Cookies

 

Hast Du Dich schon mal gefragt, warum eigentlich der Onlineshop, bei dem Du vor Monaten einmal etwas bestellt hattest, immer noch weiß, was es genau war und Dich vielleicht sogar mit Deinem Namen begrüßt, sobald Du auf die betreffende Seite surfst ?

 

So etwas geschieht durch Cookies. Cookies sind kleine Stückchen von Text- oder Zahleninformation, die Dein Browser in einer Datei speichert und sie bereitwillig jedes Mal ausplaudert, wenn er von einem Server (der selben Domäne, aber auch da gibt’s Ausnahmen) Seiten abruft. Nachdem Du diesen Text gelesen hast, bestimmst Du, ob und welche Cookies auf Deinem Rechner liegen und wer sie lesen darf ! J

 

 

Der Name Cookie stammt von dem englischen Wort für „Küchlein“, die es ja auch mit eingebackenen Textinhalten gibt. Genau so wie es gute und schlechte Kekse gibt, sind Situationen denkbar, in denen Du Cookies akzeptieren möchtest. Beispiele sind

*  Wenn Du die Seite mit der Watchlist für Dein Aktiendepot ansiehst, wirst Du nicht jedes Mal von neuem nach Deinem Passwort gefragt. Du wurdest von der Website darauf hingewiesen, dass dies durch Cookies geschieht und bist Dir der Konsequenzen bewusst (jeder, der diese Seite von Deinem Rechner aus ansurft, sieht die von Dir beobachteten Aktien !).

*  Du hast in Deiner Lieblings-Suchmaschine eingestellt, dass Du immer nur Suchergebnisse von deutschen und englischen Seiten erhalten möchtest, die aber z.B. alphabetisch angezeigt werden sollen und zwar nicht 10 Ergebnisse pro Seite sondern 50. Diese Feineinstellung könnte die Suchmaschine in einem Cookie bei Dir ablegen wollen, das Du in diesem bestimmten Fall akzeptierst.

*  In einem bestimmten Onlineshop kaufst Du regelmäßig z.B. Bücher und bist froh, nicht jedes mal wieder Name, Adresse und Kreditkartennummer angeben zu müssen. Sobald Du den Onlineshop für einen erneuten Kauf besuchst, kann er die nötigen Infos aus dem Cookie entnehmen.

 

So, das klingt eigentlich ganz gut, ja ? Der dritte Fall auch ? Vorsicht ! Dieses Beispiel ist bereits hoch riskant, denn es werden persönliche Daten gespeichert und obwohl ein Cookie immer nur zu dem „Host“ (Rechner) bzw. der Domäne (Rechnerverbund) zurückgesendet werden soll, die es erzeugt hat, gibt es Möglichkeiten, diese Einschränkung zu umgehen und sei es nur durch einen Bug (Fehler) im Browser.

 

Konkret heißt das: Jeder Website, der es gelingt, den Cookie aus Beispiel 3 zu lesen, kennt Deinen Namen, Deine Adresse und ... Deine Kreditkartennummer !!!

 

Und jetzt der Hammer:

Ich zeige Dir nun, dass und wie man unter bestimmten Umständen Cookies fremder Domänen auslesen kann:

 

Betroffen sind alle bis zum Mai 2000 bekannten Versionen des Internet Explorers für Windows 95, 98, NT und Windows 2000. Durch Weiterleitung des Surfers durch eine speziell zusammen gesetzte URL kann ein Webmaster (Webseiten-Betreiber) Cookies fremder Domänen lesen. Möchte z.B. die Domäne hacker.com wissen, welche Cookies der Surfer von amazon.de gespeichert hat, so leitet sie ihn weiter nach:

http://www.hacker.com/security/iecookies/showcookie.html?.amazon.de

Der Internet Explorer missinterpretiert jedoch die Syntax und sendet den Inhalt der Amazon-Cookies mit.

Du findest weitere Infos und kannst den Bug selbst testen unter folgender URL:

http://www.peacefire.org/security/iecookies/

 

Dies ist nur einer von vielen Bugs eines Browsers. Unabhängig davon, ob Du den seit 18.05.2000 bei Microsoft erhältlichen Patch (http://www.microsoft.com/technet/security/bulletin/ms00-033.asp) eingespielt hast: Kannst Du sicher sein, dass für Deine Situation kein Bug existiert ?

 

Mit diesen Informationen möchte ich Dich sensibilisieren, genau zu prüfen, ob und wann Du Cookies benötigst. Hierzu solltest Du wissen, wie Cookies entstehen und dass sie ständig versendet werden.

 

 

Wie kommt man überhaupt zu so einem Cookie ?

 

Falls Du die Voreinstellungen Deines Browsers nicht geändert hast, so akzeptiert dieser jedes Cookie von jedem Rechner aus jeder Domäne (eine Domäne ist eine Art Rechnerverbund, z.B. alle Rechner von Microsoft.de) !

 

Ich lade Dich nun ein, mir über die Schulter zu schauen und „gefahrlos“ mit zu erleben, was alles im Zusammenhang mit Cookies passiert, sobald ich im Browser eine Seite eingebe, die Cookies verwendet. Als Beispiel wird die Startseite von Microsoft Network http://www.msn.de gewählt. Zuvor wurden alle vorhandenen Cookies gelöscht und die Browser-Einstellungen auf „Cookies akzeptieren“ gesetzt.

 

Nach Eingabe der URL (Universal Resource Loader, also der „Web-Adresse“) fordert der Browser von dem angegebenen Zielrechner die Daten der Startseite (index.htm oder index.html) mittels HTTP (Hyper Text Transfer Protokoll) an. Wenn man nun von allen Daten, die über die Leitung gehen, nur die HTTP-Daten mitliest, so entsteht folgende Kommunikation:

 

GET / HTTP/1.0

User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)

Host: www.msn.de

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*

Accept-Encoding: gzip

Accept-Language: de,en,en-US

Accept-Charset: iso-8859-1,*,utf-8

 

HTTP/1.1 302 Object moved

Server: Microsoft-IIS/5.0

Date: Sat, 12 May 2001 11:40:01 GMT

Location: http://msid.eu.msn.com/mps_id_sharing/redirect.asp?www.msn.de/Default.asp

Connection: Keep-Alive

Content-Length: 194

Content-Type: text/html

Expires: Sat, 12 May 2001 10:40:02 GMT

Set-Cookie: MC1=V=2&ID=7F45E927DAF24EBD86F0EEDE22F41FC5; expires=Sat, 04-Oct-2003 11:00:00 GMT; path=/

Set-Cookie: MSNATLANTIS%5FVER=2%2E0; expires=Thu, 11-May-2006 23:00:00 GMT; path=/

Cache-control: private

 

Der erste Block (blau) ist die Anfrage des Browsers, der zweite Block (dunkelrot) die Antwort des Servers, die eine Aufforderung zum Setzen eines Cookies enthält (rot). Falls der Browser Cookies akzeptieren darf, wird die übertragene Information im File cookies.txt (siehe unten) gespeichert.

Die anderen Zeilen sollen Dir einen Eindruck vermitteln, in welchem Zusammenhang Cookies auftreten und werden näher im Kapitel User Tracking behandelt.

 

Zu diesem Zeitpunkt ist etwa erst ein Dreissigstel (!) der Kommunikation abgeschlossen, die allein zum Aufbau der Startseite von www.msn.de statt findet. In den folgenden übertragenen Daten finden sich insgesamt 8 Anfragen an den Browser, Cookies zu setzen. Nota bene: dies alles während des Aufbaus der ersten Seite !

 

Aus diesem recht langen Datenstrom habe ich alle Transfers herausgefiltert, die mit Cookies zu tun haben. Dabei sind Aufforderungen zum Setzen von Cookies wieder rot, freiwillig übertragene Informationen bereits bestehender Cookies blau.

 

Set-Cookie: MC1=V=2&ID=7F45E927DAF24EBD86F0EEDE22F41FC5; expires=Sat, 04-Oct-2003 11:00:00 GMT; path=/

Set-Cookie: MSNATLANTIS%5FVER=2%2E0; expires=Thu, 11-May-2006 23:00:00 GMT; path=/

Set-Cookie: MC1=V=2&GUID=97C562dc3ed2267e8bf5a7a1aff8AD62; expires=Sat, 04-Oct-2003 11:00:00 GMT; domain=.msn.com; path=/

Set-Cookie: ASPSESSIONIDQQGQGMRC=BDAPKOLAGEBBNCHJKGCDAKHK; path=/

Cookie: MC1=V=2&ID=7F45E927DAF24EBD86F0EEDE22F41FC5; MSNATLANTIS%5FVER=2%2E0

Set-Cookie: MSNATLANTIS%5FVER=2%2E0; expires=Thu, 11-May-2006 23:00:00 GMT; path=/

Set-Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; expires=Sat, 04-Oct-2003 11:00:00 GMT; path=/

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Set-Cookie: MSNATLANTIS%5FVER=2%2E0; expires=Thu, 11-May-2006 23:00:00 GMT; path=/

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97C562dc3ed2267e8bf5a7a1aff8AD62

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97C562dc3ed2267e8bf5a7a1aff8AD62

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Set-Cookie: SITESERVER=ID=UID=97C562dc3ed2267e8bf5a7a1aff8AD62; expires=Monday, 01-Jan-2035 00:00:00 GMT; path=/; domain=.msn.com

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; MSNATLANTIS%5FVER=2%2E0

 

Hinweis: zu meinem eigenen Schutz sind alle GUIDs modifiziert, du wirst in Kürze verstehen, warum !

 

Nach dem Aufruf der Seite http://www.msn.de existieren also mehrere Cookies, die teilweise erst im Jahre 2035 auslaufen (letzte rote Zeile) und den aufrufenden Browser ab sofort eindeutig durch die GUID identifizieren, aber dazu gleich mehr.

 

Interessant sind besonders zwei der Cookies (der Ursprung wird ersichtlich, wenn man das Cookie-File öffnet):

Ursprung: Wert:

www.msn.de  MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62

.msn.com    MC1=V=2&GUID=97C562DC3ED2267E8BF5A7A1AFF8AD62

 

Man sieht sofort, daß der Wert bis auf die Großschreibung identisch ist. Wir erinnern uns, dass ein Cookie eigentlich immer nur an die Domäne gesendet werden soll, die ihn auch erzeugt hat, also msn.de !

Wie kommt .msn.com zu dem Inhalt des Cookies von msn.de, wo diese Domäne doch niemals angesurft wurde ?

Dies war durch den letzten Parameter in der letzten roten Zeile möglich. Der Gültigkeitsbereich wurde einfach auch auf .msn.com erweitert. Würde ich nun zu einem Rechner von msn.com surfen, würde mein Browser bereitwillig in jedem HTTP-Header den von msn.de erzeugten Cookie senden !

 

So viel dazu, dass Cookies nur an die Domäne gesendet werden, die sie erzeugt hat ! L

 

Was ist ein GUID ?

 

GUID steht für „Globaly Unique IDentifier“. Dahinter verbirgt sich eine Zeichenfolge, die einen Rechner weltweit eindeutig identifizieren kann ! Dies wird unter anderem dadurch erreicht, dass die MAC-Adresse der Netzwerkkarte in diese Ziffernfolge mit einfließt.

 

Was Du konkret tun kannst

 

Einerseits können Cookies sinnvoll sein und einige Seiten verlangen absolut zwingend das Akzeptieren von (deren) Cookies. Andererseits ist dir hoffentlich spätestens jetzt klar, dass Du zu Deinem eigenen Schutz Cookies auf keinen Fall unkontrolliert akzeptieren darfst !

Dein Browser bietet Dir, falls er überhaupt Cookies unterstützt, drei Möglichkeiten:

*  Cookies akzeptieren                              è Vergiss es !

*  Cookies nicht akzeptieren                     è Falls Du ohne auskommst, super !

*  Den Benutzer (jedes Mal) fragen          è Gut, aber nervig.

 

Wenn Du jedes Mal gefragt wirst, ob Du einen Cookie akzeptieren möchtest, bekommst Du ein noch besseres Gefühl dafür, wer Dir wann welche Cookies schicken möchte (Noch mal zur Erinnerung: Sobald der Cookie einmal auf Deiner Festplatte ist, wird er jedes Mal automatisch mitgesendet, sobald Du in Kontakt mit einem der betreffenden Hosts kommst, ohne, dass Du es mitbekommst !). Leider verschweigt der IE (Internet Explorer) beim Nachfragen den Inhalt des Cookies ! L

 

Da ständiges Nachfragen und Verneinen sehr lästig sein kann, liegt die Lösung in einem Zusatzprodukt, welches sich Deine Entscheidung merkt und bei der nächsten Anfrage entsprechend selbstständig antwortet. Du findest unter http://webveil.com/cookietools.html eine umfangreiche Liste von Cookie-Tools. Falls Du nicht lange rumprobieren möchtest, verwende den Cookie Crusher.

 

 

 

Einleitung             Inhalt