Wenn man auf Forenbeiträge, Artikel oder irgendeinen Output eines Content Management Systems verlinkt, sollte man einen Blick auf die URL werfen.
Eben habe ich zum Beispiel einen Beitrag aus dem Tagesschau-Forum verlinkt. Die Internetadresse, die ich aus der Adressezeile des Browsers kopiert habe, lautete
http://forum.tagesschau.de/showthread.php?s=1f9f5fe93edaf4862ddaea643ba0e364&t=25042
Kauderwelsch. Was soll man da rauslesen? Nun: In dieser URL werden zwei Daten angegeben, mit deren Hilfe der Servcer der Tagesschau den korrekten Forenbeitrag heraussucht: Der eine Parameter heißt s und ist in diesem Fall gleich 1f9f5fe93edaf4862ddaea643ba0e374. Der zweite Parameter heißt t und hat den Wert 25042.
Was macht mit dieser nervenaufreibenden Erkenntnis? Nun, man experimentiert ein wenig und stellt fest, dass man den Parameter s weglassen kann – und man kommt immer noch zum gleichen Forenbeitrag.
http://forum.tagesschau.de/showthread.php?t=25042
Der Parameter s wird also benutzt, um Daten an den Tagesschau-Server zu senden, die nicht zur Identifizierung des Forenbeitrags dienen. Im Gegenteil: sie betreffen den Nutzer, beziehungsweise seinen Browser. Das ist nicht unbedingt böser Wille, solche Session-IDs sind bei vielen Internetforen notwendig sind, um dem User die volle Funktionalität der Seite zu gewähren. So will man sich ja nicht nach jedem Klick neu identifizieren müssen.
Was passiert, wenn man die Session-ID einfach in einem Forenposting mit postet.? Im Normalfall wohl nichts. Allerdings wird der Forenserver mit einigen Daten zugemüllt, die er nicht brauchen kann und die er aussortieren muss. Manchmal enden die User auch auf einer Fehlerseite und bekommen den Inhalt gar nicht zu sehen, auf den der Blogger hinweisen wollte.
Nicht ganz so harmlos sind die Möglichkeiten des Usertrackings. Über solche Session-IDs und ähnliche Spielereien können Serverbesitzer recht viele Daten gewinnen: Wer hat wem welchen Link gegeben, auf welchen Link in welcher Mail hat der User geklickt, etc. Spammer nutzen dies sehr intensiv zur Erfolgskontrolle – wer den falschen Link anklickt, bekommt in Zukunft die dreifache Portion Spam. Aber auch normale Unternehmen nutzen dies, um ihre Werbemaßnahmen etwas zielgerichteter auf die Kaufrezeptoren der Kundschaft zu richten.
Deshalb: Entfernt bitte Session-IDs aus den Links, die Ihr postet.