Internet-Software, Browser, FTP, SSH 4.648 Themen, 38.234 Beiträge

News: Wird Surfen zur Klick-Orgie?

EU-Richtlinie soll Cookies das Leben schwer machen

Michael Nickles / 27 Antworten / Flachansicht Nickles

Es gibt zunehmende Aufregung über eine neue EU-Richtlinie, die markante Auswirklungen auf das Surfen im Internet haben kann. Es geht dabei um die "Cookies". In Berichten wie beispielsweise von blogs-optimieren.de wird die Richtlinie dahingehend interpretiert, dass das automatische Setzen von Cookies künftig illegal ist.

Webseiten dürfen Cookies nur dann ablegen, wenn dem ausdrücklich zugestimmt wurde. Unklar ist aktuell noch, wie das umgesetzt werden soll. Eventuell reicht es aus, dass man im Browser generell sein Einverständnis für Cookies gibt.

Sollte die Sache allerdings so ablaufen, dass jede Webseite einzeln um Erlaubnis bitten muss, dass wird das Surfen im Internet gewiss zu einer "Klick-Orgie".

Michael Nickles meint: Leider gibt es noch immer viele Leute, die Cookies als eine "Pest" betrachten. Als diese Dinger damals eingeführt wurden, haben viele das Konzept falsch verstanden und die PC-Fachpresse berieselte ihre Leser damit, wie sie Cookies wegkriegen, damit sie nicht ausspioniert werden können.

Klar - Cookies lassen sich auch zum "Ausspionieren"des Surfverhaltens nutzen. Tatsache ist allerdings, dass Internetseiten heute interaktiv geworden sind, Nutzer eigene Einstellungen durchführen können. Auch Nickles.de verwendet Cookies - beispielsweise um sich zu merken, welche Darstellung ein Besucher bei der Forenansicht haben will (Flach- oder Baum-Ansicht). Ohne Cookies geht so etwas einfach nicht.

Wer Cookies deaktiviert, kann Nickles.de und "den Rest des Webs" halt nicht mehr mit vollem Komfort nutzen. Das gilt übrigens auch für Javascript. Viele folgen heute noch dem alten Sicherheitstipp, man solle Javascript im Browser besser ausschalten, da es ein Risiko darstellt.

Auch hier gilt: Interaktive Webseiten kommen ohne Javascript eigentlich nicht mehr aus. Blöderweise kann eine Webseite einen Nutzer nicht mal drauf hinweisen, dass bei ihm Javascript ausgeschaltet ist und deshalb diverse Dinge nicht gehen - für so einen Mitteilungsmechanismus braucht es generell Javascript.

bei Antwort benachrichtigen
Synthetic_codes Olaf19 „ Klar - Tab oder nicht, ein Link ist ein Link. Auch das hätte ich so und nicht...“
Optionen

ich habe jetzt mal für dich in diesem tab www.amazon.de eingegeben, und die HTTP-Header aufgezeichnet:
http://www.amazon.de/

GET / HTTP/1.1
Host: www.amazon.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Referer: http://www.nickles.de/thread_cache/538621316.html#_pc
Connection: keep-alive
Cookie: ubid-acbde=277-3417542-8533456
Cache-Control: no-cache
Pragma: no-cache

HTTP/1.x 200 OK
Date: Wed, 11 Nov 2009 17:11:06 GMT
Server: Server
Set-Cookie: skin=noskin; path=/; domain=.amazon.de; expires=Wed, 11-Nov-2009 17:11:06 GMT
Set-Cookie: session-id-time=1258498800l; path=/; domain=.amazon.de; expires=Tue Nov 17 23:00:00 2009 GMT
Set-Cookie: session-id=277-3769987-1801465; path=/; domain=.amazon.de; expires=Tue Nov 17 23:00:00 2009 GMT
Set-Cookie: ubid-acbde=277-3417542-8533456; path=/; domain=.amazon.de; expires=Mon Dec 31 23:00:01 2035 GMT
x-amz-id-1: 1K46VSD1KMFN1KVE0VY2
x-amz-id-2: gkB1r4zZrDLtugbswR5ttxFASz8TaeyUbquIz5/+/Jw=
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Content-Type: text/html; charset=ISO-8859-15
Transfer-Encoding: chunked


Unter windows Xp mit dem aktuellen Fuchs und defaults verhält sich das ganze bei mir so. Unter Linux ebenfalls mit aktuellster version nicht. Ich denke also dass das Referer Verhalten diesbezüglich nicht klar definierbar ist. Wie ich oben bereits schrieb ist der inhalt des Referer Headers mit vorsicht zu geniessen.

Zu deinem Link... Grundsätzlich hat der autor mit allem recht, was er schreibt. Allerdings:
* Nicht der Web-Server greift auf unsere Platte zu, sondern der Web-Browser.
* Der Server kann nur schreiben lassen, was er sowieso schon weiß.
* Der Server kann nur lesen, was er selber (oder u.U. ein anderer Rechner aus der gleichen domain) geschrieben hat.
* Ein Server kann max. 20 cookies zu max. 4KB ablegen.


1.) Der Server kann nur schreiben lassen was er sowieso schon weiss... Nunja, cookies lassen sich mittels javascript setzen und bearbeiten... Das bedeutet auch, dass man zb mit Javascript informationen sammeln kann, und mit Javascript bekommt man wesentlich mehr über einen benutzer heraus, als der Server anhand der HTTP-threads selbst sehen könnte. Abgesehen davon lässt sich zb mittels javascript eine brücke zu flash-inhalten bauen, welche wiederum weitere Dinge über den benutzer in erfahrung bringen können.(Beispielsweise könnte man ein unsichtbares Flashprogramm in eine Seite einbetten, das einen kurzen Benchmark laufen lässt, aus dem sich gewisse rückschlüsse über die hardware ziehen lassen, zb auch ob eine Webcam installiert ist uvm, diese Benschmarkergebnisse könnte man dann mittels javascript aus dem Flashapplet holen, und ebenfalls mittel Javascript in ein cookie schreiben. Das cookie wird beim nächsten seitenaufruf an den server gesendet et voila)

Insbesondere der letzte punkt, Ein Server kann max. 20 cookies zu max. 4KB ablegen. , ist insofern irrelevant, als dass man sich die dimension selbst vorstellen kann. ich bin jetzt nicht auf dem laufenden, ob die 4kb je cookie oder insgesamt gemeint sind, aber selbst wenn alle cookies(was ich glaube) zusammen max 4kb informationen halten dürfen, 4Kb sind eine ganze menge, und cookies lassen sich ja auch wiederverwenden(der server kann ein cookie löschen lassen und dafür ein neues anlegen).

Letztlich sind, waren und bleiben cookies ein zweischneidiges Schwert, aber letztlich kannst du dich dem tracking so oder so nur entziehen, wenn du deinen DSL-Anschluss kündigst. Von daher läuft es wieder darauf hinaus, dass jeder selbst wissen muss, welche und wieviele daten er an wen weitergibt.

'); DROP TABLE users;--
bei Antwort benachrichtigen