Soll ich alle Cookies blockieren?

Durch das Blockieren aller Cookies wird jede Website beschädigt, die eine Anmeldung erfordert. Blockieren Sie Drittanbieter-Cookies (Standard in modernen Browsern) und verwenden Sie „Beim Schließen des Browsers löschen“ für Erstanbieter-Cookies, wenn Sie eine minimale Persistenz wünschen. Der Pauschalblock-Ansatz ist normalerweise zu schmerzhaft.

Beeinflusst ein VPN Cookies?

Ein VPN ändert Ihre Netzwerkidentität, nicht Ihren Browserstatus. Cookies, die Ihr Browser vor der Aktivierung des VPN gespeichert hat, bleiben bestehen – und identifizieren Sie weiterhin auf diesen Websites, nachdem das VPN eine Verbindung hergestellt hat. Um eine saubere Sitzung zu erhalten, kombinieren Sie das VPN mit einem neuen Browserprofil oder einem privaten Browserfenster.

Was ist ein Sitzungscookie im Vergleich zu einem dauerhaften Cookie?

Für ein Sitzungscookie ist kein Ablaufdatum/maximales Alter festgelegt und es wird gelöscht, wenn der Browser geschlossen wird. Ein persistenter Cookie hat ein explizites Ablaufdatum und bleibt bis dahin bestehen. Die meisten Anmeldesysteme verwenden dauerhafte Cookies mit langer Gültigkeitsdauer, sodass Sie sich nicht bei jedem Besuch erneut anmelden müssen.

Kann ein Cookie einen Virus enthalten?

Nein. Cookies sind lediglich Textzeichenfolgen; sie können nicht ausführen. Das Risiko besteht darin, dass ein Cookie eine Sitzungs-ID enthält, mit der ein Angreifer, der es stiehlt, sich als Sie ausgeben kann. Aus diesem Grund gibt es die Flags „Secure“ und „HttpOnly“.

Wird das Cookie-Banner jemals verschwinden?

Irgendwann werden standardisierte Opt-out-Signale (GPC) die Banner pro Website ersetzen. Der derzeitige Banner-Overhead ist teilweise ein Nebeneffekt der Regulierung, die eine ausdrückliche Zustimmung erfordert, aber keinen einzigen technischen Mechanismus definiert, um diese auszudrücken. Signale auf Browserebene beheben dieses Problem. Die Adoption ist im Gange; Die Banner werden im Laufe der Jahre, nicht Monate, verblassen.

Erklärte HTTP-Cookies: Erstanbieter, Drittanbieter, SameSite und der langsame Tod des Trackings

Cookies sind kleine Textwerte, die Browser speichern und bei jeder Anfrage an eine Website zurücksenden. Sie steuern Anmeldesitzungen, Einkaufswagen und Spracheinstellungen – und dreißig Jahre lang treiben sie das gesamte Web-Werbe-Ökosystem voran. Die technische Mechanik ist einfach. Die politischen Konsequenzen füllen die Regulierungsakten auf drei Kontinenten.

Der vollständige Artikeltext ist unten in englischer Sprache aufgeführt.

Ein HTTP-Cookie ist ein Name-Wert-Paar, das der Server mit einem Set-Cookie-Header an den Browser sendet. Der Browser speichert es und sendet es bei jeder weiteren Anfrage über den Cookie-Header an denselben Ursprung zurück. Jedes Cookie verfügt über eine Domäne, einen Pfad, ein Ablaufdatum und eine Reihe von Flags. Browser begrenzen den Speicher pro Ursprung und insgesamt – typische Grenzwerte sind 50 Cookies pro Domain, jeweils 4 KB.

XPLZ8 Jede nachfolgende Anfrage enthält das Cookie, das es dem Server ermöglicht, Sie ohne erneute Authentifizierung zu identifizieren.

Preferences. Themenauswahl, Sprachauswahl, zuletzt gesehene Banner. Im Klartext gespeichert, kein Server-Roundtrip erforderlich.

XPLZ22 cookie wird von der Website gesetzt, die Sie besuchen – example.com setzt ein Cookie für example.com. Diese unterstützen den legitimen Anwendungsfall „Angemeldet bleiben“. Wenn der Benutzer später eine andere Website besucht, auf der dieser Tracker ebenfalls eingebettet ist, sendet der Browser dasselbe Drittanbieter-Cookie zurück, sodass der Tracker den Benutzer auf beiden Websites erkennen kann. Dies ist das Cross-Site-Tracking, auf dem der Überwachungskapitalismus basiert.

XPLZ40 Firefox folgte 2019 mit Enhanced Tracking Protection. Chrome, das sich zurückhält, weil das Werbegeschäft von Google von ihnen abhängt, hat von 2024 bis 2026 teilweise Einschränkungen eingeführt, wobei eine vollständige Blockierung von Drittanbieter-Cookies geplant ist, aber immer wieder verzögert wird. Ab Ende 2025 blockieren die meisten Browsersitzungen weltweit standardmäßig Drittanbieter-Cookies.

XPLZ44 matter

Secure – das Cookie wird nur über HTTPS gesendet. Obligatorisch für jedes Sitzungscookie. Ein nicht sicheres Sitzungscookie wird im Klartext an ein feindliches Netzwerk gesendet und ist trivialerweise stehbar. Schützt vor XSS-basiertem Sitzungsdiebstahl.
SameSite – steuert, wann das Cookie bei standortübergreifenden Anfragen gesendet wird: Am sichersten, kann einige Cross-Site-Linkflüsse unterbrechen. Moderner Standard.
None: wird bei jeder standortübergreifenden Anfrage gesendet; erfordert Sicher. Wird für die legitime standortübergreifende Einbettung verwendet (z. B. ein vom CDN gehostetes Anmelde-Widget).

Domain – steuert, welche Subdomains das Cookie erhalten. Ein mit Domain=example.com gesetztes Cookie wird an www.example.com, api.example.com usw. gesendet.

Path – beschränkt das Cookie auf URLs unter einem bestimmten Pfad prefix.

Max-Age / Expires – wann das Cookie abläuft. Sitzungscookies (ohne Ablaufdatum) werden gelöscht, wenn der Browser geschlossen wird. localStorage und XPLZ101 Für Daten, die der Server nicht benötigt, ist localStorage effizienter.

Die Cookie-Zustimmungsschicht

GDPR (Europa), CCPA (Kalifornien), LGPD (Brasilien) und mehrere andere verlangen von Websites, dass sie Tracking-Cookies offenlegen und eine Einwilligung einholen. Das Ergebnis ist das Cookie-Banner, das Sie im Jahr 2026 auf jeder Seite sehen – normalerweise mit der Aufschrift „Alle akzeptieren“ und manchmal mit detaillierten Kontrollen. Das standardisierte GPC-Signal (Global Privacy Control) ermöglicht es Benutzern, sich programmgesteuert abzumelden, wird vom kalifornischen Recht anerkannt und von Firefox/DuckDuckGo/Brave übernommen. Die Anerkennung von GPC ist in Kalifornien nun rechtlich durchsetzbar; Weitere Gerichtsbarkeiten folgen. Beim Fingerabdruck wird aus hundert passiven Signalen ein Identifikator aufgebaut. Beim serverseitigen Tagging wird der Tracker hinter einen Erstanbieter-CNAME verschoben, sodass er wie die Website selbst aussieht. Das Cookie mag als primäres Tool aussterben, aber das Ziel – die sitzungsübergreifende Neuidentifizierung – hat ein halbes Dutzend Ersetzungen hervorgebracht.

Häufig gestellte Fragen

Soll ich alle Cookies blockieren?: Durch das Blockieren aller Cookies wird jede Website beschädigt, die eine Anmeldung erfordert. Blockieren Sie Drittanbieter-Cookies (Standard in modernen Browsern) und verwenden Sie „Beim Schließen des Browsers löschen“ für Erstanbieter-Cookies, wenn Sie eine minimale Persistenz wünschen. Der Pauschalblock-Ansatz ist normalerweise zu schmerzhaft.
Beeinflusst ein VPN Cookies?: Ein VPN ändert Ihre Netzwerkidentität, nicht Ihren Browserstatus. Cookies, die Ihr Browser vor der Aktivierung des VPN gespeichert hat, bleiben bestehen – und identifizieren Sie weiterhin auf diesen Websites, nachdem das VPN eine Verbindung hergestellt hat. Um eine saubere Sitzung zu erhalten, kombinieren Sie das VPN mit einem neuen Browserprofil oder einem privaten Browserfenster.
Was ist ein Sitzungscookie im Vergleich zu einem dauerhaften Cookie?: Für ein Sitzungscookie ist kein Ablaufdatum/maximales Alter festgelegt und es wird gelöscht, wenn der Browser geschlossen wird. Ein persistenter Cookie hat ein explizites Ablaufdatum und bleibt bis dahin bestehen. Die meisten Anmeldesysteme verwenden dauerhafte Cookies mit langer Gültigkeitsdauer, sodass Sie sich nicht bei jedem Besuch erneut anmelden müssen.
Kann ein Cookie einen Virus enthalten?: Nein. Cookies sind lediglich Textzeichenfolgen; sie können nicht ausführen. Das Risiko besteht darin, dass ein Cookie eine Sitzungs-ID enthält, mit der ein Angreifer, der es stiehlt, sich als Sie ausgeben kann. Aus diesem Grund gibt es die Flags „Secure“ und „HttpOnly“.
Wird das Cookie-Banner jemals verschwinden?: Irgendwann werden standardisierte Opt-out-Signale (GPC) die Banner pro Website ersetzen. Der derzeitige Banner-Overhead ist teilweise ein Nebeneffekt der Regulierung, die eine ausdrückliche Zustimmung erfordert, aber keinen einzigen technischen Mechanismus definiert, um diese auszudrücken. Signale auf Browserebene beheben dieses Problem. Die Adoption ist im Gange; Die Banner werden im Laufe der Jahre, nicht Monate, verblassen.