Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenschutz: Neue EU-Regeln zu…

Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

  1. Thema

Neues Thema Ansicht wechseln


  1. Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 26.05.12 - 15:38

    Cookies sind ein (oder mehrere) zusätzliche HTTP Header, welche vom Server an den Client geschickt werden.
    Der Client kann selbstständig entscheiden, welche Header er an den Server schickt, d.h. der Client kann sich aussuchen, ob und welche Cookies er bei der nächsten Anfrage an der Server mitschickt (via HTTP Header).

    Es gibt nur wenige Webseite, welche sich nur mit Cookies beobachten lassen.

    Aufgrund der Zustandslosigkeit des HTTP Protokoll sind Cookies, bzw. ein vergleichbarer Mechanismus, (fast) zwingend nötig um einen Zustand, wie "der User ist eingeloggt", zu simulieren.

    Jetzt vorzuschreiben, zuerst die Erlaubnis für das Zusenden einer Information ("Hier ist eine Session ID, *wäre* schön wenn du die in Zukunft mitschickst.") zu verlangen ist Blödsinn.

    Aufgrund der faktischen Notwendigkeit der Cookies, kombiniert mit den Primitiven (default) Methoden der Browser diese zu verwalten, ergibt sich, dass ca. 99 bis 99.9 Prozent der Besucher dem Setzen des Cookie Headers eh Zustimmen. Damit ist eine solche Regelung nur dazu da um Frust auf beiden Seiten zu auszulösen.

  2. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: beaver 26.05.12 - 16:07

    Tja, das passiert wenn man das Sprichtwort "der Klügere gibt nach" befolgt. Denn dann regieren nur die Dummen.

  3. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: Anonymer Nutzer 26.05.12 - 20:13

    Der Klügere gibt so lange nach, bis er der Dumme ist! ;o)

    Schönen Feiertag.

  4. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: the_real_smarty 27.05.12 - 10:22

    AMEN Jungs!

  5. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: chrisweb 27.05.12 - 11:07

    Dieses Gesetz ist wahrscheinlich echt das dümmste was Politiker seit langem erlassen haben. In Firefox habe ich meine Einstellungen so gestellt dass alle Cookies nach dem Verlassen einer Webseite gelöscht werden, ich finde das ist bereits ausreichend. Cookies komplett zu verbieten ist wie bereits erwähnt sehr dumm. Jetzt werden die Daten die im Cookie waren wie "früher" einfach wieder an die URL angehängt, somit hat man wieder super hässliche URLs aber man braucht den Benutzer nicht zu fragen. Ausserdem wird dadurch das Session Hijacking Problem wieder massiv auftreten, aber den meisten wirds egal sein, hauptsache nicht gegen Gesetze verstossen :D



    1 mal bearbeitet, zuletzt am 27.05.12 11:14 durch chrisweb.

  6. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 27.05.12 - 14:11

    > Cookies sind ein (oder mehrere) zusätzliche HTTP Header, welche vom Server
    > an den Client geschickt werden.
    > Der Client kann selbstständig entscheiden, welche Header er an den Server
    > schickt, d.h. der Client kann sich aussuchen, ob und welche Cookies er bei
    > der nächsten Anfrage an der Server mitschickt (via HTTP Header).

    > Aufgrund der Zustandslosigkeit des HTTP Protokoll sind Cookies, bzw. ein
    > vergleichbarer Mechanismus, (fast) zwingend nötig um einen Zustand, wie
    > "der User ist eingeloggt", zu simulieren.

    Zwei Dinge dazu:

    1) Klar kann der Client protokollbedingt alles mögliche mit den Cookies machen, auch einfach verwerfen. Das löst aber das Problem in der Praxis nicht. Wenn ein Nutzer sowohl Wert auf seine Privatsphäre legt, als auch auf eine reibungslose Nutzung von diversen Webanwendungen, müsste dieser Feinkörnig festlegen welche Cookies er zulässt. Damit sind selbst versierte Nutzer überfordert, vom DAU ganz zu schweigen. Meine Lösung besteht daraus grundsätzlich keine Cookies von Drittanbietern zu akzeptieren und alle weiteren beim schließen des Browsers zu löschen.
    Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also versucht die durch die Browsereistellung bewusst getroffene Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
    Zur Zeit ist das alles legal, daher besteht hier absolut Handlungsbedarf.

    2) Anders als im grottenschlechten Artikel seitens Golem dargestellt wurde, werden durch die Richtlinie nicht Cookies verboten. Vielmehr verlangt die Richtlinie eine Einwilligung des Nutzers bei der Speicherung und späteren Abfrage von Daten, die einen eingriff in die Privatsphäre darstellen. Nicht mehr und nicht weniger. ein Session-Cookie, ja selbst ein Warenkorb-Cookie, das beim Verlassen der Seite oder nach wenigen Stunden seine Gültigkeit verliert, fällt garantiert nicht darunter.

    DON'T PANIK!

  7. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: Garius 27.05.12 - 15:03

    xUser schrieb:
    --------------------------------------------------------------------------------
    > ... HTTP Protokoll ...


    Hört sich an wie ISBN Nummer ^^

  8. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 27.05.12 - 15:14

    abracadaboum schrieb:

    > Zwei Dinge dazu:
    >
    > 1) Klar kann der Client protokollbedingt alles mögliche mit den Cookies
    > machen, auch einfach verwerfen. Das löst aber das Problem in der Praxis
    > nicht. Wenn ein Nutzer sowohl Wert auf seine Privatsphäre legt, als auch
    > auf eine reibungslose Nutzung von diversen Webanwendungen, müsste dieser
    > Feinkörnig festlegen welche Cookies er zulässt. Damit sind selbst versierte
    > Nutzer überfordert, vom DAU ganz zu schweigen. Meine Lösung besteht daraus
    > grundsätzlich keine Cookies von Drittanbietern zu akzeptieren und alle
    > weiteren beim schließen des Browsers zu löschen.

    Genau so.

    > Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes
    > Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also
    > versucht die durch die Browsereistellung bewusst getroffene
    > Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
    > Zur Zeit ist das alles legal, daher besteht hier absolut Handlungsbedarf.

    Zählpixel haben nichts mit Cookies zu tun. Es gibt dafür den do-not-track Header.
    Cookies sind ein Angebot des Servers an den Client.

    Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen zu dürfen.

    > 2) Anders als im grottenschlechten Artikel seitens Golem dargestellt wurde,
    > werden durch die Richtlinie nicht Cookies verboten. Vielmehr verlangt die
    > Richtlinie eine Einwilligung des Nutzers bei der Speicherung und späteren
    > Abfrage von Daten, die einen eingriff in die Privatsphäre darstellen. Nicht
    > mehr und nicht weniger. ein Session-Cookie, ja selbst ein Warenkorb-Cookie,
    > das beim Verlassen der Seite oder nach wenigen Stunden seine Gültigkeit
    > verliert, fällt garantiert nicht darunter.

    Was unterscheidet ein Session- von einem Tracking Cookie?

  9. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 27.05.12 - 15:33

    > > Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes
    > > Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also
    > > versucht die durch die Browsereistellung bewusst getroffene
    > > Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
    > > Zur Zeit ist das alles legal, daher besteht hier absolut
    > > Handlungsbedarf.
    >
    > Zählpixel haben nichts mit Cookies zu tun.

    Das habe ich auch nie behauptet. Bitte: Lesen, Vertehen dann Schreiben.

    > Es gibt dafür den do-not-track Header.

    Und was geschah bisher wenn der ignoriert wurde? Eben, nichts. Auch das ändert sich mit der Umsetzung der Richtlinie.

    > Cookies sind ein Angebot des Servers an den Client.
    > Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen zu
    > dürfen.

    Das ist eine ziemlich schwachsinnige Darstellung, da bei permanenter Ablehnung des Angebots zu vollständigen Unbenutzbarkeit der meisten Webapplikationen führt.

    > Was unterscheidet ein Session- von einem Tracking Cookie?

    Wie ich bereits schrieb liegt der Unterschied im Eingriff in die Privatsphäre. Ein Cookie mit geringer Gültigkeitsdauer erfüllt diesen Umstand nicht.

    Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie heißt oder anders) nicht von der Regelung betroffen und somit bedarf es auch keiner Nachfrage.

    Im Klartext heißt das nur, dass du deine Webseite so betreiben musst, dass die Privatsphäre des Users (dazu gehört auch die Verfolgung des Surfverhaltens über lange Zeit) nicht verletzt wird, tust du es dennoch brauchst du eine Erlaubnis.



    1 mal bearbeitet, zuletzt am 27.05.12 15:35 durch abracadaboum.

  10. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 27.05.12 - 15:37

    abracadaboum schrieb:

    > Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von
    > Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die
    > Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege
    > dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie
    > heißt oder anders) nicht von der Regelung betroffen und somit bedarf es
    > auch keiner Nachfrage.

    Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird auch nichts abgerufen. Das macht der Client alles selber.

    > Im Klartext heißt das nur, dass du deine Webseite so betreiben musst, dass
    > die Privatsphäre des Users (dazu gehört auch die Verfolgung des
    > Surfverhaltens über lange Zeit) nicht verletzt wird, tust du es dennoch
    > brauchst du eine Erlaubnis.

    Und Logfiles darf ich dann auch nicht mehr auswerten???

  11. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: __destruct() 27.05.12 - 15:47

    abracadaboum schrieb:
    --------------------------------------------------------------------------------
    > > Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen
    > zu
    > > dürfen.
    >
    > Das ist eine ziemlich schwachsinnige Darstellung, da bei permanenter
    > Ablehnung des Angebots zu vollständigen Unbenutzbarkeit der meisten
    > Webapplikationen führt.

    Cookies haben einen Sinn, weswegen sie oft nötig sind. Dann gibt es noch die, die nicht unbedingt nötig sind, aber einen gewissen Komfort des Dienstes ermöglichen und schließlich die, die dem Betreiber Geld einbringen. Auf letztere kann er dennoch bestehen, schließlich ist die Nutzung seines Dienstes freiwillig und er zwingt niemanden, ihn zu nutzen.

  12. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 27.05.12 - 21:44

    > Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird auch
    > nichts abgerufen. Das macht der Client alles selber.

    Doch, defakto wird es das. Welche Rolle dabei der Client spielt ist unerheblich. Durch RFCs ist festgelegt, wie der Browser mit Coockies umgehen sollte und dieses Verhalten kann als Standard angesehen werden. Das bei abweichendem Verhalten (restriktive Coockie-Optionen) viele Anwendungen dennoch funktionieren ist zwar in der Praxis so, aber davon auszugehen macht IMO wenig sinn.

    Ich kann auch nicht ganz verstehen was du gegen die Richtlinie hast, denn im Grunde ist diese durchaus vernünftig formuliert.

    > Und Logfiles darf ich dann auch nicht mehr auswerten???

    Das loggen von Verbindungsdaten an sich ist von der Richtlinie soweit ich sie verstanden habe nicht betroffen. Dennoch musst du damit auch nach jetziger Gesetzeslage vorsichtig sein. Zwar hat das BVerfG beim Urteil zur VDS die IP-Adresse per se nicht als personenbezogenes Datum gewertet, aber das sehen diverse Juristen durchaus anders, insbesondere da zu dieser Berwertung die angewendete Vergabemethode von Belang ist. z.B ist eine auf Dauer vergebene IPv6-Adresse (bzw. Adressblock) ist mit Sicherheit anders zu bewerten als eine dynamisch vergebene Adresse.



    2 mal bearbeitet, zuletzt am 27.05.12 21:49 durch abracadaboum.

  13. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: zwutz 28.05.12 - 02:26

    abracadaboum schrieb:
    --------------------------------------------------------------------------------
    > Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von
    > Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die
    > Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege
    > dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie
    > heißt oder anders) nicht von der Regelung betroffen und somit bedarf es
    > auch keiner Nachfrage.

    Also doch eine schwachsinnige Regelung. Die Regelung schürt einerseits massive Unsicherheit auf Seiten der Betreiber, bis hin zu einer neuen Abmahnwelle gegen unliebsame Mitbewerber. Andererseits hat die Regelung in der Praxis praktisch keine Auswirkung, da Trackingdaten eh selten im Cookie stehen, sondern im Cookie nur steht, wo in der Datenbank die Daten zu finden sind. Und so kann sich ein findiger Betreiber leicht rausreden.

    Noch dazu wird auch die Session-ID dazu verwendet, einen Benutzer eindeutig zu identifizieren. Dass ich die Daten nur brauch, um den Benutzer wiederzufinden, dürfte diversen Anwälten recht egal sein.

  14. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 28.05.12 - 10:12

    > Also doch eine schwachsinnige Regelung. Die Regelung schürt einerseits
    > massive Unsicherheit auf Seiten der Betreiber, bis hin zu einer neuen
    > Abmahnwelle gegen unliebsame Mitbewerber.

    Nein, die Regelung ist eigentlich ziemlich klar und es wird sich sehr schnell herauskristallisieren was OK ist und was einer Zustimmung bedarf. Solange du keine externen Tracker einbindest und selbst nur Cookies mit zeitnahem Verfallsdatum setzt (was man auch jetzt schon tun sollte) bist du auf der sicheren Seite. Soviel zur Unsicherheit.
    Apropos Unsicherheit: Auch jetzt schon sind Analysedienste wie Googleanalytics nicht wirklich mit dem deutschen Datenschutz vereinbar.

    In Sachen Abmahnungen gebe ich dir allerdings absolut Recht. Doch liegt das nicht an der Richtlinie sondern eher an unserem beschissenen Abmahnwese in Deutschland, welches Anwälten die Möglichkeit einräumt, sich mit Fehltritten anderer eine goldenen Nase zu verdienen.
    Als Argument gegen die Richtlinie ist das aber nicht zulässig, das sich sonst damit ebenso gegen Richtlinien für Impressum, Preisangaben, Copyrightvermerk etc. argumentieren lassen würde.

    > Andererseits hat die Regelung in
    > der Praxis praktisch keine Auswirkung, da Trackingdaten eh selten im Cookie
    > stehen ...

    Das scheinst du falsch verstanden zu haben, denn so ist die Richtlinie nicht formuliert.

  15. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 28.05.12 - 18:40

    abracadaboum schrieb:
    --------------------------------------------------------------------------------
    > > Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird
    > auch
    > > nichts abgerufen. Das macht der Client alles selber.
    >
    > Doch, defakto wird es das. Welche Rolle dabei der Client spielt ist
    > unerheblich. Durch RFCs ist festgelegt, wie der Browser mit Coockies
    > umgehen sollte und dieses Verhalten kann als Standard angesehen werden. Das
    > bei abweichendem Verhalten (restriktive Coockie-Optionen) viele Anwendungen
    > dennoch funktionieren ist zwar in der Praxis so, aber davon auszugehen
    > macht IMO wenig sinn.

    Wenn wir schon bei RFCs sind, dann richtig:
    ------- quote -------
    A user agent could enforce more restrictions than those specified
    herein (e.g., for the sake of improved security); however,
    experiments have shown that such strictness reduces the likelihood
    that a user agent will be able to interoperate with existing servers.
    ------ /quote -------
    http://tools.ietf.org/html/rfc6265#section-5

    Also "kann" der User frei entscheiden, ob das Cookie wieder zum Server sendet.

    ------- quote ------
    When a user agent receives a Set-Cookie header field in an HTTP
    response, the user agent MAY ignore the Set-Cookie header field in
    its entirety. For example, the user agent might wish to block
    responses to "third-party" requests from setting cookies (see
    Section 7.1).
    ------ /quote -------
    http://tools.ietf.org/html/rfc6265#section-5.2

    Siehe auch 7.2 (komplett)
    http://tools.ietf.org/html/rfc6265#section-7.2

    Also laut RFC spricht überhaupt nichts dagegen, Cookies gezielter im Browser zu managen.
    Dies kann beispielsweise wie bei AdBlock für externe Resourcen funktionieren.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Technische Hoch­schule Nürnberg Georg Simon Ohm, Nürnberg
  2. Computacenter AG & Co. oHG, Verschiedene Standorte
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Stadtwerke München GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 915€ + Versand
  2. täglich neue Deals bei Alternate.de
  3. 119,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
Probefahrt mit Tesla Model 3
Wie auf Schienen übers Golden Gate

Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
Ein Erfahrungsbericht von Friedhelm Greis

  1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
  2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
  3. Elektroauto Produktionsziel des Tesla Model 3 erreicht

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

  1. Unix: OpenBSD 6.4 kommt mit Schleier und ohne Hyperthreads
    Unix
    OpenBSD 6.4 kommt mit Schleier und ohne Hyperthreads

    Die aktuelle Version 6.4 des Betriebssystems OpenBSD deaktiviert automatisch Hyperthreading auf Intel-Chips. Ein neuer Systemaufruf verschleiert Dateisystemzugriffe, was direkt für den eigenen Hypervisor genutzt wird. Das Team hat außerdem viel Hardware-Unterstützung hinzugefügt.

  2. Urban Mining: Wie aus alten Platinen wieder Kupfer wird
    Urban Mining
    Wie aus alten Platinen wieder Kupfer wird

    Rohre, Kabel, Leiter: Kupfer ist vielseitig verwendbar und der Bedarf steigt ständig. Längst wird das Metall nicht mehr nur aus der Erde geholt, sondern auch aus Elektronikschrott recycelt. Wir haben uns beim Hamburger Unternehmen Aurubis angeschaut, wie das geht.

  3. NVMe-SSDs: Samsung plant mit 4-Bit-Speicher und PCIe Gen4
    NVMe-SSDs
    Samsung plant mit 4-Bit-Speicher und PCIe Gen4

    Bald ein Dutzend neue SSDs in Planung: Samsung arbeitet an der 980/860 QVO mit QLC-Flash-Speicher, auch ist eine 970 Evo Plus mit mehr Geschwindigkeit dank 96-Layer-NAND angesetzt. Zudem wird Samsung einige Modelle mit Controllern für PCIe Gen4 aktualisieren.


  1. 12:58

  2. 12:05

  3. 12:01

  4. 10:59

  5. 10:49

  6. 10:39

  7. 10:15

  8. 09:19