Cookies und der digitale Fingerabdruck

Das HTTP-Protokoll, das beim Aufrufen von Webseiten verwendet wird, ist ein zustandsloses Protokoll. Das bedeutet, dass nach jeder einzelnen Anfrage, der Vorgang vollständig abgeschlossen ist und demnach terminiert wird. Möchte nun ein Webapplikationshersteller eine Userin oder einen User über einen gewissen Zeitraum identifizieren, so muss eine sogenannte Sitzungs-ID (Session-ID) erstellt werden. 

Diese Session-ID besteht oftmals aus einer einmaligen, eindeutigen Zufallszahl. Um eine Session auch nach Schließen des Browsers fortsetzen zu können, muss diese eindeutige Zufallszahl auf dem Gerät der Userin oder des Users, in der Regel in der Form als Textdatei, zwischengespeichert werden. Diese Datei wird als HTTP-Cookie bezeichnet und ist mit einem Verfallsdatum ausgestattet. Nach Ablauf des Verfallsdatums wird die Datei automatisch vom Web-Browser gelöscht. HTTP-Cookies sind so konzipiert, dass ausschließlich von jener Domain zugegriffen werden darf, von der sie auch ausgestellt worden ist. 

Zur Veranschaulichung ein Beispiel: Die Domain XYZ.com kann ausschließlich auf jene Cookies zugreifen, die auf XYZ.com lauten, jedoch nicht auf jene von ABC.com. Das schützt den Anwender oder die Anwenderin vor Schadcode, der als Ziel das Auslesen und Übernehmen (sogenanntes „Session Hijacking“) einzelner Sessions hat.

Es gibt viele Gründe, warum Webanwendungen die unterschiedlichen User mithilfe von Cookies identifizieren möchten, denn heutzutage würden moderne Webseiten ohne unterschiedliche Sitzungen nicht mehr funktionieren. Sei es der Login in den Account einer Webseite, wie beispielsweise e-Banking, soziale Netzwerke oder E-Mail-Anbieter: sie alle benötigen eine eindeutige Zuweisung einer Userin oder eines Users zu einer Sitzung. Gäbe es keine Sitzungsverwaltung, so würden alle Anwenderinnen und Anwender – bildlich gesprochen – mit ein und demselben Account arbeiten. 

Es können auch weitere Informationen, wie der Inhalt eines Warenkorbs von Webshops, in ein Cookie abgespeichert werden. Dadurch kann ein Einkauf auch einige Tage später fortgesetzt werden, ohne Ressourcen am Server zu belegen.

Doch diese Technik kann auch missbräuchlich verwendet werden. Durch das sogenannte „Tracking“ ist ein Nachverfolgen und Erstellen von Benutzerprofilen über das jeweilige Nutzungsverhalten einzelner User möglich. Dieses Tracking ist, wie schon am Anfang erwähnt, ausschließlich innerhalb der selben Domain möglich. Jedoch kann diese Restriktion umgangen werden, da manche Webseiten Werbebanner eines Werbeunternehmens einblenden. So ist es möglich, den selben User über verschiedene Webseiten zu verfolgen, wenn diese Webseiten ebendieses Werbeunternehmen als Werbebanner auf ihrer jeweiligen Webseite einblenden. Das funktioniert, weil die Domain des Werbebanners stets dieselbe bleibt. Mithilfe von Benutzerprofilen können Werbedienste ihren Kunden personalisierte, zielgerichtete Werbung mit geringem Streuungsanteil anbieten. ....

Link:  www.onlinesicherheit.gv.at/services/news/143390.html

Letzte Änderung am Donnerstag, 01 Oktober 2015 14:42

Mehr in dieser Kategorie:

Zum Seitenanfang