Was sind Cookies?
Cookies sind kleine Textdateien, die von den Websites, die Sie besuchen, auf Ihrem Computer oder mobilen Gerät gespeichert werden. Sie dienen dazu, Ihren Computer oder Ihr Mobilgerät über einen längeren Zeitraum zu identifizieren und Ihr Surfverhalten aufzuzeichnen.
Diese Dateien enthalten Daten wie Ihre Benutzereinstellungen, Informationen darüber, welche Domains Sie besucht haben oder welche Seiten oder Werbeanzeigen Sie angesehen haben. Sie speichern beim Shopping Ihren Warenkorb und Ihre Zugangsdaten (Benutzername und Passwort) auf Domains, die sich an Sie "erinnern" sollen.
Cookies werden von der Website versandt, die Sie besuchen und in Ihrem Webbrowser gespeichert, während Sie auf dieser Site navigieren. Sie können jederzeit wieder abgerufen werden.
Wer verwendet Cookies?
Cookies werden von fast allen Websites im Internet verwendet. Nachfolgend einige Beispiele:
Die Betreiber von Websites setzen Cookies aus einer Reihe von Gründen ein:
Session Management
Cookies können Login-Informationen, Formulareingaben, Warenkorbartikel und andere Daten speichern und verfolgen, die erforderlich sind, um die Sitzung eines Benutzers zu verwalten. Sie ermöglichen Websites die Identifizierung von Benutzern und deren Interaktionen mit der Website sowie die Erinnerung an diese Interaktionen, was für Funktionen wie das Einloggen von Benutzern unerlässlich ist.
Personalization
Personalisierungs-Cookies können sich an die Präferenzen des Nutzers erinnern, wie z. B. die bevorzugte Sprache oder den Standort, um die Erfahrungen des Nutzers auf einer Website zu personalisieren. Beispielsweise kann sich eine Website mit Hilfe von Cookies Ihre bevorzugte Sortierreihenfolge oder Anzeigeeinstellungen merken.
Tracking
Nachverfolgungs- und Analyse-Cookies können das Nutzerverhalten nachverfolgen. Dazu gehören die besuchten Seiten, die auf jeder Seite verbrachte Zeit, die angeklickten Links und die Interaktionssequenzen. Diese Informationen können den Eigentümern von Websites dabei helfen, zu verstehen, wie die Nutzerinnen und Nutzer mit ihrer Website interagieren, und sie können Bereiche identifizieren, die verbessert werden können.
Werbe-Cookies
können durch Verfolgung des Nutzerverhaltens über mehrere Websites hinweg dazu verwendet werden, zielgerichtete Werbung zu schalten. Auf diese Weise sind Werbetreibende in der Lage, Benutzerprofile zu erstellen und Werbung zu schalten, die besser auf die Vorlieben und das Verhalten der Benutzer abgestimmt ist.
Sicherheits-Cookies
können bei der Durchführung von Sicherheitsmaßnahmen helfen. Sie können zur Erkennung verdächtiger Anmeldeaktivitäten, zum Schutz von Benutzerdaten und zur Bereitstellung anderer Sicherheitsfunktionen verwendet werden.
Insgesamt bieten Cookies Websites die Möglichkeit, eine personalisierte und nahtlose Nutzererfahrung zu bieten. Gleichzeitig helfen sie ihnen, das Nutzerverhalten zu verstehen, ihre Website zu verbessern und in einigen Fällen Werbeeinnahmen zu erzielen.
Werbetreibende setzen Cookies vor allem aus den folgenden Gründen ein:
Gezielte Werbung
Cookies ermöglichen es den Werbetreibenden, den Verlauf des Browsers eines Nutzers über mehrere Websites hinweg zu verfolgen und ein Profil der Interessen des Nutzers zu erstellen. Dadurch sind sie in der Lage, gezielt Werbung zu schalten, die für den Nutzer wahrscheinlich von größerer Relevanz ist. Ist ein Nutzer z. B. auf der Suche nach einem neuen Auto, so kann ihm Werbung für Autohändler und Autokredite angezeigt werden.
Frequency-Capping-Cookies
werden verwendet, um zu steuern, wie oft ein Nutzer eine Anzeige sieht. Ohne Cookies könnte es sein, dass dem Nutzer dieselbe Werbung wiederholt angezeigt wird, was eine schlechte Nutzererfahrung zur Folge hätte.
Conversion-Tracking
Werbetreibende verwenden Cookies, um nachzuverfolgen, ob ein Nutzer, der eine Werbung sieht, anschließend etwas kauft oder eine andere gewünschte Handlung durchführt. Dies hilft Werbetreibenden, die Wirksamkeit ihrer Kampagnen zu verstehen.
Retargeting-Cookies
können Werbetreibenden helfen, Nutzer im Web zu verfolgen. Wenn ein Nutzer beispielsweise einen Online-Shop besucht und sich ein bestimmtes Produkt ansieht, es aber nicht kauft, kann der Werbetreibende später auf verschiedenen Websites, die der Nutzer besucht, Anzeigen für dieses Produkt schalten, um den Nutzer an das Produkt zu erinnern, das er sich angesehen hat.
Segmentierung des Publikums
Mit Hilfe von Cookies können Werbetreibende die Nutzer auf der Grundlage ihres Online-Verhaltens, ihrer demografischen Daten, ihrer Interessen usw. in verschiedene Segmente einteilen. Diese Segmente können die Grundlage für die Durchführung personalisierter Werbekampagnen sein.
Cookies sind ein wichtiger Bestandteil der Online-Werbung, haben aber auch Bedenken hinsichtlich des Datenschutzes hervorgerufen. Dies hat zu Veränderungen in der Branche und zur Entwicklung neuer Datenschutzstandards und -vorschriften geführt, wie z. B. der Datenschutz-Grundverordnung (DSGVO) in Europa.
Von Diensteanbietern, die beispielsweise Online-Tools, Software-as-a-Service (SaaS) oder Cloud-basierte Dienste anbieten, werden Cookies aus verschiedenen Gründen verwendet:
Benutzerauthentifizierung
Cookies helfen Dienstanbietern bei der Identifizierung und Verifizierung von Benutzern. Wenn sich ein Benutzer bei einem Dienst anmeldet, wird häufig ein Cookie gesetzt, der dazu dient, sich an den Benutzer zu erinnern. Auf diese Weise erspart sich der Benutzer bei jedem Zugriff auf den Dienst die Eingabe seiner Anmeldeinformationen.
Ähnlich wie bei der Authentifizierung ermöglichen Cookies den Diensteanbietern, den Status der Benutzeraktivitäten zu speichern. Beispielsweise können Cookies verwendet werden, um die bisher eingegebenen Informationen zu speichern, wenn ein Benutzer ein mehrseitiges Formular ausfüllt.
Personalisierung
Die Anbieter von Diensten verwenden Cookies, um die Präferenzen und Einstellungen eines Benutzers zu speichern. Dies kann von der Wahl des User Interface bis hin zu Spracheinstellungen reichen. Auch komplexere Einstellungen, die sich auf die Funktionalität des Dienstes beziehen, können gespeichert werden.
Tracking und Analyse Cookies
zeigen dem Diensteanbieter, wie die Nutzer mit ihrem Dienst interagieren. Sie können beispielsweise verfolgen, wie viel Zeit die Nutzer in den verschiedenen Bereichen des Dienstes verbringen, welche Funktionen am häufigsten genutzt werden und wo ein Optimierungsbedarf besteht. Diese Informationen sind von großem Wert, wenn es darum geht, den Dienst zu verbessern, den Verkauf zu steigern oder Probleme zu lösen, auf die die Nutzer möglicherweise stoßen.
Sicherheit
Cookies können auch zur Verbesserung der Sicherheit eines Dienstes beitragen. Sie können zur Erkennung und Verhinderung verdächtiger Aktivitäten, zum Schutz von Nutzerdaten und zur Gewährleistung einer sicheren Nutzererfahrung verwendet werden. Cookies können beispielsweise in Kombination mit anderen Technologien verwendet werden, um eine Multi-Faktor-Authentifizierung zu implementieren. Dabei handelt es sich um eine Sicherheitsmaßnahme, bei der Benutzer zwei oder mehr Anmeldeinformationen angeben müssen, um auf ihr Konto zugreifen zu können.
Ziel all dieser Verwendungen ist die Gewährleistung einer reibungslosen, effizienten und sicheren Nutzererfahrung sowie die kontinuierliche Verbesserung des Dienstes auf der Grundlage des Verhaltens und der Bedürfnisse der Nutzer.
Social-Media-Plattformen setzen Cookies für eine Reihe von wichtigen Zwecken ein:
Authentifizierung des Nutzers
Wenn sich ein Nutzer in sein Konto bei einem sozialen Medium einloggt, werden Cookies verwendet, um sich an den Nutzer zu erinnern und seinen Anmeldestatus während der Navigation auf der Plattform beizubehalten. Auf diese Weise muss sich der Nutzer nicht jedes Mal anmelden, wenn er die Plattform besucht.
Personalisierung
Cookies ermöglichen es Social-Media-Plattformen, die Erfahrungen der Nutzer individuell zu gestalten. Sie können sich die Präferenzen und Einstellungen eines Nutzers merken. Dazu gehören beispielsweise Sprache, Zeitzone und Datenschutzeinstellungen. Sie helfen auch bei der Personalisierung der Inhalte, die dem Nutzer angezeigt werden. Diese Personalisierung erfolgt auf der Grundlage der bisherigen Aktivitäten, Vorlieben und Interaktionen des Nutzers.
Funktionalität
Cookies erweitern die Funktionalität der Social-Media-Plattformen. So wird beispielsweise gespeichert, welche Beiträge ein Nutzer bereits gesehen hat, ob er bestimmte Inhalte oder Nutzer stummgeschaltet hat oder an welcher Stelle ein Video gestoppt wurde.
Analyse und Verbesserung
Social-Media-Plattformen verwenden Cookies, um Daten über das Nutzerverhalten zu sammeln, z. B. wie die Nutzer mit verschiedenen Funktionen interagieren, wie viel Zeit sie auf der Plattform verbringen, welche Arten von Inhalten am beliebtesten sind usw. Diese Informationen nutzen die Plattformen um Nutzern Inhalte anzuzeigen, von denen der Algorithmus meint, sie könnten den Nutzer interessieren. Auf Basis der Analysen können dien Plattformen auch verbesserungswürdige Bereiche identifizieren, neue Funktionen entwickeln und die allgemeine Nutzererfahrung optimieren.
Werbung
Ähnlich wie Werbetreibende setzen auch Social-Media-Plattformen Cookies ein, um Werbung gezielt an den richtigen Adressaten zu bringen. Sie können die Aktivitäten eines Nutzers auf der Plattform und auf anderen Websites verfolgen, um ein Profil seiner Interessen zu erstellen. Dieses Profil kann dann verwendet werden, um relevante Werbung zu schalten. Darüber hinaus ermöglichen Cookies den Social-Media-Plattformen die Messung der Wirksamkeit dieser Werbung und die Bereitstellung detaillierter Analysen für Werbetreibende.
Sicherheit
Auch für die Sicherheit auf Social-Media-Plattformen spielen Cookies eine wichtige Rolle. Sie helfen dabei, verdächtige oder böswillige Aktivitäten zu erkennen und zu verhindern. Dazu gehören beispielsweise Versuche, auf das Konto eines anderen Nutzers zuzugreifen oder Spam-Nachrichten zu automatisieren.
Es sei darauf hingewiesen, dass Cookies viele Vorteile in Bezug auf Funktionalität und Personalisierung bieten. Sie werfen jedoch auch Fragen zum Datenschutz auf. In der Regel können die Nutzer ihre Cookie-Einstellungen über die Einstellungen ihres Browsers oder über die Datenschutzeinstellungen der Social-Media-Plattform selbst verwalten.
Welche Arten von Cookies gibt es?
Es gibt verschiedene Arten von Cookies, darunter:
Zusätzliche Informationen
für besonders Interessierte
Ein Session Cookie, auch bekannt als In-Memory-Cookie oder transienter Cookie, ist eine Art von Cookie, das vorübergehend im Speicher Ihres Geräts gespeichert wird, während Sie auf einer bestimmten Website surfen. Es dient dazu, Ihre Einstellungen zu speichern und zu verfolgen, wie Sie während dieser bestimmten Sitzung vorgehen.
Im Folgenden sind einige Merkmale von Session Cookies aufgeführt:
Lebensdauer
Einem Session Cookie ist kein Verfallsdatum zugeordnet. Es ist also nur für die Dauer der aktiven Sitzung gültig. Beim Schließen des Browsers wird das Cookie also automatisch gelöscht. Beim nächsten Besuch werden Sie nicht wiedererkannt und wie ein neuer Besucher behandelt.
Speicherung
Session Cookies werden im temporären Speicher abgelegt. Sie werden nicht auf der Festplatte gespeichert. Es werden also keine Informationen über den Computer des Benutzers gesammelt.
Nutzung
Diese Cookies werden häufig für Anmeldefunktionen verwendet. Wenn Sie sich beispielsweise auf einer Website anmelden, werden Session Cookies verwendet. Sie sorgen dafür, dass Sie angemeldet bleiben, während Sie von Seite zu Seite navigieren. Ohne Session Cookies würde die Website Sie nicht erkennen. Sie müssten sich jedes Mal anmelden, wenn Sie eine neue Seite aufrufen. Session Cookies können auch verwendet werden, um temporäre Daten zu speichern. Beispiele hierfür sind Artikel in Ihrem Einkaufswagen auf einer E-Commerce-Website.
Sicherheit
Session Cookies sind sicher. Sie können nicht zur Speicherung personenbezogener Daten verwendet werden und werden am Ende der Sitzung automatisch gelöscht. Allerdings können sie während der Sitzung durch sogenanntes "Session Hijacking" gestohlen werden. Anschließend kann sich ein Angreifer als Benutzer ausgeben und auf diese Art undWeise eine 2-Faktor-Authentifizierung umgehen..
Zusammenfassend lässt sich sagen, dass Session Cookies für die Funktionalität und Benutzerfreundlichkeit vieler Websites unerlässlich sind, da sie Kontinuität und Speicherplatz von Seite zu Seite gewährleisten. Da sie nur für eine Sitzung gültig sind, verfolgen sie den Benutzer nicht zwischen den Sitzungen und sammeln keine Informationen vom seinem Computer.
Ein persistenter (dauerhafter) Cookie ist ein Cookie, der für einen bestimmten Zeitraum oder bis zur manuellen Löschung durch den Nutzer auf dem Computer des Nutzers verbleibt. Im Gegensatz zu Session-Cookies, die gelöscht werden, wenn der Browser geschlossen wird, bleiben permanente Cookies auf der Festplatte des Geräts des Nutzers gespeichert.
Dauerhafte Cookies haben folgende Eigenschaften:
Lebensdauer
Dauerhafte Cookies werden bei ihrer Erstellung mit einem Verfallsdatum versehen. Sie verbleiben auf dem Gerät des Nutzers, bis dieses Verfallsdatum erreicht ist oder der Nutzer sie manuell löscht. Die Lebensdauer eines permanenten Cookies kann je nach Verwendungszweck sehr unterschiedlich sein. Sie kann von wenigen Minuten bis zu mehreren Jahren reichen.
Speicherung
Im Gegensatz zu Session-Cookies werden permanente Cookies auf der Festplatte Ihres Computers gespeichert. Auf diese Weise sind sie in der Lage, Ihre Präferenzen oder Aktionen über mehrere Browsing-Sitzungen und über verschiedene Websites hinweg zu verfolgen.
Verwendung
Diese Cookies können für verschiedene Zwecke verwendet werden, z. B. um Ihre Präferenzen und Einstellungen zu speichern, Ihren Besuch mehrerer Websites zu analysieren und um Ihnen gezielt Werbung zu liefern. Wenn Sie beispielsweise eine Website besuchen und Ihre bevorzugte Sprache oder Ihren Standort auswählen, kann ein permanenter Cookie gesetzt werden, um diese Einstellungen für künftige Besuche zu speichern.
Sicherheit
Dauerhafte Cookies können im Hinblick auf den Datenschutz problematisch sein, da sie zur Verfolgung und Erstellung von Profilen des Nutzerverhaltens über einen längeren Zeitraum und über verschiedene Websites hinweg verwendet werden können. Die Nutzer können die Verwendung von Cookies jedoch über ihre Browsereinstellungen kontrollieren. Dazu gehört auch das Blockieren oder Löschen von dauerhaften Cookies.
Zusammenfassend lässt sich sagen, dass dauerhafte Cookies dazu beitragen, ein personalisiertes und konsistentes Web-Erlebnis zu bieten, indem sie die Präferenzen und Aktionen der Nutzer über mehrere Sitzungen hinweg speichern. Da sie jedoch in der Lage sind, das Verhalten der Nutzer über einen längeren Zeitraum zu verfolgen, werfen sie auch Fragen zum Datenschutz auf.
Bei einem Drittanbieter-Cookie handelt es sich um eine Art von Cookie, das von einer anderen Website als der Website, die Sie gerade besuchen, gesetzt wird. Dies geschieht in der Regel durch ein Drittunternehmen oder einen Drittdienst, den die Website nutzt. Dabei kann es sich beispielsweise um ein Werbenetzwerk, eine Plattform für soziale Medien oder einen Analysedienst handeln.
Nachfolgend sind einige Merkmale von Drittanbieter-Cookies aufgeführt:
Ursprung
Drittanbieter-Cookies werden von anderen Domänen als der in der Adressleiste des Webbrowsers angezeigten erstellt. Die Cookie-Daten werden an diese Drittanbieter-Domänen gesendet und von dort abgerufen. Sie werden nicht von der Domäne des ursprünglichen Anbieters der Website, die Sie besuchen, gesendet.
Verwendung
Eine der häufigsten Verwendungen von Drittanbieter-Cookies sind Tracking und Werbung, denn sie können die Aktivitäten eines Nutzers über mehrere Websites hinweg verfolgen, um ein Profil seiner Interessen und seines Verhaltens zu erstellen. Dieses Profil kann dann verwendet werden, um gezielte Werbung zu schalten. Sie werden auch verwendet, um die Wirksamkeit von Werbekampagnen zu messen oder um Social-Media-Funktionen (z. B. einen "Gefällt mir"-Button bei Facebook oder einen "Teilen"-Button bei Twitter) auf einer Website bereitzustellen.
Datenschutz und Kontrolle
Cookies von Drittanbietern sind häufig Gegenstand von Datenschutzbedenken, da sie die Verfolgung des Nutzerverhaltens über mehrere Websites hinweg ermöglichen. Als Reaktion auf diese Bedenken blockieren einige Webbrowser Cookies von Drittanbietern in der Standardeinstellung oder bieten den Nutzern die Möglichkeit, diese Cookies zu blockieren. Darüber hinaus wird die Verwendung von Drittanbieter-Cookies durch einige Vorschriften, wie z. B. die Datenschutz-Grundverordnung der Europäischen Union (DSGVO), eingeschränkt.
Lebensdauer
Wie bei Cookies von Erstanbietern kann es sich bei Cookies von Drittanbietern entweder um Sitzungscookies (die ablaufen, wenn der Webbrowser geschlossen wird) oder um dauerhafte Cookies (die auf dem Gerät des Nutzers verbleiben, bis sie ablaufen oder gelöscht werden) handeln.
Abschließend lässt sich sagen, dass Cookies von Drittanbietern in erster Linie für Tracking und Werbung verwendet werden und es ermöglichen, das Nutzerverhalten über mehrere Websites hinweg nachzuvollziehen. Sie können zwar Funktionen wie zielgerichtete Werbung und die Integration von sozialen Medien ermöglichen, haben aber auch Bedenken hinsichtlich des Schutzes der Privatsphäre aufgeworfen, da sie es ermöglichen, das Verhalten der Nutzer über das gesamte Web hinweg zu verfolgen.
Bei einem sicheren Cookie handelt es sich um eine Art HTTP-Cookie, das nur über eine verschlüsselte Verbindung (d. h. HTTPS) übertragen werden kann. Dies macht die im Cookie enthaltenen Informationen sicherer und verhindert, dass potenzielle Angreifer diese abfangen.
Sichere Cookies weisen folgende Hauptmerkmale auf
Übertragung
Sichere Cookies werden nur an einen Server gesendet, der über eine verschlüsselte Verbindung verfügt und das HTTPS-Protokoll verwendet. Dies ist ein Schutz des Cookies vor der Beobachtung durch Unbefugte, einer häufigen Art von Angriff, der als "Lauschangriff" bekannt ist.
Verwendung
Bei der Verarbeitung sensibler Informationen, wie z. B. persönlicher oder finanzieller Daten, werden häufig sichere Cookies verwendet. Websites wie Banken oder Online-Shopping-Plattformen, die solche Daten verarbeiten, verwenden normalerweise sichere Cookies, um die Informationen ihrer Benutzer zu schützen.
Setzen sicherer Cookies
Wenn ein Server ein Cookie an einen Client (den Webbrowser eines Benutzers) sendet, kann er verschiedene Attribute im Cookie-Header setzen. Eines dieser Attribute ist "Secure". Es gibt an, dass das Cookie nur über eine sichere Verbindung übertragen werden soll.
Sicherheit
Sichere Cookies sind sicherer gegen Abfangen und Abhören. Sie sind jedoch nicht von vornherein gegen andere Arten von Angriffen wie Cross-Site Scripting (XSS) oder Cross-Site Request Forgery (CSRF) geschützt. Zum Schutz gegen diese Arten von Bedrohungen sind zusätzliche Sicherheitsmaßnahmen erforderlich.
Kompatibilität
Ältere Browser, die HTTPS nicht unterstützen oder nicht für HTTPS konfiguriert sind, können sichere Cookies nicht verwenden. Allerdings unterstützen praktisch alle modernen Webbrowser HTTPS und verwenden es bevorzugt (Stand September 2021).
Zusammenfassend kann man sagen, dass sichere Cookies eine Art HTTP-Cookies sind. Sie werden nur über sichere, verschlüsselte Verbindungen übertragen und bieten ein höheres Maß an Sicherheit für Benutzerdaten. Sie sind jedoch kein Allheilmittel und sollten Teil einer umfassenderen Sicherheitsstrategie sein.
Ein HTTPOnly-Cookie ist ein Cookie, auf das nicht über clientseitige Skriptsprachen wie JavaScript zugegriffen werden kann. Das bedeutet, dass das Cookie nur für HTTP- oder HTTPS-Anfragen verwendet werden kann und dass Skripte, die im Browser ausgeführt werden, keinen Zugriff auf das Cookie oder Änderungen daran haben.
Hier sind einige wichtige Eigenschaften von HTTPOnly Cookies:
Skriptzugriff
Das Hauptmerkmal von HTTPOnly-Cookies ist, dass auf sie nicht über clientseitige Skriptsprachen wie JavaScript zugegriffen werden kann. Dies bietet eine Sicherheitsebene, die zum Schutz gegen bestimmte Arten von Angriffen wie Cross-Site Scripting (XSS) beitragen kann. Bei dieser Angriffsform können Kriminelle versuchen, über bösartige Skripte auf Cookies zuzugreifen oder diese zu manipulieren.
Verwendung
HTTPOnly-Cookies dienen in der Regel dazu, Sitzungs-IDs oder andere Daten zu speichern, die der Server benötigt, um den Status für den Client aufrechtzuerhalten, die der Client aber nicht mit JavaScript manipulieren muss.
Setzen von HTTPOnly-Cookies
Wird ein Cookie von einem Server an einen Client (den Webbrowser eines Benutzers) gesendet, kann der Server eine Reihe verschiedener Attribute in den Set-Cookie-Header aufnehmen. Eines dieser Attribute ist das "HTTPOnly"-Attribut, mit dem der Browser zur Einschränkung des Zugriffs auf das Cookie durch clientseitige Skripte angewiesen wird.
Sicherheit
HTTPOnly-Cookies können vor bestimmten Angriffen schützen, insbesondere vor XSS-Angriffen. Vollständige Sicherheit bieten sie jedoch nicht. Sie bieten zum Beispiel keinen Schutz vor Cross-Site Request Forgery (CSRF)-Angriffen oder vor Angriffen, bei denen das Cookie während der Übertragung abgefangen wird (was durch die Verwendung von sicheren Cookies, die über HTTPS übertragen werden, abgemildert werden kann).
Kompatibilität
Alle modernen Browser sollten HTTPOnly-Cookies unterstützen, ältere Browser unterstützen diese Funktion möglicherweise nicht oder nicht erwartungsgemäß.
Ein HTTPOnly-Cookie ist eine Art HTTP-Cookie, auf das clientseitige Skripte nicht zugreifen können. Dies bietet eine zusätzliche Sicherheitsebene gegen bestimmte Arten von Angriffen. Allerdings sollten HTTPOnly-Cookies - ebenso wie sichere Cookies - als Teil einer breiteren Palette von Sicherheitsmaßnahmen eingesetzt werden.
Bei einem SameSite-Cookie handelt es sich um eine andere Art von HTTP-Cookie, das verwendet werden kann, um das Risiko von Angriffen zu verringern, die auf einer Cross-Site Request Forgery (CSRF) basieren. Mit dem SameSite-Attribut eines Cookies wird gesteuert, ob und wie das Cookie bei Anfragen über mehrere Websites hinweg gesendet wird.
Das SameSite-Attribut wird auf einen der drei Werte "Strict", "Lax" oder "None" gesetzt.
SameSite=Strict
Wenn das SameSite-Attribut auf "Strict" gesetzt ist, wird das Cookie nicht zusammen mit Anfragen von Websites Dritter gesendet. Dies ist die sicherste Option. Sie kann jedoch legitime Aktionen beeinträchtigen. Beispielsweise wird das Cookie nicht in die Anfrage aufgenommen, wenn ein Benutzer auf einer anderen Website auf einen Link zu der Website klickt, die das Cookie ursprünglich gesetzt hat.
SameSite=Lax
Wenn das SameSite-Attribut auf "Lax" gesetzt ist, wird das Cookie bei Cross-Site-Anfragen gesendet, aber nur, wenn die Anfrage eine "sichere" HTTP-Methode (wie GET) ist und die Anfrage für eine Top-Level-Navigation ist (ändert die URL in der Adressleiste). Dies ist im Allgemeinen eine gute Standardeinstellung. Sie reduziert das Risiko von CSRF-Angriffen, ohne die Benutzerfreundlichkeit zu sehr zu beeinträchtigen.
SameSite=None
Wenn das SameSite-Attribut auf "None" gesetzt ist, wird das Cookie bei allen Anfragen gesendet, die sich über mehrere Seiten erstrecken. Dies war früher das Standardverhalten, wenn das SameSite-Attribut nicht gesetzt war. Mit den letzten Updates der gängigen Webbrowser hat sich dies jedoch geändert. Cookies ohne SameSite-Attribut werden ab September 2021 standardmäßig als SameSite=Lax behandelt. Darüber hinaus müssen Cookies mit dem Attribut SameSite=None auch das Attribut Secure aufweisen (d.h. sie können nur über HTTPS gesendet werden). Dies wurde in den letzten Updates von Browsern wie Chrome und Firefox geändert.
Das SameSite-Attribut ist eine zusätzliche Sicherheitsebene und ein Mittel zur Abwehr bestimmter Arten von Angriffen. Es sollte jedoch, wie andere Sicherheitsmaßnahmen auch, in ein breiteres Spektrum von Schutzmaßnahmen integriert und nicht isoliert eingesetzt werden.
Was ist die Technologie hinter Cookies?
Cookies werden über das Protokoll HTTP aktiviert. Als Antwort auf eine Anfrage eines Webbrowsers fügt ein Server einen HTTP-Response-Header mit der Bezeichnung "Set-Cookie" ein. Der Set-Cookie HTTP Response Header sendet Name, Wert, Ablaufzeit und andere Attribute des Cookies an den Browser. Diese Cookie-Informationen werden dann vom Browser gespeichert und in nachfolgende HTTP-Anfragen an den Server unter Verwendung des Cookie-HTTP-Request-Headers eingefügt.
Welche Risiken sind mit Cookies verbunden?
Cookies sind kleine Textdateien, die von Websites auf Computern oder mobilen Geräten gespeichert werden und die Identifikation von Geräten sowie die Aufzeichnung des Surfverhaltens ermöglichen. Sie speichern Benutzereinstellungen, besuchte Domains, angesehene Seiten oder Werbung sowie Einkaufsinformationen. Sie werden in der Regel von Website-Betreibern, Werbetreibenden, Dienstleistern und Social-Media-Plattformen verwendet.
Für Website-Betreiber dienen sie zur Verwaltung von Sitzungen, Personalisierung der Nutzererfahrung, Tracking und Analyse des Nutzerverhaltens, Schaltung zielgerichteter Werbung und Sicherheit.
Werbetreibende verwenden Cookies für gezielte Werbung, um die Anzahl der Anzeigen zu kontrollieren, die ein Nutzer sieht (Frequency-Capping), das Nachverfolgen von Conversion-Raten, Retargeting und zur Segmentierung des Publikums.
Diensteanbieter nutzen Cookies zur Benutzerauthentifizierung, Speicherung von Benutzeraktivitäten, Personalisierung, Tracking und Analyse, sowie zur Verbesserung der Sicherheit.
Social-Media-Plattformen verwenden Cookies für die Authentifizierung von Nutzern, Personalisierung, Funktionalitätserweiterung, Analyse und Verbesserung sowie für gezielte Werbung und Sicherheit.
Es gibt verschiedene Arten von Cookies, darunter Sitzungscookies, dauerhafte Cookies, Cookies von Drittanbietern, sichere Cookies, HTTPOnly-Cookies und SameSite-Cookies.
Obwohl Cookies die Nutzererfahrung verbessern, bergen sie Datenschutzbedenken, da sie in der Lage sind, detaillierte Informationen über das Online-Verhalten der Nutzer zu sammeln und zu speichern.