|
Dieser Hyperwave-Server arbeitet mit Cookies, die als Sicherheitsproblem in Verruf geraten sind. Hier wird beschrieben, warum dieser Server dennoch mit Cookies arbeitet, wo die Sicherheitsprobleme bei Cookies stecken und wie man sich optimal gegen unerwünschte Cookies wehrt.
Am besten man verwaltet seine Cookies. Die Bösen werden gelöscht, die Guten sollen ihren Dienst weiterhin tun. Dies kostet Sie nur wenige Minuten. Eine detailierte Anleitung finden Sie weiter unten in diesem Text.
WWW-Clients wie Netscape oder Internet Explorer kommunizieren mit WWW-Servern über das Hypertext Transfer Protocol, kurz: HTTP. Dabei wird für jedes angefragte Dokument eine Verbindung vom Client zum Server aufgebaut. Über dieses Protokoll wird auch die Verbindung zwischen WWW-Clients und dem Hyperwave-Server aufgebaut.
Der Hyperwave-Server zeichnet sich dadurch aus, daß er gewisse Funktionen wie beispielsweise einen identifizierten Zugang unterstützt. Auch nicht-identifizierte Benutzer können gewisse Einstellungen vornehmen - beispielsweise für das Aussehen und die Sprache der Benutzungsoberfläche. Um solche Einstellungen nicht für jede besuchte Seite einzeln durchführen zu müssen (denn dann wäre kaum etwas gewonnen), gibt es das Konzept der sogenannten Sitzungen. Bei der ersten Kontaktaufnahme mit dem Server wird dem Benutzer (auch wenn er anonym ist) ein Sitzungsschlüssel zugewiesen. Dieser besteht aus einer achtstelligen Hexadezimalzahl, die keinerlei Informationen kodiert, sondern lediglich eine eindeutige Nummer ist. Wenn der Benutzer eine gewisse Zeit lang (etwa eine Stunde) nicht auf den Server zugegriffen hat, verwirft der Server diese Nummer und beendet somit die Sitzung.
Damit der Server bei weiteren Anfragen den Benutzer »wiedererkennt« - d. h. merkt, daß es sich um denselben Benutzer handelt; denn wer sich hinter der Nummer verbirgt, ist dem Server nicht oder aber aus ganz anderen Gründen bekannt - muß der Client die Sitzungsnummer bei jeder Anfrage an den Server mitversenden. Das kann auf zweierlei Weise geschehen: Entweder durch Anhängen an die URL (diese Lösung wird bei solchen Browsern gewählt, die keine Cookies unterstützen, also beispielsweise bei Mosaic) oder eben durch einen Cookie, der diese Nummer enthält.
Der Cookie wird für satte fünf Jahre gespeichert und enthält außer dem oben beschriebenen Sitzungsschlüssel noch die vom Benutzer eingestellten Präferenzen (Sprache, bevorzugte MIME-Typen, ...) sowie Informationen über die zuletzt besuchten Objekte. Letztere werden anscheinend für gewisse Funktionalitäten benötigt. Auf meine Anfrage an die Entwickler, wozu genau diese Angaben gespeichert werden, habe ich bisher keine Antwort erhalten. Mit Hilfe der Cookies wird, zumindest auf unserem Server, weder auf der Client-Seite noch auf der Server-Seite ein Profil erstellt.
Netscape speichert Cookies zunächst intern in einer Datenstruktur, die beim Beenden in eine Datei (cookies.txt unter MS Windows, cookies unter UNIX) geschrieben wird. Beim Start liest Netscape (bei anderen Browsern kann dies ein wenig anders aussehen) die Datei wieder ein und verwaltet sie während der Browser-Sitzung, also solange der Benutzer Netscape nicht beendet, intern. Wenn nun ein Server einen Cookie an den Browser sendet, wird dieser zunächst nur in der internen Datenstruktur abgelegt und steht damit solange zur Verfügung, wie der Browser nicht beendet wird. Schließt der Benutzer dann irgendwann seinen Browser, so werden alle Cookies, die ein Verfallsdatum tragen, das noch nicht abgelaufen ist, in der oben genannten Datei gesichert. Der Cookie des Hyperwave-Servers trägt ein solches Verfallsdatum und wird daher vom Client gespeichert.
Während dies in früheren Hyperwave-Versionen ein gangbarer Weg war, ist es derzeit nicht anzuraten, da für jedes angewählte Dokument ein neuer Cookie übertragen wird.
Werden Cookies abgelehnt, ist eine Identifikation gegenüber dem Hyperwave-Server nicht möglich. Die Funktionalität ist dann eingeschränkt, da anonyme Benutzer natürlich beispielsweise keine Dokumente modifizieren oder auf dem Server ablegen können.
Die volle Funktionalität steht zur Verfügung, wenn alle Cookies akzeptiert werden, die an den ausgebenden Server zurückgeschickt werden können. (Manche Browser unterscheiden solche Cookies von anderen, die unter gewissen Umständen auch an andere Server verschickt werden können. Mehr dazu im Dokument Cookies und Datenschutz oder in Netscapes offizieller Dokumentation.)
Bei Netscape 4.x kann man die Einstellungen für Cookies im Optionen-Menü unter Edit|Preferences|Advanced vornehmen, beim Microsoft Internet Explorer unter Ansicht|Optionen im Reiter "Erweitert". Das Cookie-Management von StarOffice 4.0 und 5.0 befindet sich unter Extras|Optionen|Browser im Reiter Cookies. Dort kann bei diesem Programm übrigens sogar die Cookie-Datei interaktiv bearbeitet werden.
Bei StarOffice 4.0 und Netscape 4.x kann man das Sichern von Information über Sitzungen hinweg blockieren, indem man die Cookie-Files schreibschützt oder regelmäßig die Cookie-Files löscht (unter Unix z. B. durch Aufrufen eines entsprechenden Befehls in der Datei .login oder unter Win32 durch eine Batchdatei im Autostart-Ordner bzw. der Datei Autoexec.bat). Auf diese Weise verhindert man langlebige Cookies, was neben unliebsamen jedoch auch wünschenswerte Verwendungen von Cookies verhindert.
Um die erwünschten langlebigen Cookies nicht mit wegzulöschen, kann man sich eine Standard-Cookie-Datei anlegen, in der alle erwünschten Cookies von Hand aus der aktuellen Browser-Cookie-Datei kopiert werden. Mit dieser Standard-Cookie-Datei überschreibt man dann regelmäßig die Cookie-Datei des Browsers.
Beispiel für eine Cookie-Datei:
# StarCookie File V.1 # Don't edit this file! hyperg.uni-paderborn.de / 20040542 10233669 19970512 [...] support.stardiv.de FALSE /Customer FALSE 894753621 PLZ 63456 support.stardiv.de FALSE /Customer FALSE 811445841 KdNr 78787878 .doubleclick.net / 20301109 25590018 19980714 12033618 F id 3945a0bc 1
Das erste Cookie ist das persistente Cookie von Hyperwave. Die nächsten beiden Cookies sind die Zugangsberechtigung zum Star Division Support Center. Das letzte Cookie ist ein unerwünschtes Werbecookie, das nach dem Besuch der Suchmaschine AltaVista angelegt wurde.
Cookie-Files lassen sich trotz der meist in dieser Datei befindlichen Warnung bearbeiten: Unerwünschte Cookies können zeilenweise von Hand gelöscht werden. Allerdings ist dies nur sinnvoll, wenn der Client nicht geöffnet ist, da die Browser meist mit einer Kopie im Hauptspeicher arbeiten, die erst beim Beenden des Programms auf die Platte geschrieben wird.
Noch komfortabler geht die Cookieverwaltung mit speziellen Tools, die für verschiedene Betriebssystemplattformen erhältlich sind. Bei http://tucows.wau.nl findet man diverse Tools für alle Windows-Plattformen und Macintosh.
Manche Browser erlauben es dem Benutzer, die Browser-Kennung, die über das HTTP an den Server geschickt wird, zu manipulieren (beispielsweise StarOffice 4.0). In diesem Fall kann man dort einfach einen Phantasietext eintragen, der nicht mit dem Wort Mozilla beginnt - schon glaubt Hyperwave, es mit einem Browser zu tun zu haben, der keine Cookies kennt. Wahlweise kann man natürlich auch gleich einen Browser verwenden, der tatsächlich keine Cookies unterstützt.
Das Original dieses Textes liegt auf
http://hyperg.uni-paderborn.de/hyperwave/cookies.html
Autoren: Harald Selke und Werner Roth
Der Text darf kopiert/gespiegelt werden, das Urheberrecht muß
selbstverständlich beachtet werden.
Alle Warenzeichen sind Eigentum ihrer jeweiligen Inhaber.
Die Verwendung dieser Warenzeichen bedeutet nicht die freie
Verfügbarkeit dieser Warenzeichen.
|