Wie liest ein Site Owner die Cookies und Web Storage Daten?

[Eugen Gregor]

Ich kann mit geeigneten Bordmitteln Cookies und Local Storage Daten
lesen, welche die Website-Betreiber auf meiner Festplatte abgelegt
haben.
Frage:
Wie liest der Website-Betreiber die Cookies/ Local Storage Daten aus
seinen besuchten
Seiten aus, d.h. wie greift er auf die Festplatte des Besuchers zu?
Wie liest er die Cookies / Local Storage Daten von mehreren
Besucher-Festplatten (z.B. 10 -
100 - 1000) aus?
Hinweis: Ich kenne einfache Javascript-Funktionen und einfache Local
Storage Funktionen zum Auslesen.
Thx vorab für Infos.
--
Eugen Gregor

[Marco Moock]

| Übertragung in den Kopfzeilen (dem Header) von Anfragen und
| Antworten via HTTP. Cookies im Client entstehen, wenn bei dessen
| Zugriff auf einen Webserver neben anderen HTTP-Kopfzeilen in der
| Antwort des Servers zusätzlich eine Cookie-Zeile übertragen wird
| (siehe Aufbau). Außerdem kann ein Cookie lokal durch JavaScript
| oder weitere Skriptsprachen erzeugt werden. Das Skript befindet
| sich in der vom Server übermittelten Webseite.
https://de.wikipedia.org/wiki/HTTP-Cookie#Funktionsweise

Wie das von der Platte in den Header kommt ist Sache des Browsers.

[Andreas Wagner]

Hallo Eugen!

Soweit ich mich erinnere, werden die Cookies bei jeder HTTP(S)-Anfrage
in den Headern an den Server gesendet.

Es grüßt
Andreas

[Eugen Gregor]

On Sat, 27 Aug 2022 15:49:33 +0200, Eugen Gregor
<neusch...@gmail.com> wrote:

@Holzer, Wagner, Moock - thx für die Infos.
Ich formuliere meine Frage anders:
Eine Webpage hatte gestern zehn Besucher. Kann nun der
Website-Betreiber vor dem Bildschirm an seinem Server sitzen und die
zehn Seitenbesucher im Nachhinein "ausspähen"?

Andererseits: das Cookie geht ja vom Server zum Client, was also soll
der Mann am Schirm seines Servers sehen? Allenfalls, welcher Client
mit welcher IP, mit welchem Browser etc. das Cookie angefordert hat.
--
Eugen Gregor

[Marco Moock]

Am Sonntag, 28. August 2022, um 11:13:11 Uhr schrieb Eugen Gregor:

> Eine Webpage hatte gestern zehn Besucher. Kann nun der
> Website-Betreiber vor dem Bildschirm an seinem Server sitzen und die
> zehn Seitenbesucher im Nachhinein "ausspähen"?
>
> Andererseits: das Cookie geht ja vom Server zum Client, was also soll
> der Mann am Schirm seines Servers sehen? Allenfalls, welcher Client
> mit welcher IP, mit welchem Browser etc. das Cookie angefordert hat.

Im Cookie kann man jedem Besucher eine eindeutige ID mitschicken. Diese
kann man speichern und dann mit den empfangenen Cookies vergleichen.

Wenn die die Cookies noch haben (Standard bei den Browsern) ist so eine
Identifikation problemlos möglich.
Ebenso können der Inhalt des User-Agent (unabhängig von Cookie) und
IP-Adressen samt Ports gespeichert werden.

Eine eindeutige Identifizierung mit einem Cookie ist möglich und wird
gerne praktiziert.

[Peter J. Holzer]

On 2022-08-28 09:13, Eugen Gregor <neusch...@gmail.com> wrote:
> On Sat, 27 Aug 2022 15:49:33 +0200, Eugen Gregor
><neusch...@gmail.com> wrote:
>
> @Holzer, Wagner, Moock - thx für die Infos.
> Ich formuliere meine Frage anders:
> Eine Webpage hatte gestern zehn Besucher. Kann nun der
> Website-Betreiber vor dem Bildschirm an seinem Server sitzen und die
> zehn Seitenbesucher im Nachhinein "ausspähen"?

Nein.

Er kann aber z.B. erkennen, ob die Besucher "neu"[1] waren oder
"Stammgäste". Und wenn die Cookies mit anderen Daten verknüpft wurden
(vielleicht die E-Mail-Adresse, weil er einen Newsletter subskribiert
hat, oder welche Produkte im Webshop angeschaut wurden), dann kann er
diesen Zusammenhang wieder herstellen.

> Andererseits: das Cookie geht ja vom Server zum Client, was also soll
> der Mann am Schirm seines Servers sehen?

Sie gehen in beide Richtungen. Im Normalfall[2] erzeugt das Cookie und
schickt es an den Client und der schickt es dann mit jedem Request
wieder mit. Serverseitig sieht man also dann eine Folge von Requests,
die garantiert vom gleichen Browser (und damit wahrscheinlich von der
gleichen Person) stammen und kann die korrelieren.

Vielleicht sollte man noch erwähnen, dass Cookies keineswegs eindeutig
sein müssen. Wenn man einen User eindeutig identifizieren will, braucht
man natürlich ein eindeutiges Cookie (typischerweise eine zufällig
erzeugte Id). Aber manchmal will man vielleicht nur speichern, ob der
User schon eine bestimmte Information gesehen hat, oder dass er ein
bestimmtes Theme bevorzugt. In dem Fall bekommen dann viele User das
gleiche Cookie und sind nicht am Cookie erkennbar.

> Allenfalls, welcher Client mit welcher IP, mit welchem Browser etc.
> das Cookie angefordert hat.

[1] Für ziemlich vage Definitionen von "neu". Gleiche Person mit anderem
Browser oder anderem Gerät wird im Normalfall nicht erkannt.
Außerdem können Cookies gelöscht werden, es gibt "private" Fenster.
Umgekehrt können sich mehrere Personen einen Browser teilen ...

[2] Zumindest war das der ursprüngliche Anwendungsfall. Bin mir nicht
sicher, ob nicht inzwischen mehr Cookies clientseitig mittels
JavaScript erzeugt werden.

[Andreas Wagner]

Wenn ich das richtig verstehehe, geben Facebook und Co. den
Webseitenbetreibern eine eindeutige ID für interessenbezogene Werbung.
Die Daten von diesen Dritten werden dann in einen "iframe" geladen
(Like-Button, Werbebanner und so).

Ob der Webseitenbetrieber von den Dritten Informationen bekommt, kann
ich nicht sagen, aber diese Dritten können verfolgen, wo du warst.

Zu diesen Dritten gehört (KORRIGIERT MICH, WENN ICH MICH IRRE!!!)
Microsoft, mit ihrem Werbe-ID-Kram, dem man bei der Einrichtung des
Systems zustimmen kann.

Beste Grüße
Andreas

[Eugen Gregor]

On Mon, 29 Aug 2022 01:46:43 +0200, Andreas Wagner
<andreas...@web.de> wrote:

Thx für alle Hinweise.
Ich kann es verstehen z.B. bei PHP, das läuft server-seitig, da kann
ich die Seiten-Besuche (verbotenerweise, zumindest grenzwertig)
beobachten.
Wie geht das per Cookie, HTML und Javascript? Gibt es spezielle Tools
zum Auslesen der Informationen aller meiner Seiten-Besucher? Ich kann
den Besuchern natürlich eine ID mitschicken, aber wie bekomme ich die
Rück-Info, wenn alles nur auf den Clients ist? Doch irgendwie über
eine versteckte Serversprache wie PHP oder Python?
--
Eugen Gregor

[Marco Moock]

Am Mittwoch, 31. August 2022, um 11:43:31 Uhr schrieb Eugen Gregor:

> Wie geht das per Cookie, HTML und Javascript? Gibt es spezielle Tools
> zum Auslesen der Informationen aller meiner Seiten-Besucher? Ich kann
> den Besuchern natürlich eine ID mitschicken, aber wie bekomme ich die
> Rück-Info, wenn alles nur auf den Clients ist? Doch irgendwie über
> eine versteckte Serversprache wie PHP oder Python?

Nein, sofern im Browser Cookies gespeichert sind, schickt der die in
den HTTP-Headern an deinen Webserver.
Da musst du dann nen Weg finden, die rauszuholen. Apache& Co sollten
das können.

[Helmut Waitzmann]

Eugen Gregor <neusch...@gmail.com>:

> On Mon, 29 Aug 2022 01:46:43 +0200, Andreas Wagner
> <andreas...@web.de> wrote:
>
> Thx für alle Hinweise.
>
> Ich kann es verstehen z.B. bei PHP, das läuft server-seitig, da
> kann ich die Seiten-Besuche (verbotenerweise, zumindest
> grenzwertig) beobachten.
> Wie geht das per Cookie, HTML und Javascript?
>

Vielleicht hilft dir ein Vergleich mit handgreiflicheren Dingen
als Cookies?

Stell dir einen Ladeninhaber vor, der allen seinen Kunden eine
Kundenkarte ausstellt.  Er gibt den Kunden, die mit ihrer
Kundenkarte einkaufen, ab dem zweiten Ladenbesuch Rabatt, wenn
sie ihre Kundenkarte vorzeigen.

Dadurch, dass er den Rabatt erst beim zweiten Mal gewährt, macht
er es für die Kunden unattraktiv, sich bei jedem Ladenbesuch eine
neue Kundenkarte ausstellen zu lassen (und die alte wegzuwerfen).

=> Er kann jeden seiner Kunden, der seine Kundenkarte vorzeigt,
wiedererkennen.  Er kann sich deshalb aufschreiben, was der Kunde
eingekauft hat, kann beobachten, welche Angebote im Laden sich
der Kunde ansieht, und kann ihm deshalb, wenn er das nächste Mal
kommt, gleich am Eingang einen auf ihn zugeschnittenen
Werbezettel mit Sonderangeboten in die Hand drücken.

Um das zu können, muss er bei den Kunden weder ins Haus
einsteigen noch einen Spion als deren Hausangestellten abstellen,
und er braucht auch keinen versteckten Röntgenapparat am
Ladeneingang.  Die Kundenkarte und das Kassensystem, das nicht
nur jeden Kassenzettel sondern auch die Kundenkartennummer der
Kundenkarte, die den Rabatt erhalten hat, speichert, genügt.

Das Cookie ist direkt mit der Kundenkarte vergleichbar.  Die
Webserverlogs sind direkt mit dem Kassensystem vergleichbar.

> Gibt es spezielle Tools zum Auslesen der Informationen aller
> meiner Seiten-Besucher?

Ich nehme an, es gibt Software zur Analyse der Webserverlogs.

> Ich kann den Besuchern natürlich eine ID mitschicken,
>

So, wie die Kunden beim Betreten des Ladens ihre Kundenkarte
vorzeigen, um Rabatte zu erhalten, so zeigen die WWW‐Browser der
Kunden des Webservers ihre Cookies vor, um «ein besseres
Nutzererlebnis» zu erfahren.

> aber wie bekomme ich die Rück-Info, wenn alles nur auf den
> Clients ist?

Die Serverlogs, in denen steht, welches Cookie welchen URL
aufgerufen hat, sind auf dem Server, nicht auf den Clients.

> Doch irgendwie über eine versteckte Serversprache wie PHP oder
> Python?

Einen versteckten Röntgenapparat am Ladeneingang, einen Spion im
Kundenhaushalt oder einen Einbruch bei den Kunden zuhause braucht
es dafür nicht.

[Andreas Wagner]

Am 31.08.2022 um 11:43 schrieb Eugen Gregor:
> Wie geht das per Cookie, HTML und Javascript? Gibt es spezielle Tools
> zum Auslesen der Informationen aller meiner Seiten-Besucher? Ich kann
> den Besuchern natürlich eine ID mitschicken, aber wie bekomme ich die
> Rück-Info, wenn alles nur auf den Clients ist? Doch irgendwie über
> eine versteckte Serversprache wie PHP oder Python?

<https://www.w3schools.com/php/php_cookies.asp> ist da sehr aussagekräftig.

Gruß
Andreas

[Eugen Gregor]

On Sat, 27 Aug 2022 15:49:33 +0200, Eugen Gregor
<neusch...@gmail.com> wrote:

Thx euch allen für die Aufklärungstexte. Ich glaube, ich habe es jetzt
kapiert.
--
Eugen Gregor