Dein Shopping-Portal, dein soziales Netzwerk, das Zeiterfassungssystem deiner Firma ── die Seiten, die du ganz selbstverständlich nutzt, begrüßen dich eingeloggt, selbst wenn du den Browser schließt und erst am nächsten Tag wiederkommst. Und doch erinnert sich der Server dahinter nicht wirklich an dich. Die Realität ist das Gegenteil: Server neigen dazu, dich zu vergessen ── genauer gesagt setzen sie ihr Gedächtnis bei jeder beantworteten Anfrage zurück. Die alltägliche Erfahrung, „erkannt zu werden“, ist bei näherem Hinsehen ziemlich merkwürdig.
Warum bleiben wir also eingeloggt? Die Antwort ist das Cookie ── genau das aus dem Banner „Cookies akzeptieren?“, das dir jede Seite zeigt. Wenn dir einer der folgenden Punkte bekannt vorkommt, lies weiter.
- Du klickst das Banner „Cookies akzeptieren?“ jedes Mal reflexartig weg, ohne zu wissen, was es bedeutet
- Du kannst nicht erklären, warum du eingeloggt bleibst ── oder umgekehrt, warum du plötzlich ausgeloggt wirst
- Du weißt nicht, warum dieselbe Seite auf einem anderen PC oder dem Handy dich ausgeloggt zeigt
- Jemand hat dir gesagt „lösch mal deine Cookies“ ── aber du weißt nicht genau, was das Löschen eigentlich bewirkt
Dieser Artikel gibt zwei Versprechen. ① Wir halten den Fachjargon auf einem Minimum. ② Wir bleiben nicht bei der Funktionsweise stehen: Wir kommen bis zu den praktischen Entscheidungen ── was du auf dem Einwilligungsbanner klicken solltest und was passiert, wenn du deine Cookies löschst.
| Frage | Antwort in |
|---|---|
| Was heißt „Server neigen dazu, dich zu vergessen“? | §1 |
| Was genau ist ein Cookie? | §2 |
| Wie funktioniert das Eingeloggt-Bleiben wirklich? | §3 |
| Was fragt „Cookies akzeptieren?“ wirklich? | §4 |
| Sind Cookies gefährlich? | §5 |
| Was passiert, wenn ich sie lösche? | FAQ Q1 |
Im Serien-Rückblick Was passiert zwischen dem Eintippen einer URL und dem Erscheinen der Seite? haben wir einen Zugriff als „Hin- und Rückreise einer einzigen Anfrage“ verfolgt. Dieser Artikel greift die Frage auf, die danach kommt ── wenn jede Anfrage und jeder Besuch in sich abgeschlossen ist, warum erinnert sich die Seite dann an dich?
1. Der Server vergisst dich jedes Mal ── HTTP ist so gebaut, dass es sich nichts merkt
1-1. Die Hin- und Rückreise einer Anfrage ist jedes Mal in sich abgeschlossen
Wenn du eine Webseite öffnest, reist eine Anfrage um die Welt, erreicht den Server, und eine Antwort kommt zurück (die ganze Reise steht in Was passiert zwischen dem Eintippen einer URL und dem Erscheinen der Seite?). Hier ist der entscheidende Punkt: Diese Hin- und Rückreise ist die ganze Geschichte. Klickst du auf einen weiteren Link, ist das eine völlig neue Reise ── und aus Sicht des Servers eine Anfrage von einem völlig Fremden.
Als Metapher: Der Server ist ein Schaltermitarbeiter, dessen Gedächtnis sich in dem Moment löscht, in dem jedes Gespräch endet. Komm zehnmal in einer Minute vorbei, und zehnmal begrüßt er dich mit „Willkommen! Zum ersten Mal hier?“. Diese Eigenschaft nennt man zustandslos (stateless), und sie gehört zum Grunddesign von HTTP.
Das klingt nach einem Mangel, ist aber Absicht. Ein Schalter, der sich nichts merkt, kann jeden mit demselben Ablauf bedienen ── einfach, schnell und in der Lage, riesige Menschenmengen aus aller Welt gleichzeitig zu bedienen. Die Aufgabe des „Sich-Merkens“ von vornherein wegzuwerfen ist einer der Gründe, warum das Web so groß werden konnte.
1-2. Warum fühlt es sich dann so an, als würde sich das Web an dich erinnern?
Aber das erzeugt einen Widerspruch. Eingeloggt bleiben, die Artikel, die im Warenkorb warten, dein Dark-Mode, der den nächsten Besuch überlebt ── wenn der Mitarbeiter dich jedes Mal als Fremden trifft, dürfte nichts davon passieren.
Der Schalter ohne Gedächtnis vs das, was du erlebst Wie die Maschinerie arbeitet (zustandslos) Besuch 1: Du ──> Server: „Freut mich, dich kennenzulernen" Besuch 2: Du ──> Server: „Freut mich, dich kennenzulernen" △ Null Gedächtnis, jedes Mal Besuch 3: Du ──> Server: „Freut mich, dich kennenzulernen" Was du tatsächlich erlebst Besuch 1: Du loggst dich ein Besuch 2: Immer noch eingeloggt △ Irgendwie erinnert man sich an dich Am nächsten Tag: Immer noch eingeloggt
Der Mechanismus, der diese Lücke schließt, ist der Held dieses Artikels: das Cookie. Die Antwort in einer Zeile, vorweg ── derjenige, der sich erinnert, ist nicht der Server. Es ist dein Browser.
2. Was ein Cookie wirklich ist ── eine Mitgliedskarte, die dir der Laden in die Hand drückt
2-1. Der Laden gibt das Sich-Merken auf und gibt dem Kunden stattdessen eine Karte
Auch ein Mitarbeiter, dessen Gedächtnis sich löscht, kann Kunden auseinanderhalten. Der Trick: Der Kunde trägt eine Karte bei sich und zeigt sie bei jedem Besuch vor.
Genau das ist ein Cookie. Beim ersten Besuch einer Seite hängt der Server seiner Antwort einen Zettel an ── „bitte gut aufbewahren“ (Set-Cookie). Dein Browser steckt die Karte in seine Brieftasche (einen Speicherbereich auf deinem PC) und legt sie bei der nächsten Anfrage an dieselbe Seite automatisch vor. Der Mitarbeiter hat null Gedächtnis, aber ein Blick auf die Karte sagt ihm „ah, der Kunde mit dieser Karte“ ── ein Laden, der eine Mitgliedskarte ausstellt, und ein Kunde, der sie bei jedem Besuch vorzeigt.
Die Karte selbst ist nur eine kurze Zeichenfolge auf einem Zettel. Sie ist kein Programm ── die Karte kann von sich aus nichts ausführen. Das wird in §5 noch einmal wichtig.
2-2. Die Regeln der Karte ── automatisch und nur dem Laden gezeigt, der sie ausgestellt hat
Mitgliedskarten folgen zwei Grundregeln.
Erstens: Eine Karte wird nur dem Laden gezeigt, der sie ausgestellt hat. Die Karte von Seite A wird nur an Anfragen angehängt, die zu Seite A gehen. Die Kundenkarte deines Supermarkts nützt im Buchladen nichts (── das ist die Regel, soweit es §2 betrifft. In §4 sehen wir, dass das „Schlupfloch“ dieser Regel genau das ist, worum es beim Einwilligungsbanner geht).
Zweitens: Karten laufen ab. Es gibt zwei Sorten: Karten, die beim Schließen des Browsers weggeworfen werden (Sitzungs-Cookies), und Karten, die bis zu einem festgelegten Datum in der Brieftasche bleiben (dauerhafte Cookies). Das Häkchen „angemeldet bleiben“ ist, grob gesagt, eine Wahl zwischen diesen beiden.
Die Hin- und Rückreise der Mitgliedskarte ── von der Ausstellung zum automatischen Vorzeigen Erster Besuch Du ──„Freut mich"──────────────────> Seite A Du <──„Willkommen! Bewahre diese Karte auf"── Seite A △ Karte ausgestellt (Set-Cookie) Jeder weitere Besuch Du ──„Hallo nochmal" + [Karte] ──> Seite A △ Vom Browser automatisch angehängt Du <──„Willkommen zurück"────────── Seite A Besuch in einem anderen Laden Du ──„Freut mich"─────────────────> Seite B △ Die Karte von Seite A wird nicht angehängt
3. Wie das Eingeloggt-Bleiben funktioniert ── die Karte trägt nur eine Nummer
3-1. Ein Nummernzettel und ein Register ── was eine Session-ID wirklich ist
Wir sagten „ein Blick auf die Karte genügt“ ── aber auf der Karte stehen weder dein Name noch dein Passwort. Der Login-Mechanismus ist eine Stufe raffinierter.
Wenn du dein Passwort eingibst und der Login gelingt, schreibt der Server eine Zeile in sein Register ── „Kunde Nr. 8472 = dein Konto, eingeloggt“. Dann drückt er dir einen Nummernzettel in die Hand, auf dem nur diese Zeilennummer steht. Von da an schlägt der Server jedes Mal, wenn dein Browser den Zettel vorlegt, die Nr. 8472 im Register nach und weiß „das ist diese Person, bereits eingeloggt“ ── diese Nummer ist die Session-ID, und das Register ist die serverseitige Session.
Dieses Design hat zwei Vorteile. Dein Passwort steht nie auf dem Zettel ── selbst wenn jemand den Zettel sieht, sickert das Passwort nicht durch (FAQ Q5). Und du musst dein Passwort nicht jedes Mal neu eintippen ── das Vorzeigen des Zettels führt die Identitätsprüfung für dich fort. Übrigens ist dieser „Nummernzettel“ eine Art des Mechanismus namens Token ── unser Guide Passwort vs UUID vs Hash vs Token sortiert, wie er sich von Passwörtern und Hashes unterscheidet.
- 1LoginPasswort geprüft. Der Server schreibt eine Zeile in sein Register.
- 2Zettel ausgestelltEin Zettel, der nur die Zeilennummer (die Session-ID) trägt, wird als Cookie übergeben.
- 3Jeder weitere BesuchDer Browser legt den Zettel automatisch vor. Der Server gleicht ihn mit dem Register ab: „eingeloggt“.
- 4Das EndeLogout (die Registerzeile wird gelöscht) oder der Zettel läuft ab ── zurück zu Fremden.
3-2. Die Rätsel lösen sich von selbst: plötzliche Logouts und Fremdsein auf einem anderen PC
Hat man Zettel und Register, lösen sich die Alltagsrätsel auf einen Schlag.
Plötzlich ausgeloggt zu werden bedeutet, dass der Zettel oder das Register abgelaufen ist. Der Zettel hat sein Datum überschritten, der Server hat alte Registerzeilen aufgeräumt, ein „auf allen Geräten abmelden“ hat deine Zeile gelöscht, oder eine Browser-Bereinigung hat den Zettel weggeworfen ── die Ursachen variieren, aber das Ereignis ist dasselbe: Zettel und Register passen nicht mehr zusammen.
Auf einem anderen PC oder Handy ausgeloggt zu sein passiert, weil der Zettel in der Brieftasche dieses einen Browsers lebt. Andere Brieftasche, kein Zettel ── ein neues Gerät heißt also, wieder beim Passwort anzufangen. Selbst auf demselben PC macht dich ein Browserwechsel zum Fremden, denn jeder Browser führt seine eigene Brieftasche.
Die Seite, die das Register führt ── also was ein Server eigentlich ist ── ist ein Thema, das einen eigenen Artikel verdient. Wir planen, es in einem künftigen Beitrag zu behandeln.
4. Was „Cookies akzeptieren?“ wirklich fragt ── die Mitgliedskarte der Werbefirma
4-1. Wären alle Karten seitengebunden, hätte es das Banner nie gegeben
Bisher war jede Karte „nur für diese eine Seite“. Die Karte von Seite A wird nur Seite A gezeigt ── Cookies, die innerhalb dieser Grenze genutzt werden, heißen Erstanbieter-Cookies (First-Party), und sie sind es, die Logins, Warenkörbe und gemerkte Einstellungen antreiben. Ehrlich gesagt: Gäbe es auf der Welt nur diese, wäre das Einwilligungsbanner nie geboren worden.
4-2. Dieselbe Karte über Seiten hinweg vorzeigen ── Drittanbieter-Cookies und Tracking
Das Problem ist, dass eine Seite nicht nur aus „dieser Seite“ gebaut wird. Viele Seiten betten Bausteine anderer Firmen (meist Werbefirmen) ein ── Anzeigenflächen, Analyse-Schnipsel. Wenn du die Seite öffnest, schickt dein Browser auch Anfragen an den Server der Werbefirma, um diese Bausteine zu holen ── und nach der Regel aus §2 wird die von der Werbefirma ausgestellte Karte an die Anfragen angehängt, die zur Werbefirma gehen.
Hier ist die Falle. Was, wenn die Nachrichtenseite, die Rezeptseite und der Shop alle Bausteine derselben Werbefirma einbetten? Dann zeigst du, welche Seite du auch öffnest, überall ein und dieselbe „Mitgliedskarte der Werbefirma“ vor. Im Register der Werbefirma sammelt sich eine Spur: „Person Nr. 551: Nachrichten → Rezepte → die Schuhseite im Shop“ ── das ist der echte Mechanismus hinter „das Produkt, das ich gestern angeschaut habe, verfolgt mich auf anderen Seiten“, und Karten, die so Seiten überqueren, sind Drittanbieter-Cookies (Third-Party).
Erstanbieter vs Drittanbieter ── wem wird welche Karte gezeigt Erstanbieter (die Karte der Seite selbst) Nachrichtenseite ──> [Nachrichten-Karte] △ Bleibt innerhalb dieser Seite Shop-Seite ──> [Shop-Karte] Drittanbieter (die Karte der Werbefirma) Nachrichtenseite ┐ Rezeptseite ├── auf jeder Seite ──> [dieselbe Werbefirmen-Karte] Shop-Seite ┘ △ Die Spur verbindet die Seiten
Hauptsächlich darum geht es beim Banner „Cookies akzeptieren?“. Die Karten der Seite selbst (die Logins und Einstellungen brauchen) gelten in der Regel als „unbedingt erforderlich“, und worum du tatsächlich gebeten wirst, ist die Entscheidung, ob du die Werbe- und Analyse-Karten akzeptierst. Deshalb funktionieren die Hauptfunktionen der Seite auch nach einem Klick auf „Ablehnen“ ganz normal weiter (FAQ Q3).
Übrigens hat sich der Wind gegen diesen Tracking-Mechanismus gedreht: Die Browser-Hersteller mustern Drittanbieter-Cookies Schritt für Schritt aus. Stell es dir als Rückkehr zur ursprünglichen Regel der Karte vor ── nur der Seite gezeigt, die sie ausgestellt hat ── und du weißt genug.
5. Sind Cookies gefährlich? ── die Karte selbst ist harmlos; worauf es ankommt, ist der Umgang mit ihr
5-1. Die Linie ziehen ── die harmlose Seite und die Seite, die Vorsicht verlangt
Das Bild „Cookies = etwas Gefährliches“ ist zur Hälfte Missverständnis, zur Hälfte wahr. Wie in unserem HTTPS-Artikel ziehen wir die Linie mit einer Tabelle.
| Kannst du entspannt sehen ✅ | Verlangt Vorsicht ❌ | |
|---|---|---|
| Was die Karte ist | Ein kurzer Textzettel. Kein Programm ── sie kann nichts ausführen, virenartig schon gar nicht | ── |
| Wer sie sieht | Wird nur der Seite gezeigt, die sie ausgestellt hat (Erstanbieter) | ── |
| Lauschen unterwegs | Die Karte reist in der geheimen Kiste (HTTPS) und kann unterwegs nicht gelesen werden | ── |
| Zetteldiebstahl | ── | Benutzt jemand anderes deinen Nummernzettel, ist er als du eingeloggt, ganz ohne Passwort ── das echte Risiko, sich an einem gemeinsamen PC nicht abzumelden |
| Verhaltensspuren | ── | Die Karten der Werbefirma (Drittanbieter) werden zu einem Protokoll deiner Spur über Seiten hinweg (§4) |
| Sie löschen | ── | Wirf alle Karten weg, und jede Seite behandelt dich wieder als Fremden (FAQ Q1) |
5-2. Die praktischen Schlussfolgerungen
Übersetzt man die Tabelle in Alltagsverhalten, ergeben sich drei Regeln.
Erstens ── melde dich auf gemeinsam genutzten oder geliehenen Geräten am Ende immer ab. Der Logout löscht die Registerzeile, sodass selbst ein liegen gebliebener Zettel nutzlos wird. Nur den Browser zu schließen kann den Zettel in der Brieftasche zurücklassen.
Zweitens ── auf Einwilligungsbannern ist „nur erforderliche“ oder „Ablehnen“ völlig in Ordnung, wenn es angeboten wird. Die Karten der Seite selbst bleiben erhalten, also funktionieren Einloggen und Einkaufen wie gewohnt.
Drittens ── vor Cookies selbst musst du keine Angst haben. Die Karte ist ein Zettel, kein Programm, und die geheime Kiste schützt sie unterwegs. Die zwei Dinge, die deine Aufmerksamkeit verdienen: Lass andere Menschen deine Zettel nicht physisch in die Hand bekommen, und entscheide, welche Register deine Spur aufzeichnen dürfen.
Zusammenfassung ── das Wesentliche in 4 Zeilen
- Der Server vergisst, jedes Mal: HTTP ist zustandslos ── das Gedächtnis des Mitarbeiters löscht sich nach jedem Gespräch. Sich nichts zu merken macht es schnell und massiv skalierbar
- Ein Cookie ist eine Mitgliedskarte: Der Browser ist derjenige, der sich erinnert ── er bewahrt die Karte auf, die eine Seite ausgestellt hat, und legt sie automatisch vor, nur dieser Seite
- Login ist ein Nummernzettel plus ein Register: Der Zettel trägt nur eine Zeilennummer (die Session-ID), nie dein Passwort ── und „ausgeloggt“ heißt, dass Zettel und Register nicht mehr zusammenpassen
- Die eigentliche Frage des Banners ist die Karte der Werbefirma: Die Karten der Seite selbst sind „erforderlich“; was du wählst, ist das Tracking über Seiten hinweg ── und es abzulehnen lässt die Hauptfunktionen weiterlaufen
Zum Weiterlesen in der Serie ── die komplette Reise einer Anfrage steht im Serien-Rückblick, die Kiste, die die Karte unterwegs schützt, im HTTPS-Artikel, und wie sich der Nummernzettel (Token) von Passwörtern und Hashes unterscheidet, im Guide zu zufälligen Zeichenketten.
FAQ
Q1. Was passiert, wenn ich alle meine Cookies lösche?
A. Jede Seite behandelt dich wieder als Fremden ── konkret: Du bist überall ausgeloggt, Warenkorbinhalte und „nicht mehr anzeigen“-Einstellungen verschwinden, und die Einwilligungsbanner kommen zurück. Kaputt geht nichts: Logg dich neu ein, und alles funktioniert wie zuvor. Dass „lösch mal deine Cookies“ ein klassischer Support-Tipp ist, liegt daran, dass es jedes Ungleichgewicht zwischen alten Zetteln und dem Register zurücksetzt.
Q2. Was passiert eigentlich im Inkognito-Modus (privates Surfen)?
A. Du surfst mit einem befristeten Besucherausweis. Jede Mitgliedskarte und jeder Nummernzettel, die du im Inkognito-Fenster erhältst, verfallen in dem Moment, in dem du es schließt ── alles wird auf einen Schlag entsorgt, weshalb weder Verlauf noch Karten auf deinem Gerät zurückbleiben. Aber solange du den Ausweis trägst, siehst du genauso aus wie sonst. Loggst du dich in diesem Fenster ein, steht auf dem Ausweis praktisch dein Name: Das Register der Seite weiß, dass du es bist, wie immer. Was das Netzwerk unterwegs sieht, ändert sich ebenfalls nicht. Inkognito macht dich nicht anonym ── das Einzige, was sich ändert, ist, dass auf deinem Gerät nichts zurückbleibt.
Q3. Wenn ich auf dem Einwilligungsbanner „Ablehnen“ klicke, funktioniert die Seite dann nicht mehr?
A. In fast allen Fällen funktioniert sie ganz normal weiter. Das Banner fragt vor allem nach den Werbe- und Analyse-Karten (Drittanbieter); die Karten der Seite selbst, die für Login und Warenkorb gebraucht werden, gelten in der Regel als „unbedingt erforderlich“ und sind von der Ablehnung nicht betroffen (§4). Möglicherweise siehst du nach dem Ablehnen trotzdem Werbung ── nur eben Werbung, die nicht auf deine Spur zugeschnitten ist.
Q4. Was ist der Unterschied zwischen Cookies und dem Cache? Die werden doch immer zusammen gelöscht.
A. Völlig verschiedene Aufgaben. Das Cookie ist die Mitgliedskarte, die sagt, wer du bist; der Cache ist das Wiederverwenden von Paketen (Bilder und Ähnliches), die du schon einmal erhalten hast. Auch das Löschen unterscheidet sich: Lösch die Cookies, und du bist ausgeloggt; leere den Cache, und die Seiten laden nur eine Weile langsamer. Wie der Cache funktioniert ── die wahre Geschichte hinter „ich habe aktualisiert, aber nichts hat sich geändert“ ── ist ein Thema für einen eigenen Artikel, geplant für einen künftigen Beitrag.
Q5. Ist mein echtes Passwort in einem Cookie gespeichert?
A. Nein. Wie §3 gezeigt hat, trägt der Zettel nur eine Zeilennummer des Registers (die Session-ID); dein Passwort wird im Moment des Logins zur Identitätsprüfung benutzt und reist nie auf dem Zettel mit. Allerdings gilt auch „kein Passwort drin, also sicher“ nicht ── wird der Nummernzettel selbst gestohlen, kann derjenige, der ihn hält, bis zu seinem Ablauf als du handeln. Die Grundlagen zum Schutz deiner Zettel: Melde dich an gemeinsamen PCs ab, und lass andere Menschen nicht an dein Gerät.
Schreibe einen Kommentar