Frage zu cookies

[Thomas]

Hallo, ich habe mal eine Frage zu Cookies. Das nutzt ja fast jede Seite. Meine Frage ist, was steht alles im Cookie drin?

Also als Beispiel, ich habe mich bei einem großen Onlinehändler angemeldet. wenn ich mich einlogge, und dann wieder auslogge, dann steht, auch wenn ich den IE neu starte, bei Login schon mein Name, obwohl ich nicht mehr eingeloggt bin. wenn ich jetzt z..b zu Facebook oder sonst irgendwo hingehe, können dann die meinen Namen sehen?

Im Cookie von dem Onlinehändler steht laut Cookie Viewer für IE kein Name drin, also nicht der, der bei dem "Login" dran steht, nachdem ich mich ausgeloggt habe.

Könnte ihr mir da was dazu sagen? Danke im Voraus

 

[MSX]

Was drinsteht, das kann man sich ansehen. Die werden ja zugänglich gespeichert. Allerdings dürften viele wohl Inhalte haben, die letztlich nur für den "Anbieter" nützlich sind, da irgendwelche IDs, Hashwerte oder "verschlüsselte" Werte hinterlegt werden. Auslesbar sind sie meines Wissens nach erst einmal nur von der Domain, die sie auch produziert hat.

Dass der Händler Dich wiedererkennt, liegt sicherlich daran, dass dort eine ID im Cookie enthalten ist, die auch beim Anbieter in einer Datenbank steht, bei der Dein Name zugeordnet ist.

Von normalen Cookies abgesehen, gibt es in der Hinsicht aber noch weitere Möglichkeiten zur Identifizierung. Um beim Thema zu bleiben, dürften Flash-Cookies die wohl bekannteste Möglichkeit sein. Also im Endeffekt das gleiche wie normale Cookies, nur durch Flash abgelegt und dies an einem anderen Ort.

 

[Thomas]

zunächst danke. Ja, also da steht nichts Besonders drin, habe geschaut.

irgendwelche IDs, Hashwerte oder "verschlüsselte" Werte hinterlegt werden. Auslesbar sind sie meines Wissens nach erst einmal nur von der Domain, die sie auch produziert hat.

Ja, klar, also der Anbieter will wohl nicht, dass ich alles sehe^^

die auch beim Anbieter in einer Datenbank steht, bei der Dein Name zugeordnet ist.

Ach so funktioniert das.

Ja, auch mit den andere Cookies, o.k.

Aber was ich meinte, Facebook z.B. weiß jetzt nicht mein Namen, also wenn ich bei dem Onlinehändler ja mit meinem richtigen Namen angemeldet bin. Klar, meine IP Adresse kann man sehen, logisch.

 

[Bruder Mad]

Was soll die IP damit zu tun haben?

In dem Moment, wo du dich in einem Shop oder Forum anmeldest,
wird auf deinem Rechner ein Cookie gesetzt,der mit deinem (User-)Namen
in Verbindung steht... Daran bist du dann für denjenigen, der den Cookie
gesetzt hat, erkennbar. Die IP hat da eher weniger mit ztu tun...

 

[alter_Bekannter]

Der Trick liegt teilweise darin wie der Browser die "Domains" unterscheidet, Javascript, kann zum Beispiel auch Cookies lesen.

Und wenn das Javascript "von" Seite A "seine" Cookies ausliest konnte es diese zumindest früher auch in einigen Fällen an beliebiger andere Seiten übertragen. Derartige Problematiken sind aber mittlerweile derart ausgelutscht das sie zumindest theoretisch überall behoben sein sollten. Was nicht heisst das es nicht noch massenhaft zusätzlichen Kram gibt der die Sache verkompliziert und eventuell wieder Möglichkeiten öffnet. Bei Flash wird dieser Schutz nämlich ziemlich oft weitestgehend deaktiviert. Weil man Fremdressourcen einbinden möchte oder sei es auch nur Kram anderer Domains.

 

[MSX]

Das mit der Zuordnung ID<->Daten ist halt vor allem schlichtweg einfacher und sicherer, was Manipulation angeht. Speichert er bei Dir nur eine ID, bzw. irgendwelche aus Umgebungsvariablen erzeugte Hashwerte, so kann ein User erstmal nicht so einfach eine andere Identität erhalten oder die zu ihm hinterlegten Daten einsehen, geschweige denn ändern.

Facebook kann zumindest theoretisch nicht über diesen Weg an Deinen Namen kommen. Das machen sie aber recht sicher über andere Möglichkeiten. Ohne es ihnen konkret unterstellen zu können, könnte man das mittels Drittanbieter von Identifizierungsmöglichkeiten wie eingebundene Pixel, andere Cookies, sonstige LSOs, Werbebanner, Browserfingerprint und eben einer Kombination dessen bewerkstelligen. Da Facebook meines Wissens sehr "frei" mit den Daten der User umgeht, würde ich das also ebensowenig ausschließen wollen.

 

[alter_Bekannter]

Abgesehen davon gibt es definitiv einen gewissen austausch zwischen Facebook und einigen Mailprovidern...

 

[MSX]

Irgendwo gabs erst kürzlich ein oder zwei lange Artikel darüber, dass Facebook im Prinzip sogar weiß, wer Du bist, obwohl Du nicht bei Facebook bist. In den meisten Fällen dürfte das hinkommen.

Was solche Sachen angeht, so sollte man Analytik und alles damit zusammenhängende, sowie die vielen technischen Möglichkeiten, nicht unterschätzen. Da sitzen sehr viele und sehr schlaue Menschen dahinter. Und Daten, die sich analysieren und auswerten lassen, gibts tonnenweise an jeder Ecke und letztlich auf den meisten Seiten, sowie seit längerem natürlich auch viele sehr freizügige Apps und Smartphones, die gleich noch Geodaten mitbringen. All das lässt sich wieder zu Verhaltensmustern kombinieren und und und... eine Pest ohne Ende.

@Bekannter: Das mit dem Austausch mit Mailprovidern würde mich interessieren. Welche und inwiefern meinst Du?

 

[Thomas]

Danke an alle! Ja, o.k., dass Facebook an DAten kommt, ist nichts neues. Aber mir ging es darum, dass eben der Cookie ja für den erkennbar ist, der ihn gesetzt hatm, was z.B. Neo erläutert hat.

@alter_Bekannter

Ja, klar, aber Zugriff auf die Datenbanken der verschiedenen Webseiten, also Server, haben sie sicher nicht.

 

[alter_Bekannter]

Also von MSN weiss ich es sicher, selbst getestet.

Kontaklisten und Namen werden meines wissens ausgetauscht in den Fällen. Früher sogar ohne Rückfrage. War sehr auffällig da ich beides mit Mist gefüllt hatte...

 

[virtus]

Der Browser kennt ein Cookiemanagement.
Wenn eine Seite ein Cookie setzt, dann weist sie eigentlich nur deinen Browser an ein bestimmtes Key-Value-Paar zu speichern.
Sobald dein Browser die Seite erneut aufruft, gibt der Browser dieses Key-Value-Paar an den Server zurück.

Setzt also Facebook ein Cookie auf einem Computer, könnte dies beispielsweise ("handle", "ein-hash") sein.
Beim nächsten Besuch von Facebook überträgt dein Browser genau dieses Tupel an Facebook.
Besuchst du Amazon, wird das Tupel nicht übertragen.

Was in einem Cookie drin steht, kann sich, mit ein paar Beschränkungen, derjenige aussuchen, der das Cookie setzt.
Bis auf eine Größenbeschränkung kann eigentlich jeder beliebige (ASCII) Inhalt rein geschrieben werden.

Dein Browser speichert sich allerdings stets ein paar zusätzliche Informationen zu dem Cookie, etwa zu welcher Seite es gehört, wann es gesetzt wurde und wie lange es "leben" bleiben soll. So kann er das Cookie gezielt an die Seite senden, die das Cookie vormals gesetzt hat und kann das Cookie entfernen, wenn er es für nicht mehr benötigt hält oder es seine Pflicht getan hat.


Allerdings gibt es noch eine kleine Einschränkung. Es ist möglich Cookies explizit als Domain-übergreifend zu setzen. Dabei wird dem Browser etwa gesagt, dass das Cookie nicht nur zur Seite X, sondern auch zur Seite Y gehört. Ruft der Nutzer eine dieser beiden Seiten auf, wird das Cookie übertragen. Das kann beispielsweise bei international operierenden Anbietern sinnvoll sein. Rufst du google.com auf oder google.de, so spielt das für google und eigentlich auch für dich keine Rolle. Google soll oder will dich in beiden Fällen erkennen. Also wird ein Cookie für beide Domains gesetzt.

 

[NoName1954]

Neulich habe ich nach einem bestimmten Hersteller von Brillenfassungen und speziellen Gläsern gegoogelt.
Paar Tage später war ich nach monatelanger Abstinenz bei FB und wurde dort von diesen beiden Firmen mit Reklame erschlagen.
Jo, leckts mi do am Orsch.

 

[virtus]

Das dürfte weniger mit Cookies, als mit Social-Media-Buttons zu tun haben. War auf der Seite des Brillenherstellers zufällig ein Like-Button?
Ist ein Like-Button auf einer Seite x eingebunden und dein Browser ruft diesen ab, so erfährt Facebook, dass du gerade auf der Seite x unterwegs bist und dich folglich wahrscheinlich für dort gezeigte Produkte interessierst.

 

[dexter]

Also von MSN weiss ich es sicher, selbst getestet.

Kontaklisten und Namen werden meines wissens ausgetauscht in den Fällen. Früher sogar ohne Rückfrage. War sehr auffällig da ich beides mit Mist gefüllt hatte...

Kannst Du da etwas in die Tiefe gehen?

 

[NoName1954]

@virtus: Ja, den Like-Button gibts. Erst durch die Gläser wurde mir wirklich bewusst, wie gläsern wir sind.

 

[MSX]

Oh wie peinlich. Ja, die Facebook-Buttons und ähnliches hab ich in meiner Aufzählung ganz vergessen, obwohl sie sicher mit die wichtigsten Möglichkeiten sind. - Wenn ich mich recht erinnere, hab ich sowas schon auf Porno-Sites gesehen.

Was das mit MSN angeht, wäre ich auch noch an weiteren Details interessiert.

@NoName: Für Firefox könntest Du es mit dem Plugin "Ghostery" probieren, welches die meisten solcher Buttons und Tracker entfernt. Oder die entsprechende Einstellung in ABP wählen. Dann bleiben aber wohl noch immer andere Möglichkeiten, um identifiziert zu werden. - Zu einem möglichen Fingerprint durch irgendwelche Rendering-Eigenschaften des Browsers gabs hier auch mal ein Plugin eines Users. Ich meine, der User abflussrohr hatte es geschrieben. Müsste man mal suchen.

 

[virtus]

Oh wie peinlich. Ja, die Facebook-Buttons und ähnliches hab ich in meiner Aufzählung ganz vergessen, obwohl sie sicher mit die wichtigsten Möglichkeiten sind. - Wenn ich mich recht erinnere, hab ich sowas schon auf Porno-Sites gesehen.

Du meinst natürlich, dass deine rein wissenschaftlich orientierten Studien gezeigt haben, dass selbst Porn-Seiten den Like-Button verwenden.
Ja, aber auch Streaming- und Downloadportale verwenden großteils Socialmediaplugins. Bei Streaming sollte das schon sehr bedenklich sein, da es mindestens eine rechtliche Grauzone ist, aber wenigstens Downloadportale sollten nicht so nachlässig sein. Auf der einen Seite groß von kein Logging sprechen, aber auf der anderen Seite kostenlos Nutzerdaten an facebook verschenken.


Ich verwende für Adblock sowohl die Anti Social, als auch die Easy Privacy Liste. Damit sollten die meisten 1px Web Beacons und Sozialen Medien vom Tracking ausgeschlossen werden.

 

[Jester]

Hey,

grundsätzlich ist ein von Seite X gesetzter Cookie auch nur duch Seite X auslesbar, wie zuvor schon gesagt wurde. Die Tracking-/Werbeindustrie ist aber schon mehrere Schritte weiter. Einer meiner Vorredner hat Flash-Cookies und anderes angesprochen, das ist aber auch schon wieder überholt, die aktuelle Technik ist das sog. Canvas Fingerprinting, meist in Verbindung mit Tracking-Drittanbietern und kaum zu brechender Persistenz (Supercookies/Evercookies).

Hierbei wird zur eindeutigen Identifikation des Users von dem Tracker über das HTML <canvas> Element ein Text mit bestimmten Schrifteinstellungen gerendert und das Ergebnis mit einem Hash aus Deinen aktiven Browsererweiterungen und Systeminfos verschlüsselt. Dieser Wert wird über window.localStorage und Evercookies persistent gespeichert und an den Tracker übertragen (ETags als Fallback). Der Tracker erstellt einen entsprechenden Datenbankeintrag.

Da viele große Websites diese Technik einsetzen, können Informationen über das Userverhalten zwischen den Seiten (bzw. den Drittanbietern) übertragen, zusammengeführt (!!) und für passende Werbeeinblendungen verwendet werden. In einigen Fällen betreiben die großen Seiten das auch selbst.

Gegenprobe:
Suche in eBay nach Wanderrucksäcken und gehe eine Woche später auf amazon.de.

Gruß,
J.

 

[KaPiTN]

Hallo, ich habe mal eine Frage zu Cookies. Das nutzt ja fast jede Seite. Meine Frage ist, was steht alles im Cookie drin?

Also als Beispiel, ich habe mich bei einem großen Onlinehändler angemeldet. wenn ich mich einlogge, und dann wieder auslogge, dann steht, auch wenn ich den IE neu starte, bei Login schon mein Name, obwohl ich nicht mehr eingeloggt bin

Das hat aber nichts mit Cookies zu tun, sondern mit gespeicherten Formulardaten im Browser. Diese Daten zu löschen und ggf. Speicherung nicht weiter zulassen sind Einstellungen/Funktionen des Browsers.