 | | | | | |||||||
| | | | | |||||||
| |
| | | |||||||
| | | | | |||||||
| | | | |
|
"Cookies" machen zur Zeit als Gefahrenquelle im Internet die Runde. Aber wie so oft ist alles nur halb so wild, zumindest wenn man weiß, um was es sich dreht und wo die potentiellen Gefahren lauern. Lesen Sie hier über den Sinn der einst von Netscape erdachten Erfindung und lernen Sie, auf was Sie achten können.
Nachdem sich leider nirgendwo eine Erklärung für das Zustandekommen dieser seltsamen Bezeichnung - ,Cookie` kommt aus dem amerikanischen und bedeutet soviel wie süßer Keks, Plätzchen - auffinden läßt, kann man darüber nur spekulieren. Wahrscheinlich wollten seine Erfinder dem Internet-Surfer das Dasein mit zusätzlichem Komfort versüßen .... Bevor Sie allerdings verstehen, was es mit dieser süßen Erfindung auf sich hat, müssen wir zuerst etwas den Hintergrund aufarbeiten!
Das Übertragungsprotokoll des World Wide Web (Hypertext Transfer Protocol, HTTP) ist von Natur aus verbindungslos. In der Praxis bedeutet das, daß sofort nach der Übertragung eines Dokuments die Verbindung zwischen Web-Browser und Web-Server abgebaut wird. Sind in ein Dokument weitere Dokumente eingebettet, etwa Bilder in einem Text, oder folgt der Anwender einem Hyperlink, so wird für jedes dieser Dokumente wiederum eine neue Verbindung zum Server auf- und abgebaut.
Aus der Sicht des Web-Servers sind dies völlig neue Anfragen, es ist sogar denkbar, daß er in der Zwischenzeit bereits mehrere hundert anderer Zugriffe abgewickelt hat. Für die meisten Fälle ist diese lose Verbindung zwischen Client und Server gerade richtig, wozu also Ressourcen für eine permanente Verbindung verschwenden?
Ganz einfach: Heutzutage werden immer komplexere Vorgänge über das enorm populäre World Wide Web abgewickelt. Denkt man an Anwendungen wie Suchmaschinen, Literaturrecherche, Telebanking oder Online-Shopping, so kann man sich leicht vorstellen, daß es notwendig ist (oder zumindest hilfreich wäre), daß sich der Web-Server an die bisherigen Aktionen bzw. an den letzten Besuch ,erinnert`. Dadurch werden Dinge wie z. B. ein virtueller Einkaufskorb möglich: Der Kunde legt durch jeweils einen simplen Klick ein Produkt in seinen Korb. Geht es schließlich durch einen
letzten Klick zur Bestellung, kann der Server diesen Zugriff mit den vorangegangenen Zugriffen in Verbindung bringen, d. h. er ,erinnert` sich an die bereits im Korb vorhandenen Waren, und der Einkauf bzw. die Bestellung kommt zum erfolgreichen Abschluß.
Um dies zu ermöglichen, entwickelte Netscape zunächst im Alleingang ein simples Konzept, umgangssprachlich als Cookies bezeichnet. Inzwischen wurde dieses Verfahren von der obersten Standardisierungsinstanz des Internets (Internet Engineering Task Force, IETF) zu einem Standard abgerundet und ist in RFC (Request for Comments) 2109 unter dem offiziellen Namen ,HTTP State Management Mechanism` nachzulesen. Die dort beschriebene Methode unterscheidet sich zwar vom ursprünglichen Netscape-Vorschlag, jedoch vertragen sich Softwareprodukte, welche die Netscape-Variante implementiert haben, mit diesem Standard.
Der Cookies-Mechanismus sieht zwei neue HTTP-Schlüsselworte ,Cookie` und ,Set-Cookie` vor, über die eine zugriffsübergreifende logische Sitzung zwischen Web-Browser und Web-Server geschaffen werden kann. Innerhalb dieser Sitzung können relevante Informationen zwischen verschiedenen Zugriffen beibehalten werden, der oben beschriebene Einkaufskorb wird damit zum Kinderspiel. Wer mehr über die technischen Details wissen möchte, sei an dieser Stelle auf den oben erwähnten RFC 2109 verwiesen. Die verschiedenen RFCs lassen sich online u. a. über ftp://ftp.leo.org abrufen, die Homepage der IETF ist unter der URL http://www.ietf.org zu erreichen.
Die während einer logischen Sitzung anfallenden Daten werden, so sieht es der Standard vor, auf Anwenderseite gespeichert. Damit haben die Entwickler zwei Fliegen mit einer Klappe geschlagen: Zum einen erhält der Nutzer eingeschränkte Kontrollmöglichkeiten, zum anderen löst das Verfahren Kapazitätsprobleme, die ansonsten auf Anbieterseite bei einer Vielzahl von Kunden früher oder später auftreten müssen. Eine prinzipielle Struktur und eine festgelegte Größenbeschränkung sorgen dafür, daß die eigene Festplatte nicht ohne weiteres von einem Plätzchen überschwemmt werden darf. Zusätzlich kann den verschickten Süßigkeiten ein individuelles Haltbarkeitsdatum verpaßt werden, über welches letztendlich die Dauer der logischen Sitzung bestimmt wird. So wird es möglich, daß das besuchte Web-Angebot noch über Ihren Warenkorb vom Vormonat Bescheid weiß.
Eine Sitzung wird immer von einem Web-Server eröffnet (Set-Cookie mit den entsprechenden Inhalten). Falls der Web-Client Cookies akzeptiert (siehe unten), so speichert er das Plätzchen mitsamt den enthaltenen Informationen. Wird später eine Anfrage an einen Server übermittelt und existieren zu diesem Server passende Cookies, so werden deren Inhalte mitsamt der Anfrage wieder an den Server übertragen.
Damit Sie als Anwender in den Genuß der avisierten Vorteile kommen, müssen Sie zunächst Ihren Web-Client entsprechend konfigurieren. Die Einstellungsmöglichkeiten werden in diesem Artikel am Beispiel der Netscape Produkte Navigator/ Communicator beschrieben. Für andere Browser existieren analoge Menüpunkte und Schaltflächen. Die Auswahlmöglichkeiten, die Sie im Untermenü Bearbeiten/Einstellungen (in der englischsprachigen Version Edit/Preferences) finden, sind kurz und bündig. Der Anwender kann sich entscheiden, ob er alle Cookies oder gar keines akzeptieren will. Zusätzlich kann man die Akzeptanz von Cookies in der Art einschränken, daß sie aus Sicherheitsgründen ausschließlich zu dem Server zurückübermittelt werden, der die logische Sitzung eröffnet hat. Dazu weiter unten mehr! Für den Fall, daß Sie als Anwender den Gebrauch von Cookies erlauben wollen, können Sie Ihren Browser noch anweisen, Sie jeweils vor der Annahme eines solchen Plätzchens um Erlaubnis bittet. Dies kann sich allerdings sehr schnell als sehr lästig herausstellen! Aber probieren Sie diese Methode ruhig einmal aus, erst dadurch stellen sie fest, wie verbreitet Cookies heutzutage bereits sind.
Bisher haben wir uns nur mit den hehren Zielen des "HTTP State Management Mechanism" beschäftigt. Doch wie so oft birgt eine neue Errungenschaft auch neue Gefahren und so wollen wir abschließend noch einen Blick auf die Kehrseite der Medaille werfen. Aber keine Angst, Cookies sind lange nicht so gefährlich wie uns manche (selbsternannte) Sicherheitsexperten einreden wollen. Hat man die Problematik verstanden, so kann man sehr gut beurteilen, was man sich erlauben kann und von was man besser die Finger läßt.
Zunächst einmal sollte festgehalten werden, daß grundsätzlich keine privaten Informationen über den Anwender in ein Cookie gelangen können, die dieser nicht zuvor selbst preisgegeben hat. Dies trifft insbesondere auf Dateien zu, die auf dem Computersystem des Anwenders gespeichert sind: Die Inhalte können nicht unabsichtlich über ein Cookie in fremde Hände gelangen. Trotzdem wurden bei den weit verbreiteten Browsern Microsoft Internet Explorer und Netscape Navigator/Communicator einige Fälle bekannt, in denen auf wundersame Art und Weise Daten in ein Cookie gelangt sind, die dort absolut nichts verloren hatten. Allerdings wurden diese Sicherheitslücken sobald sie bekannt wurden immer sehr schnell vom Hersteller geschlossen.
Bevor benutzerrelevante Daten in einem Cookie abgelegt werden können, müssen diese also zuvor vom Anwender übermittelt werden. Dies kann implizit durch das Auswählen eines Hyperlinks innerhalb eines Dokuments oder explizit über das Ausfüllen und Absenden eines Formulars erfolgen. Gerade über den letztgenannten Weg können natürlich beliebige Informationen in ein Cookie gelangen, vorausgesetzt der Web-Surfer gibt in den Formularen bereitwillig Auskunft. Behält man als Kunde jedoch die Tatsache im Hinterkopf, daß Formulardaten ohnehin unverschlüsselt über die Datenautobahn wandern, so ergibt sich automatisch eine natürliche Zurückhaltung, insbesondere was das Versenden von Kreditkarten-Informationen, PIN-Codes oder ähnlichen sensiblen Daten anbetrifft.
Bleibt als letztes Risiko das Ausspähen von persönlichen Vorlieben. Manche Web-Server verfolgen mittels Cookies den Weg eines Besuchers durch das präsentierte Online-Angebot. Meist wird das Verfahren zwar nur dazu eingesetzt, die Schwerpunkte des Angebots an den Vorlieben der Kunden auszurichten. Führt ein Web-Anbieter jedoch peinlich genau über die Besuche seiner Kunden Buch und schließen sich im schlimmsten Fall noch mehrere Betreiber zu einem Verbund zusammen, so lassen sich durchaus Gewohnheitsmuster eines Anwenders herausarbeiten ... big brother is watching you! Auch Web-Suchmaschinen machen zum Teil regen Gebrauch von Cookies. Läßt sich aus den Suchanfragen des Anwenders eine bestimmte Vorliebe ableiten, so kann es durchaus vorkommen, daß dieser mit darauf abgestimmten Werbeeinblendungen beglückt wird.
Nachdem Sie jetzt wissenswerte Dinge über die Vor- und Nachteile des Verzehrs süßer Kekse im World Wide Web erfahren haben, müssen Sie selbst Ihre "Cookie-Politik" festlegen. Ich halte es folgendermaßen: Als Standardeinstellung erhalten Cookies bei mir keine Chance. Bin ich allerdings wild entschlossen, beispielsweise eine Bestellung per Internet aufzugeben, und ist dazu der Gebrauch von Cookies notwendig, so erlaube ich meinem Browser für diesen Zeitraum kurzfristig die Annahme der Süßigkeiten.
Dieser Artikel wurde im Mitteilungsblatt des Rechenzentrums der Universität Augsburg unter dem Titel "Was Sie noch nie über Kekse wissen wollten" veröffentlicht. Mit freundlicher Genehmigung des Autors, Markus Zahn, geben wir ihn hier wieder.
|
