Usertracking mit Cookies – Besucher eindeutig identifizieren
Um User auch bei mehrfachen Besuchen auf einer Webseite wiederholt identifizieren zu können, empfiehlt sich der Einsatz von Cookies. Cookies sind Textdateien, welche vom Webserver gesendet und auf dem Computer des Besuchers abgespeichert werden können. Bei jeder zukünftigen Anfrage an die erzeugende Domain übersendet der Client den Inhalt der dazugehörigen Cookies an den Webserver. Diesem stehen somit neben den Grund- und Interaktionsdaten auch die Informationen der Cookies zur Verfügung. Diese können zum Beispiel die Kundennummer oder ein GUID sein, anhand dessen sich der Besucher eindeutig identifizieren lässt.
Ein Cookie enthält folgende Felder:
| Feld | Beschreibung |
| Name | Der Name des Cookies. |
| Comment | Eine nähere Beschreibung des Cookies. |
| CommentURL | URL, unter welcher eine Beschreibung zum Einsatz des Cookies hinterlegt ist. |
| Domain | Die Domain, der das Cookie zur Verfügung steht. |
| Path | Der Pfad auf dem Server, für welchen das Cookie verfügbar sein soll. |
| Port | Schränkt die Rücksendung des Cookies auf hier hinterlegte Ports ein. |
| Secure | Rücksendung des Cookies nur über eine mindestens ebenso sichere Verbindung, wie sie zur Erstellung des Cookies genutzt wurde. |
| Version | Die Version der genutzten Cookie Management Spezifikation. |
| Max-Age | Die Gültigkeitsdauer des Cookies in Sekunden. |
| Discard | Das Cookie soll mit dem Schließen des Browserfensters gelöscht werden. |
| httponly | Wenn TRUE, darf auf das Cookie nur via HTTP-Protokoll zugegriffen werden. Es ist für Scriptsprachen nicht mehr auslesbar/veränderbar (Sicherheitsfeature gegen XSS-Angriffe). |
Unterschieden wird zwischen First Party Cookies, zu welchen Session-Cookies und persistente Cookies zählen, und Third Party Cookies. Einen Sonderfall stellen Flash Cookies (Local Shared Objects) dar.
Session Cookies
Session-Cookies existieren nur während einer Browser-Session und werden temporär im Speicher des Browsers abgelegt. Sobald das Browserfenster geschlossen wird, werden sie wieder gelöscht. Mit ihnen können mehrere Seitenaufrufe einer Session zuverlässig dem entsprechenden Besucher zugeordnet werden.
Aus den gesammelten Daten erhältliche Metriken sind zum Beispiel:
- Die Anzahl, Reihenfolge (Clickstream) und Dauer der Page Impressions
- Entry- und Exit-Pages
- Die Anzahl von Besuchen auf der Webseite (total Visits)
Anwendung finden diese Cookies zum Beispiel bei der Realisierung von Warenkörben in Online-Shops oder zur Wiedererkennung von angemeldeten Usern. Soll der User auch bei weiteren Besuchen wieder erkannt werden, kommen persistente Cookies zum Einsatz.
Persistente Cookies
Im Gegensatz zum Session-Cookie wird das persistente Cookie auf der Festplatte des anfragenden Computers gespeichert und steht somit über mehrere Besuche hinweg zur Verfügung. Zu den eigentlichen Nutzdaten des Cookies wird hier noch eine Art Haltbarkeitsdatum (Max-Age) angegeben, nach dessen Ablauf das Cookie gelöscht wird.
Berühmte Anwendung fand dieses Cookie z.B. bei Amazon zur persönlichen Begrüßung des Besuchers. Auch die „Passwort merken“ – Funktionen vieler Webseiten arbeiten mit einem persistenten Cookie. Hierbei wird natürlich nicht das Passwort im Cookie gespeichert, sondern lediglich eine Identifikationsnummer, mit der auf die Zugangsdaten des Benutzers zugegriffen wird.
Persistente Cookies können weitere Informationen zur Kundenbindung liefern – z.B. über wiederkehrende Besucher (unique Visitors) und ihre Einkaufshistorie.
Third Party Cookies
Prinzipiell handelt es sich hierbei um persistente Cookies, welche allerdings nicht von der besuchten Seite, sondern von einem völlig anderen Server stammen. Die Intention hierbei ist, einen User im Rahmen kooperierender Webseiten domänenübergreifend zu verfolgen. Um dies zu ermöglichen werden auf allen teilnehmenden Webseiten z.B. ein Werbebanner oder Zählpixel vom zentralen Trackingserver eingebunden.
Wird nun eine teilnehmende Webseite aufgerufen, wird auch die Datei vom zentralen Trackingserver abgerufen. Diesem ist es dank der Anfrage nun möglich ein Cookie zu setzen oder ein bestehendes auszulesen. Sollte ein Besucher noch kein Cookie besitzen, wird ihm ein neues mit einem neuen GUID zugewiesen, anhand dessen er innerhalb des gesamten Werbenetzwerks identifiziert und verfolgt werden kann.
Großen, auf vielen Webseiten vertretenen Werbeanbietern (z.B. Google) wird es somit möglich, User über weite Strecken im Internet zu verfolgen. Je nach besuchter Webseitenhistorie, kann der Anbieter daher ein Interessensprofil erstellen und darauf zugeschnittene Werbung ausliefern.
Local Shared Objects (Flash Cookies)
Diese Cookies sind auch bekannt als Local Shared Objects (LSO), Persistent Identification Element (PIE) oder Super-Cookies.
LSOs sind keine HTTP-Cookies im eigentlichen Sinn. Sie sind Dateien des Adobe Flash Players, welcher sie in einem zentralen Ordner auf der Festplatte verwaltet. Dies hat zur Folge, dass einschränkende Cookie-Richtlinien oder ein Wechsel des Browsers keinen Einfluss auf LSOs haben.
Nach einer Studie vom September 2008 ist der Adobe Flash Player auf 99% aller internetfähigen Computer installiert. Da LSOs zudem kein Verfallsdatum haben, stellen sie eine interessante und zuverlässige Möglichkeit der Nutzeridentifikation dar.
Der Einsatz von Cookies ist nicht unproblematisch
Auch wenn das Tracken mit Cookies grundsätzlich nicht-reaktiv, also eigentlich ohne Wissen des Besuchers abläuft, sind dennoch viele Irrtümer und Sicherheitsbedenken seit der Erfindung im Jahre 1994 aufgekommen. Dabei verhindern umfassende Restriktionen seitens des Browsers, dass Cookies eine Gefahr für den Client darstellen können:
Cookies sind reine Textdateien und können auf der Festplatte des Clients weder lesen, schreiben noch andere Funktionen echter Programme übernehmen. Für jedes Cookie ist eine Obergrenze von 4096 Bytes (Flash Cookies: Default 100 Kilobytes) einzuhalten und es können maximal 50 Cookies je Domain abgelegt werden. Auch haben Server keine Möglichkeit, Cookies explizit anzufordern oder diese gar zu suchen. Der Browser sendet automatisch die von der aufgerufenen Seite angelegten Cookies an den Webserver zurück, welcher nur erkennen kann ob Daten aus einem Cookie zur Verfügung stehen oder nicht.
Allerdings ist auf die Funktionsweise von HTTP-Cookies kein Verlass, da sie per Browsereinstellung leicht löschbar sind, oder die Annahme ganz verweigert werden kann. Insbesondere Third-Party Cookies werden von Anti-Spywareprogrammen häufig identifiziert und gelöscht oder von vorneherein komplett geblockt.
Anders ist dies bei Flash Cookies. Diese werden nicht vom Browser verwaltet, auch ist ihre Existenz vielen Usern noch nicht bekannt. Mit fortschreitender Verbreitung und steigendem Bekanntheitsgrad sind hier allerdings ähnliche Proteste wie früher bei den HTTP-Cookies zu erwarten. Auch wird es in absehbarer Zeit sicherlich entsprechende Tools zur Verwaltung von LSOs geben.
Um einem Besucher sicher mehrere Seitenzugriffe zuordnen zu können, gibt es zurzeit allerdings nur wenige Alternativen:
- Die Vergabe von Session-IDs, welche dynamisch an jede URL angehängt werden
- Die Registrierung und Authentifizierung der User bei jedem Besuch auf der Webseite
- Die Auswertung des Fingerprints des Besuchers, was im Gegensatz zu den anderen beiden Punkten allerdings keine absolute Sicherheit bei der Identifizierung bietet.
Sollen auch wiederkehrende Besucher identifiziert werden, gibt es neben Cookies nur die Möglichkeit, die Besucher zur Anmeldung an einem Benutzerkonto zu zwingen.
Dieser Artikel entstammt meiner Diplomarbeit zum Thema “Usertracking”. Ich habe lange überlegt wie und in welcher Form ich die Arbeit veröffentlichen könnte und bin zum Schluss gekommen, dass meine Erkenntnisse daraus, über diesen Blog veröffentlicht, dem größten Publikum dienen können.
Eine Ãœbersicht über weitere Artikel und ein Quellenverzeichnis sind unter
http://www.georg-weidner.de/usertracking zu finden.
Biser keine Kommentare zu "Usertracking mit Cookies – Besucher eindeutig identifizieren"
Was denkst du?