 |
CookiesCookies sind kleine Informationseinheiten, die beim Besuch einer Website zunächst im Arbeitsspeicher des heimischen Computers gespeichert werden. Unter Umständen werden diese Daten nach Verlassen des Webservers in Form einer Textdatei auf die lokale Festplatte geschrieben.Ein Cookie besteht aus einem Namen, einem Wert (Zeichenkette) und einem URL. Zudem besitzt ein Cookie eine Lebensdauer. Wird der Ausflug ins Netz beendet und der Browser geschlossen, werden alle Cookies, deren Lebensdauer noch nicht abgelaufen ist, in einer Datei gespeichert. Man spricht dann von 'persistenten Cookies'. Zukünftig läßt sich dann mühelos verfolgen, wie oft genau dieser Anwender wiederkommt und was er tut. Ursprünglich wurden von Netscape die Cookies zur Erleichterung für den Anwender entwickelt. Sie sollten persönliche Informationen enthalten, die der Anwender beim nächsten Besuch eines Online-Angebots nicht mehr eingeben mußte, z. B. für den Zugriff auf Angebote, die eine Zugangskennung erfordern. Eine andere Anwendung wäre ein 'Einkaufskorb'. Da jeder Seitenabruf einen abgeschlossenen Kommunikationsvorgang darstellt, kann der Server nicht speichern, welche Waren ein Kunde schon in seinen Korb gelegt hat. Cookies bieten hier die Möglichkeit den Inhalt des Einkaufskorbes beim Kunden zu speichern, bis die abschließende Bestellung durch eine Bestätigung erfolgt. Normalerweise lassen sich Cookies auch keiner spezifischen Identitäten zuordnen, sofern der Besucher nicht woanders seine Identität preisgibt. Unternehmen können mit Hilfe von Cookies Abrufprofile erstellen z.
B. für verläßliche Abrufprofile für Reichweitenuntersuchungen. Schließlich
will man wissen, welche Seiten wie oft abgerufen werden. Daraus lassen
sich u. a. Schlußfolgerungen für die weitere Gestaltung einer Website
ziehen. Trotz zahlreicher Ansätze gibt es bislang noch kein genormtes
Verfahren zur Bildung von Abrufprofilen. Grundsätzlich besteht die
Möglichkeit zur Bildung von Abrufprofilen jedoch auch ohne Cookies
- durch die Auswertung von Logbüchern, z. B. mit entsprechenden Monitoring-Tools.
Problematisch wird es, wenn Cookies mit langer Lebensdauer eingesetzt
werden. Durch persistente Cookies ist es möglich, einen Benutzer über
mehrere Sessions hinweg zu identifizieren. Dadurch erhöht sich die
Informationsmenge und die Zuordnung einer Personenidentität vereinfacht
sich. Das ist ganz ohne Cookies nicht möglich. Mittlerweile gibt es
eine Reihe von Shareware-Tools, mit denen sich Cookies auf dem Computer
identifizieren und löschen lassen. Normalerweise befindet sich im Verzeichnisbaum
des Browsers irgendwo eine Datei namens 'cookies.txt'. Auf UNIX-Systemen
genügt es, die Leseberechtigung der Datei wegzunehmen. Auf Windows-Rechnern
kann man den Inhalt der Datei löschen und sie dann auf 'Read-Only'
zu setzen. Letztendlich sind Cookies aber relativ harmlos.
Anbieter, die in Ihrem WWW-Angebot Cookies verwenden, sollten einfach
vorher auf deren Anwendung und den Zweck hinweisen. Dann weiß nämlich
der Websurfer woran er ist und wird auch weniger Vorbehalte gegen die
Cookies haben.
Es gibt also zwei Sorten von Cookies: Die mit einer Zeitangabe
(lifetime) und solche ohne. Cookies mit einer Zeitangabe haben
eine Lebensdauer bis zum Ablauf des Verfallsdatum. Sie werden in
der cookies.txt gespeichert, wenn der Browser beendet wird,
um dann beim nächsten Neustart erneut gelesen zu werden. Cookies
ohne Zeitangabe haben eine Lebensdauer, die mit der Lebensdauer des Browserprozesses
identisch ist. Sie werden niemals in der cookies.txt gespeichert
und sie haben kein festes Ablaufdatum.
Wenn man die cookies.txt schreibschützt oder nach /dev/null
linkt, verhindert man die Speicherung von Cookies mit
Lebensdauer. Man behält also Warenkorbfunktionalität, weil man
"Session-Cookies" weiter akzeptiert und zurücksendet. Man
verliert aber Autologin-Cookies und GUID-Cookies.
Wenn man stattdessen Cookies im Browser abschaltet, verliert man
alle Cookie-Funktionalität. Warenkörbe, die sich bei der
Korrelation von Seiten ausschliesslich auf Cookies verlassen,
funktionieren dann nicht mehr. Ausgefeiltere Systeme lassen sich
auch davon nicht beirren, sondern schalten transparent auf eine
Weitergabe der Session-ID in der URL um.
In dem Cookie selbst sind keine personenbezogenen Daten
gespeichert. Es ist nicht der Cookie oder sein Wert, der
gefährlich ist oder der geschützt werden muss. Der Cookie
selbst enthält nur irgendeine zufällige, aber eindeutige
Nummer.
Die personenbezogenen Daten sind in einer Datenbank auf
dem Webserver gespeichert und verlassen dieses System auch
niemals; jedenfalls nicht in Richtung Browser des Anwenders.
Man selbst bekommst also auch niemals zu sehen, was genau
in der Anwendung auf dem Webserver gespeichert ist, man kann
diese Daten mit der ID nur referenzieren.
Cookies sind nur eine von mehreren Möglichkeiten, Browser
so zu markieren, daß eine Folge von Zugriffen unterscheidbar
von allen anderen konkurrenten Folgen wird. Bekannt sind die
folgenden drei Verfahren:
- Cookies:
GET /shop/index.php3
Cookie: ID=3D17
- GET-Parameter in der URL:
GET /shop/index.php3?ID=3D17
- PATH_INFO-Komponenten in der URL oder an anderen Stellen
im URL-String:
GET /shop/index.php3/id/17
Cookies abzuschalten nützt also exakt nichts, wenn man
die Erfassung von Sessiondaten verhindern möchte, da gute
Installationen dann automatisch auf ein Fallback mit Hilfe
eines anderen Verfahrens zurück schaltet. Diese Verfahren
sind fragiler als Cookies; Cookies sind genau für diese
Aufgabe (eine Session-ID zur Referenzierung von Session-Datensätzen
in einer Datenbank transportieren) geschaffen worden.
Schlechte Webshops funktionieren mit abgeschalteten Cookies
gar nicht mehr. Man beraubt sich also im Namen einer nicht
funktionierenden Methode zur Wahrung der eigenen Privacy der
Möglichkeiten, im Internet Einkaufen zu gehen oder
komplexere Webanwendungen zu nutzen (es gibt schliesslich
noch mehr sinnvolle Anwendungen für Session-Variablen als
Warenkörbe).
Seine Privacy schützt man also nicht durch das Abschalten
von Cookies: Zum einen können Gute wie Böse mit anderen
Verfahren als Cookies weiter korrelieren, zum anderen macht
man sich das Leben nur unnötig unbequem.
Seine Privacy schützt man, indem man mit den Leuten, die
ungewollt Daten über einen Speichern nicht mehr redet. Das
bedeutet, man installiert sich einen Junkbuster oder
Webwasher als lokalen Proxy und erdet dort alle Zugriffe, die
in Richtung von Systemen gehen, die man als Rogue erachtet,
z.B. Doubleclick, Adfly, Flycast und wie sie alle heissen.
(Blocken von allen Zugriffen auf *doubleclick* und so weiter)
Man kann ausserdem sein System so konfigurieren, daß es
Set-Cookies, die nicht an HTML-Dateien hängen, automatisch
ausfiltert und daß es vorhandene Cookies ausfiltert, wenn
diese an Requests von Bilddateien hängen. (Ausfiltern von
Set-Cookie-Zeilen in allen Responses, wenn der Content-Type
nicht text/html ist schaltet ankommende Cookies an
GIF-Bildern und dergleichen aus.
Weitere Informationen über Cookies findet man unter
|
|
|
DIENSTE
