Laßt die cookies leben

Laßt die cookies leben !

In letzter Zeit wird in der Fachpresse immer wieder über die sogenannten cookies berichtet. Es wird davon gesprochen, daß damit unsere Internet-Gewohnheiten ausgespäht werden oder gar Systeminformationen von unserem Computer abgerufen werden. Als Rat wird gegeben, die entsprechende Datei beim Systemstart automatisch zu löschen oder mit einem Schreibschutz zu versehen.

Worum geht es dabei eigentlich ?
Geht von den cookies wirklich eine Gefahr aus ?

Es folgen hier zunächst eher trockene technische Erläuterungen. Wer sich das lieber ersparen möchte, springe gleich zum Resümee. Es folgt eine Beschreibung des Dateiformats.
neu Netscape 3.0 und MS InternetExplorer 3.0 bieten eine neue Option, um das Verhalten des Browsers zu steuern, wenn er den Auftrag zum Anlegen eines cookies bekommt.
Abschließend finden Sie weiterführende Links.

Technik

Cookies (fragt mich nicht, warum sie cookies heißen - in den entsprechenden Quellen steht hierzu "for no special reason") sind kleine Stückchen Information, die der von uns verwendete Web-Browser im Auftrag des Web-Servers zunächst im Speicher unseres Rechners festhält und unter Umständen bei Verlassen des Browsers in eine Datei schreibt (natürlich kann der Server nicht, wie es teilweise ungenau formuliert wird, selber auf unsere Platte schreiben). Da dieses Schreiben also vom Web-Server initiiert wird, kann er auch nur schreiben (lassen), was er sowieso schon weiß.

Bei jedem (jedem ist nicht ganz exakt; wer es ganz genau wissen will, lese in den unten angegebenen Verweisen nach) neuen Verbindungsaufbau mit diesem Web-Server sendet unser Browser die gespeicherte Information an den Server zurück.

Wozu nun dieses ganze Treiben ? - Anders als bei den uns sonst bekannten lokal laufenden Programmen besteht zwischen unserem Browser und dem Server keine permanente Verbindung. Jedesmal, wenn wir eine neue Seite aufrufen oder ein ausgefülltes Formular abschicken, wird eine neue Verbindung zum Server aufgebaut, die Daten werden ausgetauscht, die Verbindung wird beendet und ein eventuell auf dem Server gestartetes Programm, das Daten geschickt oder empfangen hat, wird ebenfalls beendet. Und genau dort liegt das Problem: Wenn wir durch einen komplexen Dialog geführt werden, wie soll das beim Ausfüllen des zweiten Formulars auf dem Server gestartete Programm wissen, was wir im ersten Formular eingetragen haben ? Solche Informationen kann sich sinnvollerweise unser eigener Rechner als cookie merken.

Für den hier geschilderten Fall würde es natürlich auch reichen, daß unser Rechner die Information im Hauptspeicher hält; es gibt keinen zwingenden Grund, die Information in eine Datei (bei z.B. Netscape cookie.txt, beim Internet Explorer in das Verzeichnis \Windows\Cookies) zu schreiben. Hierbei liegt die Idee darin, bei einem späteren Kontakt zum Server wieder auf alte Daten zugreifen zu können: vielleicht haben wir schon einmal von einem Online-Versand eine Kundennummer vergeben bekommen oder wir haben bei einer Beteiligung an einem Diskussionsforum schon einmal unsere email-Adresse eingegeben.

Dadurch daß der Server bei uns Daten speichern kann, besteht natürlich auch die Möglichkeit, zum Beispiel Buch darüber zu führen, wie oft und wann wir das letzte Mal einen Server besucht haben. Auch können unsere persönlichen Vorlieben - z.B. ob wir in einer Online-Buchhandlung eher nach Fachbüchern zum Thema Computer oder nach Büchern mit hübschen Farbfotos suchen - erfaßt und ausgewertet werden. Dann werden wir vielleicht beim nächsten Besuch des Servers auf Neuerscheinungen in dem von uns präferierten Bereich hingewiesen.

Ein wichtiger Aspekt, der noch erwähnt werden soll, ist das möglicherweise anfallende Datenvolumen: Ein einzelner Server darf auf unserem Rechner maximal 20 cookie-Einträge speichern; jeder Eintrag darf eine maximale Größe von 4KB haben. Wenn wir nun annehmen, daß wir von einem Anbieter, der diese Limits voll ausschöpft, eine Seite anfordern, in der z.B. 5 Bilder enthalten sind, so bedeutet das, daß dazu 6 Verbindungen aufgebaut werden müssen; bei jeder Verbindung werden alle cookies an den Server gesendet. Das macht insgesamt also 480 KB... denken wir lieber nicht an so was; solch extremen Werte habe ich noch nie erlebt.
Die Gesamtzahl der bei uns gespeicherten cookies darf 300 nicht überschreiten.

Das ist jetzt doch ganz schön lang geworden. Danke, daß Sie bis hierher durchgehalten haben.

(ausgeliehen bei Andy, URL siehe unten)

Resümee

Fakten

Nicht der Web-Server greift auf unsere Platte zu, sondern der Web-Browser.

Der Server kann nur schreiben lassen, was er sowieso schon weiß.

Der Server kann nur lesen, was er selber (oder u.U. ein anderer Rechner aus der gleichen domain) geschrieben hat.

Ein Server kann max. 20 cookies zu max. 4KB ablegen.

Gefahren

Es kann Statistik über unsere Besuche geführt werden.
Es können unsere persönlichen Vorlieben, die wir auf dem besuchten Server an den Tag legen, gespeichert werden.
Bei einer Ausnutzung der zulässigen Grenzen für Anzahl und Größe der cookies können erhebliche Netzbelastungen und damit Wartezeiten entstehen.

Nutzen

Bei wiederholtem Dialog mit den gleichen Anbietern müssen wir nicht immer wieder die gleichen Angaben eintippen - das kann Online-Zeit sparen.

Bilden Sie sich Ihre eigene Meinung !

Meine Meinung ist:
Für mich stellen die cookies einen Komfort dar, auf den ich nicht verzichten möchte. Eine echte Gefahr im Sinne eines Sicherheitsrisikos geht von ihnen sicher nicht aus. Im schlimmsten Fall werden wir vielleicht auf einzelnen Servern mit Werbeinformationen bombardiert. Wenn dieser Fall eintreten sollte, werde ich aber deswegen nicht meine cookies wegschmeißen, sondern als konsequenz diesen Server nicht mehr besuchen.
Sinnvoll kann es sicherlich sein, sich von Zeit zu Zeit einmal die Datei mit einem normalen Editor anzuschauen :

wer hat hier Informationen abgelegt ?
welche Informationen ? Sind sie als Klartext lesbar oder aber verschlüsselt ?
hält sich die Größe der abgelegten Informationen in einem vernünftigen Rahmen ?

Unliebsame Einträge können dann gezielt gelöscht werden.

Um die Datei bearbeiten zu können, müssen wir natürlich die Bedeutung der einzelnen Felder verstehen.

Bedeutung der Einträge in cookies.txt

Das angegebene Beispiel wurde von Netscape 2.0 erzeugt :


.netscape.com        TRUE   /            FALSE  946688399 NETSCAPE_ID     1000e020,10073a5f
.infoseek.com        TRUE   /            FALSE  872348237 InfoseekUserId  B41680577507860A7D1E7D6721C9A0B0
www.bingo.baynet.de  FALSE  /cgi-bin/ub  FALSE  873421199 NAME            Uwe%20Brinkmann
www.bingo.baynet.de  FALSE  /cgi-bin/ub  FALSE  873421199 EMAIL           ub304@bingo.baynet.de
www.foo.bar          FALSE  /home/uwe    FALSE  946688399 TEST            das-ist-ein-test

1. Domain
Name des Rechners oder der Domain, an den die Information weitergegeben wird. In der ersten Zeile z.B. ist ".netscape.com", also der Name einer Domain angegeben. Das bedeutet, daß z.B. sowohl der Rechner "www.netscape.com" als auch "cgi.netscape.com" die Information erhalten. Ab dem dritten Eintrag sind jeweils komplette Rechnernamen angegeben; damit erhält nur genau dieser Rechner die Information zurück.

2. ??
??

3. Pfad
Mit der Pfadangabe kann auf dem jeweiligen Rechner, auf dem der cookie- Eintrag gilt, noch weiter eingeschränkt werden, ob die Information übertragen wird. In den meisten Fällen steht hier ein einfaches "/", das ist unter Unix das oberste Verzeichnis. Damit wird die Information grundsätzlich gesendet. In dem letzten Eintrag hingegen steht als Pfad "/home/uwe". Dieser Eintrag bewirkt, daß der cookie nur dann zurückgegeben wird, wenn die rufende Seite in dem Verzeichnis "/home/uwe" oder in einem Unterverzeichnis davon liegt.

4. Secure
Wenn hier "TRUE" (wahr) steht, dann wird die Information nur übertragen, wenn eine sichere Verbindung zwischen Client und Server vorliegt; d.h. wenn HTTPS (HTTP over SSL) verwendet wird.

5. Verfallsdatum
Datum, bis zu dem der Eintrag gilt (in codierter Form). Nach dem Verfallsdatum wird die Information nicht mehr gesendet.

6. Name
Name des Eintrags.

7. Wert
Wert des Eintrags.
Z.B. der vierte Eintrag in dem angegebenen Beispiel hat also den Namen "EMAIL", der zugehörige Wert ist "ub304@bingo.baynet.de". Im dritten Eintrag steht als Wert "Uwe%20Brinkmann". Das "%20" ist dabei eine ASCII-Codierung für ein Leerzeichen.

neu neue Option in Netscape 3.0 und MS InternetExplorer 3.0
In den beiden Browsern gibt es jetzt eine Option, die eine Warnmeldung bewirkt, wenn ein cookie angelegt werden soll. Der Benutzer hat dann jeweils die Möglichkeit, zuzustimmen oder abzulehnen.
Bei Netscape 3.0 finden Sie diesen Schalter unter Optionen / Netzwerk-Einstellungen :

Bei MS InternetExplorer 3.0 steht der Schalter unter Ansicht / Optionen :

Weiterführende Links :

oder aber auch :

Ein Beispiel, wie Sie cookies mit JavaScript setzen und lesen können, finden Sie auf Seite 16 meiner Einführung JavaScript für Alle!.