HTTP-Cookies: Was ist ein Cookie? Wie funktioniert es und wie vermeidet man Gefahren?

HTTP-Cookies basieren auf „Magic Cookies“, deren Name sich von „Fortune Cookies“ ableitet. Lou Montulli nutzte Magic Cookies für einen neuen Zweck, um die heute verwendeten HTTP-Cookies zu entwickeln. Er war ein Webbrowser-Programmierer, der 1994 HTTP-Cookies entwickelte.

Obwohl die Funktion und Verwendung dieser Cookies gleich geblieben sind, gibt es gewisse Unterschiede zwischen den alten Cookies und den HTTP-Cookies, die wir heute verwenden. Sehen wir uns diese im Folgenden an:

„Magic Cookies“ sind ein veralteter Begriff aus der Informatik, der vor allem von Ubuntu-Programmierern verwendet wird. Es handelte sich dabei um Informationspakete, die ohne jegliche Änderung der Daten hin und her gesendet wurden. Sie wurden im Allgemeinen zum Speichern von Anmeldedaten in einem internen Unternehmensnetzwerk in einem Computerdatenbanksystem verwendet.

Wie bereits erwähnt, ließ sich Lou Montulli von Magic Cookies inspirieren, um HTTP-Cookies für Webbrowser zu entwickeln. Ursprünglich dienten sie dazu, Online-Shops dabei zu helfen, überlastete Server zu entlasten und Artikel im Warenkorb zu speichern. Sie sind die Cookies, die heute am häufigsten verwendet werden.

Ähnlich wie andere Cookies enthalten HTTP-Cookies Informationen, die vom Webserver an den Webbrowser eines Nutzers gesendet werden. Informationen wie Benutzernamen und Passwörter werden mit einer eindeutigen ID versehen an den Nutzer gesendet.

Die eindeutigen IDs helfen dem Webserver, einzelne Nutzer voneinander zu unterscheiden, um das Surferlebnis zu verbessern. Sobald die Cookies an den Browser gesendet wurden, werden sie auf dem Computer des Nutzers gespeichert.

Daher werden dieselben Cookies an den Server gesendet, wenn der Nutzer die Website erneut besucht. Dies hilft auch dabei festzustellen, ob der Browser mehr als eine Anfrage gesendet hat, und speichert bestimmte Informationen aus dem zustandslosen HTTP-Protokoll.

HTTP-Cookies sind zu einem zentralen Bestandteil der Webentwicklung geworden und werden von allen modernen Browsern unterstützt. Daher sind die meisten Webseiten ohne Cookies unbrauchbar. Die in Cookies gespeicherten Informationen enthalten nicht zwangsläufig personenbezogene Daten. Einige Cookies können jedoch personenbezogene Daten enthalten, sofern der Nutzer dem zugestimmt hat.

Cookies sind wichtig für Websites, die anpassbare Designs, Anmeldungen und andere erweiterte Funktionen erfordern. Häufig werden sie in der Werbung eingesetzt, um Anzeigen basierend auf den jüngsten Online-Aktivitäten und Präferenzen des Nutzers anzuzeigen. 

Daher werden HTTP-Cookies hauptsächlich aus folgenden Gründen verwendet:

Eine Sitzung ist die Zeit, die ein Nutzer auf einer Website verbringt. Während der gesamten Sitzung interagiert der Nutzer auf verschiedene Weise mit der Website. 

Zu den gängigen Aktionen gehören das Einloggen und das Hinzufügen von Artikeln zum Warenkorb. Mithilfe von Cookies werden die Aktivitäten und Präferenzen des Nutzers in Form von Cookies gespeichert, die vom Webserver gesendet werden.

So muss sich der Nutzer nicht erneut anmelden oder Artikel in den Warenkorb legen, wenn er die Website versehentlich schließt. Die Cookies speichern diese Informationen und helfen dem Nutzer, Zeit bei sich wiederholenden Aufgaben zu sparen. Daher helfen Cookies der Website dabei, alle Informationen zu speichern, die sie sich merken soll.

Quelle – Was ist eine Sitzungs-ID? Definition und Erklärung – Seobility Wiki

Die Hauptfunktion einer dynamischen Website besteht darin, dem Nutzer zu ermöglichen, die Funktionen der Website an seine Bedürfnisse und Vorlieben anzupassen. 

Zu den gängigen Anpassungsmöglichkeiten gehören die Wahl der Farben, die Angabe des Standorts des Nutzers sowie weitere Elemente wie die Spracheinstellung und der vom Nutzer verwendete Webbrowser.

Obwohl die meisten Webbrowser über die gleichen Funktionen verfügen, können einige Browser Webseiten etwas anders anzeigen als andere. 

Daher sind Cookies dafür zuständig, diese Informationen zu speichern, um dem Nutzer ein besseres Online-Erlebnis zu ermöglichen. So können die Cookies dem Server bei einem erneuten Besuch der Website die Präferenzen des Nutzers mitteilen.

Ergänzend zum vorherigen Punkt werden einige Cookies auch zur Nachverfolgung der Online-Aktivitäten von Nutzern verwendet. Cookies sind einfache Textdateien, die Teile von Nutzerinformationen enthalten, um dem Server zu helfen, mehr über deren Interessen und Präferenzen zu erfahren. Dadurch können Website-Elemente an den jeweiligen Nutzer angepasst werden.

Einige Cookies können jedoch das Nutzerverhalten analysieren und aufzeichnen, wenn Nutzer eine Website besuchen oder wenn der Browser eine HTTP-Anfrage stellt. Die aus der Online-Aktivität eines Nutzers gewonnenen Informationen werden zusammengefügt, um ein Online-Profil des Nutzers zu erstellen.

Wenn andere Websites auf diese Informationen zugreifen, können sie ihre Elemente an die Präferenzen des Nutzers anpassen. 

Kürzlich nutzten Ebiquity und Usercentrics die Deep-Scanning-Technologie von Cookiebot CMP und stellten fest, dass über 92 % aller Websites mindestens ein Tracking-Cookie verwendeten.

Es gibt zwei Hauptarten von HTTP-Cookies: Session-Cookies und persistente Cookies. 

Wie der Name schon sagt, sind Session-Cookies temporärer Natur, während persistente Cookies über einen längeren Zeitraum verwendet und abgerufen werden. Daher lassen sie sich wie folgt näher definieren:

• Sitzungscookies

Wie bereits erwähnt, wird eine Sitzung durch die Zeit definiert, die ein Nutzer auf einer bestimmten Website verbringt. 

Ebenso sind Session-Cookies Informationen, die nur während dieser Besuchszeit verwendet und abgerufen werden. Sie werden im Arbeitsspeicher (RAM) gespeichert, nicht auf der lokalen Festplatte.

In den meisten Fällen werden Sitzungscookies nur während der Navigation auf einer Website verwendet. Zum Beispiel, wenn ein Nutzer die Website erkundet, um Informationen zu finden oder Produkte zu kaufen. Sitzungscookies werden automatisch gelöscht, sobald ein Nutzer die Website schließt und die Sitzung endet.

Die häufigste Verwendung von Sitzungscookies besteht darin, die Funktion von Anonymisierungs-Plugins von Drittanbietern zu ermöglichen und sicherzustellen, dass die Zurück-Schaltfläche den Zustand der Website speichert. Sie dienen hauptsächlich der Wahrung der Privatsphäre der Nutzer.

• Persistente Cookies

Im Gegensatz zu Sitzungscookies werden dauerhafte Cookies auf der Festplatte des Computers des Nutzers gespeichert. Sie können unbegrenzt auf dem System verbleiben, bis sie vom Nutzer manuell gelöscht werden. 

Die meisten dauerhaften Cookies haben jedoch ein Ablaufdatum, nach dessen Ablauf sie sich automatisch vom Computer entfernen.

Die Anmeldedaten des Nutzers werden in persistenten Cookies gespeichert. Dies hilft der Website, sich an den Nutzer zu erinnern und verhindert, dass er sich erneut anmelden muss. Dadurch soll der Anmeldevorgang für die Nutzer vereinfacht werden.

So müssen sie ihre Anmeldedaten nicht immer wieder eingeben, da die Cookies die Passwörter speichern.

Persistente Cookies dienen dazu, einen Nutzer zu verfolgen, wenn er eine Website mehrmals besucht. Sie helfen dabei, die Präferenzen der Nutzer zu speichern und die Webseiten und Elemente zu erfassen, mit denen die Nutzer während ihrer Besuche interagieren.

Auf Grundlage dieser Aktivitäten kann die Website ähnliche Informationen oder Produkte empfehlen, um den Nutzer auf der Website zu halten.

Der Prozess der Erstellung von HTTP-Cookies ist sehr einfach. Immer wenn ein Nutzer eine HTTP-Anfrage an den Server sendet, um auf eine Webseite zuzugreifen, werden die Cookies zusammen mit einer Antwort gesendet. 

Der Webbrowser akzeptiert die Antwort und empfängt die Cookies, um sie dauerhaft oder für die Dauer der Sitzung zu speichern. Dies hängt von der Art der Website ab, die der Nutzer besucht. 

Es werden jedoch verschiedene Arten von Cookies erstellt und an das System des Nutzers gesendet. Dazu gehören die folgenden:

Wenn das Cookie-Schema und die Domain mit der aktuellen Website übereinstimmen, handelt es sich um First-Party-Cookies. Dies ist die datenschutzfreundlichste Art von Cookies, auf die andere Websites keinen Zugriff haben. Daher ist dies die sicherste Art von Cookies für einen Nutzer.

Ein Cookie, dessen Schema und Domain sich von denen des Webservers unterscheiden, gilt hingegen als Third-Party-Cookie. Das bedeutet, dass die dem Nutzer bereitgestellten Cookies nicht von derselben Website stammen. Diese Art von Cookies wird meist zur Nachverfolgung des Nutzerverhaltens und für Werbezwecke verwendet.

Das bekannteste Beispiel für ein Drittanbieter-Cookie sind die von Google verwendeten Cookies. Dessen Werbedienst AdSense nutzt Drittanbieter-Cookies, um Produkte und Informationen basierend auf Ihren Online-Aktivitäten und Suchbegriffen anzuzeigen. 

Eine Website verwendet Cookies von Drittanbietern, wenn Bilder oder andere Elemente auf verschiedenen Webservern gespeichert sind. Standardmäßig sind die meisten Browser so eingestellt, dass sie Cookies von Drittanbietern blockieren, die Tracker enthalten. Dies liegt daran, dass Cookies von Drittanbietern auch als Tracking-Cookies bezeichnet werden.

Daher können sie die Surfgewohnheiten und den Verlauf eines Nutzers beim Zugriff auf mehrere Websites auswerten. Einige Erweiterungen können Third-Party-Cookies ebenfalls blockieren, um den Datenschutz zu gewährleisten. 

Zombie-Cookies sind eine Erweiterung von Drittanbieter-Cookies, die für unbestimmte Zeit auf der Festplatte gespeichert bleiben. Sie bleiben bestehen und tauchen auch nach dem Löschen wieder auf. Zombie-Cookies entstanden ursprünglich aus Informationen, die vom Adobe Flash Storage Bin erstellt und gespeichert wurden. 

Daher werden sie auch als Flash-Cookies bezeichnet und lassen sich nur schwer aus dem System löschen. Berichten zufolge zwangen die „Zombie-Cookies“, auch bekannt als Flash-Cookie-Dateien, Adobe Systems Inc. dazu, die Verarbeitung von Flash-Cookies auf 98 % aller Computergeräte der Verbraucher einzustellen.

Webanalyseunternehmen nutzen sie in der Regel, um den Browserverlauf und die Online-Aktivitäten der Nutzer zu verfolgen. Oft werden sie eingesetzt, um Nutzern den Zugriff auf eine Website zu verweigern.

Zunächst einmal ist es wichtig zu beachten, dass Cookies keine Malware oder Viren sind. Es handelt sich um einfache Dateien, die Informationen über die Surfgewohnheiten des Nutzers und Sitzungsdaten enthalten.

Bei einem Cyberangriff auf ein Computersystem können diese Cookies jedoch ausgenutzt werden, um Zugriff auf die Browsersitzung eines Nutzers zu erlangen. So können Hacker mithilfe der in Cookies gespeicherten Informationen die Online-Aktivitäten des Nutzers auf ihrem System „nachahmen“.

Die in einem Cookie gespeicherten Daten und Informationen ändern sich während seiner gesamten Lebensdauer nicht. Daher können Cookies aufgrund der Art der darin gespeicherten Informationen gefährlich sein. Wenn ein Hacker Zugriff auf diese Informationen erhält, können sie wahllos gegen den Nutzer verwendet werden.

Mittlerweile ist Ihnen sicherlich aufgefallen, dass die meisten Websites Ihre Zustimmung einholen, bevor sie Cookies erstellen und auf Ihrer Festplatte speichern. Daher können Sie Cookies je nach Ihren Präferenzen akzeptieren oder ablehnen. Das Ablehnen von Cookies hat keine großen Auswirkungen auf die Webseite.

Es kann jedoch Ihr Surferlebnis beeinträchtigen, wenn die Webseite Elemente verwendet, die auf anderen Servern gespeichert sind, d. h. Cookies von Drittanbietern.

Die oben genannte Voraussetzung ist standardmäßig aufgrund der folgenden Regulierungsbehörden erforderlich:

• Die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union
• Die ePrivacy-Richtlinie in der EU
• Der California Consumer Privacy Act

Alle oben genannten Regulierungsbehörden haben globale Reichweite und gelten für jede Website im World Wide Web. Daher sind alle Websites verpflichtet, die Nutzer darüber zu informieren, welche Art von Cookies sie verwenden, und sollten vor der Erstellung und Speicherung dieser Cookies um Zustimmung bitten.

Außerdem müssen sie den Großteil ihrer Online-Website-Erfahrung ohne den Einsatz von Cookies bereitstellen.

Wie bereits erwähnt, haben Erstanbieter-Cookies dieselbe Struktur und Domain wie die Website. Daher sind Erstanbieter-Cookies die sichersten und datenschutzfreundlichsten Cookies. Sie werden ausschließlich für das Surfen auf dieser Website verwendet und sind für andere Websites nicht zugänglich.

Achten Sie daher beim Besuch einer Website immer auf die Domain in der Adressleiste. Vergewissern Sie sich, dass ein HTTPS-Protokoll verwendet wird. 

Wenn die Adresse der Webseite beispielsweise so lautet: https://www.google.com/, dann handelt es sich um eine sichere Seite. Verwendet die Website jedoch das „HTTP“-Protokoll, ist sie nicht sicher, und Dritte können auf ihre Cookies zugreifen.

Zusammenfassend lässt sich sagen, dass HTTP-Cookies ein wichtiger Bestandteil eines reibungslosen Website-Erlebnisses sind. 

Sie dienen dazu, wichtige Informationen wie Benutzernamen und Passwörter zu speichern, um dem Nutzer wiederholte Eingaben zu ersparen. Außerdem helfen sie den Nutzern, die Website entsprechend ihren Bedürfnissen und Vorlieben zu nutzen.

Seien Sie stets vorsichtig bei Websites, die Cookies von Drittanbietern verwenden und kein „HTTPS“-Protokoll haben. Solche Websites können Cookies auf Ihrem System speichern, auf die Hacker oder andere Websites zugreifen können.

Cookies nutzen mittlerweile moderne APIs, um sich auf dem System zu speichern. Solche modernen APIs, bekannt als Web Storage API und Indexed Databases, werden für die lokale Speicherung verwendet. Daher können Sie diese APIs mit Hilfe von WebScrapingAPI identifizieren.

Es ist ein nützliches Tool, um Roh-HTML von jeder Webseite abzurufen. So können Sie feststellen, welche Elemente einer Website Cookies von Drittanbietern verwenden und von wem. Das Tool kann auch mit Proxys umgehen und JavaScript mit echten Browsern und Captchas rendern. Starten Sie jetzt. Kostenlose Testversion verfügbar.