Cookies

Ein http(s)-Cookie (auch Web-Cookie, Internet-Cookie, Browser-Cookie oder einfach nur Cookie genannt) ist ein Datenelement bzw. Identifikator, der von einer Website gesendet und vom Webbrowser des Benutzers auf dessen Computer gespeichert wird, während der Benutzer surft. Im Bereich des E-Commerce bekommt die Verwendung von Cookies besondere Bedeutung zu, insbesondere um einen früheren Besucher eines Shops wiederzuerkennen.

Cookies wurden als zuverlässiger Mechanismus für Websites entwickelt, um sich benutzerabhängige Informationen und die Surf-Historie zu merken (z.B. Artikel, die in einem Online-Shop besichtigt oder in den Warenkorb gelegt werden) oder um die Surfaktivitäten (Sucheingaben, Anklicken von Produkten, Links, etc.) eines Besuchers aufzuzeichnen.

Cookies können auch dazu verwendet werden, sich an alle Informationen zu erinnern, die der Benutzer zuvor in Formularfeldern eingegeben hat, wie z.B. Namen, Adressen, Passwörter und Kreditkartennummern.

Technisch gesehen ist ein Cookie lediglich eine aus wenigen Zeichen bestehende Textdatei, die einen Code enthält, der den Besucher eindeutig wiedererkennen lässt, ähnlicher einer Identifikationsnummer. Die bezogenen Userdaten (Surfhistorie, Suchverhalten, Formulareingaben usw.) werden nicht im Cookie selbst gespeichert, sondern unter der eindeutigen Identifikation des Cookies auf dem Rechner des Anbieters abgelegt.

Cookies erfüllen wesentliche und wichtige Funktionen im modernen und kommerziellen Web, bedeuten aber auch Risiken für den Anwender. Es werden eine Vielzahl von Cookies unterschieden, die sich nach Art und Zweck unterscheiden, wobei diese nicht immer eindeutig abgrenzbar sind und Cookies ggf. mehrere Eigenschaften aufweisen.

Authentifizierungs-Cookie: Über die Option „Angemeldet bleiben“ identifiziert ein Anbieter den Besucher seiner Webseite durch das auf dem User-Rechner abgelegte Cookie, und ermöglicht einen automatischen Login und Zugriff auf die bereits erfassten Benutzerdaten und -Interessen.

Das ist zum Einen praktisch für den User, da bereits erfasste Informationen und Interessen nicht erneut angegeben werden müssen, bedeutet zum Anderen aber auch Risiken: Sicherheitslücken oder fehlende Verschlüsselung (sowohl auf dem Server des Anbieters, als auch des Kunden/Benutzers) können dazu führen, dass Hacker sich unerlaubt Zugang zu Cookie-Informationen verschaffen, die dann die Möglichkeit bietet sich als ein wiederkehrender Benutzer auszugeben und den betreffenden Account zu missbrauchen.

Tracking-Cookies, und insbesondere Tracking-Cookies von Dritten, werden häufig als Mittel zur Erstellung langfristiger Aufzeichnungen über die Surf-Historie von Einzelpersonen verwendet - ein potenzielles Datenschutzproblem, da personenbezogene Daten auch von nicht angemeldeten Besuchern einer Webseite protokolliert werden. Das europäische daher Recht schreibt vor, die ausdrückliche Zustimmung („Opt-In“) der Nutzer einholen müssen, bevor sie nicht unbedingt notwendige Cookies auf dem Gerät des Webseitenbesuchers speichern dürfen.

Cookies können jedoch auch von anderen Beteiligten, wie etwa Wi-Fi-Hotspot-Anbietern, mitgelesen werden. Dies kann durch die Verwendung des Inkognitomodus vermieden werden.

Ein Sitzungs-Cookie, auch bekannt als In-Memory-Cookie, vorübergehender Cookie oder nicht-persistenter Cookie, existiert nur im temporären Speicher, und nur während ein Benutzer ich auf einer Website aufhält / navigiert. Webbrowser löschen Sitzungs-Cookies normalerweise, wenn der Benutzer den Browser schließt. Im Gegensatz zu anderen Cookies sind Sitzungs-Cookies kein Ablaufdatum zugeordnet, weshalb der Browser weiß, dass sie die temporäre Eigenschaft haben.

Anstatt wie bei Sitzungs-Cookies beim Schließen des Webbrowsers abzulaufen, läuft ein dauerhaftes Cookie erst zu einem bestimmten Datum oder nach einer bestimmten Zeitspanne ab. Dies bedeutet, dass die Informationen des Cookies während seiner gesamten Lebensdauer (die so lang oder so kurz sein kann, wie seine Erzeuger wollen) jedes Mal an den Server übertragen werden, wenn der Benutzer die Website besucht, zu der es gehört, oder jedes Mal, wenn der Benutzer eine zu dieser Website gehörende Ressource von einer anderen Website aus aufruft (z.B. eine Werbung).

Aus diesem Grund werden dauerhafte Cookies manchmal als Tracking-Cookies bezeichnet, weil sie von Werbetreibenden verwendet werden können, um Informationen über die Surfgewohnheiten eines Benutzers über einen längeren Zeitraum aufzuzeichnen. Sie werden jedoch auch aus "legitimen" Gründen verwendet (z.B. um Benutzer auf Websites in ihren Konten angemeldet zu halten, damit sie nicht bei jedem Besuch ihre Anmeldeinformationen erneut eingeben müssen).

Ein sicheres Cookie kann nur über eine verschlüsselte Verbindung (d.h. HTTPS) übertragen werden. Sie können nicht über unverschlüsselte Verbindungen (d.h. HTTP) übertragen werden. Dadurch wird das Cookie weniger anfällig für Cookie-Diebstahl durch unerlaubtes bzw. unerwünschtes mitlesen durch Dritte. Ein Cookie wird durch das Hinzufügen des Secure-Flags zum Cookie gesichert.

Auf ein http-only-Cookie kann nicht durch clientseitige APIs wie z.B. JavaScript zugegriffen werden. Diese Einschränkung eliminiert die Gefahr des Cookie-Diebstahls über Cross-Site-Scripting (XSS). Das Cookie bleibt jedoch anfällig für Cross-Site Tracing (XST) und Cross-Site Request Forgery (XSRF) Angriffe. Einem Cookie wird diese Eigenschaft verliehen, indem dem Cookie das HttpOnly-Flag hinzugefügt wird.

Im Jahr 2016 führte Google Chrome Version 51 eine neue Art von Cookie ein, das "same site cookie", das nur bei Anfragen gesendet werden kann, die vom selben Ursprung wie die Zieldomain stammen. Diese Einschränkung mildert Angriffe wie die Fälschung von Cross-Site-Anfragen (XSRF). Einem Cookie wird diese Eigenschaft verliehen, indem das SameSite-Flag auf Strict oder Lax gesetzt wird.

Cookie von Drittanbietern

Normalerweise stimmt das Domänenattribut eines Cookies mit der Domäne überein, die in der Adressleiste des Webbrowsers angezeigt wird. Dies wird als First-Party-Cookie bezeichnet. Ein Drittanbieter-Cookie gehört jedoch zu einer anderen als der in der Adressleiste angezeigten Domäne. Diese Art von Cookie erscheint normalerweise, wenn Webseiten Inhalte von externen Websites, wie z.B. Bannerwerbung, enthalten. Dies eröffnet die Möglichkeit, den Surf-Verlauf des Benutzers zu verfolgen, und wird häufig von Werbetreibenden verwendet, um jedem Benutzer relevante Werbung zu liefern.

Ein Beispiel: Angenommen, ein Benutzer besucht www.example.org. Diese Website enthält eine Werbung von ad.foxytracking.com, die beim Herunterladen ein Cookie setzt, das zur Domain der Werbung (ad.foxytracking.com) gehört. Dann besucht der Benutzer eine andere Website, www.foo.com, die ebenfalls eine Werbung von ad.foxytracking.com enthält und ein Cookie setzt, das zu dieser Domain gehört (ad.foxytracking.com). Letztendlich werden diese beiden Cookies beim Laden der Werbung oder beim Besuch der Website an den Werbetreibenden gesendet. Der Werbetreibende kann dann diese Cookies verwenden, um einen Browserverlauf des Benutzers auf allen Websites aufzubauen, die Anzeigen dieses Werbetreibenden enthalten.

Ab 2014 setzten einige Websites Cookies für über 100 Drittanbieter-Domains lesbar. Im Durchschnitt setzte eine einzige Website 10 Cookies, wobei die maximale Anzahl von Cookies (Erst- und Drittanbieter) über 800 erreichte.

Die meisten modernen Webbrowser enthalten Datenschutzeinstellungen, die Cookies von Drittanbietern blockieren können.

Ein Supercookie ist ein Cookie mit dem Ursprung einer Top-Level-Domain (wie .com) oder einem öffentlichen Suffix (wie .de). Gewöhnliche Cookies hingegen haben den Ursprung eines bestimmten Domainnamens, wie z.B. beispiel.com.

Supercookies können ein potenzielles Sicherheitsproblem darstellen und werden daher häufig von Webbrowsern blockiert. Wenn die Blockierung durch den Browser aufgehoben wird, könnte ein Angreifer, der die Kontrolle über eine bösartige Website hat, einen Supercookie setzen und möglicherweise legitime Benutzeranfragen an eine andere Website, die dieselbe Top-Level-Domain oder dasselbe öffentliche Suffix wie die bösartige Website hat, stören oder sich als solche ausgeben. Beispielsweise könnte ein Supercookie mit dem Ursprung .com eine Anfrage an beispiel.com böswillig beeinflussen, selbst wenn der Cookie nicht von beispiel.com stammt. Dies kann verwendet werden, um Anmeldungen zu fälschen oder Benutzerinformationen bei der Übertragung zu ändern.

Die öffentliche Suffix-Liste trägt dazu bei, das Risiko von Supercookies zu mindern. Die öffentliche Suffix-Liste ist eine anbieterübergreifende Initiative, die darauf abzielt, eine genaue und aktuelle Liste von Domänennamen-Suffixen zu erstellen. Ältere Versionen von Browsern verfügen möglicherweise nicht über eine aktuelle Liste und sind daher anfällig für Supercookies aus bestimmten Domänen.

Der Begriff "Supercookie" wird manchmal für Verfolgungstechnologien verwendet, die nicht auf HTTP-Cookies beruhen. Zwei solcher "Supercookie"-Mechanismen wurden im August 2011 auf Microsoft-Websites gefunden: Cookie-Synchronisierung, die MUID-Cookies (Machine Unique Identifier) wiederherstellt, und ETag-Cookies. Aufgrund des Medieninteresses hat Microsoft diesen Code später deaktiviert.

Ein Zombie-Cookie ist ein Cookie, das nach dem Löschen automatisch wieder erstellt wird. Dazu wird der Inhalt des Cookies an mehreren Stellen gespeichert, z. B. in einem Flash Local Shared Object, im HTML5-Webspeicher und an anderen Client- und sogar Server-seitigen Stellen. Wenn das Fehlen des Cookies erkannt wird, wird das Cookie unter Verwendung der an diesen Stellen gespeicherten Daten neu erstellt.

Weitere Informationen

  • Kategorie: Glossar
  • Thema: E-Commerce
  • Titel: Cookies