WebsiteBaker Community Forum
General Community => Development 2.10.x => Topic started by: evaki on April 28, 2018, 08:06:41 PM
-
Nach Tagen voller Kopfweh, hab' ich mich dazu durchgerungen, das Setzen von Cookies und das (Browser-)Verhalten etwas genauer anzuschauen.
Getestet habe ich unter WB 2.10. Ich versuche es ganz kurz zu halten.
Zur Zeit verhält es sich so, daß beim ersten Laden einer Seite der JS-Banner popt.
Es existiert zu diesem Zeitpunkt eine Sessen-ID aber kein http-Cookie
Ignoniert man den Banner und läd die Seite erneut (reload) gibts den http-Cookie, ohne daß der Besucher davon Kenntnis hat. Er wiegt sich in Sicherheit, da er den Banner ja nicht abgeklickt hat.
Auch ist es natürlich nicht im Sinne der Richtlinie.
Es läßt sich aber aus der Differenz der beiden Parameter ein anderes Verhalten, zumindest was den Banner betrifft, erzwingen. Die paar Zeilen Code sind nicht auf Sicherheit geprüft, sondern dienen nur zur Illustration des Verhaltens. (Kann mich des Eindrucks nicht erwehren, daß sich DV was dabei gedacht hat)
<?php
echo "<hr />presid<br />";
$presid = session_name(APP_NAME.'-sid').'='.session_id();
echo '', $presid;
echo "<hr />http-cookie<br />";
$postid = $_SERVER['HTTP_COOKIE'];
echo '', $postid;
echo "<hr />";
if ($postid == $presid) {
echo "Du hast die Seite zuvor besucht";
} else {
echo "Du hast die Seite zuvor NICHT besucht";
}
echo '<hr />';
?>
Durch dieses Verhalten ist für mich auch erklärbar, warum ein online-cookie-tester kein Cookie erkennen konnte. Meine Werkzeuge sind da auch nicht unbedingt schlauer, aber man lernt dazu. Ach ja, für Windows-User empfehle ich den Fiddler. Damit läßt sich einfacher, als mit anderen Netzwerkzeugen, die Kommunikation zwischen Server und Browser beobachten.
MfG. Evaki
-
Wie so'n Cookie-Fenster aussehen könnte, kann man hier sehen (https://www.senioren-computerkurs24.de/).
Funktioniert aber nur bei aktiviertem JS.
Mein Gedanken liegen da bei Crossbrowser/-client, ohne JS und auch bei statischen Seiten, denn Session-Cookies gibts ja nicht nur in PHP.
MfG. Evaki
-
Da ja nun kurz vor Zwölf ist, noch ein Hinweis auf Opt-In (Tracking) (https://www.datenschutzbeauftragter-info.de/tracking-nur-noch-mit-opt-in-kritische-anmerkungen-zum-dsk-papier/).
Die Opt-In-Variante sollte m.E. bevorzugt, und -falls noch nicht- in WB zumindest berücksichtigt werden, ganz unabhängig davon an welcher Lösung die DEV arbeiten -möglicherweise ist ja schon alles drin :-D
Die Versuche mit dem Ergebnis der o.a. Tests wurden "in unserm Sandkasten" schon als Experimentiervorlag e genutzt, z.B. auch die Variante "Willst Du keine Cookies, darfst Du Dir nur die Anbieterkennzeichnu ng angucken. Dabei vergaßen sie leider, daß die Sumas keine Formulare und ähnliches beantworten, und sie damit "Draußen vor der Tür" sind. Aber gut, daß noch welche Lust am Probieren haben.
MfG. Evaki
-
Du machst alles immer nur noch schlimmer. :-D
Ich habe schon erfolgreich große Teile der DSGVO verdrängt, spare für Verstöße und lese Knast-Sach-Bücher.
-
Jo, so is dat man, wenne in de ''Büx'' vonne Pandora kickst.
MfG. Evaki
-
Unser Sandkasten bringt beim Palavern auch ganz nützliche Themen/Fragen zu DSGVO auf, wie z.B.:
a.) Weiter-/Umleitung auf Zweitdomain (htaccess), muß nun auf der zweiten Domain auch die Datenschutzerklärun g für die erste stehen?
b.) Künstler habens nicht gerne, wenn man ihre Bilder (Malerei, Zeichn., Fotos etc.) verschandelt, weshalb bei derart gestalteten Eingangsseiten das Impressum nachrangig ist, aber andernorts (z.B. Folgeseiten) natürlich unmittelbar erreichbar sein muß. Bei der Datenschutzerklärun g "dürfte" es sich ähnlich verhalten. (?)
c.) ähnlich b) Wenn ein http-cookie bedarfsorientiert gesetzt wird, z.B. nicht schon beim ersten Zugriff auf die Website, "dürfte" die Datenschutzerklärun g auch hier nachrangig sein, und ein Link auf selbige genügen. (Sandkasten: Schon gesehen und empfohlen.) (?)
d.) Wenn Websitebetreiber nicht wie als üblich angesehen für die schnelle kommunikation per Mail erreichbar sind oder sein können, sollte man das im Impressum und der Datenschutzerklärun g vermerken und auf die "ladungsfähige Anschrift" verweisen, wenn die Kontaktaufnahme fehlschlägt.
Hat wer noch was ? :evil:
Wäre alles viel einfacher im Österreich-Modus.
Frage von mir: Gibts bei den größeren Hostern die Moglichkeit den Serverstandort zu wechseln, oder bringt das garnix, weil möglicherweise Staatsangehörigkeit oder Aufenthaltstatus, oder beides darüber entscheidet. Aufschrei der Hoster, bei „Bäumchen wechle dich“ oder so?
MfG. Evaki