Cookies lesen, was macht "das" Cookie

[kuzdu]

Hi,

ich habe mal ne Frage und zwar hab ich einfach mal in meinen Opera Einstellungen bissl rumgeguckt und hab mir die Cookies verwaltung angeguckt.

Jetzt war da sone "Mini-Game"-Seite, die einen Cookie bei mir gesetzt hat.

Der sieht so aus:

Herkunft: "Mini-Games-Website"
Name: __utma
106483102.1185972385.1.1.utmccn=(direct)|utmcsr=(direct)|utmcmd=(none)

Das Cookie läuft 2036 ab.

Ich wüsste jetzt einfach mal, was das: "106483102.1185972385.1.1.utmccn=(direct)|utmcsr=(direct)|utmcmd=(none)" bedeutet, denn es sagt mir nichts.

Ich wusste nicht genau wie ich google danach füttern sollte, ich weiß jetzt zwar "was" ein Cookie ist, aber ich habe keine Ahnung wie man ihn liest.

Also was macht dieser Cookie, was bringt er den Webseitenbetreibern?
Edit:
Ähm ich würde mich natürlich sehr über eine Erklärung freuen, wie ihr auf eure "Lösung" gekommen seid, damit ichs für andere Cookies evtl auch nachvollziehen kann.

greetz

kuzdu

 

[lightsaver]

also ich denke mal, wenn man das spiel kennt, könnte man vielleicht auf die bedeutung kommen, ansonsten dürfte es schwierig werden. das liegt einfach daran, dass es keinen speziellen aufbau für den inhalt von cookies gibt. du könntest dir eine webseite erstellen, die einen cookie mit dem inhalt 4711 schreibt, weil dieses 4711 für dich irgendwas bedeutet (z.b. am 4.7.2011 hast du einen termin und willst dich so daran erinnern lassen) oder du machst einfach nur xyz da rein.

das was der cookie letztendlich bedeutet hängt halt von dem ersteller ab.

du kannst dir ja einfach mal als beispiel http://tut.php-q.net/cookies.html ansehen. das macht das ganze nochmal deutlicher, selbst wenn du nicht wirklich php programmieren kannst

 

[keksinat0r]

Wie lightsaver schon beschrieben hat hängt die "Bedeutung" eines Cookies einzig und allein vom Ersteller ab.

Ofl werden Cookies dazu verwendet um ( wie zB hier im HaBo ) deine Login zu speichern.
Ohne Cookie müsstest du dich bei jedem Seitenaufruf neu Anmelden, was ziemlich nervtötend wäre.
Jetzt wird deinem Browser aber ein (oder mehrere) Cookies mit deiner Login, zB in Form einer Session-ID gesendet, die der Browser dann bei jedem Seitenaufruf wieder an den Server schickt, und daran erkennt dass du als user "xyz" auf der Seite bereits angemeldet bist - sozusagen eine automatisierte Anmeldung.

Oft werden Cookies aber auch benutzt um bestimmte Einstellungen eines Clienten zu speichern, zB bei mehrsprachigen Seiten deine ausgewählte Sprache, damit du nicht bei jedem Seitenaufruf die Sprache neu auswählen musst...

Theoretisch kann in einem Cookie aber alles gespeichert werden was der Programmierer der Seite wünscht.

MFG - Keks

 

[EL]

Theoretisch kann in einem Cookie aber alles gespeichert werden was der Programmierer der Seite wünscht.

ganz genau so ist es! Leider kann man meineswissens, lass mich gern eines besseren belehren, auch mit browserplugins & co nicht bestimmen was ein cookie tatsächlich macht....der grösste missbrauch von cookies ist einfach marktforschung...
...man automatisiert die interessengebiete einzelner kunden, evtl. auch email adressen und kann so gezielt werbung beim verbraucher absetzen....

 

[keksinat0r]

Original von EL... Leider kann man meineswissens, lass mich gern eines besseren belehren, auch mit browserplugins & co nicht bestimmen was ein cookie tatsächlich macht...

Exakt. Du hast idR. ja keinen Zugriff auf den Sever, und somit auch nicht auf das Script, dass den Cookie "verwertet".
Und da der Browser sowieso immer alle Cookie der angeforderten Seite (und ggf. Pfad) mitschickt, kannst du auch nicht nachprüfen wann und wo der entsprechende Cookie "benutzt" wurde...

Wem das nicht passt, der kann ja immernoch Cookies von seinem Browser blockieren lassen...

MFG - Keks

[ edit ]
Um es vielleicht nocheinmal zu verdeutlichen:
Ein Cookie ist quasi soetwas wie ein Merkzettel, der vom Server an den Clienten geschickt wird, und den der Client jedesmal bei einem Seitenaufruf, wieder dem Server "zeigt"

 

[valenterry]

Naja ein paar Möglichkeiten gäbe es schon.
Man kann ja versuchen herauszufinden, ob es Probleme mit abgeschalteten Cookies gibt. Wenn man eins gefunden hat, kann man versuchen durch eigene Aktionen den Wert vom Server ändern zu lassen. Oder man ändert ihn selbst und guckt dann, was passiert.
Geht natürlich nur, wenn der Inhalt nicht verschlüsselt ist.

 

[Vanakoko]

wenn der hersteller aber in cookies alles speichern kann, ist das dann nicht ein großes risiko für den anwender weil, ausgenommen vom möglichen spam, auch 'schlimmeres' passieren kann, sprich maleware, oder funktioniert das nicht weil cookies bloße textdateien sind?!

 

[kuzdu]

Original von Vanakoko
wenn der hersteller aber in cookies alles speichern kann, ist das dann nicht ein großes risiko für den anwender weil, ausgenommen vom möglichen spam, auch 'schlimmeres' passieren kann, sprich maleware, oder funktioniert das nicht weil cookies bloße textdateien sind?!

Ich habe meine ich gelesen, dass es wegen i-einen Grund nicht möglich ist, Viren oder andere schlimme Dinge durch oder bessere gesagt in Cookies zu lagern.

Warum weiß ich leider nicht mehr, musst einfach mal google anwerfen.

Ansonsten vielen Dank, ich habe einfach mal zum Ausprobieren, alle Cookies geblockt und ich merke keinen Unterschied auf der Games-Seite.

Ich persönlich würde einfach mal darauf schätzen, dass es mitm Counter zu tun hat (wobei dieser auch mit Ip-Geschaltet sein müsste, weil es sonst eher einem Hitcounter gleichen würde, da man Cookies nicht immer aktiviert haben muss).

 

[lightsaver]

cookies werden nicht auf den pcs ausgeführt, damit kann auch eigentlich kein schadcode auf diese weise auf den rechner gelangen.

 

[keksinat0r]

exakt.
Cookies sind auf dem Clientrechner reine Textdateien die der Client einfach (wie ich schon beschrieben habe) wie ein "Merkzettel" an den Server schickt.
Eine Infiltration des Clientsystems ist dadurch nicht möglich.

 

[Heinzelotto]

wär ja auch schön blöd...

 

[Easyrider]

-->Google Analytics<--

Ich wusste ich hatte das schonmal "gehört".

Stichwort Urchin Web Analytics.(UTM)

..."1st party" cookies to keep track of first time and returning visitors. This cookie identifier is a communication tag only viewable to your web server in the same nature as session ids. It is not a third party cookie, which provides information outside your system, violating many privacy policies.

Quelle: http://www.google.com/support/urchin45/bin/answer.py?answer=28710

 

[sw33tlull4by]

Wenn es sich also um einen Merkzettel handelt welcher im Server bestimmte aktionenen ausloesst, dann muesste es aber doch rein theoretisch moeglich sein einen extrem schlecth configurierten Server ueber einen "umgebauten" Cookie zu inflitieren, oder sonst irgendwelschen schlimmen sachen machen, Stichwort "SessionHighjacking"
Aber in diesem zusammenhang interessiert mich mal, wie weit man damit kommt, bzw an welche Grenzen man stoesst.
mfg

sweet

 

[valenterry]

Original von sw33tlull4by
Wenn es sich also um einen Merkzettel handelt welcher im Server bestimmte aktionenen ausloesst, dann muesste es aber doch rein theoretisch moeglich sein einen extrem schlecth configurierten Server ueber einen "umgebauten" Cookie zu inflitieren, oder sonst irgendwelschen schlimmen sachen machen, Stichwort "SessionHighjacking"
Aber in diesem zusammenhang interessiert mich mal, wie weit man damit kommt, bzw an welche Grenzen man stoesst.
mfg

sweet

Es kommt dabei weniger auf den Server als auf den Programmierer an. Wenn der Mist baut und den Userinput nicht entsprechend validiert dann ist es sehr wohl möglich mit Cookies irgendetwas anzustellen.

 

[bitmuncher]

Die Grenze ist, dass Daten aus einem Cookie im Normalfall in eine Variable eingelesen und dort geparsed werden damit sie weiterverarbeitet werden koennen. Dadurch veraendern sich die urspruenglichen Daten des Cookies und solange du nicht weisst, was genau mit den Daten passiert, wirst du auch nichts machen koennen, was den Server irgendwie gefaehrdet.

 

[keksinat0r]

Ein ganz mießes Sessionscript würde zB so aussehen:

if( $_COOKIE['session'] ){
  session_id( $_COOKIE['session'] );
  session_start();
}else{
  echo $login_maske;
}

Hier wird einfach geprüft ob der Session-Cookie gesetzt ist, und wenn ja wird die entsprechende Session einfach ohne jegliche Prüfungen gestartet.

Also könnte theoretisch jede x-beliebige Session, durch manipulation des Cookies, vom Clienten gestartet werden.

Wenn ich Session-Cookies verwende, setze ich immer 2 Cookies.
Einen verschlüsselten Session-Cookie, der die Session-ID und die User-ID des angemeldeten Users enthällt, und einen weiteren Cookie der einen Salted-Hash des ersten Cookies enthällt.
So wird es wesentlich schwieriger eien Cookie zu manipulieren, wobei ich sowieso nicht viel von PHP's Sessions halte, aber das is n anderes Thema...