Lauren Weinstein: You’ve Been Drafted - Welcome to the Cookie Wars!.
PRIVACY Forum Digest 09/06, 27 January 2000.
Also available from World Wide Web [January 27, 2000]:
<http://www.vortex.com/privacy/priv.09.06> [cited: February 7, 2000].

Siehe auch:

• »Gläserne Wände« [DER SPIEGEL 2/1998, 48 - 50]
• »Verdatet und verkauft - Die Angst vor dem Missbrauch persönlicher Daten droht den E-Commerce zu blockieren.« [DIE ZEIT 18/2001, 28 - 29]
• »Cookies - eine Überwachungstechnik?« [Heise, 18. 2. 2000]
• »T-Punkte kann man nun auch sammeln« [Heise, 31. 10. 2001]
• »Web-Kekse: Die EU und das angebliche Cookie-Verbot« [Heise, 2. 11. 2001]

Szenario

Wer ist der Bursche?

• Wenn du in der Stadt rumfährst, verfolgt er dich und schreibt lückenlos auf, wo du hingehst.
• Wenn du einkaufen gehst, lauert er hinter der Ecke und kritzelt alles in sein Notizbuch, was du kaufst, und sogar alles, was du dir ansiehst.
• Wenn du in die Bibliothek gehst, um etwas nachzuschlagen, notiert er alles, wonach du suchst.
• Dann ruft er alle Läden an, die du besuchst, und überredet sie, ihm alle früheren Einkaufs- und Bestelldaten von dir zu geben.
• Er überwacht dich jeden Tag rund um die Uhr und baut über dich ein Dossier auf, das Stalin beeindruckt hätte.

Im physischen Leben würde ein solches Vorgehen einen öffentlichen Aufschrei hervorrufen, wie man ihn kaum je gehört hat.

Im Cyberspace ...

... gibt es solche Burschen. Jetzt und hier:

• DoubleClick - www.doubleclick.net -
  • Verfolgung von Web-Aktivitäten durch eingebettete Werbe-Grafiken, z. B. im AltaVista- Suchformular.
• Abacus Direct - www.abacus-direct.com -
  • größte Konsumenten-Datenbank der Welt,
  • zu Marketing-Zwecken,
  • über 90 Millionen US-Haushalte, auch viele ausländische aus Versandhandel,
  • über 2 Milliarden Kunden-Transaktionen.

DoubleClick hatte im Januar 2000 Abacus Direct aufgekauft und beabsichtigte, die Datenbanken zusammenzuführen.

Nach heftigen Protesten wurde das verhindert.

Damit ist der Abgleich aber nicht ausgeschlossen! [Nach deutschem/europäischem Datenschutzrecht illegal, in USA legal.]

Hilfsmittel zum großen Ausspähen der WWW-Nutzer

• Rechner-Adresse (Domain-Name und IP-Nummer):
  • wird stets an WWW-Server übermittelt
  • [aber evtl. Gateway-Adresse statt Client-Adresse].
• Referer-Feld: Letzte vorher besuchte URL wird an WWW-Server übermittelt.
  • [»Von woher kommt der Client auf meine Seite?]
  • Beispiele (aus dem Referer_Log des Servers www.imsd.uni-mainz.de:
    • http://www-klinik.uni-mainz.de/rechner.shtml -> /Gateway/
    • http://mail.psychiatrie.klinik.uni-mainz.de/ -> /
    • http://www.imsd.uni-mainz.de/ -> /klinikum.jpg
    • http://www.klinik.uni-mainz.de/~nar0g/intern/EDV/Klinikedv.shtml -> /
• Eingebettete Grafiken - »Werbebanner«:
  • Grafik kommt von anderem Server als die eigentliche Seite;
  • Werbebanner-Server (z. B. DoubleClick) erfährt, welche Seite aufgerufen.
  • Beispiel: AltaVista - Link unter Werbebanner:
    http://ad.doubleclick.net/jump/homepgtable.av.com/sponsor-button/minibadge;sz=230x33;ord=62812284
  - oder »Web-Bugs«:
  • gleiches Wirkprinzip,
  • aber getarnt: transparente 1-Pixel-Grafiken,
  • auch in HTML-Mail verwendet.
• GET-Methode bei Formularen:
  • Formular-Einträge in der URL enthalten.
  • Werbebanner- oder Web-Bug-Server bekommt diese automatisch mitgeteilt.
  • Beispiel: AltaVista-Suche nach »+Abacus +Direct«:
    http://www.altavista.com/cgi-bin/query?pg=q&sc=on&hl=on&q=%2BAbacus+%2BDirect&kl=XX&stype=stext&search.x=10&search.y=8
• Direktabfrage von Daten über Formulare (z. B. »Nutzer-Registrierung«)
• Cookies.

Cookies

• Harmlose, nützliche Anwendung:
  • Zustand einer »Sitzung« verfolgen, z. B. Warenkorb anlegen, Single Logon,
  • persönliche Preferenzen für eine Website verwalten.
  • Cookies sind an einen WWW-Server gebunden, von anderen nicht auslesbar.
• Missbräuchliche Anwendung:
  • Daten zusammenführen, Hilfe bei der Erstellung von Profilen
    • Identifikation sicherer als über Rechner-Adresse.
  • Umgehung der Server-Bindung durch eingebettete Grafiken.
  • Beispiele:
    • ..altavista.com TRUE / FALSE 1388491086 AV_USERKEY AVSdd2b73027c0000389e893c000be70
    • ..doubleclick.net TRUE / FALSE 1920499068 id A
      (gültig bis 2030 !)

Maßnahmen

• Cookies deaktivieren - grundsätzlich.
  [Nicht »Warnmeldung ...« einschalten - das nervt endlos.]
• In seltenen Fällen Cookies wirklich benötigt. Dann:
  • Cookies kurzfristig aktivieren [»Nur an den ursprünglichen Server ...«],
  • anschließend sofort wieder deaktivieren,
  • Browser verlassen und Cookies löschen (von Hand im Editor)
    [Netscape: C:\Programme\Netscape\Users\pom\Cookies.txt].
• Grafiken deaktivieren - zumindest vor Benutzung von Suchmaschinen.
  Aber: Beim Ausdrucken werden die Grafiken doch geladen!
• Suchmasken und Suchergebnisse nicht ausdrucken
  • sonst landet die Suchanfrage doch bei DoubleClick.
  [Suchergebnis per Copy&Paste in Editor laden, dort speichern oder drucken.]

Misstrauen ist auch im Kräftespiel der freien Marktwirtschaft ein wesentliches Prinzip, um nicht über den Tisch gezogen zu werden. Es gibt keinen Anlass, irgendeinem Geschäftspartner blind zu trauen.