[GELÖST] Cookies vor der Abschaffung

piratos · 10. März 2011 12:19

Am 25.5. läuft die EU Frist ab in der die EU Länder die Richtlinie zum Datenschutz in der elektronischen Kommunikation in nationales Recht umgesetzt haben müssen.

Die Bundesregierung hat dazu bislang nur einen Entwurf.

http://www.bmwi.de/BMWi/Redaktion/PDF/G … 3Dtrue.pdf

Eine der Konsequenzen ist der Zwang zu einer ausdrücklichen Zustimmung des Setzens eines Cookies des Webseitenbesuchers bevor ein Cookie gesetzt wird.

England wird diese Richtlinie pünktlich umsetzen, d.h. dann ist es dort ein Straftatbestand wenn eine Website einfach ein Cookie setzt.

Nun gibt es zahlreiche völlig normale Anwendungen die über die Session automatisch einen Cookie setzen und das nur um eine Ablaufsteuerung zu bewirken.

Da muss man sich also etwas einfallen lassen.

Ich kann mir nicht vorstellen, das eine Startseite nach dem Motto "Akzeptieren Sie Cookies oder verschwinden Sie ! ° eine akzeptable Sache wäre.

Hinzu kommen die lang ersehnten Möglichkeiten über HTML 5 dauerhaft Daten lokal beim Besucher speichern zu können.

Aber worum geht es genau ?

Es geht darum, das auf den Rechnern der Internetnutzer nicht ungefragt Daten abgelegt werden dürfen - egal wie diese aussehen.
Wir wissen alle das damit viel Unfug getrieben wird - nehmen wir als Beispiel mal nur Cookies zu Tracking Zwecken.

Es geht nicht darum dem Client eines Besuchers die Bekanntgabe der Sessionid zu verweigern, das ist unverändert nicht nur erlaubt sondern auch technisch notwendig , um Sessions und damit Cookies auf andere Art zu speichern.

Und diese Art kann nur heissen - Ablage in der DB, damit hat man die Auflagen erfüllt.

Kein großes Ding, aber man muss es machen und kann es über die Anpassung des Sessionhandlers.

Unter PCMS wird die in Kürze kommende Version von der normalen Art Abschied nehmen.

Da hatte ich das bislang so gesteuert, das man über die config entscheiden kann, ob man im Frontend überhaupt eine Session setzen will.

Das ist da auszuhalten unter CMSMS aber keinesfalls.

Also - bei Betreibern von Software die Sessions / Cookies verwenden bzw. einsetzen, genügt nicht der Hinweis, das man es macht, man muss den Besucher vorher um Erlaubnis fragen - wenn die Daten bei ihm auf den Rechner abgelegt werden.

Das führt dazu, das Titel die sich dem nicht anpassen, dem Betreiber eine Menge Ärger einbringen können.

NaN · 10. März 2011 14:11

piratos schrieb:

Es geht darum, das auf den Rechnern der Internetnutzer nicht ungefragt Daten abgelegt werden dürfen - egal wie diese aussehen.

Wenn das so ist, dann muss aber auch der Browsercache abgeschafft werden!
Bzw. darf man dann keine Header-Daten ala Cache-Control mehr senden dürfen - im Gegenteil man muss alles mit no-cache etc. ausliefern. Tolle Sache, oder?
Oder noch besser: für jedes Element, das zwischengespeichert werden soll, eine Bestätigung des Besuchers anfordern.
Oder nein! Noch viel besser: Bei jeder Webseite, die mehr als nur einen Request benötigt, muss jede weitere Verbindung bestätigt werden. Jede einzelne Grafik: "Wollen sie dieses Element wirklich laden?" ... "Soll dieses Element zwischengespeichert werden dürfen?" ... "Dürfen diese Einstellungen via Cookie gespeichert werden?"

...

Datenschutz ist ja schön und gut, aber die Medien-Inkompetenz des Internet-Surfenden durch Gesetze kompensieren zu wollen, halte ich nicht für den richtigen Weg.

piratos · 10. März 2011 14:23

Ich halte das alles ebenfalls für Müll.
Und es ist von der Realisierung her nicht ganz ohne, da man insbesondere bei Fremdlibs nachsehen muss was die eigentlich machen.

Ich habe das bei mir in der org schon mal zum Testlauf geändert. Dort hatte ich vorher noch nicht einmal eine Session gestartet nun mal probeweise auf DB Betrieb umgesattelt.

Bin gerade dabei im Backend die Cookies verschwinden zu lassen.

Es wird nur noch die Session ID im Client abgelegt und das ist kein Thema, weil so oder so , ohne dem geht es überhaupt nicht.

piratos · 10. März 2011 19:23

Zur allgemeinen Aufklärung, weil hier von Session und Cookies geredet wird - das session.use_cookies = On ist eine Webserver - Standardeinstellung, was nichts weiter bedeutet, als das jede Session-Bewegung direkt auf dem Client ausgeführt wird und somit Zeit kostet.

piratos · 10. März 2011 19:26

Für mich (pcms) wäre das Thema erledigt - die in ein paar Tagen kommende nächste Version ist vollkommen frei von Cookies.
Danach kann die Sintflut kommen, wenn dann noch Cookies gesetzt werden, dann sind es Dinge, welche von Anwendern zu verantworten sind.
Für mich ist wichtig , das ich dann raus bin aus der Sache.

mike-r · 10. März 2011 22:32

heise.de schrieb:

Ausgenommen bleiben Verfahren, deren "alleiniger Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist", damit ein ausdrücklich gewünschter Dienst zur Verfügung gestellt werden kann.
[...]
Wenn es technisch durchführbar und wirksam ist, heißt es weiter, könne die Einwilligung des Nutzers "über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden". Das heißt, die vom User eingestellten Präferenzen zur Akzeptanz von Cookies werden als Zustimmung zur Datenerhebung gewertet.

Quelle: http://www.heise.de/newsticker/meldung/ … 04788.html

ebenda:

heise.de schrieb:

So sei ins Telemediengesetz eine Ergänzung einzufügen, dass Cookies nur dann gesetzt werden dürften, wenn eine Einwilligung des Nutzer erfolge.

Bei Tracking-cookies etc. ist die Einwilligung des Nutzers mMn in den Browsereinstellungen zu finden.
Summa summarum betrifft die Geschichte eigentlich (nach gesundem Menschenverstand) nur Cookies von Drittanbietern. Auch dieses kann man im Browser regulieren.
Das Einfachste wäre für die weitsichtigen Scharfmacher, wenn sie sich an die Browserhersteller wenden würden und diese das über Updates klären.

Der komplette Geschichte ist hier nachzulesen:
http://eur-lex.europa.eu/LexUriServ/Lex … 01:DE:HTML
Interessant dort zum Thema ist Punkt 66

Beitrag geändert von mike-r (10. März 2011 22:35)

piratos · 11. März 2011 00:10

Richtlinien der EU und die praktische Umsetzung in das nationale Recht können durchaus zweierlei sein.
Die Intentionen des Entwurfes der Bundesregierung sehen ganz nach einer scharfen Form aus.

Die ganz lasche Form nach dem Motto - das soll doch der Nutzer in seinem Browser einstellen - wird zur Zeit so nicht favorisiert, obwohl denkbar.

Es muss durchführbar sein und da stellen sich noch Probleme in der Praxis.

In der Praxis sieht es so aus

Bundesbehörden haben sogar noch den IE 5 im Einsatz.

Microsoft startet jetzt eine Aktion um endlich den IE 6 in den Ruhestand zu schicken - MS schätzt den Anteil weltweit noch auf 12 %.

Und so könnte man das lustig durchgehen und das auch bei anderen Anbietern.

Probleme wie Mehrfachnutzung von Rechnern durch verschiedene Personen sind ungeklärt.

Neue Dinge werden anstehen wie die Frage nach local Storage die mit den HTML 5 Browsern kommen.

Wie dem auch sei - die Aufgabe eines Webbetreibers wird es werden, den konkreten Besucher vorher zu informieren, das da etwas auf ihn zukommt, was gespeichert wird und welche Absichten dahinter stecken damit sich dann ein Benutzer entscheiden kann.

Allein das würde einen komplett anderen Webaufbau bedeuten und ob das praktikabel ist ?

Wie man dann die Zugriffe ab 2. mal regelt muss wohl noch im Detail geklärt werden.

Tatsache ist - auf Cookies kann man verzichten - das gilt zumindest für normale Websites.

Man darf bedenken das die Standardvoreinstellung z.B. bei Sessions die Nutzung von Cookies ist - eine unglaubliche Menge von Webanbietern haben dann den Mist an der Backe.

Wer sich bei Zeiten dran macht das zu realisieren kann eigentlich nur gewinnen.

Beitrag geändert von piratos (11. März 2011 00:13)

mike-r · 11. März 2011 00:56

Die Gefahren sind klar und nicht zu bezweifeln, allerdings weist der Referentenentwurf imo auch nichts sonderlich beängstigendes zum Thema auf:

bmi schrieb:

Die zunehmende Verwendung so genannter „Cookies“ und vergleichbarer technischer Gestaltungen werfen Bedenken im Hinblick auf den Schutz der Grundrechte auf informationelle Selbstbestimmung und Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme auf. Dies gilt insbesondere im Hinblick auf die Gefahr einer Profilbildung durch die Verknüpfung einer Vielzahl von – z. B. unter Einsatz von „Cookies“ gewonnener - Informationen und Daten, ohne dass der Nutzer hiervon Kenntnis oder Einfluss hierauf hat.

Das ist natürlich alles ziemlich weit dehnbar (und bullshit sowieso), und unseren Rechts- und Volksverdrehern alles zuzutrauen, aber auch da kann man herauslesen, dass sehr wahrscheinlich "seiteninterne" Cookies oder Sessioncookies nicht gemeint oder betroffen sein können.

VT: Das kommt eh alles nicht, da wechseln Köfferchen mit bedruckten bunten Papierschnipseln mit Absender Google&Co die richtigen Empfänger und die ganze Sache wird aus "Verbraucherschutzgründen" oder was auch immer gekippt.
Ich lach nicht, wenn's wirklich so kommt.

otter24 · 11. März 2011 12:56

Genau abwarten und Kekse essen...
Mal sehen was da genau raus kommt.

HEISE schrieb:

Beim Verfassen der Richtlinie wurde zumindest ungenau gearbeitet, zum Beispiel bei der Frage, wann Tracking-Cookies gesetzt werden dürfen. Zwar heißt es in den Erläuterungen, die Zustimmung zu Cookies könnte auch durch Browser-Einsellungen realisiert werden. Aber die technische Umsetzung der Richtlinie ist doch soweit unklar, dass die Umsetzung in nationales Recht wohl noch einige Zeit auf sich warten lässt.

und der ganze Artikel,
http://www.heise.de/newsticker/meldung/ … 06371.html
und ein Kommentar dazu..
http://www.heise.de/ct/artikel/EU-Priva … 06350.html

Gruß aus HH

piratos · 11. März 2011 13:35

otter24 schrieb:

Genau abwarten und Kekse essen...
Mal sehen was da genau raus kommt.

So ist es für reine Anwender, die haben sowieso nur sehr begrenzte Möglichkeiten selbst etwas über die reine Webpflege zu machen, eher haben sie absolut keine und schon gar nicht im Programmcode eines CMS Titels.

Für die Anbieter von Titeln sieht das aber ganz anders aus - Ende Mai - das ist bald passiert.

Meine Poweruser bombardieren mich damit schon seit Monaten.

Man muss auch sehen, das dieses eine EU Sache ist.
Titel mit amerikanischem bzw. nicht EU - Ursprung juckt das wohl überhaupt nicht - die meisten werden sich wohl kaum dazu räuspern und somit auch keine aktive Unterstützung was den Programmcode betrifft anbieten.
Bei CMSMS sehe ich diese Möglichkeit als sehr wahrscheinlich an.

Anwender solcher Titel könnten zum Zeitpunkt X von heute auf morgen in arge Bedrängnis kommen - das ist die Gefahr und dann gibt es lange Gesichter.

NaN · 11. März 2011 14:36

Ich mache mir da auch ein wenig Sorgen um CMSms.
(Und nicht nur darum. Gibt schließlich noch mehr Software, die da Probleme machen könnte.)
Wenn die Entwickler am europäischen Markt interessiert sind, werden sie schon eine Lösung finden müssen.
Anderenfalls wird es hierzulande nur gehackte CMSms Versionen geben.

piratos · 11. März 2011 16:15

Interessant wie langfristig da einige Drittanbieter von Cookies denken - hier Paypal - eingefangen von dieser Site:

Erstellt: Freitag, 11. März 2011 16:05:46
Läuft ab: Sonntag, 3. März 2041 16:05:46

Die denken 30 Jahre im vorraus !!

Google limitiert das immerhin noch auf 2 Jahre.

Es gibt sogar bereits Webbetreiber die richtig heftig Daten im local storage ablegen.

Gefragt hat mich kein Schwein ob ich das so haben möchte.

So gesehen kann ich die Hintergründe dieser ganzen Dinge sehr wohl verstehen.

Ob nun bestimmte Entwickler ausserhalb des EU Raumes das überhaupt thematisieren werden - ok - abwarten.

Ansonsten sind tatsächlich die Holzhackerbuben unterwegs.

Andynium · 16. Dezember 2011 21:57

Nach den Aussagen der europäischen Datenschützer ist das Setzen von Cookies, die für den Betrieb von Webangeboten notwendig sind, ungefragt erlaubt.

http://ec.europa.eu/justice/data-protec … 188_en.pdf

Damit dürften die CMSMS-Cookies erst einmal aus dem Schußfeld sein, da diese für den Betrieb von CMSMS verwendet werden ...

mike-r · 17. Dezember 2011 23:33

Ziemlich langes Papier, und noch dazu auf englisch smile
Kannst Du den entsprechenden Teil zitieren (und vlt. gar übersetzen)?

speziell würde mich das "notwendig" interessieren. Das ist ziemlich dehnbar, man könnte bspw. auch seiteninterne Tracking-cookies als notwendig ansehen.

Beitrag geändert von mike-r (17. Dezember 2011 23:34)

NaN · 17. Dezember 2011 04:47

Ich habe das PDF nur überflogen, aber so dehnbar ist der Begriff der Notwendigkeit nun auch wieder nicht. Inwiefern würde das problemlose Funktionieren einer Webseite von Trackingcookies abhängen? Oder anders ausgedrückt, würde die Seite funktionieren, wenn ich Cookies deaktiviere?

Auf Seite 8 im Abschnitt 'III.2 Consent is not required for every type of cookie' steht ganz unten:

a cookie may be exempted from informed consent if it is “necessary to carry out the transmission of an electronic communications network” or if “it is strictly necessary in order to provide an information society service explicitly requested by the subscriber or user to provide that service”.

Was für mich so viel bedeutet wie, dass ein Cookie ohne Zustimmung des Besuchers nur dann gesetzt werden darf, wenn es für die Kommunikation oder die Bereitstellung von Informationen, die der User selbst angefordert hat, zwingend notwendig ist.

Als Beispiel sind dann auf Seite 9 folgende Szenarien genannt:
- Login
- Wahrenkorb in einem Online-Shop
- andere Cookies, die der Sicherheit dienen

Tracking-Cookies, ob nun nur seitenintern oder nicht, würden dabei nach meinem Verständnis also gänzlich rausfallen.

mike-r · 17. Dezember 2011 13:23

Ok, so klingt's natürlich logisch.

Andynium · 28. Februar 2012 21:25

piratos schrieb:

Neue Dinge werden anstehen wie die Frage nach local Storage

Scheint so, als ob sich dieses Thema schon gleich wieder von selbst erledigt hat hmm

http://www.golem.de/news/paul-kinlan-go … 90093.html

piratos · 28. Februar 2012 22:06

Tja man hat da nicht ganz unrecht - Nutzung simpel, Möglichkeiten simpel - besser und ja vorhanden:

http://www.w3.org/TR/IndexedDB/

piratos · 29. Februar 2012 13:18

Wenn man das bei Golem genau liest stellt man fest - es ist die Meinung eines einzelnen Google Mitarbeiters ohne Bedeutung.

Local Storage ist W3C Standard, wird von allen gängigen Browsern unterstützt und von unzähligen Websites genutzt auch und gerade wegen der einfachen Nutzung.
Es ist neben ApplicationCache die Methode um rasanten Speed zu erzeugen - Methoden die im Zusammenhang mit mobilen von Google gefordert werden und in der aktuellen Pagespeed Online Version mobile wurde bereits ApplicationCache als experimenteller Faktor aufgenommen, Local Storage wird folgen.

Die Wunschvorstellung dieses Mitarbeiters wäre WebSQL, das aber wurde von der W3C gecancelt.

IndexedDB kann erheblich mehr, ist aber auch komplexer - niemand wird es einsetzen, wenn nicht die speziellen Eigenschaften genutzt werden.

Andynium · 29. Februar 2012 22:47

piratos schrieb:

Eine der Konsequenzen ist der Zwang zu einer ausdrücklichen Zustimmung des Setzens eines Cookies des Webseitenbesuchers bevor ein Cookie gesetzt wird.

Auch dieser Drops ist gelutscht

http://www.golem.de/news/telemediengese … 90151.html

Andynium · 28. Mai 2012 22:09

Der Vollständigkeit halber - die neuen Datenschutzregeln sind seit vergangenen Sonnabend in Kraft:

http://www.golem.de/news/datenschutz-ne … 92094.html

AL-d82 · 28. Mai 2012 08:18

Wie jetzt, bekommen wir dann bald alle eine Abmahnung, wenn wir nicht fragen ob Cookies gesetzt werden dürfen oder nicht? roll

NaN · 28. Mai 2012 12:20

Es kommt weiterhin darauf an, zu welchem Zweck das Cookie gesetzt wird:

Ohne die Zustimmung des Nutzer dürfen Cookies künftig nur dann gesetzt werden, wenn sie "unbedingt notwendig" sind und für einen Dienst genutzt werden, den der Nutzer "explizit angefordert" hat, also beispielsweise für den Einkaufswagen bei einer Bestellung in einem Onlineshop.

Die EU Richtlinie selbst sagt dazu übrigens folgendes:

Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.

Andynium · 18. Juni 2012 21:41

Hier mal dazu beispielhaft ein Projekt, dass dazu dient, eine Cookie-Warnung auszugeben

http://code.google.com/p/cookie-warning/

Dafür muss einfach das Script auf den Server geladen werden und dies

Hier klicken, um den Code zum Kopieren zu markieren

[== HTML ==]
<script type="text/javascript" src="/Pfad/zu/cookiewarning.js"></script>

im Template direkt nach dem body-tag eingefügt werden. Fertig!

Weitere Ressourcen

http://www.civicuk.com/cookie-law/index
http://cookiecuttr.com/
http://www.portent.com/blog/design-dev/ … ie-law.htm
http://danny.gb.net/cookie-law/script/

faglork · 19. Juni 2012 09:13

AL-d82 schrieb:

Wie jetzt, bekommen wir dann bald alle eine Abmahnung, wenn wir nicht fragen ob Cookies gesetzt werden dürfen oder nicht?

Das Gesetz ist in Deutschland noch nicht umgesetzt. Siehe u.a.

http://www.spezialisten-blog.de/cookie- … echtslage/

Servus,
Alex

Forum für CMS/made simple

#1 10. März 2011 12:19

[GELÖST] Cookies vor der Abschaffung

#2 10. März 2011 14:11

Re: [GELÖST] Cookies vor der Abschaffung

#3 10. März 2011 14:23

Re: [GELÖST] Cookies vor der Abschaffung

#4 10. März 2011 19:23

Re: [GELÖST] Cookies vor der Abschaffung

#5 10. März 2011 19:26

Re: [GELÖST] Cookies vor der Abschaffung

#6 10. März 2011 22:32

Re: [GELÖST] Cookies vor der Abschaffung

#7 11. März 2011 00:10

Re: [GELÖST] Cookies vor der Abschaffung

#8 11. März 2011 00:56

Re: [GELÖST] Cookies vor der Abschaffung

#9 11. März 2011 12:56

Re: [GELÖST] Cookies vor der Abschaffung

#10 11. März 2011 13:35

Re: [GELÖST] Cookies vor der Abschaffung

#11 11. März 2011 14:36

Re: [GELÖST] Cookies vor der Abschaffung

#12 11. März 2011 16:15

Re: [GELÖST] Cookies vor der Abschaffung

#13 16. Dezember 2011 21:57

Re: [GELÖST] Cookies vor der Abschaffung

#14 17. Dezember 2011 23:33

Re: [GELÖST] Cookies vor der Abschaffung

#15 17. Dezember 2011 04:47

Re: [GELÖST] Cookies vor der Abschaffung

#16 17. Dezember 2011 13:23

Re: [GELÖST] Cookies vor der Abschaffung

#17 28. Februar 2012 21:25

Re: [GELÖST] Cookies vor der Abschaffung

#18 28. Februar 2012 22:06

Re: [GELÖST] Cookies vor der Abschaffung

#19 29. Februar 2012 13:18

Re: [GELÖST] Cookies vor der Abschaffung

#20 29. Februar 2012 22:47

Re: [GELÖST] Cookies vor der Abschaffung

#21 28. Mai 2012 22:09

Re: [GELÖST] Cookies vor der Abschaffung

#22 28. Mai 2012 08:18

Re: [GELÖST] Cookies vor der Abschaffung

#23 28. Mai 2012 12:20

Re: [GELÖST] Cookies vor der Abschaffung

#24 18. Juni 2012 21:41

Re: [GELÖST] Cookies vor der Abschaffung

#25 19. Juni 2012 09:13

Re: [GELÖST] Cookies vor der Abschaffung

Fußzeile des Forums