Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenschutz: Neue EU-Regeln zu…

Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

  1. Thema

Neues Thema Ansicht wechseln


  1. Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 26.05.12 - 15:38

    Cookies sind ein (oder mehrere) zusätzliche HTTP Header, welche vom Server an den Client geschickt werden.
    Der Client kann selbstständig entscheiden, welche Header er an den Server schickt, d.h. der Client kann sich aussuchen, ob und welche Cookies er bei der nächsten Anfrage an der Server mitschickt (via HTTP Header).

    Es gibt nur wenige Webseite, welche sich nur mit Cookies beobachten lassen.

    Aufgrund der Zustandslosigkeit des HTTP Protokoll sind Cookies, bzw. ein vergleichbarer Mechanismus, (fast) zwingend nötig um einen Zustand, wie "der User ist eingeloggt", zu simulieren.

    Jetzt vorzuschreiben, zuerst die Erlaubnis für das Zusenden einer Information ("Hier ist eine Session ID, *wäre* schön wenn du die in Zukunft mitschickst.") zu verlangen ist Blödsinn.

    Aufgrund der faktischen Notwendigkeit der Cookies, kombiniert mit den Primitiven (default) Methoden der Browser diese zu verwalten, ergibt sich, dass ca. 99 bis 99.9 Prozent der Besucher dem Setzen des Cookie Headers eh Zustimmen. Damit ist eine solche Regelung nur dazu da um Frust auf beiden Seiten zu auszulösen.

  2. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: beaver 26.05.12 - 16:07

    Tja, das passiert wenn man das Sprichtwort "der Klügere gibt nach" befolgt. Denn dann regieren nur die Dummen.

  3. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: Anonymer Nutzer 26.05.12 - 20:13

    Der Klügere gibt so lange nach, bis er der Dumme ist! ;o)

    Schönen Feiertag.

  4. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: the_real_smarty 27.05.12 - 10:22

    AMEN Jungs!

  5. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: chrisweb 27.05.12 - 11:07

    Dieses Gesetz ist wahrscheinlich echt das dümmste was Politiker seit langem erlassen haben. In Firefox habe ich meine Einstellungen so gestellt dass alle Cookies nach dem Verlassen einer Webseite gelöscht werden, ich finde das ist bereits ausreichend. Cookies komplett zu verbieten ist wie bereits erwähnt sehr dumm. Jetzt werden die Daten die im Cookie waren wie "früher" einfach wieder an die URL angehängt, somit hat man wieder super hässliche URLs aber man braucht den Benutzer nicht zu fragen. Ausserdem wird dadurch das Session Hijacking Problem wieder massiv auftreten, aber den meisten wirds egal sein, hauptsache nicht gegen Gesetze verstossen :D



    1 mal bearbeitet, zuletzt am 27.05.12 11:14 durch chrisweb.

  6. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 27.05.12 - 14:11

    > Cookies sind ein (oder mehrere) zusätzliche HTTP Header, welche vom Server
    > an den Client geschickt werden.
    > Der Client kann selbstständig entscheiden, welche Header er an den Server
    > schickt, d.h. der Client kann sich aussuchen, ob und welche Cookies er bei
    > der nächsten Anfrage an der Server mitschickt (via HTTP Header).

    > Aufgrund der Zustandslosigkeit des HTTP Protokoll sind Cookies, bzw. ein
    > vergleichbarer Mechanismus, (fast) zwingend nötig um einen Zustand, wie
    > "der User ist eingeloggt", zu simulieren.

    Zwei Dinge dazu:

    1) Klar kann der Client protokollbedingt alles mögliche mit den Cookies machen, auch einfach verwerfen. Das löst aber das Problem in der Praxis nicht. Wenn ein Nutzer sowohl Wert auf seine Privatsphäre legt, als auch auf eine reibungslose Nutzung von diversen Webanwendungen, müsste dieser Feinkörnig festlegen welche Cookies er zulässt. Damit sind selbst versierte Nutzer überfordert, vom DAU ganz zu schweigen. Meine Lösung besteht daraus grundsätzlich keine Cookies von Drittanbietern zu akzeptieren und alle weiteren beim schließen des Browsers zu löschen.
    Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also versucht die durch die Browsereistellung bewusst getroffene Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
    Zur Zeit ist das alles legal, daher besteht hier absolut Handlungsbedarf.

    2) Anders als im grottenschlechten Artikel seitens Golem dargestellt wurde, werden durch die Richtlinie nicht Cookies verboten. Vielmehr verlangt die Richtlinie eine Einwilligung des Nutzers bei der Speicherung und späteren Abfrage von Daten, die einen eingriff in die Privatsphäre darstellen. Nicht mehr und nicht weniger. ein Session-Cookie, ja selbst ein Warenkorb-Cookie, das beim Verlassen der Seite oder nach wenigen Stunden seine Gültigkeit verliert, fällt garantiert nicht darunter.

    DON'T PANIK!

  7. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: Garius 27.05.12 - 15:03

    xUser schrieb:
    --------------------------------------------------------------------------------
    > ... HTTP Protokoll ...


    Hört sich an wie ISBN Nummer ^^

  8. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 27.05.12 - 15:14

    abracadaboum schrieb:

    > Zwei Dinge dazu:
    >
    > 1) Klar kann der Client protokollbedingt alles mögliche mit den Cookies
    > machen, auch einfach verwerfen. Das löst aber das Problem in der Praxis
    > nicht. Wenn ein Nutzer sowohl Wert auf seine Privatsphäre legt, als auch
    > auf eine reibungslose Nutzung von diversen Webanwendungen, müsste dieser
    > Feinkörnig festlegen welche Cookies er zulässt. Damit sind selbst versierte
    > Nutzer überfordert, vom DAU ganz zu schweigen. Meine Lösung besteht daraus
    > grundsätzlich keine Cookies von Drittanbietern zu akzeptieren und alle
    > weiteren beim schließen des Browsers zu löschen.

    Genau so.

    > Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes
    > Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also
    > versucht die durch die Browsereistellung bewusst getroffene
    > Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
    > Zur Zeit ist das alles legal, daher besteht hier absolut Handlungsbedarf.

    Zählpixel haben nichts mit Cookies zu tun. Es gibt dafür den do-not-track Header.
    Cookies sind ein Angebot des Servers an den Client.

    Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen zu dürfen.

    > 2) Anders als im grottenschlechten Artikel seitens Golem dargestellt wurde,
    > werden durch die Richtlinie nicht Cookies verboten. Vielmehr verlangt die
    > Richtlinie eine Einwilligung des Nutzers bei der Speicherung und späteren
    > Abfrage von Daten, die einen eingriff in die Privatsphäre darstellen. Nicht
    > mehr und nicht weniger. ein Session-Cookie, ja selbst ein Warenkorb-Cookie,
    > das beim Verlassen der Seite oder nach wenigen Stunden seine Gültigkeit
    > verliert, fällt garantiert nicht darunter.

    Was unterscheidet ein Session- von einem Tracking Cookie?

  9. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 27.05.12 - 15:33

    > > Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes
    > > Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also
    > > versucht die durch die Browsereistellung bewusst getroffene
    > > Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
    > > Zur Zeit ist das alles legal, daher besteht hier absolut
    > > Handlungsbedarf.
    >
    > Zählpixel haben nichts mit Cookies zu tun.

    Das habe ich auch nie behauptet. Bitte: Lesen, Vertehen dann Schreiben.

    > Es gibt dafür den do-not-track Header.

    Und was geschah bisher wenn der ignoriert wurde? Eben, nichts. Auch das ändert sich mit der Umsetzung der Richtlinie.

    > Cookies sind ein Angebot des Servers an den Client.
    > Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen zu
    > dürfen.

    Das ist eine ziemlich schwachsinnige Darstellung, da bei permanenter Ablehnung des Angebots zu vollständigen Unbenutzbarkeit der meisten Webapplikationen führt.

    > Was unterscheidet ein Session- von einem Tracking Cookie?

    Wie ich bereits schrieb liegt der Unterschied im Eingriff in die Privatsphäre. Ein Cookie mit geringer Gültigkeitsdauer erfüllt diesen Umstand nicht.

    Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie heißt oder anders) nicht von der Regelung betroffen und somit bedarf es auch keiner Nachfrage.

    Im Klartext heißt das nur, dass du deine Webseite so betreiben musst, dass die Privatsphäre des Users (dazu gehört auch die Verfolgung des Surfverhaltens über lange Zeit) nicht verletzt wird, tust du es dennoch brauchst du eine Erlaubnis.



    1 mal bearbeitet, zuletzt am 27.05.12 15:35 durch abracadaboum.

  10. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 27.05.12 - 15:37

    abracadaboum schrieb:

    > Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von
    > Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die
    > Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege
    > dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie
    > heißt oder anders) nicht von der Regelung betroffen und somit bedarf es
    > auch keiner Nachfrage.

    Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird auch nichts abgerufen. Das macht der Client alles selber.

    > Im Klartext heißt das nur, dass du deine Webseite so betreiben musst, dass
    > die Privatsphäre des Users (dazu gehört auch die Verfolgung des
    > Surfverhaltens über lange Zeit) nicht verletzt wird, tust du es dennoch
    > brauchst du eine Erlaubnis.

    Und Logfiles darf ich dann auch nicht mehr auswerten???

  11. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: __destruct() 27.05.12 - 15:47

    abracadaboum schrieb:
    --------------------------------------------------------------------------------
    > > Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen
    > zu
    > > dürfen.
    >
    > Das ist eine ziemlich schwachsinnige Darstellung, da bei permanenter
    > Ablehnung des Angebots zu vollständigen Unbenutzbarkeit der meisten
    > Webapplikationen führt.

    Cookies haben einen Sinn, weswegen sie oft nötig sind. Dann gibt es noch die, die nicht unbedingt nötig sind, aber einen gewissen Komfort des Dienstes ermöglichen und schließlich die, die dem Betreiber Geld einbringen. Auf letztere kann er dennoch bestehen, schließlich ist die Nutzung seines Dienstes freiwillig und er zwingt niemanden, ihn zu nutzen.

  12. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 27.05.12 - 21:44

    > Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird auch
    > nichts abgerufen. Das macht der Client alles selber.

    Doch, defakto wird es das. Welche Rolle dabei der Client spielt ist unerheblich. Durch RFCs ist festgelegt, wie der Browser mit Coockies umgehen sollte und dieses Verhalten kann als Standard angesehen werden. Das bei abweichendem Verhalten (restriktive Coockie-Optionen) viele Anwendungen dennoch funktionieren ist zwar in der Praxis so, aber davon auszugehen macht IMO wenig sinn.

    Ich kann auch nicht ganz verstehen was du gegen die Richtlinie hast, denn im Grunde ist diese durchaus vernünftig formuliert.

    > Und Logfiles darf ich dann auch nicht mehr auswerten???

    Das loggen von Verbindungsdaten an sich ist von der Richtlinie soweit ich sie verstanden habe nicht betroffen. Dennoch musst du damit auch nach jetziger Gesetzeslage vorsichtig sein. Zwar hat das BVerfG beim Urteil zur VDS die IP-Adresse per se nicht als personenbezogenes Datum gewertet, aber das sehen diverse Juristen durchaus anders, insbesondere da zu dieser Berwertung die angewendete Vergabemethode von Belang ist. z.B ist eine auf Dauer vergebene IPv6-Adresse (bzw. Adressblock) ist mit Sicherheit anders zu bewerten als eine dynamisch vergebene Adresse.



    2 mal bearbeitet, zuletzt am 27.05.12 21:49 durch abracadaboum.

  13. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: zwutz 28.05.12 - 02:26

    abracadaboum schrieb:
    --------------------------------------------------------------------------------
    > Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von
    > Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die
    > Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege
    > dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie
    > heißt oder anders) nicht von der Regelung betroffen und somit bedarf es
    > auch keiner Nachfrage.

    Also doch eine schwachsinnige Regelung. Die Regelung schürt einerseits massive Unsicherheit auf Seiten der Betreiber, bis hin zu einer neuen Abmahnwelle gegen unliebsame Mitbewerber. Andererseits hat die Regelung in der Praxis praktisch keine Auswirkung, da Trackingdaten eh selten im Cookie stehen, sondern im Cookie nur steht, wo in der Datenbank die Daten zu finden sind. Und so kann sich ein findiger Betreiber leicht rausreden.

    Noch dazu wird auch die Session-ID dazu verwendet, einen Benutzer eindeutig zu identifizieren. Dass ich die Daten nur brauch, um den Benutzer wiederzufinden, dürfte diversen Anwälten recht egal sein.

  14. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 28.05.12 - 10:12

    > Also doch eine schwachsinnige Regelung. Die Regelung schürt einerseits
    > massive Unsicherheit auf Seiten der Betreiber, bis hin zu einer neuen
    > Abmahnwelle gegen unliebsame Mitbewerber.

    Nein, die Regelung ist eigentlich ziemlich klar und es wird sich sehr schnell herauskristallisieren was OK ist und was einer Zustimmung bedarf. Solange du keine externen Tracker einbindest und selbst nur Cookies mit zeitnahem Verfallsdatum setzt (was man auch jetzt schon tun sollte) bist du auf der sicheren Seite. Soviel zur Unsicherheit.
    Apropos Unsicherheit: Auch jetzt schon sind Analysedienste wie Googleanalytics nicht wirklich mit dem deutschen Datenschutz vereinbar.

    In Sachen Abmahnungen gebe ich dir allerdings absolut Recht. Doch liegt das nicht an der Richtlinie sondern eher an unserem beschissenen Abmahnwese in Deutschland, welches Anwälten die Möglichkeit einräumt, sich mit Fehltritten anderer eine goldenen Nase zu verdienen.
    Als Argument gegen die Richtlinie ist das aber nicht zulässig, das sich sonst damit ebenso gegen Richtlinien für Impressum, Preisangaben, Copyrightvermerk etc. argumentieren lassen würde.

    > Andererseits hat die Regelung in
    > der Praxis praktisch keine Auswirkung, da Trackingdaten eh selten im Cookie
    > stehen ...

    Das scheinst du falsch verstanden zu haben, denn so ist die Richtlinie nicht formuliert.

  15. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 28.05.12 - 18:40

    abracadaboum schrieb:
    --------------------------------------------------------------------------------
    > > Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird
    > auch
    > > nichts abgerufen. Das macht der Client alles selber.
    >
    > Doch, defakto wird es das. Welche Rolle dabei der Client spielt ist
    > unerheblich. Durch RFCs ist festgelegt, wie der Browser mit Coockies
    > umgehen sollte und dieses Verhalten kann als Standard angesehen werden. Das
    > bei abweichendem Verhalten (restriktive Coockie-Optionen) viele Anwendungen
    > dennoch funktionieren ist zwar in der Praxis so, aber davon auszugehen
    > macht IMO wenig sinn.

    Wenn wir schon bei RFCs sind, dann richtig:
    ------- quote -------
    A user agent could enforce more restrictions than those specified
    herein (e.g., for the sake of improved security); however,
    experiments have shown that such strictness reduces the likelihood
    that a user agent will be able to interoperate with existing servers.
    ------ /quote -------
    http://tools.ietf.org/html/rfc6265#section-5

    Also "kann" der User frei entscheiden, ob das Cookie wieder zum Server sendet.

    ------- quote ------
    When a user agent receives a Set-Cookie header field in an HTTP
    response, the user agent MAY ignore the Set-Cookie header field in
    its entirety. For example, the user agent might wish to block
    responses to "third-party" requests from setting cookies (see
    Section 7.1).
    ------ /quote -------
    http://tools.ietf.org/html/rfc6265#section-5.2

    Siehe auch 7.2 (komplett)
    http://tools.ietf.org/html/rfc6265#section-7.2

    Also laut RFC spricht überhaupt nichts dagegen, Cookies gezielter im Browser zu managen.
    Dies kann beispielsweise wie bei AdBlock für externe Resourcen funktionieren.

Neues Thema Ansicht wechseln


Dieses Thema wurde geschlossen.

Stellenmarkt
  1. Stuttgarter Straßenbahnen AG, Stuttgart
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf
  3. abilex GmbH, Stuttgart
  4. 50Hertz Transmission GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 9,99€
  3. 4,25€


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
In eigener Sache
Freie Schreiber/-innen für Jobthemen gesucht

IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

  1. Leserumfrage Wie sollen wir Golem.de erweitern?
  2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
  3. Leserumfrage Wie gefällt Ihnen Golem.de?

Sony: Ein Kuss und viele Tode
Sony
Ein Kuss und viele Tode

E3 2018 Mit einem zärtlichen Moment in The Last of Us 2 hat Sony sein Media Briefing eröffnet - danach gab es teils blutrünstiges Gameplay plus Rätselraten um Death Stranding von Hideo Kojima.
Ein Bericht von Peter Steinlechner

  1. Smach Z ausprobiert Neuer Blick auf das Handheld für PC-Spieler
  2. The Division 2 angespielt Action rund um Air Force One
  3. Ghost of Tsushima Dynamischer Match im offenen Japan

BMW i3s im Test: Teure Rennpappe à la Karbonara
BMW i3s im Test
Teure Rennpappe à la Karbonara

Mit dem neuen BMW i3s ist man zügig in der Stadt unterwegs. Zwar ist der Kleinwagen gut vernetzt, doch die Assistenzsysteme lassen immer noch zu wünschen übrig. Trotz des hohen Preises.
Ein Praxistest von Friedhelm Greis

  1. R71-Seitenwagen BMW-Motorrad aus den 30er Jahren soll elektrifiziert werden
  2. SUV Concept iX3 zeigt BMWs elektrische Zukunft
  3. BMW Mini-Oldtimer mit E-Antrieb ausgerüstet

  1. Elektromobiltät: UPS kauft 1.000 Elektrolieferwagen von Workhorse
    Elektromobiltät
    UPS kauft 1.000 Elektrolieferwagen von Workhorse

    Der US-Paketdienstleister UPS will eine Flotte von 1.000 Elektrofahrzeugen betreiben, die das Unternehmen bereits beim Hersteller Workhorse bestellt hat. Sie sollen im innerstädtischen Lieferverkehr eingesetzt werden.

  2. Low Latency Docsis: Huawei will Latenz von 1 Millisekunde im Kabelnetz erreichen
    Low Latency Docsis
    Huawei will Latenz von 1 Millisekunde im Kabelnetz erreichen

    Die Latenzzeiten im TV-Kabelnetz sollen minimal werden. Sie sollen laut Huawei noch über Docsis 3.1 hinaus verbessert werden.

  3. Riders' Day: Beschäftigte von Essenslieferdiensten protestieren
    Riders' Day
    Beschäftigte von Essenslieferdiensten protestieren

    Gegen befristete Arbeitsverhältnisse, Solo-Selbstständigkeit, Zahlung pro Auslieferung und Überwachung: In der kommenden Woche protestieren Beschäftigte von Online-Essenslieferdiensten.


  1. 16:18

  2. 14:18

  3. 12:48

  4. 11:43

  5. 19:18

  6. 12:33

  7. 12:19

  8. 11:36