Cookies
- Kekse, die uns nicht bekommen:
Hacker dringen
in WebServer ein", "Script-Kiddies" überschwemmen
das Web mit Script-Viren" sind nur zwei
der täglichen Meldungen die vermitteln,
das Netz ist keine Blumenwiese mehr. Das
allerdings im Verborgenen der Web-Technologie
noch andere Gefahren lauern, die ganz offiziell
und jedermann bekannt eingesetzt werden,
wird oft oder nie bemerkt und vernachlässigt.
Das Prinzip
der Cookies setzt auf kleine Textdateien,
die beim Besuch vieler WebSites als "Datenmüll"
auf der lokalen Festplatte verbleiben und
mit der Zeit vergessen werden. Cookies wurden
und werden primär eingesetzt, um Besuchern
von WebSites personalisierte Informationen
anbieten zu können. Zu diesem Zweck wird
der Cookie - Datei eine ID beigefügt, manchmal
auch einen Hinweis auf die benutzte IP-Adresse,
Hinweise auf bereits besuchte andere Sites
und vieles mehr.
Dies ist die
positiv ausgedrückte Eigenschaft eines Cookies.
Die negative ist, das Cookies durchaus auch
zur Datenspionage taugen, die bis in die
Spionage von Passwörtern oder anderen brisanten
Bereichen reichen. Denn eigentlich war es
vorgesehen, den Zugriff auf Cookies der
Site zu erlauben, von der die Datei auch
lokal gespeichert wurde. Ein Bug im Internet-Explorer
erlaubt jedoch auch einen erweiterten Zugriff
auf Cookies. Das heißt, fügt eine Website
mit böser Absicht hinter ihre URL für die
weitere Navigation statt einem Slash ein
Prozentzeichen ein, Beispiel: http://www.url.de%xxx%2xxx%2xxx%3F.yyy.com,
überspringt der Microsoft-Browser die Prozentzeichen
und behandelt die zuletzt genannte Adresse,
in unserem Fall yyy.com so, als befände
man sich auf der Seite. Damit lassen sich
auf der feindlichen Webseite die gespeicherten
Cookies Informationen anzeigen.
Der Internet
Explorer öffnet somit über die Cookie -
Verwaltung einer feindlich gesinnten und
präparierten Webseite den Zugang zu den
Cookies des jeweiligen Besuchers. Je nach
Art der Cookies tauchen damit auch sensible
Informationen im Klartext auf. Netscape
Browser sind übrigens von diesem Problem
nicht betroffen.
In diesem
Zusammenhang kam es bereits in den Staaten
zu einer ersten Anklage, in der eine amerikanische
Bürgerin den Internet-Werbungsvermarkter
DoubleClick anklagt, gegen ihren Willen
identifiziert zu werden und deren Surfverhalten
aufzuzeichnen. In der Anklageschrift wird
DoubleClick auch vorgeworfen, Cookies zu
verwenden, die das Websurfverhalten, Namen,
Adressen, Alter oder das Einkaufsverhalten
dokumentieren. DoubleClick gibt auf der
eigenen Internetseite an, einige Daten zu
sammeln, diese aber keiner Person zuzuordnen.
Dokumentiert wird beispielsweise der genutzte
Browser, die IP - Adresse und die Domainart.
(Quelle: http://www.tecchannel.de/news/19991207/thema19991207-242.html)
Selbst E-Mail - Adressen lassen sich mit
diesem Verfahren ermitteln, die der US-Amerikaner
John Smith auf seiner Webseite dokumentiert
hat. Es handelt sich hierbei um ein Verfahren,
mit dem sich aus der Kombination von Email-Programmen
und Cookies das Surfverhalten eines Benutzers
transparent machen lässt. Dazu muss der
Angreifer eine Email mit HTML-Inhalt verschicken.
Die dafür nötigen Email-Adressen lassen
sich bei Agenturen ebenso wie Postadressen
für Werbezwecke kaufen.
Im HTML-Code
der fraglichen Email ist dann beispielsweise
der Abruf einer nur ein Pixel großen Bilddatei
bei einer Firma für Werbebanner versteckt.
Als Parameter der Abfrage wird die Email-Adresse
eingetragen, an die die Mail ursprünglich
ging. Mail-Clients wie Netscape Communicator
oder Microsoft Outlook führen HTML-Anfragen
in Emails automatisch ohne Rückfrage durch.
Der Webserver
legt dann ein Cookie auf dem Zielrechner
ab, das damit eindeutig einer Mail-Adresse
zugeordnet ist. Wenn der Benutzer später
Webseiten besucht, die von der selben Bannerfirma
mit Werbung bedient werden, lässt er sich
identifizieren. Mit der Auswertung der so
gewonnenen Daten lassen sich Benutzerprofile
erstellen, die beispielsweise für zielgerichtete
Werbe-Emails genutzt werden können.
Wir raten
dazu:
Im Verzeichnis c:windowscookies
(oder jedes andere Windows-Verzeichnis)
sammeln sich die unangenehmen Gesellen nach
einer erfolgten Online-Session. Verlassen
Sie sich auf die automatische Leerung der
temporären Internet-Dateien und der Offline
- Inhalte (diese Option kann unter Einstellungen
des Internet-Explorers eingestellt oder
manuell ausgelöst werden), verbleiben Cookies
unangetastet in diesem Verzeichnis und können
während der nächsten Online-Sitzung ausgelesen
werden.
Löschen Sie
nach jeder Online-Sitzung insbesondere diese
Dateien in dem angegebenen Ordner manuell
generell oder selektiv, falls Sie einigen
Sites, wie z.B. die personalisierte YAHOO-Page
die Vergabe von Cookies gestattet haben
und diese auch behalten möchten. Auf diese
Weise haben "bösartige" Sites keine Chance,
auf persönliche Informationen zurück zu
greifen.
Aufgrund der
Brisanz hat Microsoft in Versionen des Internet-Explorers
eine erweiterte Cookie - Verwaltung implementiert,
die unter anderem darauf hinweisen werden,
ob Cookies auch von Drittseiten abgerufen
und gespeichert werden dürfen.
Was kann man
gegen Cookies unternehmen?
Cookies löschen
|
Cookies kontrollieren:
Jeder Web-Browser
bietet die Möglichkeit, die Annahme von
Cookies zu unterbinden oder zumindest vor
Annahme des Cookies den Benutzer zu warnen.
Wir haben
die entsprechende Vorgehensweise für die
drei populärsten Browser zusammengefasst:
- Internet
Explorer:
Grundsätzlich
bietet der Internet Explorer die Möglichkeit,
Cookies zu kontrollieren oder ganz zu sperren.
Öffnen Sie hierzu die Internetoptionen,
entweder über die Systemsteuerung [Start
- Einstellungen - Systemsteuerung - Internetoptionen]
oder, wenn der Explorer geöffnet sein sollte,
über das Menü Extras - Internetoptionen.
Wechseln Sie auf die Registerkarte
Datenschutz:
Hier klicken Sie auf
Erweitert...
Hier können
einige Einstellungen vorgenommen werden.
Wählen Sie zum Beispiel auf Eingabeaufforderung,
so erscheint jedes mal ein Fenster, bei
dem hingewiesen wird, dass eine Seite ein
Cookie auf die Festplatte speichern möchte.
Eine Website
möchte ein Cookie auf die Festplatte speichern
Nach einem
Klick auf die Details werden weitere Informationen
sichtbar
Sie können
nun wählen, ob Sie das jeweilige Cookie
ablehnen oder annehmen möchten. In der Registerkarte
Datenschutz der Internetoptionen können
Sie aber auch festlegen, von welcher Website
Cookies abgelehnt oder angenommen werden.
Klicken Sie hierzu auf Bearbeiten
Cookies
annehmen oder ablehnen - hier können entsprechende
Einstellungen vorgenommen werden.
Cookies löschen:
Öffnen Sie
einfach die Internetoptionen im Internet
Explorer (unter Extras). Auf der Registerkarte
Allgemein können Sie die Temporären Internet
- Dateien löschen, die auf die Festplatte
gespeichert wurden (unter Dateien löschen).
Hier können auch die gespeicherten Cookies
gelöscht werden.
- Netscape
Navigator:
Bei Netscape
ist die Bearbeitung der Cookie - Einstellungen
relativ unkompliziert.
Die Cookie
- Einstellungen sind zu finden unter Bearbeiten/Einstellungen/Erweitert.
Das Anhaken des Kontrollkästchens "Warnmeldung
vor dem Akzeptieren von Cookies" ist auf
alle Fälle empfehlenswert. Auch die Einschränkung
auf Cookies, die an den ursprünglichen Server
zurückgeschickt werden, ist sinnvoll.
- Opera:
Opera bietet
eine Fülle von Cookie - Einstellungen unter
File/Preferences/Privacy. Ein sehr nützliches
Opera - Feature ist der Server-Filter, mit
dem bis auf Server-Ebene festgelegt werden
kann, von wo Cookies angenommen werden sollen
und von wo nicht.
Netscape 4.x: Menü
Bearbeiten/Einstellungen/Erweitert
bzw. Edit/Preferences/Advanced
MS InternetExplorer
3.0: Menü Ansicht/Optionen/Lasche
'Erweitert'
