Im Gegensatz zu Sessions werden Cookies auf dem Computer des Besuchers und nicht auf dem Server der Webseite gespeichert, deshalb können sie gefälscht werden. Zum Beispiel beim Browser Firefox gibt es einen Datei, die so aussehen könnte:

# HTTP Cookie File
# http://www.netscape.com/newsref/std/cookie_spec.html
# This is a generated file! Do not edit.
# To delete cookies, use the Cookie Manager.
forum.php-einfach.de FALSE / FALSE 0 username Max

Der erste Wert gibt an, von welcher Website dieser Cookie stammt, die 0 ist die Lebensdauer des Cookies. Danach folgt der Cookie Name und der Cookiewert.

Natürlich kann jeder den Inhalt auslesen und auch verändern, darum sollte man einem Cookie nicht trauen. Falls ein Angreifer z.B. den Cookie kopiert, dann kann er sich damit als der Besitzer ausgeben.

Cookies werden oft benutzt, um die beliebte Funktion Angemeldet bleiben zu implementieren. Dazu wird auf dem Rechner des Besuchers ein entsprechender, geheimer Wert hinterlegt. Sobald der Besucher die Website erneut besucht, wird dieser Wert im Cookie ausgelesen und sofern alles stimmt, wird der Benutzer eingeloggt. Die Umsetzung dieser Funktion ist nicht ganz einfach, deswegen haben wir diesem Thema einen extra Artikel gewidmet: Angemeldet bleiben.