Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.259 Themen, 94.814 Beiträge

Cookies & Co... eine generelle Frage

Olaf19 am 18.04.2006, 23:23 / 5 Antworten / Baumansicht

Hallo zusammen!

Der Sinn von Cookies ist grundsätzlich leicht zu verstehen: Eine von mir besuchte Webseite speichert auf meiner lokalen Festplatte eine kleine Datei ab, mit deren Hilfe sie bei einem erneuten Besuch auf dieser Seite einige nützliche Informationen abrufen kann. Bestes Beispiel: Nickles - meine Anmeldedaten sind in einem Cookie gespeichert, wenn ich Nickles erneut besuche, bin ich automatisch angemeldet - so weit, so praktisch.

Aber wer garantiert mir eigentlich, dass eine Webseite beim Besuch nur die Cookies ausliest, die sie selbst gesetzt hat, und nicht gleich die von allen möglichen anderen Webseiten mit? Falls es da irgendwelche Beschränkungen gibt ("Leserechte"?), wie leicht wären die auszuhebeln?

Noch etwas weiter gedacht: Wenn eine von mir besuchte Webseite Cookies auslesen kann, kann sie dann nicht genau so gut gleich die ganz Browserhistory mitlesen, um meine Surfgewohnheiten zu analysieren, auf dass man mir in Zukunft passgenauer und zielgruppengerechter mit perfekt auf meine Bedürfnisse zugeschnittener Werbung auf den Sack gehen kann?

Und noch ein Schritt weiter: Wer oder was hindert diese Seite daran, sich gleich jede beliebige Information von meiner Festplatte zu ziehen also nicht nur Cookies und History? Woher "weiß" diese Internetpräsenz wie viel sie "darf" und was nicht und wodurch wird dafür gesorgt, dass sie das auch einhält?

Bitte klärt einen netzwerk- und webentwicklungs-technisch unbedarften User doch mal auf :-)

THX
Olaf

    
        out-freyn Olaf19 „Cookies & Co... eine generelle Frage“
      
        18.04.2006, 23:37 Optionen
      
        Aber wer garantiert mir eigentlich, dass eine Webseite beim Besuch nur die Cookies ausliest, die sie selbst gesetzt hat, und nicht gleich die von allen möglichen anderen Webseiten mit?

        Das garantiert die Art und Weise der Cookie-Verwaltung. Diese obliegt dem Browser; der fremde Server darf keinesfalls auf Deine Festplatte (oder Teile davon, z.B. den Cookie-Ordner) zugreifen. Die Cookies werden statt dessen vom Browser verwaltet. Cookies haben den Aufbau "Kennung@domainname.tld". Der Domainname muss immer mit dem Domainnamen des lesen oder schreiben wollenden Servers übereinstimmen.

        Das System erinnert ein bisschen an einen Tante-Emma-Laden, wo der Kunde (Server) keinen direkten Zugang zur Ware (Daten, Cookies) hat.

        Wenn eine von mir besuchte Webseite Cookies auslesen kann, kann sie dann nicht genau so gut gleich die ganz Browserhistory mitlesen [...] Wer oder was hindert diese Seite daran, sich gleich jede beliebige Information von meiner Festplatte zu ziehen

        Wie oben schon gesagt, der Server kann selbst Deine Festplatte nicht durchsuchen. Solange der Browserhersteller ein solches "Feature" nicht mit einprogrammiert, besteht kein Grund zur Sorge. 
      
         The conspiracy theory of society [...] comes from abandoning God and then asking: »Who is in his place?« (Sir Karl Popper, Conjectures and Refutations, 1963)
      
             bei Antwort benachrichtigen
        
        dirk42799 out-freyn „Aber wer garantiert mir eigentlich, dass eine Webseite beim Besuch nur die...“
      
        19.04.2006, 08:58 Optionen
      
          dann knüpfe ich mal an:

          wie leicht wäre es zu realisieren, den Browser dazu zu bewegen, die Cookies einer fremden Seite zu übermitteln?

          Dazu müßte es doch schon genügen, dem Browser vorzugaukeln, ich bin nicht www.xyz.de, sondern www.nickles.de und schon bekommt man die Daten.

          Dirk
        
         ja, ich schreibe absichtlich nach den alten Rechtschreibregeln!
      
             bei Antwort benachrichtigen
        
        out-freyn dirk42799 „dann knüpfe ich mal an: wie leicht wäre es zu realisieren, den Browser dazu zu...“
      
        19.04.2006, 18:26 Optionen
      
          Das wäre generell schon denkbar, allerdings bedarf es gewisser Vorbereitung: Bedenke, dass nicht der Server aktiv wird, sondern der Browser, bzw. der Mensch, der diesen bedient. Wenn dieser die Seite www.nickles.de ansurft, bekommt er gar keine Verbindung zu "Deinem" www.xyz.de. Dein Server bekommt also gar nicht die Chance, eine falsche Identität vorzutäuschen.

          Um dies zu schaffen, müsstest Du vorher den DNS-Record von nickles.de manipuliert haben (sehr unwahrscheinlich) oder an der hosts-Datei auf dem Rechner des Opfers herumgespielt haben. Ohne Mithilfe des Opfers ist dies nicht zu schaffen.
        
         The conspiracy theory of society [...] comes from abandoning God and then asking: »Who is in his place?« (Sir Karl Popper, Conjectures and Refutations, 1963)
      
             bei Antwort benachrichtigen
        
        xafford Olaf19 „Cookies & Co... eine generelle Frage“
      
        19.04.2006, 09:25 Optionen
      
          Dir kann niemand garantieren, daß ein Cookie nicht von einer fremden Seite gelesen werden kann. Wenn der Browser eine dahingehende Lücke hat (und die hatten die meisten Browser schon), dann können fremde Cookies gelesen werden. Von Design her ist jedoch vorgesehen, daß ein Cookie für eine bestimmte Domain gilt und nur von ihr geesen und geändert werden kann. Wenn jedoch der Browser eineLücke hat ist das Auslesen möglich, dies dürfte jedoch noch eine der harmloseren Lücken sein.

          Für Usertracking würde sich diese Technik aber kaum eignen, da man ja nur User tracken kann, die gerade einen Browser mit Lücke nutzen und zudem der Serverbetreiber schon wissen müsste welche Cookies bei dir zu finden sein müssten. Einfach mal im Cookieverzeichnis stöbern geht nicht.

          Was das mit anderen Dateien anbelangt, auch das ist möglich, wie man ja schon häufig genug gerade in verbindung mit dem IE mitbekommen hat, MS hat wegen eben diesen Problems die ADODB.Streams kastriert. Eigentlich sollte ein lokaler Zugriff jedoch ausgeschlossen sein, zumindest wenn der Browser nicht in der lokalen Zone läuft und selbst dann geht es mit reinem HTML / CSS / JavaScript nicht, da muß dann schon VB / ActiveX, Java oder Flash mit ins Spiel kommen.

          Nochmal zurück zum Usertracking. Das funktioniert mittlerweile für die Betreiber viel einfacher. Such mal nach mediaplex, falk und anderen Adserverbetreibern. Prinzipiell muß man zum Tracking nur auf allen Seiten ein Bild mit einer eindeutigen Kennung einbinden. Anhand der Auswertung auf dem Server erkennt man dann relativ zuverlässig wer es von welchen Seiten wann abgerufen hat.

          PS: By Design läuft ein Browser in einer Sandbox mit eingeschränktem Zugriff auf das lokale System. Gegen Löcher in dieser Sandbox ist man aber nie gefeit.
        
         Pauschalurteile sind immer falsch!!!
      
             bei Antwort benachrichtigen
        
        Olaf19 Nachtrag zu: „Cookies & Co... eine generelle Frage“
      
        19.04.2006, 11:14 Optionen
      
          Damit ist meine Frage erschöpfend beantwortet. Eigentlich hätte ich selbst auf die Idee kommen müssen, dass meine Überlegungen / Befürchtungen daran scheitern, dass es ja der Browser ist, der die Cookies verwaltet. Im Browser kann ich schließlich auch einstellen, ob Cookies überhaupt erlaubt sind, wenn ja für wen, ob Cookies noch einmal angenommen werden, wenn sie in der Vergangenheit schon abgelehnt wurden, etc. pp.

          Dass Sicherheitslücken im Browser evtl. dazu führen könnten, dass mehr als nur die erlaubten Cookies ausgelesen werden können, scheint dagegen mehr ein theoretisches Problem zu sein - Ausschnüffeln von Usern funktioniert anderweitig effektiver...

          THX

          Olaf
        
         Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
      
             bei Antwort benachrichtigen