Cookies - Nutzen und Gefahren

Immer wieder stelle ich fest, daß der Nutzen - und vor allen Dingen die Gefahren - von Cookies falsch eingeschätzt werden. Mit dieser Seite (und der dazugehörigen Beispiel-Seite) möchte ich etwas zum Verständnis dieser kleinen nützlichen, manchmal mißbrauchten, häufig mißverstandenen Helfer beitragen.

Was sind Cookies

Cookies sind Informationen in ASCII-Text, die durch die aufgerufene HTML-Datei generiert (z.B. per Java-Script) und dem Browser zum Ablegen auf der lokalen Platte übergeben werden. Ein Cookie kann also nur das "tun", was der Browser zuläßt. Und das ist bei modernen Browsern relativ wenig: Es können nämlich nur die Dinge abgefragt werden, die von dem Browser in den speziell für Cookies reservierten Bereich hineingeschrieben worden sind (bei Netscape ist das die Datei cookies.txt, beim MS IE das Verzeichnis \cookies). Nach den Definitionen dürfen pro Server außerdem nicht mehr als 20 Cookies abgelegt werden, insgesamt max. 300 mit max. 4 MB.
Daraus ergibt sich:

Was ein Cookie nicht kann

Es kann keine Viren übertragen - da ASCII-Zeichenstring, der nicht ausgeführt wird
Es kann keine E-Mail-Adressen auslesen
Es kann keine Platteninhalte auslesen (Bug seit NS 2.0 behoben)
Es kann die History-Datei nicht übertragen (Bug seit NS 3.0 behoben)
Es kann keine unbemerkten E-Mails versenden (Warnung durch Browser!)
Es kann Ihnen nicht Ihre gesamte Platte vollschreiben oder gar löschen

Dennoch gibt es auch einige

Gefahren durch Cookies

Diese Risiken beziehen sich meistens auf die Privatsphäre ("Privacy") des Anwenders. Dadurch, daß ein Server sozusagen eine "Duftmarke" auf Ihrer Platte hinterläßt und dieser (bekannte) Bereich von anderen Servern ausgelesen werden darf, kann man natürlich einiges über Ihre Interessen, Vorlieben und Neigungen erfahren - und zwar um so genauer, je mehr Cookies sich auf Ihrer Platte befinden.
Sie können das Ablegen von Cookies auf Ihrem Rechner allerdings verhindern. Indem Sie z.B. immer Cookies ablehnen, indem Sie die entsprechende Option bei Ihrem Browser einschalten (»Cookies immer ablehnen«) oder in dem Sie das File/ Verzeichnis "Cookies" löschen bzw. schreibschützen.
Allerdings können Sie dann einiges nicht mehr nutzen:

Die Vorteile von Cookies

Diese ergeben sich beim "bestimmungsgemäßen" Gebrauch. Das sind die Einsatzbereiche, für die die Cookies seinerzeit "erfunden" wurden: Das Netz an die Bedürfnisse jedes einzelnen Anwenders anzupassen und ihm seine Arbeit zu erleichtern. Im einzelnen geben sich z.B. folgende Einsatzgebiete:

Das Abspeichern von Einstellungen (Preferences), die ein Anwender einmal ausgewählt hat; z.B. Hintergrundfarbe, Auswahlmöglichkeiten (z.B. My Yahoo!).
Das Erleichtern des Zugangs durch das lokale Abspeichern des Passwords, so daß es nicht mehr jedes Mal eingegeben werden muß. Achtung: Dieses Password liegt dann auf Ihrer Platte und kann von jedem, der Zugang zu Ihrem Rechner hat ausgelesen bzw. genutzt werden! (z.B. My Excite oder WhoWhere).
Das Festellen des letzten Besuches, um so dem Anwender nur die Dinge anzubieten, die sich seitdem verändert haben.
Zum Erstellen anonymisierter, aber genauer Besucherstatistiken (z.B. bei Webcountern), um so dem Webmaster die Möglichkeit zu geben, seine Seiten den Bedürfnissen der Besucher anzupassen (z.B. Webside-Sory).
Das Abspeichern von Registrier-Nr. für einen automatisch autorisierten, angepaßten Software-Update (z.B. bei Realaudio's Pluszone)

Diese Liste liese sich wahrscheinlich noch eine zeitlang fortsetzen; ich glaube aber sie zeigt schon bis hierher, wo und wann der Einsatz von Cookies notwendig oder zumindest "nice to have" ist.

Fazit/ persönliche Wertung

Auf den generellen Einsatz von Cookies kann wohl kaum verzichtet werden. Andererseits ist es genau so falsch, Cookies immer zuzulassen (vor allem, wenn Sie "bestimmte" Server besuchen!) Ich sehe daher keine andere Möglichkeit, als Ihnen den Rat zu geben, von Fall zu Fall individuell zu entscheiden!
Neue Browser - wie z.B. der Mozilla - bieten inzwischen eine recht ausgefeilte Cookie-Verwaltung bzw. fein granulierbare Einstellungen, welche Cookies zugelassen werden und welche nicht. Besonders praktisch hierbei ist es, dass sich der Mozilla eine einmal vom Anwender getroffene Entscheidung merken kann, so dass Cookies derselben Seite in Zukunft automatisch zugelassen oder abgelehnt werden.
Vermutlich haben solche Entwicklungen, aber auch der Bedarf der Werbewirtschaft an (zusätzlichen) Informationen über die Anwender zur Entwicklung neuer Methoden geführt. Die am weitesten verbreitete stellen hierbei die sog. Web Bugs da.

Beispiel über die Funktionsweise von Cookies

Wenn Sie zusätzlich zur Theorie auch noch etwas Praxis sehen wollen, dann sollten Sie sich dieses Beispiel anschauen. Vielleicht kommt es Ihnen bekannt vor. Aber vielleicht hatten Sie noch nie die Möglichkeit, die Arbeitsweise genau zu verfolgen. Wenn Sie daran Interesse haben, dann begeben Die sich auf die Demo-Seite.
Hinweis: Beim Betreten werden zwei Cookies gesetzt bzw. abgefragt. Alle weiteren Erklärungen direkt am Beispiel!

Eine weit größere Bedrohung der Privacy wird durch sog. Spyware verursacht. Infos hierzu finden Sie auf meiner Spyware-Seite.
Ein weiteres Thema, über dessen Sicherheitsgefahren viel Unwissendheit und Unsicherheit existiert und das Sie vielleicht interessieren könnte, ist der Einsatz von Java und ActiveX!

Wenn Sie sich ausführlicher mit dem Thema Cookies befassen wollen, dann schauen Sie doch einfach 'mal unter meinen

Links

Laßt die Cookies leben	eine sehr gute Abhandlung von BINGO (Bürgernetz Ingolstadt)
The Cookie-Page	mit einigen Infos der FH Worms
Cookie Central	der Name sagt alles
NSclean and IEclean	einige Informationen und - vor allem - Programme, zur Vermeidung/ "Bekämpfung" von Cookies
Crumbler '97	ein weiteres Programm, mit dem Cookies (selektiv) gelöscht und auch angeschaut werden können (leider nur in der Vollversion für $10)
Bertelsmann und Cookies	eine Information des Bertelsmannverlages an seine Kunden (betätigen Sie unbedingt einmal den Button "Cookies löschen")
Marktforschung im Internet	eine Seite, die Cookies (u.a.) von dieser Seite her beleuchtet

Haben Sie sich schon in meinem Gästebuch eingetragen?
Bei Fragen und Problemen posten Sie bitte in meinem Internet- und Security-Forum.
In besonderen Fällen erreichen Sie mich auch per E-Mail!

[zurück zur TCP/IP-Seite]

(Diese Seite wurde erstellt am 01.10.1997,
der letzte Update fand statt am 6.1.2002)

Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg