Cookies - Kekse, die uns nicht bekommen:

Hacker dringen in WebServer ein", "Script-Kiddies" überschwemmen das Web mit Script-Viren" sind nur zwei der täglichen Meldungen die vermitteln, das Netz ist keine Blumenwiese mehr. Das allerdings im Verborgenen der Web-Technologie noch andere Gefahren lauern, die ganz offiziell und jedermann bekannt eingesetzt werden, wird oft oder nie bemerkt und vernachlässigt.

Das Prinzip der Cookies setzt auf kleine Textdateien, die beim Besuch vieler WebSites als "Datenmüll" auf der lokalen Festplatte verbleiben und mit der Zeit vergessen werden. Cookies wurden und werden primär eingesetzt, um Besuchern von WebSites personalisierte Informationen anbieten zu können. Zu diesem Zweck wird der Cookie - Datei eine ID beigefügt, manchmal auch einen Hinweis auf die benutzte IP-Adresse, Hinweise auf bereits besuchte andere Sites und vieles mehr.

Dies ist die positiv ausgedrückte Eigenschaft eines Cookies. Die negative ist, das Cookies durchaus auch zur Datenspionage taugen, die bis in die Spionage von Passwörtern oder anderen brisanten Bereichen reichen. Denn eigentlich war es vorgesehen, den Zugriff auf Cookies der Site zu erlauben, von der die Datei auch lokal gespeichert wurde. Ein Bug im Internet-Explorer erlaubt jedoch auch einen erweiterten Zugriff auf Cookies. Das heißt, fügt eine Website mit böser Absicht hinter ihre URL für die weitere Navigation statt einem Slash ein Prozentzeichen ein, Beispiel: http://www.url.de%xxx%2xxx%2xxx%3F.yyy.com, überspringt der Microsoft-Browser die Prozentzeichen und behandelt die zuletzt genannte Adresse, in unserem Fall yyy.com so, als befände man sich auf der Seite. Damit lassen sich auf der feindlichen Webseite die gespeicherten Cookies Informationen anzeigen.

Der Internet Explorer öffnet somit über die Cookie - Verwaltung einer feindlich gesinnten und präparierten Webseite den Zugang zu den Cookies des jeweiligen Besuchers. Je nach Art der Cookies tauchen damit auch sensible Informationen im Klartext auf. Netscape Browser sind übrigens von diesem Problem nicht betroffen.

In diesem Zusammenhang kam es bereits in den Staaten zu einer ersten Anklage, in der eine amerikanische Bürgerin den Internet-Werbungsvermarkter DoubleClick anklagt, gegen ihren Willen identifiziert zu werden und deren Surfverhalten aufzuzeichnen. In der Anklageschrift wird DoubleClick auch vorgeworfen, Cookies zu verwenden, die das Websurfverhalten, Namen, Adressen, Alter oder das Einkaufsverhalten dokumentieren. DoubleClick gibt auf der eigenen Internetseite an, einige Daten zu sammeln, diese aber keiner Person zuzuordnen. Dokumentiert wird beispielsweise der genutzte Browser, die IP - Adresse und die Domainart.

(Quelle: http://www.tecchannel.de/news/19991207/thema19991207-242.html) Selbst E-Mail - Adressen lassen sich mit diesem Verfahren ermitteln, die der US-Amerikaner John Smith auf seiner Webseite dokumentiert hat. Es handelt sich hierbei um ein Verfahren, mit dem sich aus der Kombination von Email-Programmen und Cookies das Surfverhalten eines Benutzers transparent machen lässt. Dazu muss der Angreifer eine Email mit HTML-Inhalt verschicken. Die dafür nötigen Email-Adressen lassen sich bei Agenturen ebenso wie Postadressen für Werbezwecke kaufen.

Im HTML-Code der fraglichen Email ist dann beispielsweise der Abruf einer nur ein Pixel großen Bilddatei bei einer Firma für Werbebanner versteckt. Als Parameter der Abfrage wird die Email-Adresse eingetragen, an die die Mail ursprünglich ging. Mail-Clients wie Netscape Communicator oder Microsoft Outlook führen HTML-Anfragen in Emails automatisch ohne Rückfrage durch.

Der Webserver legt dann ein Cookie auf dem Zielrechner ab, das damit eindeutig einer Mail-Adresse zugeordnet ist. Wenn der Benutzer später Webseiten besucht, die von der selben Bannerfirma mit Werbung bedient werden, lässt er sich identifizieren. Mit der Auswertung der so gewonnenen Daten lassen sich Benutzerprofile erstellen, die beispielsweise für zielgerichtete Werbe-Emails genutzt werden können.

Wir raten dazu:
Im Verzeichnis c:windowscookies (oder jedes andere Windows-Verzeichnis) sammeln sich die unangenehmen Gesellen nach einer erfolgten Online-Session. Verlassen Sie sich auf die automatische Leerung der temporären Internet-Dateien und der Offline - Inhalte (diese Option kann unter Einstellungen des Internet-Explorers eingestellt oder manuell ausgelöst werden), verbleiben Cookies unangetastet in diesem Verzeichnis und können während der nächsten Online-Sitzung ausgelesen werden.

Löschen Sie nach jeder Online-Sitzung insbesondere diese Dateien in dem angegebenen Ordner manuell generell oder selektiv, falls Sie einigen Sites, wie z.B. die personalisierte YAHOO-Page die Vergabe von Cookies gestattet haben und diese auch behalten möchten. Auf diese Weise haben "bösartige" Sites keine Chance, auf persönliche Informationen zurück zu greifen.

Aufgrund der Brisanz hat Microsoft in Versionen des Internet-Explorers eine erweiterte Cookie - Verwaltung implementiert, die unter anderem darauf hinweisen werden, ob Cookies auch von Drittseiten abgerufen und gespeichert werden dürfen.

Was kann man gegen Cookies unternehmen? Die Cookie-Datei(en) beim Systemstart automatisch löschen. Beim Netscape-Browser die Cookie-Datei 'leeren' (Datei "cookies.txt" im Netscape-Benutzerverzeichnis) und mit einem Schreibschutz versehen.  Dies ist beim Microsoft Internet Explorer nicht möglich, da jeder Cookie unter eigenem Dateinamen gespeichert wird. Siehe Pfad C:\Windows\Cookies bzw. im Benutzerprofil in C:\Windows\Profiles\user Cookie-Datei(en) von Zeit zu Zeit einmal mit einem normalen Editor kontrollieren. Die Browser Netscape und Microsoft Internet Explorer bieten eine Option, eine 'Cookie-Warnung' zu geben. Der Cookie kann abgelehnt oder akzeptiert werden. Netscape 4.x: Menü Bearbeiten/Einstellungen/Erweitert bzw. Edit/Preferences/Advanced  MS InternetExplorer 3.0: Menü Ansicht/Optionen/Lasche 'Erweitert'  MS InternetExplorer 5.0: Menü Extras/Internetoptionen/Lasche 'Sicherheit'/Button 'Stufe anpassen'/Einstellungen: Cookies Cookies löschen     Netscape speichert Cookies in der Datei "cookies.txt". Diese kann gelöscht werden. Netscape darf aber nicht geöffnet sein.     Der MS Internet Explorer speichert jeden Cookies als Textdatei im Systemverzeichnis  "Temporary Internet Files" oder "Cookies". Am Besten nach "Typ" sortieren und dann löschen.

Cookies kontrollieren:

Jeder Web-Browser bietet die Möglichkeit, die Annahme von Cookies zu unterbinden oder zumindest vor Annahme des Cookies den Benutzer zu warnen.

Wir haben die entsprechende Vorgehensweise für die drei populärsten Browser zusammengefasst:

- Internet Explorer:

Grundsätzlich bietet der Internet Explorer die Möglichkeit, Cookies zu kontrollieren oder ganz zu sperren. Öffnen Sie hierzu die Internetoptionen, entweder über die Systemsteuerung [Start - Einstellungen - Systemsteuerung - Internetoptionen] oder, wenn der Explorer geöffnet sein sollte, über das Menü Extras - Internetoptionen.

Wechseln Sie auf die Registerkarte Datenschutz:

Hier klicken Sie auf Erweitert...

Hier können einige Einstellungen vorgenommen werden. Wählen Sie zum Beispiel auf Eingabeaufforderung, so erscheint jedes mal ein Fenster, bei dem hingewiesen wird, dass eine Seite ein Cookie auf die Festplatte speichern möchte.

Eine Website möchte ein Cookie auf die Festplatte speichern

Nach einem Klick auf die Details werden weitere Informationen sichtbar

Sie können nun wählen, ob Sie das jeweilige Cookie ablehnen oder annehmen möchten. In der Registerkarte Datenschutz der Internetoptionen können Sie aber auch festlegen, von welcher Website Cookies abgelehnt oder angenommen werden. Klicken Sie hierzu auf Bearbeiten

Cookies annehmen oder ablehnen - hier können entsprechende Einstellungen vorgenommen werden.

Cookies löschen:

Öffnen Sie einfach die Internetoptionen im Internet Explorer (unter Extras). Auf der Registerkarte Allgemein können Sie die Temporären Internet - Dateien löschen, die auf die Festplatte gespeichert wurden (unter Dateien löschen). Hier können auch die gespeicherten Cookies gelöscht werden.

- Netscape Navigator:

Bei Netscape ist die Bearbeitung der Cookie - Einstellungen relativ unkompliziert.

Die Cookie - Einstellungen sind zu finden unter Bearbeiten/Einstellungen/Erweitert. Das Anhaken des Kontrollkästchens "Warnmeldung vor dem Akzeptieren von Cookies" ist auf alle Fälle empfehlenswert. Auch die Einschränkung auf Cookies, die an den ursprünglichen Server zurückgeschickt werden, ist sinnvoll.

- Opera:

Opera bietet eine Fülle von Cookie - Einstellungen unter File/Preferences/Privacy. Ein sehr nützliches Opera - Feature ist der Server-Filter, mit dem bis auf Server-Ebene festgelegt werden kann, von wo Cookies angenommen werden sollen und von wo nicht.