Cookies werden für die Identifizierung des Surfers genutzt. Neben der nötigen Identifizierung um personalisierte Inhalte zu nutzen, beispielsweise einen Web-Mail-Account oder um Einkäufe abzuwickeln, werden sie auch für das Tracking von Nutzern verwendet.
Der Screenshot zeigt die Liste der Cookies, die bei
einem einmaligen Aufruf der Seite
www.spiegel.de gesetzt wurden:
Es ist nicht ungewöhnlich, dass populäre Webseiten mehrere Datensammler einbinden. Eine
Studie der Universität Berkeley hat 2011 beim Surfen auf den TOP100 Webseiten 5.675 Cookies gefunden (ohne Login oder Bestellung). 4.914 Cookies wurden von Dritten gesetzt, also nicht von der aufgerufenen Webseite. Die Daten wurden an mehr als 600 Server übermittelt. Spitzenreiter unter den Datensammlern ist Google. 97% der populären Webseiten setzen Google-Cookies.
Immer mehr Tracking Dienste gehen dazu über, die Cookies im First-Party Context zu setzen, da Cookies von Drittseiten recht einfach blockiert werden können. Eine
empirische Studie der Universität Leuven (PDF) von 2014 zeigt, dass 44 verschiedene Tracking Dienste mehr als 40% des Surfverhaltens mit Hilfe von Cookies verfolgen können, auch wenn man Cookies für Drittseiten blockiert und nur First-Party Cookies erlaubt. Die Cookies werden mit Javascript geschrieben oder der Tracking Dienst erschleicht sich mit einem DNS-Alias als Subdomain der besuchten Webseite First-Party Status.
Die Tracking-Cookies werden auch von der NSA und GCHQ im Rahmen der globalen Überwachung genutzt. Die Geheimdienste beobachten den Datenstrom im Internet und
identifizieren Surfern anhand langlebiger Tracking-Cookies, insbesondere das Google PREF Cookie wird von den Überwachern gern genutzt. Zielpersonen werden anhand dieser Cookies verfolgt und bei Bedarf mit
Foxit Acid gezielt angegriffen, wenn die Identifikation über zwei Wochen stabil möglich ist.
Cookie-Management gemäß Whitelisting
- Standardmäßig wird die Annahme von Cookies und Flash-Cookies verweigert.
- Für vertrauenswürdige Websites, welche die Nutzung von Cookies zur Erreichung der vollen Funktionalität benötigen, werden Ausnahmen definiert.
- Die gespeicherten Cookies werden beim Schließen des Browsers automatisch gelöscht.
Fast alle Login-Seiten, welche Cookies zur Identifizierung des Surfers verwenden, weisen mit einem kleinen Satz auf die notwendigen Freigaben hin. Treten bei Login-Prozeduren seltsame Fehler auf, z.B. ständig die Fehlermeldung "FALSCHES PASSWORT", verweigert der Browser wahrscheinlich die Annahme von Cookies. Die Website sollte in die Liste der vertrauenswürdigen Websites aufgenommen werden.