Cookies sind kleine Datenschnipsel, die der Browser auf Anforderung durch einen Web-Server auf der Festplatte ablegt. Sie enthalten – mehr oder weniger kodiert – Informationen, mit denen der Web-Server den Besucher beim nächsten Besuch oder auf den Folgeseiten wiedererkennen kann, meist eine Art Identifikationscode (ID). Die Informationen, die der Server über den Besucher gesammelt hat, speichert er nicht in Cookies, sondern zusammen mit der ID in einer Datenbank. Mit der nächsten Anfrage an den Server liefert der Browser das Cookie automatisch mit, so dass dieser den Benutzer „wiedererkennen“ kann. So sind beispielsweise viele Online-Shops realisiert, bei denen der Besucher über mehrere Seiten hinweg seinen virtuellen Einkaufskorb füllt. Auch viele der personalisierten Seiten auf Portalen arbeiten mit Cookies.

Natürlich können Firmen über Cookies auch Profile über die Vorlieben ihrer Benutzer anlegen. Werbeagenturen wie DoubleClick verteilen mit ihren Anzeigenbannern Cookies auf Tausenden von Web-Sites. So können sie die Surfgewohnheiten im großen Stil verfolgen. Cookies betreffen somit primär die Privatsphäre der Surfer.

Zum Sicherheitsproblem werden Cookies, wenn sie in die falschen Hände gelangen. Normalerweise bekommt ein Server nur die Cookies für seine Domain - also beispielsweise kempametall.de – zu Gesicht. Kann ein Angreifer durch so genannte Cross-Site-Scripting-Angriffe auf fremde Cookies zugreifen, kann er damit unter Umständen die Identität seines Opfers übernehmen und beispielsweise dessen hinterlegte Daten einsehen.

Da inzwischen viele Web-Surfer Cookies abgeschaltet haben, mussten sich die werbetreibenden Datensammler etwas Neues einfallen lassen, das man nicht einfach abschalten kann oder wird. Wie diverse Web-Counter (z.B. der von IVW) bauen sie zum Beispiel vermehrt kleine, 1x1 Pixel große transparente GIF-Dateien in die Seiten ein, so genannte „Web Bugs“.

Man kann zwar den Browser so einstellen, dass er Cookies nur auf Nachfrage akzeptiert. In der Praxis überfluten den Surfer dann jedoch manche Sites mit so vielen dieser Dialogboxen, dass man mit dem Klicken gar nicht hinterherkommt. Als Kompromiss kann man Cookies nur von Servern akzeptieren, deren Seiten man gerade besucht oder die Cookies gelegentlich ausmisten. Firefox und Opera bieten bereits Funktionen, die das selektive Löschen von Cookies ermöglichen. Der Internet Explorer wird eine solche Option in Version 7 enthalten. Wer besonders auf seine Privatsphäre achtet, schaltet die Annahme von Cookies generell ab.