Beispiel:

http://www.example.com enthält Werbung von http://ads.ad-example.com.

Die Werbung in Form eines Bildes lädt dann:
http://ads.ad-example.com?site=http://www.example.com

Der Aufruf beschert uns nun einen Cookie zu der Domain des Werbers http://ads.ad-example.com.

Gehe ich nun auf http://www2.example.com, lädt sich dort Werbung wieder über:
http://ads.ad-example.com?site=http://www2.example.com.

Da dieser zweite Aufruf aber wieder den gleichen Cookie abfragt, weiß nun der Werber, dass ich mit der IP XY von Seite A nach B gegangen bin. Teilt nun z.B. Seite B mit, wer ich bin, da der Werber dafür bezahlt, die Seite gehackt wurde oder warum auch immer, dann kann der Werber mich also perfekt einordnen und bewerben. Gut für die Werbung, aber ist das auch gut für uns? Man sollte also genau sehen, wem man seine Daten gibt und wohin die dann gehen.

Glücklicherweise sind wir nicht völlig hilflos dagegen. Es gibt zumindest für Firefox ein AddOn, das Cookies von Dritten ablehnt.

CS Light

Cookie Safe Light ist eine kleine und schlanke Lösung, unsere Cookies zu kontrollieren. Allerdings nervt sie unheimlich, wenn man auf jeder Seite die Cookies freigeben muss. Das bedeutet, dass man sich nirgends anmelden kann und einige Seiten verweigern schon beim ersten Aufruf den Dienst, wenn die Cookies deaktiviert sind.

Wir wollen uns ja auch nur gegen böse Dritte schützen und surfen natürlich so verantwortlich, dass wir den Seiten, die wir ansteuern, trauen können und von denen wir auch Cookies haben wollen. Also geht man in die Einstellungen und setzt unter "Global" -> "Nur von Ursprungs-Site akzeptieren". Das ist dann schon der ganze Trick. Der Werber weiß zwar immer noch durch die übertragenen Daten, welche IP gerade auf welcher Seite ist, aber wir machen es ihm wenigstens ein wenig schwerer und haben keine Leichen im Keller, die auch noch nach Jahren zum Leben erwachen können und Dinge über uns ausplaudern.

Es kann sein, dass eine Seite wie z.B. Microsoft für das live! Login Cookies auf einer anderen Domain braucht. Dies ist dann immer noch von Hand einzustellen, was aber mit ein wenig Nachlesen leicht zu bewältigen ist. Man schneidet also durch diese Einstellungen schon etwas ab, was unter gewissen Umständen sinnvoll sein kann. Aber im Allgemeinen braucht man es einfach nicht und es gibt zu viel Missbrauch.

No script

NoScript tut das gleiche übrigens für Javascript. Es verhindert auch mit einer Einstellung, dass man Skripte von einer anderen als der gerade aktiven Seite hinzulädt. Bei JavaScript ist es allerdings durchaus gängig, dies ohne böse Hintergedanken zu tun. Von daher muss man hier schon darauf achten, die üblichen Seiten freizuschalten, wenn man eine normale JavaScript-Funktion wünscht. NoScript tut auch noch vieles mehr, um uns gegen böses JavaScript zu schützen. Ich finde es aber nervig restriktiv, wenn ich es mit den Standardeinstellungen benutze. Von daher traue ich meinen Seiten und gebe die Top-Level-Domain frei.

Wichtigster Tipp ist aber einfach: Keine Seiten besuchen, die komisch sind. Ein alles-gratis-und-davon-viel.ru ist einfach kein Domain-Name, dem man trauen kann. Immer ein waches Auge haben, bevor man auf die Links klickt.