Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenschutz: Neue EU-Regeln zu…

Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

  1. Thema

Neues Thema Ansicht wechseln


  1. Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 26.05.12 - 15:38

    Cookies sind ein (oder mehrere) zusätzliche HTTP Header, welche vom Server an den Client geschickt werden.
    Der Client kann selbstständig entscheiden, welche Header er an den Server schickt, d.h. der Client kann sich aussuchen, ob und welche Cookies er bei der nächsten Anfrage an der Server mitschickt (via HTTP Header).

    Es gibt nur wenige Webseite, welche sich nur mit Cookies beobachten lassen.

    Aufgrund der Zustandslosigkeit des HTTP Protokoll sind Cookies, bzw. ein vergleichbarer Mechanismus, (fast) zwingend nötig um einen Zustand, wie "der User ist eingeloggt", zu simulieren.

    Jetzt vorzuschreiben, zuerst die Erlaubnis für das Zusenden einer Information ("Hier ist eine Session ID, *wäre* schön wenn du die in Zukunft mitschickst.") zu verlangen ist Blödsinn.

    Aufgrund der faktischen Notwendigkeit der Cookies, kombiniert mit den Primitiven (default) Methoden der Browser diese zu verwalten, ergibt sich, dass ca. 99 bis 99.9 Prozent der Besucher dem Setzen des Cookie Headers eh Zustimmen. Damit ist eine solche Regelung nur dazu da um Frust auf beiden Seiten zu auszulösen.

  2. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: beaver 26.05.12 - 16:07

    Tja, das passiert wenn man das Sprichtwort "der Klügere gibt nach" befolgt. Denn dann regieren nur die Dummen.

  3. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: Anonymer Nutzer 26.05.12 - 20:13

    Der Klügere gibt so lange nach, bis er der Dumme ist! ;o)

    Schönen Feiertag.

  4. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: the_real_smarty 27.05.12 - 10:22

    AMEN Jungs!

  5. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: chrisweb 27.05.12 - 11:07

    Dieses Gesetz ist wahrscheinlich echt das dümmste was Politiker seit langem erlassen haben. In Firefox habe ich meine Einstellungen so gestellt dass alle Cookies nach dem Verlassen einer Webseite gelöscht werden, ich finde das ist bereits ausreichend. Cookies komplett zu verbieten ist wie bereits erwähnt sehr dumm. Jetzt werden die Daten die im Cookie waren wie "früher" einfach wieder an die URL angehängt, somit hat man wieder super hässliche URLs aber man braucht den Benutzer nicht zu fragen. Ausserdem wird dadurch das Session Hijacking Problem wieder massiv auftreten, aber den meisten wirds egal sein, hauptsache nicht gegen Gesetze verstossen :D



    1 mal bearbeitet, zuletzt am 27.05.12 11:14 durch chrisweb.

  6. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 27.05.12 - 14:11

    > Cookies sind ein (oder mehrere) zusätzliche HTTP Header, welche vom Server
    > an den Client geschickt werden.
    > Der Client kann selbstständig entscheiden, welche Header er an den Server
    > schickt, d.h. der Client kann sich aussuchen, ob und welche Cookies er bei
    > der nächsten Anfrage an der Server mitschickt (via HTTP Header).

    > Aufgrund der Zustandslosigkeit des HTTP Protokoll sind Cookies, bzw. ein
    > vergleichbarer Mechanismus, (fast) zwingend nötig um einen Zustand, wie
    > "der User ist eingeloggt", zu simulieren.

    Zwei Dinge dazu:

    1) Klar kann der Client protokollbedingt alles mögliche mit den Cookies machen, auch einfach verwerfen. Das löst aber das Problem in der Praxis nicht. Wenn ein Nutzer sowohl Wert auf seine Privatsphäre legt, als auch auf eine reibungslose Nutzung von diversen Webanwendungen, müsste dieser Feinkörnig festlegen welche Cookies er zulässt. Damit sind selbst versierte Nutzer überfordert, vom DAU ganz zu schweigen. Meine Lösung besteht daraus grundsätzlich keine Cookies von Drittanbietern zu akzeptieren und alle weiteren beim schließen des Browsers zu löschen.
    Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also versucht die durch die Browsereistellung bewusst getroffene Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
    Zur Zeit ist das alles legal, daher besteht hier absolut Handlungsbedarf.

    2) Anders als im grottenschlechten Artikel seitens Golem dargestellt wurde, werden durch die Richtlinie nicht Cookies verboten. Vielmehr verlangt die Richtlinie eine Einwilligung des Nutzers bei der Speicherung und späteren Abfrage von Daten, die einen eingriff in die Privatsphäre darstellen. Nicht mehr und nicht weniger. ein Session-Cookie, ja selbst ein Warenkorb-Cookie, das beim Verlassen der Seite oder nach wenigen Stunden seine Gültigkeit verliert, fällt garantiert nicht darunter.

    DON'T PANIK!

  7. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: Garius 27.05.12 - 15:03

    xUser schrieb:
    --------------------------------------------------------------------------------
    > ... HTTP Protokoll ...


    Hört sich an wie ISBN Nummer ^^

  8. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 27.05.12 - 15:14

    abracadaboum schrieb:

    > Zwei Dinge dazu:
    >
    > 1) Klar kann der Client protokollbedingt alles mögliche mit den Cookies
    > machen, auch einfach verwerfen. Das löst aber das Problem in der Praxis
    > nicht. Wenn ein Nutzer sowohl Wert auf seine Privatsphäre legt, als auch
    > auf eine reibungslose Nutzung von diversen Webanwendungen, müsste dieser
    > Feinkörnig festlegen welche Cookies er zulässt. Damit sind selbst versierte
    > Nutzer überfordert, vom DAU ganz zu schweigen. Meine Lösung besteht daraus
    > grundsätzlich keine Cookies von Drittanbietern zu akzeptieren und alle
    > weiteren beim schließen des Browsers zu löschen.

    Genau so.

    > Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes
    > Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also
    > versucht die durch die Browsereistellung bewusst getroffene
    > Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
    > Zur Zeit ist das alles legal, daher besteht hier absolut Handlungsbedarf.

    Zählpixel haben nichts mit Cookies zu tun. Es gibt dafür den do-not-track Header.
    Cookies sind ein Angebot des Servers an den Client.

    Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen zu dürfen.

    > 2) Anders als im grottenschlechten Artikel seitens Golem dargestellt wurde,
    > werden durch die Richtlinie nicht Cookies verboten. Vielmehr verlangt die
    > Richtlinie eine Einwilligung des Nutzers bei der Speicherung und späteren
    > Abfrage von Daten, die einen eingriff in die Privatsphäre darstellen. Nicht
    > mehr und nicht weniger. ein Session-Cookie, ja selbst ein Warenkorb-Cookie,
    > das beim Verlassen der Seite oder nach wenigen Stunden seine Gültigkeit
    > verliert, fällt garantiert nicht darunter.

    Was unterscheidet ein Session- von einem Tracking Cookie?

  9. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 27.05.12 - 15:33

    > > Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes
    > > Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also
    > > versucht die durch die Browsereistellung bewusst getroffene
    > > Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
    > > Zur Zeit ist das alles legal, daher besteht hier absolut
    > > Handlungsbedarf.
    >
    > Zählpixel haben nichts mit Cookies zu tun.

    Das habe ich auch nie behauptet. Bitte: Lesen, Vertehen dann Schreiben.

    > Es gibt dafür den do-not-track Header.

    Und was geschah bisher wenn der ignoriert wurde? Eben, nichts. Auch das ändert sich mit der Umsetzung der Richtlinie.

    > Cookies sind ein Angebot des Servers an den Client.
    > Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen zu
    > dürfen.

    Das ist eine ziemlich schwachsinnige Darstellung, da bei permanenter Ablehnung des Angebots zu vollständigen Unbenutzbarkeit der meisten Webapplikationen führt.

    > Was unterscheidet ein Session- von einem Tracking Cookie?

    Wie ich bereits schrieb liegt der Unterschied im Eingriff in die Privatsphäre. Ein Cookie mit geringer Gültigkeitsdauer erfüllt diesen Umstand nicht.

    Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie heißt oder anders) nicht von der Regelung betroffen und somit bedarf es auch keiner Nachfrage.

    Im Klartext heißt das nur, dass du deine Webseite so betreiben musst, dass die Privatsphäre des Users (dazu gehört auch die Verfolgung des Surfverhaltens über lange Zeit) nicht verletzt wird, tust du es dennoch brauchst du eine Erlaubnis.



    1 mal bearbeitet, zuletzt am 27.05.12 15:35 durch abracadaboum.

  10. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 27.05.12 - 15:37

    abracadaboum schrieb:

    > Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von
    > Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die
    > Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege
    > dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie
    > heißt oder anders) nicht von der Regelung betroffen und somit bedarf es
    > auch keiner Nachfrage.

    Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird auch nichts abgerufen. Das macht der Client alles selber.

    > Im Klartext heißt das nur, dass du deine Webseite so betreiben musst, dass
    > die Privatsphäre des Users (dazu gehört auch die Verfolgung des
    > Surfverhaltens über lange Zeit) nicht verletzt wird, tust du es dennoch
    > brauchst du eine Erlaubnis.

    Und Logfiles darf ich dann auch nicht mehr auswerten???

  11. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: __destruct() 27.05.12 - 15:47

    abracadaboum schrieb:
    --------------------------------------------------------------------------------
    > > Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen
    > zu
    > > dürfen.
    >
    > Das ist eine ziemlich schwachsinnige Darstellung, da bei permanenter
    > Ablehnung des Angebots zu vollständigen Unbenutzbarkeit der meisten
    > Webapplikationen führt.

    Cookies haben einen Sinn, weswegen sie oft nötig sind. Dann gibt es noch die, die nicht unbedingt nötig sind, aber einen gewissen Komfort des Dienstes ermöglichen und schließlich die, die dem Betreiber Geld einbringen. Auf letztere kann er dennoch bestehen, schließlich ist die Nutzung seines Dienstes freiwillig und er zwingt niemanden, ihn zu nutzen.

  12. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 27.05.12 - 21:44

    > Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird auch
    > nichts abgerufen. Das macht der Client alles selber.

    Doch, defakto wird es das. Welche Rolle dabei der Client spielt ist unerheblich. Durch RFCs ist festgelegt, wie der Browser mit Coockies umgehen sollte und dieses Verhalten kann als Standard angesehen werden. Das bei abweichendem Verhalten (restriktive Coockie-Optionen) viele Anwendungen dennoch funktionieren ist zwar in der Praxis so, aber davon auszugehen macht IMO wenig sinn.

    Ich kann auch nicht ganz verstehen was du gegen die Richtlinie hast, denn im Grunde ist diese durchaus vernünftig formuliert.

    > Und Logfiles darf ich dann auch nicht mehr auswerten???

    Das loggen von Verbindungsdaten an sich ist von der Richtlinie soweit ich sie verstanden habe nicht betroffen. Dennoch musst du damit auch nach jetziger Gesetzeslage vorsichtig sein. Zwar hat das BVerfG beim Urteil zur VDS die IP-Adresse per se nicht als personenbezogenes Datum gewertet, aber das sehen diverse Juristen durchaus anders, insbesondere da zu dieser Berwertung die angewendete Vergabemethode von Belang ist. z.B ist eine auf Dauer vergebene IPv6-Adresse (bzw. Adressblock) ist mit Sicherheit anders zu bewerten als eine dynamisch vergebene Adresse.



    2 mal bearbeitet, zuletzt am 27.05.12 21:49 durch abracadaboum.

  13. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: zwutz 28.05.12 - 02:26

    abracadaboum schrieb:
    --------------------------------------------------------------------------------
    > Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von
    > Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die
    > Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege
    > dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie
    > heißt oder anders) nicht von der Regelung betroffen und somit bedarf es
    > auch keiner Nachfrage.

    Also doch eine schwachsinnige Regelung. Die Regelung schürt einerseits massive Unsicherheit auf Seiten der Betreiber, bis hin zu einer neuen Abmahnwelle gegen unliebsame Mitbewerber. Andererseits hat die Regelung in der Praxis praktisch keine Auswirkung, da Trackingdaten eh selten im Cookie stehen, sondern im Cookie nur steht, wo in der Datenbank die Daten zu finden sind. Und so kann sich ein findiger Betreiber leicht rausreden.

    Noch dazu wird auch die Session-ID dazu verwendet, einen Benutzer eindeutig zu identifizieren. Dass ich die Daten nur brauch, um den Benutzer wiederzufinden, dürfte diversen Anwälten recht egal sein.

  14. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 28.05.12 - 10:12

    > Also doch eine schwachsinnige Regelung. Die Regelung schürt einerseits
    > massive Unsicherheit auf Seiten der Betreiber, bis hin zu einer neuen
    > Abmahnwelle gegen unliebsame Mitbewerber.

    Nein, die Regelung ist eigentlich ziemlich klar und es wird sich sehr schnell herauskristallisieren was OK ist und was einer Zustimmung bedarf. Solange du keine externen Tracker einbindest und selbst nur Cookies mit zeitnahem Verfallsdatum setzt (was man auch jetzt schon tun sollte) bist du auf der sicheren Seite. Soviel zur Unsicherheit.
    Apropos Unsicherheit: Auch jetzt schon sind Analysedienste wie Googleanalytics nicht wirklich mit dem deutschen Datenschutz vereinbar.

    In Sachen Abmahnungen gebe ich dir allerdings absolut Recht. Doch liegt das nicht an der Richtlinie sondern eher an unserem beschissenen Abmahnwese in Deutschland, welches Anwälten die Möglichkeit einräumt, sich mit Fehltritten anderer eine goldenen Nase zu verdienen.
    Als Argument gegen die Richtlinie ist das aber nicht zulässig, das sich sonst damit ebenso gegen Richtlinien für Impressum, Preisangaben, Copyrightvermerk etc. argumentieren lassen würde.

    > Andererseits hat die Regelung in
    > der Praxis praktisch keine Auswirkung, da Trackingdaten eh selten im Cookie
    > stehen ...

    Das scheinst du falsch verstanden zu haben, denn so ist die Richtlinie nicht formuliert.

  15. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 28.05.12 - 18:40

    abracadaboum schrieb:
    --------------------------------------------------------------------------------
    > > Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird
    > auch
    > > nichts abgerufen. Das macht der Client alles selber.
    >
    > Doch, defakto wird es das. Welche Rolle dabei der Client spielt ist
    > unerheblich. Durch RFCs ist festgelegt, wie der Browser mit Coockies
    > umgehen sollte und dieses Verhalten kann als Standard angesehen werden. Das
    > bei abweichendem Verhalten (restriktive Coockie-Optionen) viele Anwendungen
    > dennoch funktionieren ist zwar in der Praxis so, aber davon auszugehen
    > macht IMO wenig sinn.

    Wenn wir schon bei RFCs sind, dann richtig:
    ------- quote -------
    A user agent could enforce more restrictions than those specified
    herein (e.g., for the sake of improved security); however,
    experiments have shown that such strictness reduces the likelihood
    that a user agent will be able to interoperate with existing servers.
    ------ /quote -------
    http://tools.ietf.org/html/rfc6265#section-5

    Also "kann" der User frei entscheiden, ob das Cookie wieder zum Server sendet.

    ------- quote ------
    When a user agent receives a Set-Cookie header field in an HTTP
    response, the user agent MAY ignore the Set-Cookie header field in
    its entirety. For example, the user agent might wish to block
    responses to "third-party" requests from setting cookies (see
    Section 7.1).
    ------ /quote -------
    http://tools.ietf.org/html/rfc6265#section-5.2

    Siehe auch 7.2 (komplett)
    http://tools.ietf.org/html/rfc6265#section-7.2

    Also laut RFC spricht überhaupt nichts dagegen, Cookies gezielter im Browser zu managen.
    Dies kann beispielsweise wie bei AdBlock für externe Resourcen funktionieren.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. NORMA Group Holding GmbH, Maintal bei Frankfurt am Main
  2. Bosch Gruppe, Waiblingen
  3. Jetter AG, Ludwigsburg
  4. Bosch Gruppe, Hildesheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 4,25€
  3. ab je 2,49€ kaufen


Haben wir etwas übersehen?

E-Mail an news@golem.de


Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Miix 630 Lenovos ARM-Detachable kostet 1.000 Euro
  2. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  3. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Fancy Bear Microsoft verhindert neue Phishing-Angriffe auf US-Politiker
  2. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  3. US Space Force Planlos im Weltraum

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Parker Solar Probe Sonnen-Sonde der Nasa erfolgreich gestartet
  2. Parker Solar Probe Nasa verschiebt Start seiner Sonnen-Sonde
  3. Raumfahrt Die neuen Astronauten für SpaceX und Boeing

  1. TS-251B: Qnaps Consumer-NAS hat einen PCIe-Slot
    TS-251B
    Qnaps Consumer-NAS hat einen PCIe-Slot

    Mit dem TS-251B veröffentlicht Qnap ein NAS für zwei 3,5-Zoll-Festplatten, welches einen PCIe-Slot aufweist. Der eignet sich für Erweiterungskarten mit NVMe/Sata-SSDs, mit WLAN, mit USB 3.1 Gen2 oder mit 10-GBit/s-Ethernet.

  2. Vodafone: Zahl der Nutzer der Routerfreiheit hat sich verdoppelt
    Vodafone
    Zahl der Nutzer der Routerfreiheit hat sich verdoppelt

    Nach dem Ende des Routerzwangs hat es etwas gedauert, bis die Nutzer umsteigen. Doch die Tendenz ist nun eindeutig.

  3. Gremium: Merkel sucht unbequeme Digitalexperten
    Gremium
    Merkel sucht unbequeme Digitalexperten

    Für mehr Verve und Antrieb bei der Digitalisierung will Bundeskanzlerin Merkel einen Digitalrat gründen. Als Mitglied sind zehn Experten unterschiedlicher Fachrichtungen gesucht.


  1. 15:02

  2. 14:45

  3. 14:18

  4. 11:33

  5. 11:04

  6. 18:00

  7. 17:30

  8. 17:15