Moin!

Es besteht also zweifelsohne eine gewisse Abeigung bei bestimmten Usern. Doch warum?

Die Frage nach dem "Warum" ist nicht so leicht zu beantworten.

Zum einen spielt sicherlich eine ganze Menge Fehlinformation eine Rolle. Irgendwann in der Frühzeit war es mal schick, Cookies als "böse" zu brandmarken, und das hat sich irgendwie festgesetzt. Javascript ist ja schließlich auch böse.

Der Unterschied ist: Javascript ist aufgrund diverser Sicherheitslücken tatsächlich bei verschiedenen Browsern (nicht nur IE, aber der wird halt am meisten eingesetzt) böse. Cookies hingegen sind keine aktiven Komponenten, können also gar nicht in dem Maße böse sein.

Aber den Cookies haftet halt das an, wozu man sie heutzutage eben einsetzt: Wiedererkennung der Besucher.

Während sowas bei einem Session-Cookie absolut legitim ist, wenn ansonsten der Warenkorb nicht funktioniert (die Alternative, die Session-ID in der URL mitzuschleppen, ist vom Sicherheits- und Privatsphärenstandpunkt eigentlich viel schlimmer), so ist es in dem Moment als kritisch zu betrachten, wenn dauerhaft langfristig gültige Cookies gesetzt werden.

Die Werbeindustrie (wer hat da "...mafia" gerufen?) setzt halt viel darauf, den Kunden mit immer geringeren Streuverlusten zu bewerben, weil das enorm Geld sparen kann. Und das klingt ja auch gut, wenn man als Kunde nur noch die Werbung sieht, für die man sich interessiert. Was wollen Männer mit Tamponwerbung, oder Frauen mit elektrischen Rasierapparaten - um nur mal ein plattes Beispiel zu bemühen, welches schon absichtlich mindestens einen Fehler eingebaut hat (ob das die Werbeindustrie wohl auch so sieht?).

OK, egal was mit dem langfristig gültigen Cookie auch geschieht - es ist ein unter Umständen nicht hinnehmbarer Eingriff in die eigene Privatsphäre, wenn man befürchten muß, dass ein zentraler Werbeserver (oder noch fieser: einfach nur ein Zugriffs-Kontroll-Server, der nur 1-Pixel-Transparent-GIFs ausspuckt) dir einmal ein langfristiges Cookie aufklebt und künftig aufgrund der Einbindungen von allen angeschlossenen Websites ein komplettes Nutzungsprofil deiner Internetnutzung aufzeichnen kann. Sowas geht ganz simpel: <img src="http://evil.webbug.srv/webbug.gif?siteid=12345"> - der Bildrequest an den Webbug-Server schickt das langfristige Cookie mit deiner eindeutigen ID mit raus, der Webbug-Server wertet anhand der Site-ID aus, welches Angebot du genutzt hast - und vertrauensselige Angebote werten noch den Referrer mit aus, um genau zu wissen, welche Seiten du nacheinander aufsuchst, die schlauen Angebote werden noch eine Page-ID mit einfügen. Wenn man das im Hintergrund alles datenbankmäßig integriert und zusammenführt, läßt sich sowas mit Sicherheit lückenlos und ohne großen Aufwand auf allen möglichen Sites integrieren.

Und sobald du dich dann bei solch einer angeschlossenen Site irgendwie persönlich identifizierst, kann dieser Anbieter (vielleicht gegen eine tolle Prämie) das bislang noch anonym geführte Profil deiner Nutzung endlich mit deinem Namen, deiner Adresse etc. versehen.

Die meisten Internetanwender machen sich um diese Hintegründe keinerlei Gedanken. Und früher war diesem Thema auch noch ziemlich schwierig aus dem Weg zu gehen, weil die Browser nahezu keinerlei Einstellmöglichkeiten für die Behandlung von Cookies geboten haben. Früher beim Netscape beispielsweise mußte man die Datei "cookies.txt" löschen, durch einen Browserstart neu anlegen lassen (dann war sie leer), um sie dann mit einem Datei-Schreibschutz zu versehen - nur dann hatten die Cookies keine Chance, sich im System festzusetzen.

Heutzutage ist das alles etwas unkritischer. Opera beispielsweise bietet die Funktion an, beim Beenden des Browsers alle gespeicherten Cookies zu löschen. Damit wird dann einigermaßen sicher verhindert, dass das Datensammeln und Profilerstellen, wie oben beschrieben, noch so einfach funktioniert. Aber die bösen Datensammler sind ja nicht dumm und denken sich sicherlich andere Methoden aus. Es reicht ja, sich auf irgendeiner "verseuchten" Seite regelmäßig neu anzumelden. Dann kann man der jedesmal neu ausgegebenen ID im Cookie immer denselben Account zuordnen und braucht dann "nur" die Resultate aller IDs in einem Gruppenresultat zusammensuchen.

Vieles klingt vielleicht etwas paranoid. Aber du hast ja gefragt, warum sich Leute unverständlicherweise gegen Cookies wehren - wenn du es dir rational nicht erklären kannst: Paranoia ist doch ein guter Erklärungsversuch, oder?

PS: Nur weil man paranoid ist, bedeutet das ja noch lange nicht, dass SIE einen nicht DOCH verfolgen. :)

- Sven Rautenberg