Sie kennen sich bereits gut aus mit Cookies und deren Aktivitäten als Erst- und Drittparteien? Dann können Sie diese Seite jetzt entspannt verlassen und sich wieder den Heimwerkervideos auf YouTube zuwenden. Alle anderen dürfen sich mit mir auf Forschungsreise begeben in das Land der Kekse. Was sind eigentlich Cookies, wozu werden sie benutzt? Sind sie wirklich die Verkörperung all dessen, was im Internet böse und gemein ist? Die Diskussion über Privatsphäre und Datenschutz im Internet fokussiert sich bekanntlich seit Jahren sehr stark auf das Thema Cookies.
Also was sind Cookies?
Cookies sind zunächst nichts anderes als Textdateien mit einer maximalen Größe von etwas über 2.000 Byte, die ein Webserver auf dem Rechner eines Users ablegen darf, um Informationen darin abzulegen, auf die er bei einer erneuten Begegnung mit dem User wieder zugreifen kann. Entstanden sind sie in der Steinzeit, 1994 also. Kurz zuvor hatten sich die ersten Webentwickler, die noch in versprengten Grüppchen in Kalifornien das Fell an den Bäumen rieben, auf das HTTP-Protokoll geeinigt. Dieses Protokoll stellt die Sprache dar, in der sich Webserver und Webbrowser über den Datenaustausch verständigen. Jede URL im Browser beginnt bis heute mit http://, wie sie jetzt bei einem Blick nach oben links auf Ihrem Endgerät leicht selbst feststellen können.
Was fehlte in den Definitionen von http, war ein Mechanismus, der es dem Webserver ermöglichte, den Browser eines Users wiederzuerkennen, wenn dieser seine Seiten erneut besuchte. Dieses wurde in der Praxis schnell als überaus nützliches Feature identifiziert, um das Surferlebnis eines Users nicht immer wieder von Null an zu starten. So entstand das Cookie, ursprünglich nicht mehr als eine Notlösung für dieses Problem. Mit dem Cookie eingeführt wurden zwei fundamentale Richtlinien eingeführt, die ebenfalls bis heute Gültigkeit besitzen:
1. Jede Domain (Webseite) darf im Cookie-Store auf dem Rechner eines Users nur die eigenen Cookies schreiben, lesen und ändern, hat aber keinen Zugriff auf die Cookies anderer Domains.
2. Es wird unterschieden zwischen Cookies von First-Party-Domains und Third-Party-Domains. Second-Party-Domains gibt es übrigens nicht, denn Second Party sind Sie, also der User, der mit seinem Browser die Webseite besucht. First-Party-Domain ist die Domain, die zu der Zeit, zu der das Cookie geschrieben wird, oben in der URL-Zeile des Browsers auftaucht. Third-Party-Domains sind alle anderen Domains, die ebenfalls im Code der Webseite vertreten sind und ein Cookie schreiben wollen, aber NICHT in der URL-Zeile des Browsers stehen.
Alle verbreiteten Webbrowser sehen deshalb für die Behandlung von First- und Third-Party-Cookies unterschiedliche Einstellmöglichkeiten vor. Dies mit der Annahme, dass Cookies von der First-Party-Domain tendenziell eher vom User gewünscht werden, als Third-Party-Cookies. Darüber wie die Standardeinstellungen für diese Regeln auszusehen haben, werden in der Internetwirtschaft seit langem kontroverse Debatten geführt. Aktuell bekanntlich gerade wieder um ein Plug-In, das für den Firefox-Browser entwickelt wurde.
Bei genauerer Betrachtung ist die Unterscheidung zwischen First- und Third-Party-Cookies durchaus nicht so simpel, wie es scheint. Komplexe Webseiten liefern Ihre Inhalte heute keineswegs immer nur von der Domain aus, die oben im Browser steht, so dass die Seite unter Umständen als First Party Cookies schreiben will, die technisch aber von einer anderen Domain kommen und bei einer globalen Blockade von Third-Party-Cookies nicht geschrieben werden können. Zugleich gilt in allen Browsern die Regel, „einmal First-Party, immer First-Party“. Dies bedeutet, dass eine Seite, die ein User einmal oben in der URL-Zeile des Browsers stehen hatte, in der Folge immer auch Cookies als Third-Party schreiben darf, was ja dann unter Umständen wieder gerade nicht den Absichten des Users entspricht. Mozilla sah sich deshalb genötigt, die Änderung an den Standardeinstellungen für die Cookie-Behandlung erst einmal aufzuschieben.
Die abschließende Frage:
Haben Cookies ihr schlechtes Image außerhalb der Fachwelt tatsächlich verdient? Ich denke, Ihnen geschieht Unrecht. Sie helfen, eine Fülle von nützlichen Mechanismen für den User bereitzustellen und ihr Handling ist zugleich für den User transparent. Jedermann kann ohne viel Mühe und Fachwissen in den Einstellungen seines Browsers festlegen, wie er mit Cookies umgehen will und wem er erlaubt, diese bei ihm einzusetzen. Im Gegensatz dazu gehe ich nicht davon aus, dass Sie sich die Mühe gemacht haben, im Detail durchzulesen, was sie Unternehmen wie Google, Apple und Facebook alles an Datennutzung erlaubt haben, als sie bei der Kontoeröffnung dort die Geschäftsbedingungen akzeptiert haben!