1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Orientierungshilfe: Wie Webseiten…

PHP Session Cookie

  1. Thema

Neues Thema Ansicht wechseln


  1. PHP Session Cookie

    Autor: misfit 10.04.19 - 16:09

    "Wenn die Nutzer keine Möglichkeiten erhalten, das Setzen von Cookies abzulehnen, gilt die mit dem Button eingeholte Einwilligung nicht. Der Nutzer muss nämlich die freie und echte Wahl haben, was bedeutet, dass er die Einwilligung auch verweigern kann, ohne dadurch Nachteile zu erleiden. Das heißt, der Besuch der Website muss auch dann möglich sein, wenn der Nutzer keine Einwilligung erteilt."

    Ich hab z.B. eine Bestellstrecke, bei der über mehrere Schritte hinweg Daten vom Benutzer abgefragt werden. Die Daten wiederum werden serverseitig in einer Session gespeichert. Damit die gespeicherten Daten dem Benutzer zugeordnet werden können wird im Browser des Benutzers das Standard-Session-Cookie "PHPSESSID" von PHP angelegt. Das Session-Cookie wird gelöscht, sobald der Benutzer den Browser schließt.
    Ohne dieses Cookie und die Session wäre eine Bestellung nicht möglich. Jetzt hab ich aber irgendwie ein Problem mit dieser Formulierung hier: "Der Nutzer muss nämlich die freie und echte Wahl haben, was bedeutet, dass er die Einwilligung auch verweigern kann, ohne dadurch Nachteile zu erleiden."
    Dann müsste ja die Bestellstrecke umgebaut werden oder kann ich die Benutzung dem Benutzer untersagen, wenn er keine Cookie´s akzeptiert? Der Rest der Seite ist ja ohne weiteres nutzbar.

  2. Re: PHP Session Cookie

    Autor: 486dx4-160 10.04.19 - 16:15

    misfit schrieb:
    --------------------------------------------------------------------------------
    > "Wenn die Nutzer keine Möglichkeiten erhalten, das Setzen von Cookies
    > abzulehnen, gilt die mit dem Button eingeholte Einwilligung nicht. Der
    > Nutzer muss nämlich die freie und echte Wahl haben, was bedeutet, dass er
    > die Einwilligung auch verweigern kann, ohne dadurch Nachteile zu erleiden.
    > Das heißt, der Besuch der Website muss auch dann möglich sein, wenn der
    > Nutzer keine Einwilligung erteilt."
    >
    > Ich hab z.B. eine Bestellstrecke, bei der über mehrere Schritte hinweg
    > Daten vom Benutzer abgefragt werden. Die Daten wiederum werden serverseitig
    > in einer Session gespeichert. Damit die gespeicherten Daten dem Benutzer
    > zugeordnet werden können wird im Browser des Benutzers das
    > Standard-Session-Cookie "PHPSESSID" von PHP angelegt. Das Session-Cookie
    > wird gelöscht, sobald der Benutzer den Browser schließt.
    > Ohne dieses Cookie und die Session wäre eine Bestellung nicht möglich.
    > Jetzt hab ich aber irgendwie ein Problem mit dieser Formulierung hier: "Der
    > Nutzer muss nämlich die freie und echte Wahl haben, was bedeutet, dass er
    > die Einwilligung auch verweigern kann, ohne dadurch Nachteile zu
    > erleiden."
    > Dann müsste ja die Bestellstrecke umgebaut werden oder kann ich die
    > Benutzung dem Benutzer untersagen, wenn er keine Cookie´s akzeptiert?
    > Der Rest der Seite ist ja ohne weiteres nutzbar.

    Übergib doch einfach die Session-ID per GET- oder POST-Variable. Kein großer Umbau nötig.
    Dieses Tracking liegt auch im Interesse des Webseitenbesuchers, keine Daten fließen ab, nix wird gespeichert, lässt sich technisch nicht vermeiden und ist Minimalinvasiv, und damit ok.



    1 mal bearbeitet, zuletzt am 10.04.19 16:18 durch 486dx4-160.

  3. Re: PHP Session Cookie

    Autor: YannikSMYLIE 10.04.19 - 16:17

    Bei Erhebung von Daten zur Erfüllung von Verträgen bedarf es keiner Zustimmung. Irgendwie sowas stand da.
    Da das Setzen des Cookies unmittelbar erforderlich ist brauchst du also keine Einwilligung. Nur wenn du anhand des Cookies dann weiter Daten auswertest.

  4. Re: PHP Session Cookie

    Autor: YannikSMYLIE 10.04.19 - 16:19

    "Die für eine Vertragsanbahnung oder -durchführung erforderlichen Daten dürfen Sie auch ohne Einwilligung erfassen, da hier der Vertrag eine ausreichende Rechtsgrundlage bildet."

    https://www.stuttgart.ihk24.de/Fuer-Unternehmen/recht_und_steuern/Datenschutzrecht/fragen-und-antworten-zu-dsgvo/4052736

  5. Re: PHP Session Cookie

    Autor: MrAnderson 10.04.19 - 16:31

    Den Session Cookie hast du dann doch trotzdem? GET und POST sind doch nur Methoden, wie die SID zwischen einzelnen Seiten übergeben wird ... anstatt die ID z.B. an die URL anzuhängen?

  6. Re: PHP Session Cookie

    Autor: Schattenwerk 10.04.19 - 16:32

    486dx4-160 schrieb:
    --------------------------------------------------------------------------------
    > Übergib doch einfach die Session-ID per GET- oder POST-Variable. Kein
    > großer Umbau nötig.

    Sehe ich unglaublich kritisch. Session-IDs gehören in einen Cookie, welcher die Flags httponly und secure hat.

    So eine sensible Information packe ich doch nicht in die Webseite, wodurch Session-Hijacking vereinfacht wird. Es Bedarf nur mal irgendeiner anderen Schwachstelle und schwups kann ich per Injektion aus dem HTML-Body irgendwelche Session-IDs ziehen.

  7. Re: PHP Session Cookie

    Autor: Schattenwerk 10.04.19 - 16:32

    Er will den Cookie in dem Zuge dann deaktivieren.

  8. Re: PHP Session Cookie

    Autor: violator 10.04.19 - 16:40

    486dx4-160 schrieb:
    --------------------------------------------------------------------------------
    > Dieses Tracking liegt auch im Interesse des Webseitenbesuchers, keine Daten
    > fließen ab, nix wird gespeichert, lässt sich technisch nicht vermeiden und
    > ist Minimalinvasiv, und damit ok.

    Ein Sessioncookie ist aber harmlos und löscht sich ja von selbst. Den auch ablehnen zu dürfen halte ich für etwas übertrieben.

  9. Re: PHP Session Cookie

    Autor: 486dx4-160 13.04.19 - 01:30

    YannikSMYLIE schrieb:
    --------------------------------------------------------------------------------
    > "Die für eine Vertragsanbahnung oder -durchführung erforderlichen Daten
    > dürfen Sie auch ohne Einwilligung erfassen, da hier der Vertrag eine
    > ausreichende Rechtsgrundlage bildet."
    >
    > www.stuttgart.ihk24.de

    Was haben Name und Adresse mit Cookies zu tun?

  10. Session Cookie Abfrage, was für ein Dummfug

    Autor: Strassenflirt 16.04.19 - 09:59

    Ich habe den Eindruck, dass die Verantwortlichen sich nicht gut mit der dahinter liegenden Technik auskennen.

    Cookies sind nichts anderes als kleine Textdateien mit einer vorher festgelegten Lebensdauer, die ursprünglich dazu gedacht waren, Daten wie Benutzernamen oder -ID über eine Sitzung hinaus zu speichern, damit man nicht ständig diese Daten neu eingeben muss. Nur die Ursprungsdomain kann die selbst gesetzten Cookies wieder abrufen.

    Session-Cookies stellen dabei noch einen Spezialfall dar, da sie nur solange vorhanden sind, wie die Website geöffnet ist bzw. der Browser nicht geschlossen wurde (Lebensdauer 0). Sie dienen dazu, die leider bei der Erfindung des HTTP vergessene Eindeutigkeit des Benutzers zwischen den Aufrufen von Seiten einer Website zu gewährleisten (zustandsloses Protokoll).

    Einfach gesagt: Ruft der Nutzer die Seite a.html auf und gibt dort Daten ein, so sind diese auf Seite b.html, die er sofort danach aufruft, nicht bekannt und sogar nicht einmal auf Seite a.html bei einem Reload, weil der Server nicht weiß, dass es sich um denselben Benutzer handelt.
    Deshalb wird in einem Cookie eine eindeutige ID gespeichert, die bei jeder weiteren aufgerufenen einzelnen Seite wieder mitgeschickt wird.

    Um Tracking bzw. Domain-übergreifende personalisierte Werbung zu ermöglichen, kam eine Firma auf die glorreiche Idee, Werbebanner und unsichtbare Grafiken, sog. Webpixel, auf Kunden-Seiten einzubinden und damit eigene Cookies setzen zu können, die sie dann auf jeder anderen Seite auslesen können, auf der sich Code dieser Firma befindet. So sieht man sich also bei Kunde A dieser Firma Sneakers an, und schon werden auf allen anderen Kundenseiten ebenfalls Sneakers beworben.
    Das nennt sich heutzutage Drittanbieter-Cookies und auf diese kann Jeder getrost verzichten. Und nur bei dieser Art Cookies ist eine Einwilligung notwendig, denn nur mit diesen kann man Unsinn anstellen.
    Lokale Cookies und sogar Session-Cookies erst nach Einwilligung zu erlauben, zeugt von totaler Unwissenheit der Technik.

    Dann müsste auch jede andere Software, die Daten auf der lokalen Festplatte speichern möchte - oder sogar im RAM wie bei Session-Cookies - vorher um Erlaubnis fragen. Dass das Quatsch ist, sollte Jedem klar sein.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. TechnoTeam Bildverarbeitung GmbH, Ilmenau
  2. Landkreis Stade, Stade
  3. Regierung der Oberpfalz, Regensburg
  4. operational services GmbH & Co. KG, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 1439,90€ (Vergleichspreis: 1530,95€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Keychron K6 Kompakte drahtlose Tastatur mit austauschbaren Switches
  2. Charachorder Schneller tippen als die Tastatur erlaubt
  3. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad

  1. Quartalszahlen: Intel macht Rekord bei Umsatz und Gewinn
    Quartalszahlen
    Intel macht Rekord bei Umsatz und Gewinn

    Allen Lieferschwierigkeiten und Sicherheitslücken zum Trotz: Intel setzte im vierten Quartal 2019 über 20 Milliarden US-Dollar bei fast 7 Milliarden US-Dollar Gewinn um, gerade die Xeons waren stark.

  2. Satellit: SD-Abschaltung der ARD kommt erst nächstes Jahr
    Satellit
    SD-Abschaltung der ARD kommt erst nächstes Jahr

    Obwohl kein Geld mehr dafür bewilligt ist, will die ARD die SD-Abschaltung im Jahr 2020 nicht vollziehen. Sie wird wohl auf das zweite Halbjahr 2021 verschoben.

  3. Disney+: Darth Maul kehrt in Star Wars: The Clone Wars zurück
    Disney+
    Darth Maul kehrt in Star Wars: The Clone Wars zurück

    Die siebte und letzte Staffel der Animationsserie Star Wars: The Clone Wars kommt im Februar. Fans können sich auf Mace Windu, Obi Wan Kenobi, Anakin Skywalker und andere Charaktere freuen. Ein Highlight: das Duell zwischen Ahsoka Taano und Darth Maul.


  1. 22:45

  2. 17:52

  3. 17:30

  4. 17:15

  5. 17:00

  6. 16:50

  7. 16:18

  8. 15:00