Urs Binder: Wer hat Angst vor dem bösen Guetsli?
Artikel erschienen in Swiss IT Magazine 2001/42
Das EU-Parlament hat soeben eine Datenschutzrichtlinie verabschiedet, die den Einsatz von Cookies weitestgehend einschränkt. Bei den künftig zu untersagenden Guetsli handelt es sich nicht etwa um die Variante, die bei Starbucks und anderen US-nahen Verkaufsorganisationen in Geschmacksrichtungen von Macadamia bis Chocolate zu haben ist, sondern um die kleinen Datenpakete, die der Code einer Webseite zwecks Zwischenspeicherung von benutzerspezifischen Informationen auf dem PC des Benutzers ablegen und bei späterer Gelegenheit wieder abrufen kann.
Cookies bieten dem Webentwickler und dem Surfer einen Bequemlichkeitsvorteil. Mit dem Cookie-Mechanismus lassen sich Daten wie Benutzername und Passwort, aber auch erweiterte User-Profilinformationen auf einfachste Weise handhaben: Speicherung und Abruf von Cookies sind schon mit simplen, Client-seitigen JavaScript-Befehlen möglich. Für die automatische Begrüssung vom Typ "Hallo, Herr Meier" beim Aufruf einer Site ist keine komplizierte Web-Applikation auf Basis kostspieliger Middleware nötig. Dem Surfer nehmen Cookies die wiederholte Eingabe von User-Informationen ab - nur ungern meldet er sich bei jedem Besuch mit "xymeier" und "chrxpmpf01" an, bevor ihn die Site mit "Hallo, Herr Meier" begrüsst.
Warum also etwas derart Bequemes verbieten? Das EU-Argument, weitgehend übernommen von den hyperempfindlichen US-Konsumentenorganisationen: Cookies gefährden die Privatsphäre des Anwenders. Mit Verlaub, aber das ist kompletter Unsinn.
Erstens kann ein Cookie nur enthalten, was der Surfer irgendwann einmal willentlich eingegeben hat. Wer nichts über sich preisgeben will, tut es einfach nicht.
Zweitens sind Cookies keineswegs, wie letzthin in einer Tageszeitung behauptet, "kleine Progrämmchen". Cookies sind nichts weiter als mehr oder weniger kurze Textfiles und enthalten keinen ausführbaren Code. Im Gegensatz zu serverseitig gehaltenen User-Informationen lassen sich Cookies überdies nach Belieben ein- und ausschalten sowie gezielt löschen - eindeutig mehr Kontrolle für den Surfer.
Die einzige Gefahr, die von Cookies ausgehen kann: Sie lassen sich unter Umständen von Unbefugten, sprich Hackern, abrufen. Ein entsprechendes Sicherheitsloch hat der Hersteller des meistverbreiteten Browsers kürzlich per Patch gestopft - übrigens im Gegensatz zu einem kleineren Browserhersteller, bei dem man auf die nächste Programmversion zu warten hat; soviel als Einschub zur Bugfix-Politik der Anbieter.
Was lernt man daraus? Hochsensitive Informationen wie das Passwort für eine E-Banking-Anwendung gehören sicher nicht in ein Cookie - ein Webentwickler, der so etwas programmiert, ist sofort zu entlassen. Wer wegen allfälliger Hackerprobleme aber gleich ein Cookie-Verbot erwägt, schiesst mit Kanonen auf Spatzen.