitzung zu
übernehmen. Außerdem: WWW-Server, die eine Identifizierung
des Nutzers erfordern, speichern eine erfolgreiche
Anmeldung über Cookies, damit sich der Nutzer in einer neuen Sitzung
nicht mehr anzumelden braucht.
Die Risiken
Der Cookies-Mechanismus bringt folgendes Risiko mit sich:
Erstellung von Profilen über Surf-Gewohnheiten des Nutzers:
Jeder Verbindungsaufbau mit einem WWW-Server hinterlässt durch
die Protokollierungsmechanismen der einzelnen Server gewisse Informationen,
die meist nicht sehr aussagekräftig sind, da sie sich nur auf einen
Server beziehen. Mit Hilfe von Cookies wird die Erstellung von Internet-übergreifenden
Profilen ermöglicht.
Inzwischen haben sich Werbeagenturen im Internet etabliert, die mit
interessenangepasster Werbung für WWW-Nutzer werben. Die HTML-Seiten
der Kunden werden durch die Werbeagentur um eine Grafik erweitert, die
auf einem Server der Werbeagentur liegt. Greift nun ein Nutzer auf eine
Seite mit dieser Grafik zu, so wird eine Verbindung zum Server der Agentur
aufgebaut, um diese Grafik zu holen. Dieser Server aber weist dem Browser
neben der Grafik einen Cookie mit einer eindeutigen Kennung zu. Bei einer
erneuten Anwahl einer Seite eines Servers, der auch zum Kundenstamm dieser
Werbeagentur gehört, kann der Server somit den Nutzer identifizieren.
Nach einer gewissen Zeit kann die Werbeagentur Listen mit Vorlieben und
Interessen des Nutzers erstellen und diesen Nutzer gezielt mit Werbung
versorgen. Weiterhin können diese Nutzerprofile anderen Kunden zur
Verfügung gestellt werden. Außerdem können die Nutzerprofile
zur Beurteilung der
Effektivität von Werbung herangezogen werden.
Schutzmöglichkeiten
Mit folgenden Mechanismen können sich Nutzer gegen Cookies schützen:
1. Deaktivieren des Cookie-Mechanismus im Browser.
Die restriktivste Methode kann über das Abschalten der Unterstützung
von Cookies im Browser erreicht werden.
Im Netscape findet man die Einstellungen immer unter: Bearbeiten /
Einstellungen / Erweitert.
Im IEsplorer gibt es die Einstellungen auch, doch je nach Version woanders
versteckt. Der Weg zu dem Menü ist immer unter: Extras / Internetoptionen
/ und jetzt muss man suchen - unter: Sicherheit oder Erweitert usw.
2. Aktivieren der Ausgabe von Warnmeldungen im Browser.
Über Einstellungen kann im Browser die Ausgabe von Warnmeldungen
beim Empfang von Cookies aktiviert werden. Damit hat der Benutzer die Möglichkeit
zu entscheiden, von welchen Servern Cookies akzeptiert werden sollen und
von welchen nicht. Jedoch versuchen viele Server durch aufeinanderfolgende
Versuche einen Cookie zu setzen, den Nutzer mit Dialogboxen zu überhäufen,
so dass er schließlich doch diesen Cookie akzeptiert.
3. Verhindern der dauerhaften (persistenten) Haltung von Cookies.
Cookies werden zur Laufzeit des Browsers dynamisch im Speicher gehalten,
wobei zusätzlich eine persistente Speicherung im Filesystem stattfindet.
Durch entsprechende Mechanismen kann die persistente Speicherung in das
Filesystem verhindert werden. Somit gehen beim Beenden des Browsers alle
Cookies verloren und ein zusammenhängendes Nutzerprofil kann nicht
erstellt werden.
Empfehlungen
Um die Möglichkeit der Erstellung von Nutzerprofilen mit Hilfe von
Cookies zu verhindern, sollten folgende Richtlinien eingehalten werden:
-
Nur bei vertrauenswürdigen WWW-Servern sollte der Cookie-Mechanismus
aktiviert werden.
-
Im Browser sollte die Ausgabe von Warnmeldungen aktiviert werden.
-
Nutzer sollten auf Probleme im Hinblick auf die Nutzung von Cookies geschult
werden.
Profiliert
Weitere Risiken außerhalb der Ebene gespeicherter oder übertragener
Daten verursacht der Benutzer selbst: Jede ungeschützte Bewegung im
Internet hinterlässt eine Datenspur, die an sich harmlos wäre.
Wem es allerdings gelingt, viele Puzzlesteinchen zu sammeln und zusammenzuführen,
der kann sich ein ziemlich gutes Bild von den Interessen und gegebenenfalls
auch der Kaufkraft des Surfers machen. Die eigentliche Gefahr liegt im
Kontrollverlust: Das Bundesverfassungsgericht hat die Wichtigkeit der `informationellen
Selbstbestimmung´ 1983 im sogenannten Volkszählungsurteil erkannt.
Jeder soll `grundsätzlich selbst über die Preisgabe und Verwendung
seiner persönlichen Daten ... bestimmen´ können.
Die Wege, auf denen Daten im Internet gesammelt werden und zusammenlaufen,
sind jedoch kaum zu durchschauen. Insofern sollte die grundlegende Strategie
lauten: Vorsicht, Misstrauen, minimale Preisgabe von Information. Dazu
gehören sowohl Zurückhaltung beim Ausfüllen von Web-Formularen
als auch die Blockade derjenigen Browser-Cookies, die keinen dem Benutzer
ersichtlichen und genehmen Zweck erfüllen. Cookies sind kleine Datenkrümel
bis zu 4000 Zeichen, die ein Web-Server auf der lokalen Festplatte des
Surfers speichern kann. Wenn man die Site (Seite) erneut besucht, schickt
der Browser automatisch den Inhalt der zugehörigen Cookies ins Netz.
Es ist zwar nicht möglich, Cookies von fremden Servern anzufordern,
allerdings haben findige Werbeleute schon vor längerem einen Trick
ersonnen, um dennoch Domain-übergreifend Informationen sammeln zu
können: Alle Mitglieder eines Werberings verlinken zentral gelagerte
Banner in ihren Seiten. Da der zentrale Server bei jedem Besuch jeder teilnehmenden
Site angesprochen wird, kann er auch jedesmal ein Cookie setzen beziehungsweise
zurückerhalten. Die Information, von welcher Seite aus der Link angesprochen
wurde, findet sich normalerweise in dem Referrer-Token, das der Browser
erzeugt.
Der zentrale Server teilt nun jedem Benutzer eine eindeutige Kennziffer
zu und kann von da ab das Verhalten des Surfers auf allen beteiligten WWW-Sites
protokollieren - und entsprechend ein Benutzerprofil erzeugen. Wer überdies
freigiebig persönliche Daten wie Name, Geburtsdatum, Wohnort, EMail-Adresse
und so weiter in Web-Formulare schreibt, muss damit rechnen, von der `gläsernen
Nummer´ zur gläsernen Person zu werden.
Auch die Teilnahme an Diskussionsforen bietet Spitzeln tiefe Einblicke
in die Interessen des Autors. Die Newsgroup-Suchmaschine Dejanews erstellt
auf Mausklick fix und fertig `Author Profiles´, in denen die Anzahl
der Beiträge nach Newsgroups sortiert auftaucht - die Inhalte sind
archiviert und bequem abrufbar. Neben dem sorgsamen Umgang mit Cookies
kann anonymisiertes Surfen über Proxies sowie anonyme oder pseudonyme
EMail die Spurenmenge verringern. Ein gewisses Vertrauen in den Betreiber
des Remailers gehört allerdings dazu. |
