Browser-Cookies in der Forensik
2026-05-19 · 1 min
Cookies sind eine unterschätzte Zeitleisten-Quelle: Jede Zeile trägt Erstellungs-, letzte-Zugriffs- und Ablaufzeiten sowie die zugehörige Domain.
Wo sie liegen
| Browser | Datei | Speicher |
|---|---|---|
| Chrome / Edge | Cookies (in Network/) | SQLite cookies |
| Firefox | cookies.sqlite | moz_cookies |
| Safari | Cookies.binarycookies | Binärformat |
Was Sie erhalten
- Domain / Host und Name — welche Site es gesetzt hat.
- Path-, Secure- und HttpOnly-Flags.
- Erstellungs-, letzte-Zugriffs- und Ablaufzeit — drei Zeitpunkte pro Cookie.
Was Sie nicht erhalten
Modernes Chromium verschlüsselt Cookie-Werte im Ruhezustand (OS-Keychain
/ DPAPI), die Spalte value ist also ohne die OS-Schlüssel Chiffretext. Für
die meisten Ermittlungen unkritisch: Es zählen meist die Metadaten (welche
Domains, wann, Lebensdauer).
Ausprobieren
Legen Sie eine Cookies-, cookies.sqlite- oder
Cookies.binarycookies-Datei auf die Startseite. Alle drei werden
clientseitig geparst und ihre Zeitstempel in die vereinheitlichte Zeitleiste
normalisiert.