Cross Domain Cookies
Als Cross Domain Cookie wird eine Technik bezeichnet, die der Übertragung von Session-Informationen von einer auf eine oder mehrere andere Domains, dient. Damit sind Userdaten nicht allein auf der erzeugenden Domäne sondern auch auf anderen Internetseiten eines kooperierenden Netzwerks nutzbar. Während man bei reinem User-Tracking eher eine getrennte (Sub-)Domain nutzen sollte, ist dies bei vielen Anwendungen nicht mehr praktikabel.
Geht es nur im ein einfaches User-Tracking, so können Cookies beispielsweise über ein eingebettetes Element – etwa ein transparentes GIF-Bild – auf einer externen Domain gesammelt werden. Unter der URL des Bildes läuft dann ein Script, welches Cookies setzt, die im Zuge des Dateiabrufs übergebenen Parameter verarbeitet und schließlich das Bild ausliefert. Auch für die Performance der getrackten Homepage ergeben sich aus dieser Vorgehensweise Vorteile. Schließlich müssen die zum Teil umfangreichen, bei Cookies allerdings nötigen, Request- und Response-Header nur bei Zugriffen auf die mit dem Tracking betraute Domain verschickt werden. Zwar ist diese Variante zum Tracking des Benutzerverhaltens aber längst nicht bei jedem Anwendungsszenario geeignet. Das liegt daran, dass Cookiedaten auf einer externen Domain verwaltet werden, auf die zugleich auch ihre Gütigkeit beschränkt ist.
Nebenbei bemerkt: Da viele Internetnutzer, aufgrund entsprechender Einstellungen ihrer Browseranwendung, Cookies nur von der Domain akzeptieren, auf der sich die gerade aufgerufene Website befindet, laufen Tracking-Cookies häufig ins Leere. Besucher mit den entsprechenden Einstellungen – etwa nach Deaktivieren der Option „Cookies von Drittanbietern akzeptieren” in den Browsereinstellungen von Firefox – fallen damit aus der Menge der getrackten User heraus und die Statistiken werden hierdurch unnötigerweise entsprechend verfälscht. Infolge dessen sollte eine derartige Vorgehensweise beim User-Tracking nach Möglichkeit vermieden werden. Im Falle einer Beauftragung eines Fremdanbieters spielen auch datenschutzrechtliche Aspekte gerade beim Benutzer-Tracking eine nicht unerhebliche Rolle. Schließlich erhält ein externer Anbieter genauen Einblick in das Verhalten der Seitenbesucher und speichert womöglich mehr Informationen als benötigt. Abgesehen davon bleiben die Informationen bei einer Inhouse-Lösung im internen Umfeld und sind somit auch nicht so leicht durch Dritte einsehbar.
Sollen Session-Informationen bei der Verarbeitung von Seitenanfragen direkten Einfluß auf das Verhalten oder die dargestellten Elemente einer Website haben, so werden sie im Kontext der Domain benötigt, auf der ein Webservice läuft. Benötigt man die User-Informationen also nicht nur zum Zwecke des Trackings, so müssen sie auf der Domain gültig sein, die sie zur Verarbeitung benötigt. Sollen Cookies auf mehreren Domains gleichzeitig – und mit dem selben Informationsgehalt – genutzt werden können, so müssen Cookiedaten über eine entsprechende Schnittstelle an andere Domains verteilt werden.
Bei Cross Domain Cookies erfolgt letztlich eine Ausweitung der Gültigkeit von Cookiedaten auf mehrere unterschiedliche Domains. Cookies werden auf einer Domain – und zwar auf derjenigen aus dem kooperierenden Netzwerk, auf der ein Seitenbesucher das erste Mal aufschlägt – definiert und dann per eingebetteten Elementen unter den anderen Domains verteilt. Ähnlich wie beim Bentzer-Tracking auf einer externen Domäne tritt auch hier das oben beschriebene Problem mit dem Setzen von Cookies von Drittanbietern auf. Auch wenn die Domäne zum eigenen Seitennetzwerk gehört: Für den Browser handelt es sich natürlich formal um einen Drittanbieter.
Die Verteilung erfolgt, indem auf der Internetseite, auf der sich ein Besucher befindet, eingebettete Elemente existieren, die auf anderen, dem Netzwerk zugehörigen, Domains gehostet werden und die Cookie-Informationen – beispielsweise die automatisch vergebene Session-ID – zum Beispiel per Parameter in der URL des jeweiligen externen Elements übergeben. Das Verfahren ist relativ anfällig gegen Übergabe von falschen Informationen, wenn die Cookies bei deren Übergabe nicht auf deren Gültigkeit geprüft werden – z.B. indem die übergebene Session-ID mit der in einer zentralen Datenbank gespeicherten Liste von im Seitennetzwerk gültigen Session-IDs abgeglichen wird.
Zwar bietet ein Cross Domain Cookie zusätzliche Informationen bezüglich des Bewegungsmusters von Seitenbesuchern im eigenen Seitennetzwerk, allerdings muss für jede Website, zu der eine solche Verbindung besteht, ein externes Seitenelement in jede einzelne Internetseite eingebaut werden. Je größer das Netzwerk, desto zahlreicher werden also auch die Elemente, welche auf der Website eingebunden werden müssen und jede einzelne benötigt einen eigenen HTTP-Request. Dies wirkt sich nicht eben positiv auf die Latenzzeiten der im Netzwerk enthaltenen Websites aus.