Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

Cookies sind ein (oder mehrere) zusätzliche HTTP Header, welche vom Server an den Client geschickt werden.
Der Client kann selbstständig entscheiden, welche Header er an den Server schickt, d.h. der Client kann sich aussuchen, ob und welche Cookies er bei der nächsten Anfrage an der Server mitschickt (via HTTP Header).

Es gibt nur wenige Webseite, welche sich nur mit Cookies beobachten lassen.

Aufgrund der Zustandslosigkeit des HTTP Protokoll sind Cookies, bzw. ein vergleichbarer Mechanismus, (fast) zwingend nötig um einen Zustand, wie "der User ist eingeloggt", zu simulieren.

Jetzt vorzuschreiben, zuerst die Erlaubnis für das Zusenden einer Information ("Hier ist eine Session ID, *wäre* schön wenn du die in Zukunft mitschickst.") zu verlangen ist Blödsinn.

Aufgrund der faktischen Notwendigkeit der Cookies, kombiniert mit den Primitiven (default) Methoden der Browser diese zu verwalten, ergibt sich, dass ca. 99 bis 99.9 Prozent der Besucher dem Setzen des Cookie Headers eh Zustimmen. Damit ist eine solche Regelung nur dazu da um Frust auf beiden Seiten zu auszulösen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Tja, das passiert wenn man das Sprichtwort "der Klügere gibt nach" befolgt. Denn dann regieren nur die Dummen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Der Klügere gibt so lange nach, bis er der Dumme ist! ;o)

Schönen Feiertag.

Benutzer wird von Ihnen ignoriert. Anzeigen

AMEN Jungs!

Benutzer wird von Ihnen ignoriert. Anzeigen

Dieses Gesetz ist wahrscheinlich echt das dümmste was Politiker seit langem erlassen haben. In Firefox habe ich meine Einstellungen so gestellt dass alle Cookies nach dem Verlassen einer Webseite gelöscht werden, ich finde das ist bereits ausreichend. Cookies komplett zu verbieten ist wie bereits erwähnt sehr dumm. Jetzt werden die Daten die im Cookie waren wie "früher" einfach wieder an die URL angehängt, somit hat man wieder super hässliche URLs aber man braucht den Benutzer nicht zu fragen. Ausserdem wird dadurch das Session Hijacking Problem wieder massiv auftreten, aber den meisten wirds egal sein, hauptsache nicht gegen Gesetze verstossen :D



1 mal bearbeitet, zuletzt am 27.05.12 11:14 durch chrisweb.

Benutzer wird von Ihnen ignoriert. Anzeigen

> Cookies sind ein (oder mehrere) zusätzliche HTTP Header, welche vom Server
> an den Client geschickt werden.
> Der Client kann selbstständig entscheiden, welche Header er an den Server
> schickt, d.h. der Client kann sich aussuchen, ob und welche Cookies er bei
> der nächsten Anfrage an der Server mitschickt (via HTTP Header).

> Aufgrund der Zustandslosigkeit des HTTP Protokoll sind Cookies, bzw. ein
> vergleichbarer Mechanismus, (fast) zwingend nötig um einen Zustand, wie
> "der User ist eingeloggt", zu simulieren.

Zwei Dinge dazu:

1) Klar kann der Client protokollbedingt alles mögliche mit den Cookies machen, auch einfach verwerfen. Das löst aber das Problem in der Praxis nicht. Wenn ein Nutzer sowohl Wert auf seine Privatsphäre legt, als auch auf eine reibungslose Nutzung von diversen Webanwendungen, müsste dieser Feinkörnig festlegen welche Cookies er zulässt. Damit sind selbst versierte Nutzer überfordert, vom DAU ganz zu schweigen. Meine Lösung besteht daraus grundsätzlich keine Cookies von Drittanbietern zu akzeptieren und alle weiteren beim schließen des Browsers zu löschen.
Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also versucht die durch die Browsereistellung bewusst getroffene Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
Zur Zeit ist das alles legal, daher besteht hier absolut Handlungsbedarf.

2) Anders als im grottenschlechten Artikel seitens Golem dargestellt wurde, werden durch die Richtlinie nicht Cookies verboten. Vielmehr verlangt die Richtlinie eine Einwilligung des Nutzers bei der Speicherung und späteren Abfrage von Daten, die einen eingriff in die Privatsphäre darstellen. Nicht mehr und nicht weniger. ein Session-Cookie, ja selbst ein Warenkorb-Cookie, das beim Verlassen der Seite oder nach wenigen Stunden seine Gültigkeit verliert, fällt garantiert nicht darunter.

DON'T PANIK!

Benutzer wird von Ihnen ignoriert. Anzeigen

xUser schrieb:
--------------------------------------------------------------------------------
> ... HTTP Protokoll ...


Hört sich an wie ISBN Nummer ^^

Benutzer wird von Ihnen ignoriert. Anzeigen

abracadaboum schrieb:

> Zwei Dinge dazu:
>
> 1) Klar kann der Client protokollbedingt alles mögliche mit den Cookies
> machen, auch einfach verwerfen. Das löst aber das Problem in der Praxis
> nicht. Wenn ein Nutzer sowohl Wert auf seine Privatsphäre legt, als auch
> auf eine reibungslose Nutzung von diversen Webanwendungen, müsste dieser
> Feinkörnig festlegen welche Cookies er zulässt. Damit sind selbst versierte
> Nutzer überfordert, vom DAU ganz zu schweigen. Meine Lösung besteht daraus
> grundsätzlich keine Cookies von Drittanbietern zu akzeptieren und alle
> weiteren beim schließen des Browsers zu löschen.

Genau so.

> Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes
> Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also
> versucht die durch die Browsereistellung bewusst getroffene
> Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
> Zur Zeit ist das alles legal, daher besteht hier absolut Handlungsbedarf.

Zählpixel haben nichts mit Cookies zu tun. Es gibt dafür den do-not-track Header.
Cookies sind ein Angebot des Servers an den Client.

Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen zu dürfen.

> 2) Anders als im grottenschlechten Artikel seitens Golem dargestellt wurde,
> werden durch die Richtlinie nicht Cookies verboten. Vielmehr verlangt die
> Richtlinie eine Einwilligung des Nutzers bei der Speicherung und späteren
> Abfrage von Daten, die einen eingriff in die Privatsphäre darstellen. Nicht
> mehr und nicht weniger. ein Session-Cookie, ja selbst ein Warenkorb-Cookie,
> das beim Verlassen der Seite oder nach wenigen Stunden seine Gültigkeit
> verliert, fällt garantiert nicht darunter.

Was unterscheidet ein Session- von einem Tracking Cookie?

Benutzer wird von Ihnen ignoriert. Anzeigen

> > Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes
> > Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also
> > versucht die durch die Browsereistellung bewusst getroffene
> > Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
> > Zur Zeit ist das alles legal, daher besteht hier absolut
> > Handlungsbedarf.
>
> Zählpixel haben nichts mit Cookies zu tun.

Das habe ich auch nie behauptet. Bitte: Lesen, Vertehen dann Schreiben.

> Es gibt dafür den do-not-track Header.

Und was geschah bisher wenn der ignoriert wurde? Eben, nichts. Auch das ändert sich mit der Umsetzung der Richtlinie.

> Cookies sind ein Angebot des Servers an den Client.
> Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen zu
> dürfen.

Das ist eine ziemlich schwachsinnige Darstellung, da bei permanenter Ablehnung des Angebots zu vollständigen Unbenutzbarkeit der meisten Webapplikationen führt.

> Was unterscheidet ein Session- von einem Tracking Cookie?

Wie ich bereits schrieb liegt der Unterschied im Eingriff in die Privatsphäre. Ein Cookie mit geringer Gültigkeitsdauer erfüllt diesen Umstand nicht.

Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie heißt oder anders) nicht von der Regelung betroffen und somit bedarf es auch keiner Nachfrage.

Im Klartext heißt das nur, dass du deine Webseite so betreiben musst, dass die Privatsphäre des Users (dazu gehört auch die Verfolgung des Surfverhaltens über lange Zeit) nicht verletzt wird, tust du es dennoch brauchst du eine Erlaubnis.



1 mal bearbeitet, zuletzt am 27.05.12 15:35 durch abracadaboum.

Benutzer wird von Ihnen ignoriert. Anzeigen

abracadaboum schrieb:

> Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von
> Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die
> Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege
> dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie
> heißt oder anders) nicht von der Regelung betroffen und somit bedarf es
> auch keiner Nachfrage.

Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird auch nichts abgerufen. Das macht der Client alles selber.

> Im Klartext heißt das nur, dass du deine Webseite so betreiben musst, dass
> die Privatsphäre des Users (dazu gehört auch die Verfolgung des
> Surfverhaltens über lange Zeit) nicht verletzt wird, tust du es dennoch
> brauchst du eine Erlaubnis.

Und Logfiles darf ich dann auch nicht mehr auswerten???

Benutzer wird von Ihnen ignoriert. Anzeigen

abracadaboum schrieb:
--------------------------------------------------------------------------------
> > Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen
> zu
> > dürfen.
>
> Das ist eine ziemlich schwachsinnige Darstellung, da bei permanenter
> Ablehnung des Angebots zu vollständigen Unbenutzbarkeit der meisten
> Webapplikationen führt.

Cookies haben einen Sinn, weswegen sie oft nötig sind. Dann gibt es noch die, die nicht unbedingt nötig sind, aber einen gewissen Komfort des Dienstes ermöglichen und schließlich die, die dem Betreiber Geld einbringen. Auf letztere kann er dennoch bestehen, schließlich ist die Nutzung seines Dienstes freiwillig und er zwingt niemanden, ihn zu nutzen.

Benutzer wird von Ihnen ignoriert. Anzeigen

> Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird auch
> nichts abgerufen. Das macht der Client alles selber.

Doch, defakto wird es das. Welche Rolle dabei der Client spielt ist unerheblich. Durch RFCs ist festgelegt, wie der Browser mit Coockies umgehen sollte und dieses Verhalten kann als Standard angesehen werden. Das bei abweichendem Verhalten (restriktive Coockie-Optionen) viele Anwendungen dennoch funktionieren ist zwar in der Praxis so, aber davon auszugehen macht IMO wenig sinn.

Ich kann auch nicht ganz verstehen was du gegen die Richtlinie hast, denn im Grunde ist diese durchaus vernünftig formuliert.

> Und Logfiles darf ich dann auch nicht mehr auswerten???

Das loggen von Verbindungsdaten an sich ist von der Richtlinie soweit ich sie verstanden habe nicht betroffen. Dennoch musst du damit auch nach jetziger Gesetzeslage vorsichtig sein. Zwar hat das BVerfG beim Urteil zur VDS die IP-Adresse per se nicht als personenbezogenes Datum gewertet, aber das sehen diverse Juristen durchaus anders, insbesondere da zu dieser Berwertung die angewendete Vergabemethode von Belang ist. z.B ist eine auf Dauer vergebene IPv6-Adresse (bzw. Adressblock) ist mit Sicherheit anders zu bewerten als eine dynamisch vergebene Adresse.



2 mal bearbeitet, zuletzt am 27.05.12 21:49 durch abracadaboum.

Benutzer wird von Ihnen ignoriert. Anzeigen

abracadaboum schrieb:
--------------------------------------------------------------------------------
> Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von
> Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die
> Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege
> dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie
> heißt oder anders) nicht von der Regelung betroffen und somit bedarf es
> auch keiner Nachfrage.

Also doch eine schwachsinnige Regelung. Die Regelung schürt einerseits massive Unsicherheit auf Seiten der Betreiber, bis hin zu einer neuen Abmahnwelle gegen unliebsame Mitbewerber. Andererseits hat die Regelung in der Praxis praktisch keine Auswirkung, da Trackingdaten eh selten im Cookie stehen, sondern im Cookie nur steht, wo in der Datenbank die Daten zu finden sind. Und so kann sich ein findiger Betreiber leicht rausreden.

Noch dazu wird auch die Session-ID dazu verwendet, einen Benutzer eindeutig zu identifizieren. Dass ich die Daten nur brauch, um den Benutzer wiederzufinden, dürfte diversen Anwälten recht egal sein.

Benutzer wird von Ihnen ignoriert. Anzeigen

> Also doch eine schwachsinnige Regelung. Die Regelung schürt einerseits
> massive Unsicherheit auf Seiten der Betreiber, bis hin zu einer neuen
> Abmahnwelle gegen unliebsame Mitbewerber.

Nein, die Regelung ist eigentlich ziemlich klar und es wird sich sehr schnell herauskristallisieren was OK ist und was einer Zustimmung bedarf. Solange du keine externen Tracker einbindest und selbst nur Cookies mit zeitnahem Verfallsdatum setzt (was man auch jetzt schon tun sollte) bist du auf der sicheren Seite. Soviel zur Unsicherheit.
Apropos Unsicherheit: Auch jetzt schon sind Analysedienste wie Googleanalytics nicht wirklich mit dem deutschen Datenschutz vereinbar.

In Sachen Abmahnungen gebe ich dir allerdings absolut Recht. Doch liegt das nicht an der Richtlinie sondern eher an unserem beschissenen Abmahnwese in Deutschland, welches Anwälten die Möglichkeit einräumt, sich mit Fehltritten anderer eine goldenen Nase zu verdienen.
Als Argument gegen die Richtlinie ist das aber nicht zulässig, das sich sonst damit ebenso gegen Richtlinien für Impressum, Preisangaben, Copyrightvermerk etc. argumentieren lassen würde.

> Andererseits hat die Regelung in
> der Praxis praktisch keine Auswirkung, da Trackingdaten eh selten im Cookie
> stehen ...

Das scheinst du falsch verstanden zu haben, denn so ist die Richtlinie nicht formuliert.

Benutzer wird von Ihnen ignoriert. Anzeigen

abracadaboum schrieb:
--------------------------------------------------------------------------------
> > Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird
> auch
> > nichts abgerufen. Das macht der Client alles selber.
>
> Doch, defakto wird es das. Welche Rolle dabei der Client spielt ist
> unerheblich. Durch RFCs ist festgelegt, wie der Browser mit Coockies
> umgehen sollte und dieses Verhalten kann als Standard angesehen werden. Das
> bei abweichendem Verhalten (restriktive Coockie-Optionen) viele Anwendungen
> dennoch funktionieren ist zwar in der Praxis so, aber davon auszugehen
> macht IMO wenig sinn.

Wenn wir schon bei RFCs sind, dann richtig:
------- quote -------
A user agent could enforce more restrictions than those specified
herein (e.g., for the sake of improved security); however,
experiments have shown that such strictness reduces the likelihood
that a user agent will be able to interoperate with existing servers.
------ /quote -------
http://tools.ietf.org/html/rfc6265#section-5

Also "kann" der User frei entscheiden, ob das Cookie wieder zum Server sendet.

------- quote ------
When a user agent receives a Set-Cookie header field in an HTTP
response, the user agent MAY ignore the Set-Cookie header field in
its entirety. For example, the user agent might wish to block
responses to "third-party" requests from setting cookies (see
Section 7.1).
------ /quote -------
http://tools.ietf.org/html/rfc6265#section-5.2

Siehe auch 7.2 (komplett)
http://tools.ietf.org/html/rfc6265#section-7.2

Also laut RFC spricht überhaupt nichts dagegen, Cookies gezielter im Browser zu managen.
Dies kann beispielsweise wie bei AdBlock für externe Resourcen funktionieren.

Benutzer wird von Ihnen ignoriert. Anzeigen