Ich bin ein unbedarfter was pcs angeht. Man hat mir erzählt, dass es sowas wie "cookies" gibt und diese verfolgen können wo ich surfe. Diese vorstellung finde ich sehr unangenehm. Sagt mal, was kann denn ein seitenbetreiber alles genau sehen? Alle seiten auf denen ich vorher war? Nur die, wo ich links gefolgt bin? Wie ist das?

(edit erst Slater, dann fal ;) - Topictitel)

HTTP-Cookie

HTTP-Cookie

Das beantwortet meine frage nicht ganz.
Da gibt es nur einen schwammig formulierten satz. Ist es denn jetzt konkret so, dass auch wenn ich mehrere browserseiten öffne und in mehreren threads surfe mein gesamtes surfverhalten an eine seite übermittelt werden kann?

Nein. Eine Seite kriegt nur die Cookies uebermittelt, die sie selbst gesetzt hat.

Ein Cookie ist ein bis zu 4 Kilobyte großer Datenblock, den eine Webseite auf deinem Browser speichern kann. Der Browser sendet diesen Cookie bei jedem Besuch wieder an die Webseite, so dass eine eindeutige Zuordnung der abgerufenen Inhalte zu dir möglich sind. Dies ist bei normalen Dialup-PCs praktisch äquivalent auch mit der IP zu machen, so dass hier kaum weitere Daten veröffentlicht werden. Cookies machen das nur einfacher.

Wo Cookies wirklich problematisch werden, ist bei fehlern des Webseitenbetreibers oder des Browsers - dann werden die Daten eventuell an viele Webseiten gesendet, die damit nichts zu tun haben. Aber das ist auch eher ein Problem der Vergangenheit.

Die Cookie-Panikmache ist alt und eigentlich auch veraltet. Deine Besuche kann jeder Webseitenbetreiber mitverfolgen, ob nun mit oder ohne cookies. Wenn dich das stört, musst du schon anonymisierungsdienste verwenden.

Nein. Eine Seite kriegt nur die Cookies uebermittelt, die sie selbst gesetzt hat.

Und was ist mit dieser wikipediaaussage?

"Server, die Werbebanner für viele Websites liefern, können so genannte „serverfremde“ Cookies setzen. Gegebenenfalls kann so der Besuch unterschiedlicher Websites einem Benutzer zugeordnet werden. Daraus kann auf die Interessen des Besuchers geschlossen und Websites entsprechend angepasst („personalisiert“) werden. Im schlimmsten Fall können die Daten z. B. bei der Bestellung in einem Webshop einer konkreten Person zugeordnet werden. Verhindert werden kann dieser Missbrauch durch eine entsprechende Browser-Einstellung, damit nur Cookies des Servers der aufgerufenen Seite angenommen werden."

Ein Cookie ist ein bis zu 4 Kilobyte großer Datenblock, den eine Webseite auf deinem Browser speichern kann. Der Browser sendet diesen Cookie bei jedem Besuch wieder an die Webseite, so dass eine eindeutige Zuordnung der abgerufenen Inhalte zu dir möglich sind. Dies ist bei normalen Dialup-PCs praktisch äquivalent auch mit der IP zu machen, so dass hier kaum weitere Daten veröffentlicht werden. Cookies machen das nur einfacher.

Wo Cookies wirklich problematisch werden, ist bei fehlern des Webseitenbetreibers oder des Browsers - dann werden die Daten eventuell an viele Webseiten gesendet, die damit nichts zu tun haben. Aber das ist auch eher ein Problem der Vergangenheit.

Die Cookie-Panikmache ist alt und eigentlich auch veraltet. Deine Besuche kann jeder Webseitenbetreiber mitverfolgen, ob nun mit oder ohne cookies. Wenn dich das stört, musst du schon anonymisierungsdienste verwenden.

Also ich hab das so verstanden. Ich gehe auf google und google kennt meine ip. Ich gehe auf web.de und web.de kennt meine ip. Wenn google wissen wollte auf welchen seiten ich war müsste es mit web.de zusammenarbeiten. Wenn es aber reichen sollte cookies zu setzen die das gesamte surfverhalten mitschneiden und beim nächsten besuch einer seite oder eines forums dies zukommen lassen, dann wird das ausgehebelt. Dann kann jede Seite wissen wo ich sonst noch war.

Also zwischen Seiten auf denen die gleichen Banner mit Code ausgeliefert werden, geht das. Aber damit würden sie dann dennoch etwas nicht wissen, dass Du hier bist. Außer halt dass auch noch Referer mit übertragen werden (zuletzt besuchte Seite) oder ggf. mit Scripten auch die Browser History (alles was unter Zurück verfügbar ist) ausgelesen wird. Das sollte sich schon alles realisieren lassen.

Nutzt Du vielleicht den Firefox? Da gibt es ein schönes Plugin "Permit Cookies". Das lässt Du für alle Seiten einfach aus und nur für dort wo Du es wirklich brauchst, Shoppingseiten, Foren, Online-Banking, … aktivierst Du sie. Dazu noch das Plugin "NoScript" womit Du generell JavaScript deaktivierst und ebenso nur dann einschaltest, wenn Du es brauchst. Ohne Scripte geht auch dieses "domainübergreifende" Schreiben eigentlich nicht (Meistens ja durch aufrufen eines Popups anderer Domains).

Beim setzen eines Cookies gibt der Webseitenbetreiber den Host und den Pfad an, zu dem dieser Cookie wieder geschickt wird. D.h. web.de gibt vermutlich http://www.web.de/fnord/ an, und da http://www.google.de/ darauf nicht matcht, bekommt es auch nie was von diesem Cookie zu sehen.

Also ich hab das so verstanden. Ich gehe auf google und google kennt meine ip. Ich gehe auf web.de und web.de kennt meine ip. Wenn google wissen wollte auf welchen seiten ich war müsste es mit web.de zusammenarbeiten. Wenn es aber reichen sollte cookies zu setzen die das gesamte surfverhalten mitschneiden und beim nächsten besuch einer seite oder eines forums dies zukommen lassen, dann wird das ausgehebelt. Dann kann jede Seite wissen wo ich sonst noch war.

das geht alles auch ohne Cookies,
wenn jeder Seitenaufruf mit einem Werbebanner belegt ist, dann bekommt dieser Werbebanner alles mit,

Cookies verschärfen das ganze in der Hinsicht, dass ein User auch ein Tag später mit einer neuen IP-Adresse noch als der alte User erkannt wird,
nicht mehr und nicht weniger

(edit: na gut, das mit den 'Cookies für andere Seiten' ist noch mal was anderes, dazu kann ich nix sagen)

Beim setzen eines Cookies gibt der Webseitenbetreiber den Host und den Pfad an, zu dem dieser Cookie wieder geschickt wird. D.h. web.de gibt vermutlich http://www.web.de/fnord/ an, und da http://www.google.de/ darauf nicht matcht, bekommt es auch nie was von diesem Cookie zu sehen.

Google könnte aber auf web.de Werbung schalten. Die sollen dann immer ein Popup aufrufen und zwar "http://www.google.de/cookie_web_de.php". Und wenn der Nutzer dann auf Google kommt, dann wird geguckt, ob der Nutzer halt so ein Cookie hat.

Nutzt Du vielleicht den Firefox? Da gibt es ein schönes Plugin "Permit Cookies".

Danke, ist installiert :)

Beim setzen eines Cookies gibt der Webseitenbetreiber den Host und den Pfad an, zu dem dieser Cookie wieder geschickt wird. D.h. web.de gibt vermutlich http://www.web.de/fnord/ an, und da http://www.google.de/ darauf nicht matcht, bekommt es auch nie was von diesem Cookie zu sehen.

Google könnte aber auf web.de Werbung schalten. Die sollen dann immer ein Popup aufrufen und zwar "http://www.google.de/cookie_web_de.php". Und wenn der Nutzer dann auf Google kommt, dann wird geguckt, ob der Nutzer halt so ein Cookie hat.

Mit ein wenig mehr Aufwand ließe sich das allerdings auch ohne Cookies umsetzen (per URL-Rewriting z.B.). Die deutsche Wikipediaseite zu Cookies ist ehrlich gesagt ein wenig unklar wenn nicht sogar falsch formuliert, daher einfach mal einen Blick auf die Englisch werfen.

In Fact sind Cookies die momentan sicherste Variante Sessions zu tracken. URL-Rewriting als (Fallback-)Alternative (mehr sind mir im Moment nicht bekannt und werden real zumindest auch nicht eingesetzt) leistet zwar gleiche Dienste, hat aber einige Nachteile, die es zu beachten gilt (z.T. gilt dies nur für den Servlet Sessionmechanismus):
- URLs müssen speziell präpariert werden
- Sessionklau ist deutlich leichter
- Spider erlauben in der Regel keine Cookies und tracken daher unschöne URLs mit Session IDs als Parameter
- Fehlerhafte Sessionmechanismen bei Bea haben deswegen schon für viel Spaß (und verteilte Sessions über mehrere Nutzer) im Web gesorgt

Nutzt Du vielleicht den Firefox? Da gibt es ein schönes Plugin "Permit Cookies".

Danke, ist installiert :)

Ich nehm da schon lange CookieSafe für. Da kann man wie bei NoScript "Allow Temporarily" und "Allow For Session" auswählen.

Nein. Eine Seite kriegt nur die Cookies uebermittelt, die sie selbst gesetzt hat.

Na ja, aber es ist doch auch für andere möglich, Cookies auszulesen und so an die dort gespeicherten Informationen zu kommen. (Vor allem, wenn demjenigen bekannt ist, wonach er suchen muss…)

Deine Besuche kann jeder Webseitenbetreiber mitverfolgen, ob nun mit oder ohne cookies. Wenn dich das stört, musst du schon anonymisierungsdienste verwenden.

Was mich eigentlich schon länger interessiert: kann theoretisch jeder alle Seiten sehen, die ich besucht habe? (Und wenn ja, wie baue ich sowas auf meiner nicht vorhandenen Website ein? [img]http://www.fb18.de/gfx/28.gif[/img])

Nein. Eine Seite kriegt nur die Cookies uebermittelt, die sie selbst gesetzt hat.

Na ja, aber es ist doch auch für andere möglich, Cookies auszulesen und so an die dort gespeicherten Informationen zu kommen. (Vor allem, wenn demjenigen bekannt ist, wonach er suchen muss…)

Ja für andere, aber immer nur ihre eigenen. Zumindest so lange keine XSS-Lücken vorliegen oder sie direkten Zugriff auf Deinen Rechner haben.

Deine Besuche kann jeder Webseitenbetreiber mitverfolgen, ob nun mit oder ohne cookies. Wenn dich das stört, musst du schon anonymisierungsdienste verwenden.

Was mich eigentlich schon länger interessiert: kann theoretisch jeder alle Seiten sehen, die ich besucht habe? (Und wenn ja, wie baue ich sowas auf meiner nicht vorhandenen Website ein? [img]http://www.fb18.de/gfx/28.gif[/img])

Nein, nicht jeder. Meine Oma kann das nicht. ;) Ne Spaß beiseite. Im Normalfall hat der Serverbetreiber nur den Referer, also die Seite die Du genau vor dem Aufruf seiner Seite besucht hast. Es sei denn er betreibt einen Proxydienst für Dich. ;) Und dann kann mal noch ggf. Schmu mit der Browser History machen. Aber das würde dann auch nicht weiter als für die aktuelle Session reichen.

Deine Besuche kann jeder Webseitenbetreiber mitverfolgen, ob nun mit oder ohne cookies. Wenn dich das stört, musst du schon anonymisierungsdienste verwenden.

Was mich eigentlich schon länger interessiert: kann theoretisch jeder alle Seiten sehen, die ich besucht habe? (Und wenn ja, wie baue ich sowas auf meiner nicht vorhandenen Website ein? [img]http://www.fb18.de/gfx/28.gif[/img])

Nein, nicht jeder. Meine Oma kann das nicht. ;) Ne Spaß beiseite. Im Normalfall hat der Serverbetreiber nur den Referer, also die Seite die Du genau vor dem Aufruf seiner Seite besucht hast. Es sei denn er betreibt einen Proxydienst für Dich. ;) Und dann kann mal noch ggf. Schmu mit der Browser History machen. Aber das würde dann auch nicht weiter als für die aktuelle Session reichen.

wat ich dachte der referrer wäre nur die seite von der ich durch einen link auf die neue seite komme! was soll denn das das die letzte seite übermittelt wird obwohl sie nix mit der aktuellen zu tun hat. vielleicht war ich gerade auf ner pron-seite und surfe dann bei meinem arbeitgeber vorbei, was soll denn der scheiß wer hat das spezifiziert?

was soll denn das das die letzte seite übermittelt wird obwohl sie nix mit der aktuellen zu tun hat.

Der Referer wird nur übermittelt, wenn du direkt einen Link clickst. Wenn deine Pron-Seite auf deinen Arbeitgeber verlinkt, z.B.

Meine Güte, ist hier viel FUD unterwegs.

wat ich dachte der referrer wäre nur die seite von der ich durch einen link auf die neue seite komme!

So ist es auch.

was soll denn der scheiß wer hat das spezifiziert?

Das war vermutlich die Networking Group des IETF. Die haben die RFCs veroeffentlicht.

Ich empfehle Paros zum rumspielen mit HTTP.

MfG
Muelli

Edit: URLs gefixt

Cookies kommen ursprünglich von Netscape.

Zitat:

wat ich dachte der referrer wäre nur die seite von der ich durch einen link auf die neue seite komme!

So ist es auch.

Außer beim Internet-Explorer. Der hat hat auch dann die letzte Seite im Referrer, wenn du die neue Adresse von Hand eingegeben hast…

Nein. Eine Seite kriegt nur die Cookies uebermittelt, die sie selbst gesetzt hat.

Na ja, aber es ist doch auch für andere möglich, Cookies auszulesen und so an die dort gespeicherten Informationen zu kommen. (Vor allem, wenn demjenigen bekannt ist, wonach er suchen muss…)

Ja für andere, aber immer nur ihre eigenen. Zumindest so lange keine XSS-Lücken vorliegen oder sie direkten Zugriff auf Deinen Rechner haben.

Nee, ich meine nicht die eigenen. Durch Holzpferde oder eventuell auch schon durch JavaScript…

Nein. Eine Seite kriegt nur die Cookies uebermittelt, die sie selbst gesetzt hat.

Na ja, aber es ist doch auch fu:r andere mo:glich, Cookies auszulesen und so an die dort gespeicherten Informationen zu kommen. (Vor allem, wenn demjenigen bekannt ist, wonach er suchen muss…)

Ja fu:r andere, aber immer nur ihre eigenen. Zumindest so lange keine XSS-Lu:cken vorliegen oder sie direkten Zugriff auf Deinen Rechner haben.

Nee, ich meine nicht die eigenen. Durch Holzpferde oder eventuell auch schon durch JavaScript…

Wenn man Holzpferde auf dem Rechner hat, hat man eh ganz andere Probleme. Und XSS wurde hier auch schon erwaehnt.

Zumindest so lange keine XSS-Lu:cken vorliegen oder sie direkten Zugriff auf Deinen Rechner haben.

Wissenschaftler haben bewiesen: Wenn man Sicherheitslücken auf dem Rechner hat, hat man Sicherheitslücken auf dem Rechner! Sehen sie dazu Tagesthemen Spezial um viertel nach Zehn.