Cookies erklärt für Laien

Ein Beispiel aus dem Leben

Nehmen wir an, Sie stellen einen Antrag auf einem Amt. Der Beamte gibt Ihnen ein Antragsformular, auf dem eine Aktenzahl notiert ist: 12u5t. Unter dieser Aktenzahl läuft alles weitere – bis hin zum Zahlschein für die Gebühren, damit man feststellen kann, wofür die Zahlung gemacht wurde.

Diese Aktenzahl bezieht sich also nicht auf Sie persönlich, sondern auf das momentane Anliegen, auf einen Vorgang. Wenn Sie zeitgleich auch Ihr Auto abmelden, bekommt dieser Fall eine weitere Aktenzahl, und Sie können viele davon gleichzeitig verwahren. Sie teilen die jeweilige Aktenzahl immer dort mit, wo Sie sie bekommen haben, damit Ihr Akt gefunden wird.

Viele Aktenzahlen

Cookies sind sehr kleine Dateien; ein Virus passt da nicht rein. Aber eine Aktenzahl, das geht. In aller Regel enthält ein Cookie also nur eine Aktenzahl für einen Vorgang, ein Anliegen, und diese ändert sich auch nicht mehr.
Diese Aktenzahl sendet Ihr Browser bei jeder Anfrage dorthin zurück, woher er sie bekommen hat. 
Der Server hat seinerseits ein „Gegenstück“ zu Ihrem Cookie, in das er selbst hineinschreibt. 

Cookies gelten immer nur für eine Domain (also zb beesign.com oder google.com). Ihr Browser weiß, wohin er welches Cookie senden soll. 
Außerdem könnte Google gar nichts mit einem Cookie von beesign (oder umgekehrt) anfangen, weil das Cookie nur die Aktenzahl, aber nicht den dazugehörigen Akt enthält.

Lebensdauer von Cookies

Ein Cookie hat eine eingestellte Lebensdauer, nach der es wieder gelöscht wird. Das kann theoretisch auch „ewig“ sein, in der Praxis wird es aber trotzdem irgendwann vom Browser gelöscht, wenn es länger nicht mehr genutzt wurde.
Abgesehen von den wirklichen Datensammlern werden meist auch nur sogenannte „Session-Cookies“ verwendet: Diese werden meist ca. 1 Stunde nach der letzten Aktivität gelöscht.

Wozu Cookies verwendet werden

Nehmen wir jetzt an, Sie haben in Google gesucht nach „Cookies für Laien erklärt“ und sind nach einem Klick auf dieser Seite hier gelandet.

Dabei wurde Ihnen ein Cookie gesetzt. Warum? Wozu soll das gut sein?

Randfrage:

Warum muss ich bei Kommentaren einen Namen und meine eMail-Adresse angeben?

Die eMail-Adresse wird zwar gespeichert, aber nirgends veröffentlich. Es ist gesetzlich vorgeschrieben, dass es bei Kommentaren eine Möglichkeit für Rückfragen geben muss. Dazu ist die eMail-Adresse gut geeignet, weil sie einzigartig ist. 
An sich dürften Sie uns hierbei auch nicht anflunktern, zum Glück sind wir aber auch nicht verpflichtet, die Richtigkeit zu überprüfen.

Der Name dient lediglich dazu, den Kommentar zu unterstreichen und eine Bezugnahme ("Ich stimme mit Schlumpfine überein...") zu ermöglichen. 

Zum Beispiel: Schutz vor Spam

Am Ende dieser Seite ist ein Formular (hier für einen Kommentar). Solche Formulare werden leider auch sehr gerne von Spammern missbraucht, die dort ihren Müll abladen: „Via*gra billig kaufen“.  Automatisiert mit Programmen können das 100e solcher „Kommentare“ in 2 Minuten sein, wir kommen unmöglich mit dem Löschen nach. 
Das wollen wir natürlich nicht, und mit einem Cookie können wir das auch verhindern.

Das geht so: 

Spammer haben es sehr eilig – sie wollen ja möglichst viel spammen. So wie ein Einbrecher keine Sicherheitstür knackt, sondern sich einfach eine andere - ungesicherte - Tür sucht.

Ein Mensch hingegen liest zuerst diesen Artikel und dann erst schreibt er einen Kommentar. Das dauert viel viel länger.
Wenn wir also die Zeit messen, die vom Erhalt der Seite bis zum Absenden eines Kommentares verging, können wir Menschen von Spam-Programmen unterscheiden.

Ein kurzer Blick auf den technischen Hintergrund
Ihr Browser hat den Server beesign.com kontaktiert und um die Übertragung dieser Seite hier gebeten. 
Der Server schaut nach und stellt fest, dass diese Seite nicht fertig herumliegt, sondern dass er sie erst zusammensetzen muss. Dazu hat er eine Anleitung, und in dieser steht: 
Notiere die genaue Zeit, wann dieser Nutzer die Seite aufgerufen hat.

Es gibt viele Nutzer gleichzeitig, und für den Server ist es normalerweise einerlei, wer gerade was wollte. 
Nun muss er aber notieren, wann genau DIESER Nutzer die Seite angefordert hat.
Dazu teilt er Ihrem Browser eine Aktenzahl mit und bitten ihn, diese zu notieren. Der Server notiert sie ebenfalls und dazu auch gleich die genaue Zeit.

Nach einigen Minuten haben Sie den Artikel gelesen und – zum Dank, weil Sie sich jetzt endlich auskennen – einen Kommentar geschrieben: „Danke, jetzt kenne ich mich endlich aus!“
Sie klicken auf den Absenden-Schalter.
Ihr Browser kontaktiert jetzt wiederum den Server beesign.com und bittet ihn, die übertragenen Daten zu speichern. Dabei sendet der Browser das Cookie – also die Aktenzahl – mit.

Der Server muss auch jetzt die Antwort erst zusammenbauen und findet in der Anleitung: Suche die Notiz mit der gesendeten Aktenzahl und berechne, wie lange der Nutzer gebraucht hat. Wenn es länger als 30 Sekunden waren, mache wie gewünscht und antworte mit „OK“, ansonsten vergiss den Kommentar und antworte mit „Böser Spammer du!“. 

Was passiert, wenn ich Cookies verweigere?

Der Server liefert die angefragte Seite ganz normal aus, und bittet Ihren Browser, ein Cookie zu setzen – ob der Browser das tatsächlich tut, erfährt der Server nicht.

In diesem Fall hier würden Sie erst einen Unterschied bemerken, wenn Sie ein Formular absenden: Da Ihr Browser dabei kein Cookie mitsendet, kann der Server nicht feststellen wie lange Sie vorher auf der Seite waren. Sie werden also die Antwort „Böser Spammer“ bekommen und der Kommentar wird verworfen. Das klingt hart, aber: zu 99,9% wären Sie tatsächlich ein Spammer. 

Hier auf beesign.com sind alle Formulare so gesichert, also Kommentare, Kontakt, Newsletteranmeldung usw. Wenn wir das nicht machen würden, wäre der Teufel los, wir hätten tausende Spam-Mails und -Kommentare; jeden Tag.

Sind Cookies also gar nicht böse?

Wie immer: Es hängt davon ab, was man damit macht. Da auf dem Server ein Gegenstück zu Ihrem Cookie existiert, kann der Server notieren, was und wieviel auch immer - und damit machen, was eben programmiert wurde.

Dazu noch eine schlechte Nachricht: Es geht auch ohne Cookies, weil es mehrere Methoden gibt, einen Nutzer genau zu identifizieren. Und die großen Datensammler kennen und nutzen diese Tricks alle. 
Glauben Sie also nicht, dass Sie von Facebook, Google, Amazon, NSA…. nicht mehr erkannt werden, wenn Sie Cookies ausschalten.
Mit ausgeschalteten Cookies haben Sie also alle Nachteile, aber das was Sie eigentlich wollten: Nicht ausspioniert zu werden – das haben Sie nicht.

Bei kleinen privaten oder gewerblichen Websites kommt viel zu wenig an Daten zusammen, als dass sich ein „Ausspionieren“ überhaupt lohnen würde, der Aufwand wäre aber sehr hoch.
Also verwendet man einfach Session-Cookies für nötige kleine Funktionen, und wenn jemand Cookies ausgeschaltet hat, ist es egal.