Was sind Cookies?

Ein Cookie besteht aus reinen Textinformationen. Der Webserver einer angesurften Seite weist den Browser an, die Informationen zu speichern und bei einem erneuten Besuch automatisch zurück an den Server zu schicken. Der Browser speichert die Cookies als Textdateien oder in einer Datenbank.

Erfunden hat’s Netscape im Jahr 1994. Grundlage dafür waren die Magic Cookies aus der Netzwerkwelt, die ebenfalls unverändert weiterversendet werden.

Cookies sind kleine Datenschnipsel, die der Browser beim Besuch einer Webseite auf Anforderung des Webservers auf der Festplatte speichert. Sie enthalten Informationen, mit denen die Webseite Sie beim nächsten Besuch wiedererkennt. Wenn Sie die Webseite ein weiteres Mal ansurfen, dann liefert der Browser die Informationen des Cookies automatisch an den Server.

Online-Shops wie Amazon nutzen Cookies, um über verschiedene Seiten hinweg Ihren virtuellen Einkaufskorb zu führen.

Grundsätzlich gilt, dass nur der Webserver, der das Cookie erzeugt hat, dieses auch wieder empfangen darf. Ein von www.seite.de/index.html gesetztes Cookie lässt sich auf allen Webseiten von www.seite.de auslesen, nicht aber von www.andereseite.de.

Per HTTP-Anfrage fordert der Browser eine Webseite von einem Server an.

Der Server schickt die Webseite zusammen mit einem Cookie an den Browser.

Wenn Sie später diese oder eine andere Seite von www.seite.de besuchen, dann schickt der Browser die im Cookie gespeicherten Informationen automatisch an den Webserver zurück.

Auch Skriptsprachen können Cookies erzeugen — in Javascript etwa mit document.cookie="name=wert".

Das geläufigste und am weitesten verbreitete Cookie ist das HTTP-Cookie. Es wird zwischen einem Webbrowser und einer Webseite ausgetauscht und in der Regel kurz Cookie genannt.

Das ebenfalls oft verwendete Session-Cookie ist ein einfaches HTTP-Cookie. Es ist aber so konfiguriert, dass es beim Beenden des Browsers automatisch gelöscht wird. Es hat also nur während der Sitzung (englisch: session) Bestand. Online-Händler verwenden Session-Cookies etwa zur Führung eines Warenkorbs.

Auch Secure-Cookies sind normale Cookies, sie werden aber nur bei verschlüsselten Verbindungen übertragen. Das ist etwa am Kürzel „https” vor der Internetadresse zu erkennen. Angreifer können den Inhalt eines Secure-Cookies nicht ausschnüffeln. Secure-Cookies schützen auch vor Cross-Site-Scripting, bei dem Angreifer versuchen, Zugriff auf Ihre Cookies zu erhalten.

Flash-Cookies funktionieren wie normale Cookies, sind aber browserunabhängig, sogar browserübergreifend. Sie entstammen dem Flash-Player und verwenden das Flash-eigene SOL-Format für Local Shared Objects. Sie haben kein Verfallsdatum. Auch lassen sich in einem Flash-Cookie nicht nur maximal 4 KByte, sondern mehrere MByte an Daten speichern. 

Normalerweise stammen Cookies von der Domain, die Sie gerade ansurfen. Drittanbieter-Cookies kommen hingegen von einer anderen Domain auf Ihren Rechner. Der Grund dafür: Wenn Sie zum Beispiel Spiegel Online aufrufen, dann stammen nicht alle der gezeigten Inhalte auch tatsächlich von Spiegel Online. Werbebanner kommen etwa direkt von der Domain des Werbepartners und der „Empfehlen”-Button unter einem Artikel kommt direkt von Facebooks Servern.

Wenn Sie später eine andere Webseite besuchen, die ebenfalls das Werbebanner oder den „Empfehlen”-Button einbindet, dann wissen der Werbepartner und Facebook, dass Sie auf diesen beiden Webseiten waren. Allmählich entsteht so ein genaues Profil Ihres Surfverhaltens. 

Der Browser lässt sich so einstellen, dass er Cookies nur auf Nachfrage akzeptiert. In der Praxis werden Sie dann aber mit Dialogboxen überflutet, so dass das Surfen keinen Spaß mehr macht.

Als Kompromiss stellen Sie den Browser so ein, dass er Cookies nur von Servern akzeptiert, deren Seiten Sie gerade besuchen, und Cookies von Drittanbietern generell ablehnt. Dazu wählen Sie in Firefox „Extras, Einstellungen“ und entfernen im Reiter „Datenschutz“ das Häkchen vor „Cookies von Drittanbietern akzeptieren. Zudem sollten Sie Ihre Cookies gelegentlich aussortieren.

Zombie-Cookies kombinieren mehrere Techniken, um die Informationen an verschiedenen Orten Ihres Betriebssystems zu speichern. Wenn Sie das Cookie an einem Ort löschen, dann wird es sofort mit den Informationen von einem anderen Ort wiederbelebt. Allerdings sind Zombie-Cookies noch sehr selten anzutreffen.

Die derzeit gültige Spezifikation RFC 6265 besagt, dass ein Browser mindestens 3000 Cookies zu je 4 KByte speichern können muss — und mindestens 50 Cookies pro Domain.

Alle Cookies haben eine ID sowie eine Domain- und Pfadangabe. Domain und Pfad geben an, dass der Browser das Cookie nur an den Server der angegebenen Domain und mit dem entsprechenden Pfad senden darf. Die Domain kann etwa seite.de sein. Der Pfad ist meist „/“; er gilt also ohne Einschränkung für alle Webseiten der Domain.

Es folgen ein Parametername und der dazugehörige Wert, also die eigentliche Information des Cookies. Manche Cookies haben zusätzlich noch das Attribut „Secure“ oder „HttpOnly“. Es gibt etwa an, ob das Cookie nur verschlüsselt versendet werden darf.

Cookies haben ein Verfallsdatum. An diesem Tag wird ein Cookie automatisch vom Browser gelöscht.

Das liegt daran, dass Cookies die Unix-Zeit verwenden. Die Unix-Zeit rechnet die Sekunden, die seit dem 1. Januar 1970 vergangen sind. Derzeit sind das knapp über 1,3 Milliarden. Da die Unix-Zeit als 32-Bit-Zahl gespeichert wird, ist der größtmögliche Wert 2147483648. Dieser entspricht dem 18. Januar 2038. Cookies können kein späteres Verfallsdatum haben.

UTM steht für Urchin Tracking Monitor. _utma-Cookies stammen allesamt von Google Analytics. Die Technik zeichnet das Surfverhalten von Webseiten-Besuchern auf. Seitenbetreiber nutzen die kostenlose Technik und erhalten somit genaue Statistiken über die Besucher.

Google Analytics nutzt zur Analyse mehrere Cookies und kann feststellen, wie oft, wo und wie lange sich ein Besucher auf einer Webseite aufhält.

Eines vorweg: Cookies sind keine Software. Sie können nicht selbstständig agieren, Viren enthalten oder Malware auf dem PC installieren. Sie sind daher keine Gefahr für Ihren PC, sondern allenfalls für Ihre Privatsphäre.

Cookies lassen sich lediglich dazu nutzen, Benutzerdaten zu stehlen oder Surfprofile anzulegen. Die Surfprofile dienen wiederum dazu, Ihnen personalisierte Werbung vorzusetzen.

Sie kennen das bestimmt: Sie suchen bei Amazon nach dem neuesten Smartphone. Beim nächsten Besuch der Seite finden Sie dann unter „Das könnte Sie auch interessieren“ Zubehör und Bücher zu Smartphones.

Um unerwünschte Cookies loszuwerden, bieten Firefox und Internet Explorer ein schnell erreichbares Menü: Drücken Sie [Strg Umschalt Entf] und klicken Sie auf „Löschen”.

Je nach Browser und Betriebssystem liegen die Cookies an unterschiedlichen Orten. Firefox speichert sie seit Version 4 in einer Datenbank im Profilverzeichnis ab. Der Internet Explorer 9 verwendet unter Windows 7 den Ordner „Benutzer\<Benutzername>\AppData\Roaming\Microsoft \Windows\Cookies“. Er speichert Cookies dort als Textdateien. Auch Chrome legt die Cookies in einer Datenbank ab, und zwar unter „Benutzer\<Benutzername>\AppData\Local\Google\Chrome\UserData\Default“.

Flash-Cookies liegen im Benutzerverzeichnis „C:\Benutzer\<Benutzername>\AppData\Roaming“ unter „Macromedia\ Flash Player\#SharedObjects“. Sie lassen sich nicht im Browser verwalten. Klicken Sie stattdessen in der Windows-Systemsteuerung auf „Flash Player (32-Bit)“. Gehen Sie auf die Registerkarte „Speicher“, und klicken Sie auf die Schaltfläche „Einstellungen für lokalen Speicher nach Website...“. Sie sehen eine Liste der Webseiten, die Flash-Cookies auf Ihrer Festplatte abgelegt haben. Daneben steht, wie viel Speicherplatz verwendet wird. Über „Entfernen“ lassen sich die einzelnen Cookies löschen.

Erste Anlaufstelle, um die Cookies auszulesen, ist der Browser. Bei Firefox wählen Sie „Extras, Einstellungen“ und dort den Reiter „Datenschutz“. Hier klicken Sie auf „einzelne Cookies“. Allerdings zeigt Firefox nur die Websites. Um die Inhalte der gespeicherten Cookies zu sehen, müssen Sie jeden Website-Ordner aufklappen und dann den Cookie-Namen anklicken. Das ist umständlich und unübersichtlich.

Besser gelöst hat es Chrome: Klicken Sie auf das Symbol mit dem Schraubenschlüssel und dann auf „Einstellungen“. Klicken Sie auf „Erweiterte Einstellungen anzeigen...“, dann auf „Inhaltseinstellungen“ und auf „Alle Cookies und Websitedaten...“. Sie sehen eine Liste mit den Domains und der Anzahl der gespeicherten Cookies. Ein Klick offenbart die Namen der Cookies und ein weiterer Klick den Inhalt. Der Internet Explorer hat keine Funktion, um die Cookies direkt im Browser anzuzeigen. 

Eine Alternative für Firefox-Nutzer ist der kostenlose Cookie-Explorer 1.0.0.76. Entpacken Sie das Programm und rufen Sie „CookieExplorer.exe“ auf. Wenn Sie dann auf „Zeige Cookies“ klicken, liest das Tool die Cookie-Datenbank von Firefox aus.

Das dauert je nach Anzahl der Cookies wenige Sekunden oder eine Stunde. Im Anschluss erstellt der Cookie-Explorer eine Datei namens „Cookies.txt“, in der alle Informationen aufgelistet sind. Sie sind jeweils durch einen Doppelpunkt getrennt: ID, Domain, Name, Wert, Pfad und Verfallsdatum. Die beiden letzten Zahlen geben an, ob das Cookie verschlüsselt versendet wird und ob das Protokoll auf HTTP beschränkt ist. 0 bedeutet nein, 1 ja.

Weitere Informationen zu Cookies erhalten Sie im Profi-Wissen „Cookies — Speicher für Website-Einstellungen“.