Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenschutz: Neue EU-Regeln zu…

Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

  1. Thema

Neues Thema Ansicht wechseln


  1. Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 26.05.12 - 15:38

    Cookies sind ein (oder mehrere) zusätzliche HTTP Header, welche vom Server an den Client geschickt werden.
    Der Client kann selbstständig entscheiden, welche Header er an den Server schickt, d.h. der Client kann sich aussuchen, ob und welche Cookies er bei der nächsten Anfrage an der Server mitschickt (via HTTP Header).

    Es gibt nur wenige Webseite, welche sich nur mit Cookies beobachten lassen.

    Aufgrund der Zustandslosigkeit des HTTP Protokoll sind Cookies, bzw. ein vergleichbarer Mechanismus, (fast) zwingend nötig um einen Zustand, wie "der User ist eingeloggt", zu simulieren.

    Jetzt vorzuschreiben, zuerst die Erlaubnis für das Zusenden einer Information ("Hier ist eine Session ID, *wäre* schön wenn du die in Zukunft mitschickst.") zu verlangen ist Blödsinn.

    Aufgrund der faktischen Notwendigkeit der Cookies, kombiniert mit den Primitiven (default) Methoden der Browser diese zu verwalten, ergibt sich, dass ca. 99 bis 99.9 Prozent der Besucher dem Setzen des Cookie Headers eh Zustimmen. Damit ist eine solche Regelung nur dazu da um Frust auf beiden Seiten zu auszulösen.

  2. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: beaver 26.05.12 - 16:07

    Tja, das passiert wenn man das Sprichtwort "der Klügere gibt nach" befolgt. Denn dann regieren nur die Dummen.

  3. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: Anonymer Nutzer 26.05.12 - 20:13

    Der Klügere gibt so lange nach, bis er der Dumme ist! ;o)

    Schönen Feiertag.

  4. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: the_real_smarty 27.05.12 - 10:22

    AMEN Jungs!

  5. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: chrisweb 27.05.12 - 11:07

    Dieses Gesetz ist wahrscheinlich echt das dümmste was Politiker seit langem erlassen haben. In Firefox habe ich meine Einstellungen so gestellt dass alle Cookies nach dem Verlassen einer Webseite gelöscht werden, ich finde das ist bereits ausreichend. Cookies komplett zu verbieten ist wie bereits erwähnt sehr dumm. Jetzt werden die Daten die im Cookie waren wie "früher" einfach wieder an die URL angehängt, somit hat man wieder super hässliche URLs aber man braucht den Benutzer nicht zu fragen. Ausserdem wird dadurch das Session Hijacking Problem wieder massiv auftreten, aber den meisten wirds egal sein, hauptsache nicht gegen Gesetze verstossen :D



    1 mal bearbeitet, zuletzt am 27.05.12 11:14 durch chrisweb.

  6. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 27.05.12 - 14:11

    > Cookies sind ein (oder mehrere) zusätzliche HTTP Header, welche vom Server
    > an den Client geschickt werden.
    > Der Client kann selbstständig entscheiden, welche Header er an den Server
    > schickt, d.h. der Client kann sich aussuchen, ob und welche Cookies er bei
    > der nächsten Anfrage an der Server mitschickt (via HTTP Header).

    > Aufgrund der Zustandslosigkeit des HTTP Protokoll sind Cookies, bzw. ein
    > vergleichbarer Mechanismus, (fast) zwingend nötig um einen Zustand, wie
    > "der User ist eingeloggt", zu simulieren.

    Zwei Dinge dazu:

    1) Klar kann der Client protokollbedingt alles mögliche mit den Cookies machen, auch einfach verwerfen. Das löst aber das Problem in der Praxis nicht. Wenn ein Nutzer sowohl Wert auf seine Privatsphäre legt, als auch auf eine reibungslose Nutzung von diversen Webanwendungen, müsste dieser Feinkörnig festlegen welche Cookies er zulässt. Damit sind selbst versierte Nutzer überfordert, vom DAU ganz zu schweigen. Meine Lösung besteht daraus grundsätzlich keine Cookies von Drittanbietern zu akzeptieren und alle weiteren beim schließen des Browsers zu löschen.
    Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also versucht die durch die Browsereistellung bewusst getroffene Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
    Zur Zeit ist das alles legal, daher besteht hier absolut Handlungsbedarf.

    2) Anders als im grottenschlechten Artikel seitens Golem dargestellt wurde, werden durch die Richtlinie nicht Cookies verboten. Vielmehr verlangt die Richtlinie eine Einwilligung des Nutzers bei der Speicherung und späteren Abfrage von Daten, die einen eingriff in die Privatsphäre darstellen. Nicht mehr und nicht weniger. ein Session-Cookie, ja selbst ein Warenkorb-Cookie, das beim Verlassen der Seite oder nach wenigen Stunden seine Gültigkeit verliert, fällt garantiert nicht darunter.

    DON'T PANIK!

  7. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: Garius 27.05.12 - 15:03

    xUser schrieb:
    --------------------------------------------------------------------------------
    > ... HTTP Protokoll ...


    Hört sich an wie ISBN Nummer ^^

  8. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 27.05.12 - 15:14

    abracadaboum schrieb:

    > Zwei Dinge dazu:
    >
    > 1) Klar kann der Client protokollbedingt alles mögliche mit den Cookies
    > machen, auch einfach verwerfen. Das löst aber das Problem in der Praxis
    > nicht. Wenn ein Nutzer sowohl Wert auf seine Privatsphäre legt, als auch
    > auf eine reibungslose Nutzung von diversen Webanwendungen, müsste dieser
    > Feinkörnig festlegen welche Cookies er zulässt. Damit sind selbst versierte
    > Nutzer überfordert, vom DAU ganz zu schweigen. Meine Lösung besteht daraus
    > grundsätzlich keine Cookies von Drittanbietern zu akzeptieren und alle
    > weiteren beim schließen des Browsers zu löschen.

    Genau so.

    > Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes
    > Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also
    > versucht die durch die Browsereistellung bewusst getroffene
    > Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
    > Zur Zeit ist das alles legal, daher besteht hier absolut Handlungsbedarf.

    Zählpixel haben nichts mit Cookies zu tun. Es gibt dafür den do-not-track Header.
    Cookies sind ein Angebot des Servers an den Client.

    Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen zu dürfen.

    > 2) Anders als im grottenschlechten Artikel seitens Golem dargestellt wurde,
    > werden durch die Richtlinie nicht Cookies verboten. Vielmehr verlangt die
    > Richtlinie eine Einwilligung des Nutzers bei der Speicherung und späteren
    > Abfrage von Daten, die einen eingriff in die Privatsphäre darstellen. Nicht
    > mehr und nicht weniger. ein Session-Cookie, ja selbst ein Warenkorb-Cookie,
    > das beim Verlassen der Seite oder nach wenigen Stunden seine Gültigkeit
    > verliert, fällt garantiert nicht darunter.

    Was unterscheidet ein Session- von einem Tracking Cookie?

  9. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 27.05.12 - 15:33

    > > Aber auch das hilft alleine wenig, denn es findet ja ein regelrechtes
    > > Tracking-Wettrüsten statt: mit Flashcookies, Zählpixeln etc. Es wird also
    > > versucht die durch die Browsereistellung bewusst getroffene
    > > Willenserklärung des Nutzers, nicht verfolgt zu werden, zu umgehen.
    > > Zur Zeit ist das alles legal, daher besteht hier absolut
    > > Handlungsbedarf.
    >
    > Zählpixel haben nichts mit Cookies zu tun.

    Das habe ich auch nie behauptet. Bitte: Lesen, Vertehen dann Schreiben.

    > Es gibt dafür den do-not-track Header.

    Und was geschah bisher wenn der ignoriert wurde? Eben, nichts. Auch das ändert sich mit der Umsetzung der Richtlinie.

    > Cookies sind ein Angebot des Servers an den Client.
    > Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen zu
    > dürfen.

    Das ist eine ziemlich schwachsinnige Darstellung, da bei permanenter Ablehnung des Angebots zu vollständigen Unbenutzbarkeit der meisten Webapplikationen führt.

    > Was unterscheidet ein Session- von einem Tracking Cookie?

    Wie ich bereits schrieb liegt der Unterschied im Eingriff in die Privatsphäre. Ein Cookie mit geringer Gültigkeitsdauer erfüllt diesen Umstand nicht.

    Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie heißt oder anders) nicht von der Regelung betroffen und somit bedarf es auch keiner Nachfrage.

    Im Klartext heißt das nur, dass du deine Webseite so betreiben musst, dass die Privatsphäre des Users (dazu gehört auch die Verfolgung des Surfverhaltens über lange Zeit) nicht verletzt wird, tust du es dennoch brauchst du eine Erlaubnis.



    1 mal bearbeitet, zuletzt am 27.05.12 15:35 durch abracadaboum.

  10. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 27.05.12 - 15:37

    abracadaboum schrieb:

    > Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von
    > Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die
    > Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege
    > dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie
    > heißt oder anders) nicht von der Regelung betroffen und somit bedarf es
    > auch keiner Nachfrage.

    Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird auch nichts abgerufen. Das macht der Client alles selber.

    > Im Klartext heißt das nur, dass du deine Webseite so betreiben musst, dass
    > die Privatsphäre des Users (dazu gehört auch die Verfolgung des
    > Surfverhaltens über lange Zeit) nicht verletzt wird, tust du es dennoch
    > brauchst du eine Erlaubnis.

    Und Logfiles darf ich dann auch nicht mehr auswerten???

  11. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: __destruct() 27.05.12 - 15:47

    abracadaboum schrieb:
    --------------------------------------------------------------------------------
    > > Was die Regelung fordert ist schlicht die Erlaubnis ein Angebot machen
    > zu
    > > dürfen.
    >
    > Das ist eine ziemlich schwachsinnige Darstellung, da bei permanenter
    > Ablehnung des Angebots zu vollständigen Unbenutzbarkeit der meisten
    > Webapplikationen führt.

    Cookies haben einen Sinn, weswegen sie oft nötig sind. Dann gibt es noch die, die nicht unbedingt nötig sind, aber einen gewissen Komfort des Dienstes ermöglichen und schließlich die, die dem Betreiber Geld einbringen. Auf letztere kann er dennoch bestehen, schließlich ist die Nutzung seines Dienstes freiwillig und er zwingt niemanden, ihn zu nutzen.

  12. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 27.05.12 - 21:44

    > Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird auch
    > nichts abgerufen. Das macht der Client alles selber.

    Doch, defakto wird es das. Welche Rolle dabei der Client spielt ist unerheblich. Durch RFCs ist festgelegt, wie der Browser mit Coockies umgehen sollte und dieses Verhalten kann als Standard angesehen werden. Das bei abweichendem Verhalten (restriktive Coockie-Optionen) viele Anwendungen dennoch funktionieren ist zwar in der Praxis so, aber davon auszugehen macht IMO wenig sinn.

    Ich kann auch nicht ganz verstehen was du gegen die Richtlinie hast, denn im Grunde ist diese durchaus vernünftig formuliert.

    > Und Logfiles darf ich dann auch nicht mehr auswerten???

    Das loggen von Verbindungsdaten an sich ist von der Richtlinie soweit ich sie verstanden habe nicht betroffen. Dennoch musst du damit auch nach jetziger Gesetzeslage vorsichtig sein. Zwar hat das BVerfG beim Urteil zur VDS die IP-Adresse per se nicht als personenbezogenes Datum gewertet, aber das sehen diverse Juristen durchaus anders, insbesondere da zu dieser Berwertung die angewendete Vergabemethode von Belang ist. z.B ist eine auf Dauer vergebene IPv6-Adresse (bzw. Adressblock) ist mit Sicherheit anders zu bewerten als eine dynamisch vergebene Adresse.



    2 mal bearbeitet, zuletzt am 27.05.12 21:49 durch abracadaboum.

  13. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: zwutz 28.05.12 - 02:26

    abracadaboum schrieb:
    --------------------------------------------------------------------------------
    > Nochmal: Die Richtlinie regelt lediglich das das Speichern und Abrufen von
    > Daten auf dem Rechner des Anwenders wenn und nur wenn dadurch in die
    > Privatsphäre eingegriffen wird. Ist dies nicht der Fall (und jetzt überlege
    > dir bitte selbst wann das sein könnte) ist der Vorgang (ob der nun Coockie
    > heißt oder anders) nicht von der Regelung betroffen und somit bedarf es
    > auch keiner Nachfrage.

    Also doch eine schwachsinnige Regelung. Die Regelung schürt einerseits massive Unsicherheit auf Seiten der Betreiber, bis hin zu einer neuen Abmahnwelle gegen unliebsame Mitbewerber. Andererseits hat die Regelung in der Praxis praktisch keine Auswirkung, da Trackingdaten eh selten im Cookie stehen, sondern im Cookie nur steht, wo in der Datenbank die Daten zu finden sind. Und so kann sich ein findiger Betreiber leicht rausreden.

    Noch dazu wird auch die Session-ID dazu verwendet, einen Benutzer eindeutig zu identifizieren. Dass ich die Daten nur brauch, um den Benutzer wiederzufinden, dürfte diversen Anwälten recht egal sein.

  14. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: abracadaboum 28.05.12 - 10:12

    > Also doch eine schwachsinnige Regelung. Die Regelung schürt einerseits
    > massive Unsicherheit auf Seiten der Betreiber, bis hin zu einer neuen
    > Abmahnwelle gegen unliebsame Mitbewerber.

    Nein, die Regelung ist eigentlich ziemlich klar und es wird sich sehr schnell herauskristallisieren was OK ist und was einer Zustimmung bedarf. Solange du keine externen Tracker einbindest und selbst nur Cookies mit zeitnahem Verfallsdatum setzt (was man auch jetzt schon tun sollte) bist du auf der sicheren Seite. Soviel zur Unsicherheit.
    Apropos Unsicherheit: Auch jetzt schon sind Analysedienste wie Googleanalytics nicht wirklich mit dem deutschen Datenschutz vereinbar.

    In Sachen Abmahnungen gebe ich dir allerdings absolut Recht. Doch liegt das nicht an der Richtlinie sondern eher an unserem beschissenen Abmahnwese in Deutschland, welches Anwälten die Möglichkeit einräumt, sich mit Fehltritten anderer eine goldenen Nase zu verdienen.
    Als Argument gegen die Richtlinie ist das aber nicht zulässig, das sich sonst damit ebenso gegen Richtlinien für Impressum, Preisangaben, Copyrightvermerk etc. argumentieren lassen würde.

    > Andererseits hat die Regelung in
    > der Praxis praktisch keine Auswirkung, da Trackingdaten eh selten im Cookie
    > stehen ...

    Das scheinst du falsch verstanden zu haben, denn so ist die Richtlinie nicht formuliert.

  15. Re: Wieder so eine Regel von Schwachmaten, welche die Technik nicht gerafft haben

    Autor: xUser 28.05.12 - 18:40

    abracadaboum schrieb:
    --------------------------------------------------------------------------------
    > > Aber es wird nichts auf dem Rechner des Benutzers gespeichert! Es wird
    > auch
    > > nichts abgerufen. Das macht der Client alles selber.
    >
    > Doch, defakto wird es das. Welche Rolle dabei der Client spielt ist
    > unerheblich. Durch RFCs ist festgelegt, wie der Browser mit Coockies
    > umgehen sollte und dieses Verhalten kann als Standard angesehen werden. Das
    > bei abweichendem Verhalten (restriktive Coockie-Optionen) viele Anwendungen
    > dennoch funktionieren ist zwar in der Praxis so, aber davon auszugehen
    > macht IMO wenig sinn.

    Wenn wir schon bei RFCs sind, dann richtig:
    ------- quote -------
    A user agent could enforce more restrictions than those specified
    herein (e.g., for the sake of improved security); however,
    experiments have shown that such strictness reduces the likelihood
    that a user agent will be able to interoperate with existing servers.
    ------ /quote -------
    http://tools.ietf.org/html/rfc6265#section-5

    Also "kann" der User frei entscheiden, ob das Cookie wieder zum Server sendet.

    ------- quote ------
    When a user agent receives a Set-Cookie header field in an HTTP
    response, the user agent MAY ignore the Set-Cookie header field in
    its entirety. For example, the user agent might wish to block
    responses to "third-party" requests from setting cookies (see
    Section 7.1).
    ------ /quote -------
    http://tools.ietf.org/html/rfc6265#section-5.2

    Siehe auch 7.2 (komplett)
    http://tools.ietf.org/html/rfc6265#section-7.2

    Also laut RFC spricht überhaupt nichts dagegen, Cookies gezielter im Browser zu managen.
    Dies kann beispielsweise wie bei AdBlock für externe Resourcen funktionieren.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. CSL Behring GmbH, Marburg, Hattersheim am Main
  2. Robert Bosch GmbH, Stuttgart
  3. Eurowings Aviation GmbH, Köln
  4. thyssenkrupp AG, Essen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Smartphone-Kaufberatung: Viel Smartphone für wenig Geld
Smartphone-Kaufberatung
Viel Smartphone für wenig Geld

Auch zum diesjährigen Weihnachtsfest verschenken sicher viele Menschen Smartphones - oder wünschen sich selbst eins. Der Markt ist so groß wie unüberschaubar. Wir haben 2018 viele getestet und geben Empfehlungen für Geräte unter 300 Euro.
Von Tobias Költzsch

  1. Vivo Nex Dual Screen Vivo stellt Smartphone mit zwei Displays vor
  2. Smartphone-Kaufberatung Mehr Smartphone für mehr Geld
  3. CDU-Generalsekretärin Alle Behördengänge sollen am Smartphone erfolgen können

Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Need for Speed 3 Hot Pursuit (1998): El Nino, Polizeifunk und Lichtgewitter in Rot-Blau
    Need for Speed 3 Hot Pursuit (1998)
    El Nino, Polizeifunk und Lichtgewitter in Rot-Blau

    Golem retro_ Electronic Arts ist berühmt und berüchtigt für jährliche Updates und Neuveröffentlichungen. Was der Publisher aber 1998 für digitale Raser auffuhr, ist in puncto Dramatik bei Verfolgungsjagden bis heute unerreicht.
    Von Michael Wieczorek

    1. Playstation Classic im Test Sony schlampt, aber Rettung naht

    1. FTTC: Die geheimnisvolle Vectoringnachfrage der Telekom
      FTTC
      Die geheimnisvolle Vectoringnachfrage der Telekom

      Die Deutsche Telekom bietet Vectoring für fast eine Viertelmillion Haushalte. Auch bei dieser neuen Welle des Netzausbaus werden keine genauen Angaben dazu gemacht, wie die Kunden dies buchen.

    2. Docsis 3.1: Kabelnetzbetreiber sehen sich bei Gigabit als Marktführer
      Docsis 3.1
      Kabelnetzbetreiber sehen sich bei Gigabit als Marktführer

      Zum Jahresende ziehen die Kabelnetzbetreiber Bilanz. Durch den Docsis-3.1-Ausbau seien 7,3 Millionen Anschlüsse mit Gigabit-Datenraten verfügbar. Doch ist das wirklich Gigabit wie Glasfaser?

    3. Final Fantasy 15: Erstes Spiel mit DLSS-Kantenglättung verfügbar
      Final Fantasy 15
      Erstes Spiel mit DLSS-Kantenglättung verfügbar

      Wer eine Geforce RTX mit Turing-Chip hat, kann Deep Learning Super Sampling mittlerweile in Final Fantasy 15 nutzen. Die Kantenglättung funktioniert nur in 4K, aber mit einem Trick klappt DLSS auch ohne 4K-Display. Die Framerate überzeugt, die Bildqualität meistens.


    1. 16:59

    2. 14:30

    3. 14:04

    4. 13:35

    5. 13:02

    6. 12:48

    7. 12:30

    8. 12:01