WebsiteBaker Community Forum

General Community => Off-Topic => Topic started by: evaki on October 01, 2019, 08:55:12 PM

Title: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 01, 2019, 08:55:12 PM
EuGH Entscheidung (https://www.heise.de/newsticker/meldung/EuGH-Keine-Cookies-ohne-Zustimmung-4543630.html)
Vorläufige Lösung:
In WB den mehrmals vorgeschlagenen Header einsetzen, um jegliches Plätzchen beim Zugriff zu vermeiden. Bei Anwendungen wo Cookies erforderlich sind, kann auf zweites Template umgeschaltet werden - mit den geforderten Informationen und Auswahlmöglichkeite n.

Der Adminbereich sollte per Robots.txt und Sitemap ausgeschlossen werden.
Die WB-Mitbenutzer sollten entsprechend informiert werden.

Das alles wurde schon einmal gesagt, und?  :-o
MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: dbs on October 01, 2019, 11:25:34 PM
Shice Thema.
Hättest noch paar Links reinpacken können. Ich weiß nicht mehr wo was steht.

Eigentlich habe ich bis jetzt nur einen einzigen Cookie-Banner verbaut und da hat man die Wahl zwischen OK und Nein.
Aber da ist nur der WB Session-Cookie, trotzdem sollte ein Banner zu sehen sein (auf Wunsch).
Den hatten wir mal als notwendigen Cookie eingestuft, oder? Aber das spielt jetzt keine Rolle mehr. Weil der Cookie nicht notwendig ist im Frontend und weil trotzdem gefragt werden muss vor dem Anlegen.
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 02, 2019, 09:16:19 AM
Vorerst, bevor uns irgend jemand noch schlauer macht, gilt es wohl nur für Tracking-Cookie  :-D
Zwingend vorgegeben ist hierbei Opt-In.

Für Session-Cookie gilt wohl weiterhin der Ausnahmegrund bei berechtigten Interessen, wo einer der Gründe die Funktionsfähigkeit der Website herhalten soll/muß.
Das ist aus technischer Sicht aber nicht zwingend. Es braucht beim ersten Zugriff zur Session kein Cookie. Aus der Session heraus läßt sich immer noch ein dazugehöriges Plätzchen plazieren.

Es ist also garnicht soooooo unwahrscheinlich, daß in einer weiteren Richtlinie auch hierbei ein Opt-In vorgeschrieben wird. Es würde aber auch ohne Vorschriften Websitebetreibern gut zu Gesicht stehen.

Sehe in letzter Zeit häufiger Sites, die Auswahlmöglichkeite n offerieren, wo Session-Cookies per Kreuzchen zwar voreingestellt, aber trotzdem abwählbar sind. Es geht also.
 
MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 02, 2019, 09:38:49 AM
Hättest Du sicherlich auch gefunden; dieser war der erste ausführliche, der mir sich zeigte.
Code: [Select]
https://datenschutz-generator.de/eugh-cookie-einwilligung-banner-detailinformationen-pflicht/Interessant die Anmerkung im Kommentar:
"Die Regelung, wann ein Cookie unbedingt erforderlich ist, lässt sich dem. Art. 5 Abs. 3 der ePrivacy-RL nicht eindeutig entnehmen."

MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: dbs on October 02, 2019, 10:30:06 AM
Ja, hätte ich sicher gefunden. Ich meinte Links hier im Forum.  :)
Aber eigentlich beruhigt mich das schon wieder, wenn es nur um Tracking geht.
Sowas mache ich kaum, und wenn, wie bei Google Analytics, kommt der Banner rein mit Ja/Nein.
Social-Plugins verwende ich nicht, nur Links zu deren Seiten.
Wenn uns die Frontend-Session-Cookies nicht auf die Füße fallen, ist alles gut.
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: dbs on October 07, 2019, 09:45:04 AM
Eine Abfrage ob Ja/Nein zu Cookies ist inzwischen klar, aber wie sieht es mit Dokumentation aus.
Muss das nachweisbar irgendwo gespeichert werden wer wann wie wegen Cookies gestimmt hat?
Wenn dann wahrscheinlich wer Ja gesagt hat und wann.
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 07, 2019, 10:22:00 AM
Eine derartige Dokumentationspflic ht wird m.E. aufgrund Masse technisch nicht realisiert werden können. War da nicht auch was mit Datensparsamkeit?
- "Wen sein Cookie wech is", kann aber bei der NSA anfragen.  8-)
So gehe ich davon aus, daß wenn Cookies genutzt werden, die Funktion der Unterrichtung entsprechend DSGVO/e-privacy-Verordnung gewährleistet sein muß bzw. sollte, so wie man sowieso zur regelmäßigen Überprüfung einer Website angehalten ist, was nicht wenige "vergessen" (cms läuft ja  :-D ).
MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 07, 2019, 11:20:32 AM
Bin ich - ups - nicht drauf eingegangen:
Quote
Muß das nachweisbar irgendwo gespeichert werden...

Dann wäre die Speicherung von individueller IP, Zeit etc. nötig, was nicht erlaubt ist.
Zu alledem würde sich wie bei der sogenannten Vorratsdatenspeiche rung die Frage nach der Aufbewahrungszeit, wie auch dem Löschzeitpunkt stellen.
MfG. Evaki
 
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: dbs on October 07, 2019, 11:27:57 AM
Es geht wahrscheinlich nur um Tracking-Geschichten.
Wenn es hier zu rechtlichen Auseinandersetzunge n kommt, stehst du mit Beweisen besser da (könnte ich mir vorstellen).
ala: Der Kläger hat seine Einwilligung gegeben am Tag x um Uhrzeit x mit dieser IP und diesem Gerät zu diesem Consent-Text.

Wer erhellt uns?
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 07, 2019, 11:44:49 AM
Der Knackpunkt ist allein schon die erfaßte IP.
Hier greift die DSGVO, wo dem Websitebetreiber die nicht anonymiserte Erfassung nicht erlaubt ist.

Was für ein Rechtsfall schwebt Dir da vor, wo eine Erfassung der gesetzten Cookies sinnvoll sein soll?
Gruß, Evaki.

[offtopic]Gucke gerade Beitrag zu Synchrotronstrahlun g (https://www.spiegel.de/wissenschaft/mensch/pompeji-teilchenbeschleuniger-soll-verkohlte-schriftrollen-entziffern-a-1290195.html) Brauche so'n Gerät für auf'n Schreibtisch[/offtopic]
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: dbs on October 07, 2019, 11:55:36 AM
Ich komme überhaupt erst darauf, weil ein Shopbesitzer eine Info vom Händlerbund erhielt mit diesem Link:
https://www.haendlerbund.de/de/news/aktuelles/rechtliches/3144-wichtige-fragen-rund-um-die-cookie-entscheidung-des-eugh

Darin wird ein Consent-Tool empfohlen (https://usercentrics.com/de/). Eine Plattform, die ein Script bereitstellt zur Einbindung auf der eigenen Webseite um die verschiedenen Cookies zu erlauben/zu verbieten und zu managen. Diese Plattform speichert das.
Zitat aus dem Punkt Dokumentation:

"Gemäß Art. 7 Abs. 1 DSGVO (https://dsgvo-gesetz.de/art-7-dsgvo/) müssen sämtliche Einwilligungen dokumentiert werden. Website-Betreiber unterliegen nach DSGVO einer Beweispflicht und müssen im Falle einer Abmahnung oder eines Audits der Datenschutzbehörde die Einwilligungshistor ie vollständig vorlegen können.

Damit die Einwilligung einer Prüfung standhält, sollten diverse Datenpunkte mitgeschrieben werden, zum Beispiel Timestamp, User-Agent oder die Version der Einwilligungstexte. Auch abgesetzte URL-Calls sollten geloggt werden, um nachzuweisen, dass keine Cookies ausgespielt wurden, bevor die Einwilligung nicht vorlag.
"
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 07, 2019, 12:15:03 PM
Da rückt Deine Vermutung in den Vordergrund.
Quote
Es geht wahrscheinlich nur um Tracking-Geschichten.
Davon gehe ich aus, z.B. bei einem Shop - eine datenverabeitende Stelle mit diversen Pflichten - , wo Du nicht nur ein Session-Cookie setzt, sondern auch unter anderen eines oder mehrere für die Verkaufsabwicklung, inkl. für die Dokumentation. Aber eben nur dafür, wobei hier nach aktueller Rechtsprechung trotzdem vorher eine Einwilligung eingeholt werden muß.

Wo ich aber Bedenken habe bzw. hätte -Bedenken - bin nun mal kein Anwalt, und habe z.Z. keine Rechtsabteilung in meinem Arbeitsumfeld - , wenn eine derartige Einwilligung schon beim Betreten der Website gefordert wird, nicht erst beim Klick für den Kaufvertrag.

MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: dbs on October 08, 2019, 11:35:53 AM
Der Händlerbund empfielt ein paar OnlineTools. Darunter auch kostenlose.
Tools Überblick
 (https://www.haendlerbund.de/de/news/aktuelles/tech/3146-ausgewaehlte-consent-management-anbieter-im-ueberblick)
Eins davon ist zum Selbsthosten: https://www.oiljs.org (https://www.oiljs.org)
Das werd ich mir mal ansehen
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 08, 2019, 11:55:15 AM
Hab' leider - noch - keine Zeit zum reingucken.
Jedenfalls sind die Vorstellungen gut genug, um beachtet zu werden, solange in WB Cookies nicht an-, ab- oder zuwählbar sind. Session Cookies fallen bei WB trotzdem an. Ob das dann einen Mehrwert hat? Fällt bei Fremdhosting nicht die Erwähnung in der Datenschutzerklärun g und ein Auftragsdatenverarb eitungsvertrag an? Da war doch was. Bin schon wieder zu lange aus diesem Thema raus.
MfG. Evaki
ps. Session Cookies sind mir persönlich und auch einigen Anwendern "ein Dorn im Auge". Sollte hier eine "Verschärfung" eintreten - ist ja immer noch nicht restlos geklärt - ist es mit provisorischen Übergangslösungen vorbei.
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: dbs on October 08, 2019, 12:03:57 PM
Ja, denke mal muss erwähnt werden. Wer nichts trackt braucht solche Tools wohl nicht.Braucht man Google Analytics? Ich mags nicht. Die Google WebmasterTools werden dafür immer besser.
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 08, 2019, 12:18:06 PM
[offtopic]
Ist eher an DEV gerichtet, aber nun: Gibt es eine einfache Möglichkeit für FE und BE getrennte Cookie-ID zu generieren (wb1234-id-FE session / wb1234-id-BE samesession) ?
[/offtopic]
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 18, 2019, 04:42:21 PM
Noch'n Wort zum Topic (Header setzen)
Mittlerweile wurde diese Vorgehensweise mehrfach wiederholt, weil auch das Agrument "setzt Cookies ohne Inhalt" ausgeräumt ist. Man kann das Plätzchen löschen. Das BE betrifft es sowieso nicht, weil dort "alles wie gehabt" abläuft.
Die Vorbehalte, daß Module oder das FE-Login nicht mehr funktionieren würden, treffen nicht zu.
Sind dann doch noch Sessions mit und ohne Speicherung in einzelnen Modulen gefragt, läß sich das per sessionstorage bzw. localstorage realisieren (zusätzliches JS)  Im Netz gib es einiges zu "HTML5 Web Storage".

Aktuelle Browserliste:
https ://caniuse.com/#feat=namevalue-storage
HTML5 Web Storage:
https ://www.w3schools.com/html/html5_webstorage.asp

Um überhaupt mal "HTML5 Web Storage" in Aktion zu sehen, gibt's z.B. das
https ://www.smashingmagazine.com/2019/08/shopping-cart-html5-web-storage/#lostcats

MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 19, 2019, 09:02:11 AM
Quote from: evaki
Man kann das Plätzchen löschen.
Soll heißen: Man kann das eigentlich vorgesehene Plätzchen vor der Ausgabe an den Browser löschen.
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Concilla on October 23, 2019, 01:39:43 PM
Quote
Vorläufige Lösung:
In WB den mehrmals vorgeschlagenen Header einsetzen, um jegliches Plätzchen beim Zugriff zu vermeiden.

Was für ein Header ist denn hier gemeint? Ich kann leider nichts dazu finden oder weiß nicht wirklich, was gemeint ist :- (

Danke im Voraus.
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 23, 2019, 02:13:09 PM
Gemeint sind diese Beiträge:
List Header (https://forum.WebsiteBaker.org/index.php/topic,31278.0.html)
Re: Cookies (https://forum.WebsiteBaker.org/index.php/topic,30824.msg214989.html#msg214989)
Bei den dort angegebenen wird das Cookie auf DELETED gesetzt.
Werden die Parameter derart gesetzt, daß erst gar keine Ausgabe erfolgt, also nicht den Client erreicht, gilt es das HTML zu puffern - sinnvollerweise - steht so auch irgendwo in phpnet, wenn ich recht erinnere.
MfG. Evaki



Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Concilla on October 23, 2019, 03:45:48 PM
Super! Vielen Dank. Ich habe dieses so

Code: [Select]
header("Set-Cookie: wb-5727-sid=0; token=deleted; path=/; Max-Age=-0;  expires=Thu, 01 Jan 1970 00:00:00 GMT");
umgesetzt und habe damit keine Session-Cookies mehr vom WB auf meiner Seite. D.h., da die Seite auch keine anderen Cookies hat, hat sie nun 0 Cookies. D.h. auch, man kann nun den gesamten Schnickschnack in der DSE was Cookies betrifft weglassen, denke ich mal...

Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 23, 2019, 04:25:44 PM
Quote
habe damit keine Session-Cookies mehr
So ist es ein DELETED, also ein Cookie ohne jeglichen Inhalt.
Darüber, ob dies, weil nur eine leere Datei beim Zielrechner ankommt, die also jegliche Funktion verloren hat, noch eine rechtliche Bedeutung hat, nur weil es ein Cookie ist, kann bezweifelt werden.
Wie erwähnt, läßt sich das Cookie auch ganz unterdrücken.

Wählt bzw. gebraucht man z.B. für eine Session die Alternative sessionstorage, bekommt man die Session ohne Cookie. 
Das kann man dann individuell auf z.B. ein Modul beschränken.
MfG. Evaki

Nachtrag Was fehlt:
if($wb->is_authenticated()) {
  } else{ header("Set-Cookie: wb-5727-......................................................);   }


Das is_authenticated() ist gesetzt für den Fall, daß man mit ein und demselben Browser in beides geht, also FE und BE. Wenn im FE gelöscht wird, bekommst Du zwangsläufig Probleme im BE - keine wirklichen, aber es nervt seeeeeehr  :roll: .
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 23, 2019, 04:50:29 PM
Quote
gesamten Schnickschnack in der DSE was Cookies betrifft weglassen, denke ich mal...
Nicht ganz, denn das BE benutzt und braucht sinnvollerweise nach wie vor die Cookies.

Abhilfe:
Zugang per robots.txt "verwehren", und die Besucher/Nutzer unterrichten, brauchts aber nur auf der BE-Zugangsseite.

MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: dbs on October 23, 2019, 05:32:46 PM
Quote
Darüber, ob dies, weil nur eine leere Datei beim Zielrechner ankommt, die also jegliche Funktion verloren hat, noch eine rechtliche Bedeutung hat, nur weil es ein Cookie ist, kann bezweifelt werden.
Also hier sagt meine Logik, dass es immer um Cookies ging und nicht um deren Inhalt. Da würdest du bestimmt verlieren.
Die if-Abfrage könnte helfen.
Irgendwann gibt’s auch mal eine Unterscheidung zwischen Frontend- und Backenduser, aber soweit sind wir noch nicht.
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Concilla on October 23, 2019, 05:44:28 PM
Sorry, das verstehe ich jetzt nicht ganz. Da bin ich technisch zu wenig bewandert.

dbs schreibt:

Quote
Die if-Abfrage könnte helfen.

Kann ich mit so einer Abfrage denn das eine einzige Session-Cookie verhindern? Im Frontend zumindest? Also so?

Code: [Select]
if($wb->is_authenticated()) {
  } else{ header("Set-Cookie: wb-5727-sid=0; token=deleted; path=/; Max-Age=-0;  expires=Thu, 01 Jan 1970 00:00:00 GMT");   }
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 23, 2019, 05:51:15 PM
Das IF (if($wb->is_authenticated()) {) hilft bzw. hat bisher so funktioniert.

Und was da Cookie betrifft, hat man ja wie gesagt auch die Möglichkeit es vorab zu löschen, also noch nichtmal ein Cookie:DELETED

Das schicke ich Concilla mal per PM zum Testen zu. In meinem Anwenderkreis scheint das zu funktionieren.
MfG. Evaki

Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Concilla on October 23, 2019, 05:53:37 PM
Quote
Das schicke ich Concilla mal per PM zum Testen zu.

Oh, das wäre ja ganz lieb von Dir :-)
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 23, 2019, 06:05:25 PM
Damit sollte es janzwech sein, dat Plätzschen!!!

@dbs
Wenn Cookies bei EU gemeint sind, allein weil diese als Datei spezifiziert sind, liegts Du mit der Logik vorn. Aber wenn dieses ohne individuelles Merkmal daherkommt, da ist 'ne Session ohne Cookie ja jaaaanz persönlich dagegen :D , stimmt das nicht mehr inhaltlich.

Aber wir haben ja noch die Möglichkeit auch dieses Cookie zu unterbinden.
MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: dbs on October 23, 2019, 06:11:59 PM
Wollte gar nicht "Logik" schreiben, hab nämlich keine.  ;D
Der Session Cookie ist natürlich erlaubt, weil Session und nicht Tracking.
Session = notwendig, auch wenn bei uns nicht notwendig...
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Concilla on October 23, 2019, 06:22:01 PM
Wenn dieses Session-Cookie, welches notwendig, aber im Frontend ja eigentlich nicht notwendig ist, wirklich verschwinden würde, wäre das fantastisch. WB, eines der wenigen CMS, welches diesen ganzen Cookie-Schnickschnack mit lästigem Banner und einer A4-Seite in der DSE nicht braucht. Das wäre tatsächlich traumhaft ;-)
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 23, 2019, 06:28:12 PM
@dbs
Bei dem Vorgang denke ich weniger an's Erlaubtsein im Sinne DSGVO, sondern auch an eine mögliche "strengere" E-Privacy-Verordnung, und natürlich an die, welche den "Kram" nicht haben wollen.

Ein Cookie mit der Kennzeichnung DELETE wird aktuell je nach Browser unterschiedlich interpretiert - verworfen oder ignoriert - , mit entsprechenden Tools natürlich "richtig" angezeigt.

Also wenn's die Browser nicht immer wissen, sollte man der EU Bescheid geben, wegen einer Browser-Verordnung, damit die Dinger endlich EU-tauglich werden.  :evil:

MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: crnogorac081 on October 23, 2019, 07:48:08 PM
Sorry for english.

Maybe a little new feature in future release, a small bolean in users table if user wants or doesnt want login_cookie
So that you can choose in Users preferences -a dropdown - yes ( create cookie) , no(dont create)

It would be a small modification in code ,but it would satisfy gdrp for someones purposes..
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: hgs on October 23, 2019, 08:00:07 PM
Do you write a ticket for the next version so it doesn't get lost?
https://project.WebsiteBaker.org/projects/wb-2-13/issues
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Concilla on October 24, 2019, 01:04:57 PM
Jetzt muss ich noch einmal eine Frage stellen. Ich habe die Möglichkeit, einen RA diesbezüglich zu kontaktieren und nachzufragen, inwieweit unser WB-Session-Cookie einwilligungsfrei ist. Wenn ich es richtig verstanden habe, ist das Cookie für das FE nicht notwendig, wird aber trotzdem gesetzt, weil es im BE notwendig ist. Da es für das FE nicht notwendig ist, dürfte es nicht mehr einwilligungsfrei sein. Verstehe ich das richtig? Wie stelle ich also meine Frage an den RA?
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Gast on October 24, 2019, 01:14:19 PM
Das BE ist doch nicht öffentlich zugänglich. Und die paar Leute, die Zugang haben, sollten ja wohl mit einverstanden sein.

Sofern keine Sachen wie Google Analytivs, Piwik (Matomo) oder ähnliche Analysetools oder auch Google Maps etc mitlaufen, ist der leere, systembedingte WB-Frontend-Cookie immernoch einwilligungsfrei, weil dafür keine Daten erhoben werden.
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 24, 2019, 06:48:27 PM
@jacobi22
Da die von mir angebotene Lösung auf dem Prüfstand steht, weil da noch Code fehlt(e) - krieg halt tolle Lösungen vorgestellt, aber nicht immer komplett oder auszugsweise, und steh' dann auf'm Schlauch, wenn's auf Anhieb nicht so funktioniert wie angepriesen, noch 'ne Frage, nachdem ich nun selbst drin wühle. Braucht das Captcha das Session-Cookie? Zumindest wird mir das aktuell so angezeigt. Damit ich nichts falsch interpretiere und nicht im Wald lande, wäre eine Antwort nicht schlecht. Aber auch 'ne Info, ob noch andere Module das Cookie benötigen, wäre willkommen.
MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Gast on October 25, 2019, 04:13:27 PM
Quote
Braucht das Captcha das Session-Cookie? Zumindest wird mir das aktuell so angezeigt.

Meines Wissens (und Manu möge mich korrigieren) braucht das Captcha lediglich eine (serverseitige + temporäre) Session, aber kein Cookie. Ein Cookie soll ja immer etwas dauerhaft speichern, z.b. eben die Entscheidung, ob Cookies angenommen werden dürfen oder nicht (cookie_permission).
Bei einem Captcha wäre solch Speicherung der Daten eher hinderlich. Das Captcha (die Matheaufgabe z.b.) wird temporär in der servereigenen Session gespeichert, dazu noch eventuell bereits eingegebene Formularfelder, um bei einem Fehler nicht nochmals alles tippen zu müssen.
Auf der Formularempfangssei te werden dann die Sessiondaten kontrolliert, nach erfolgreichem Versand werden die Sessiondaten per unset gelöscht.
Würde man sie nicht löschen oder gar speichern, wäre z.b. das Ergebnis der Aufgabe immer falsch, weil die Aufgabe bei jedem Reload wechselt, das Ergebnis bliebe aber gleich.
Nach dem Muster der temporären, serverseitigen Session arbeiten übrigens alle Frontendmodule, auch mpForm und Bakery.
Ausnahmen gibt es natürlich auch, z.b. in Templates mit Farbauswahl oder Modulen mit solchen Funktionen. Auch hier ist wieder der Sinn, das der User bei späterer Wiederkehr das gleiche Farbschema bekommt, also ganz im ursprünglichem Sinne der Cookies

Im Backend schaut es anders aus. Da erstellt z.b. die Optionsseite eigene Cookies, die dann beim Benutzer gespeichert werden und in diesem Fall den Status der Blocköffnungen speichern. Hat man z.b. den Block "Standardeinstellung en" geöffnet und verläßt dann die Seite, wird dieser Status gespeichert (bis der Cookie gelöscht wird). Kommt man irgendwann zurück, schaltet der Cookie genau die gleichen Blöcke wieder ein.

P.S.: soweit ich weiß, wird die WB-Systemsession (z.b. wb-8890-sid) für nix anderes mehr benutzt. Ich glaube, früher stand dort neben der Zeit des Betretens und dem letzten Access auch noch der Login drin zum Backend, ich glaube, das, was wir als Smart Login kennen.

Was allerdings ist:  der Cookie, den WB da erstellt, der wird bei jeder Aktion im Frontend (neu laden irgendeiner Seite dieser Domain) kontrolliert und erneuert bzw eben die last_Access-Zeitangabe aktualisiert. Wird der Cookie gelöscht, muß dann dann ebenfalls bei jedem Load passieren, aber ich denke, das ist in deinem Code schon drin.

Für mich als Endanwender stellt sich die Frage, ob ich überhaupt diesen System-Cookie setzen muß, wenn er doch im späteren Verlauf ungenutzt bleibt.
Das "Problem" an eurer Lösung wäre halt: wenn doch mal eine (von mir aus auch optionale) Möglichkeit der weiteren Nutzung, auch inkl Permission durch den User integriert wird, seid ihr außen vor, da ihr den Cookie halt an anderer Stelle killt.
Wie oben schon angeführt, ist es ein SystemCookie, ohne die Möglichkeit einer Identifikation und ohne Speicherung irgendwelcher persönlicher Daten und für diese Art Cookies braucht es immernoch kein Opt-In und das wird m.E. auch so bleiben, so gesehen also schon ein gewisser Sicherheitswahn ;-)
 
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 26, 2019, 11:15:02 AM
 (Y) (Y) (Y)
Quote
Das "Problem" an eurer Lösung wäre halt: wenn doch mal eine (von mir aus auch optionale) Möglichkeit der weiteren Nutzung, auch inkl Permission durch den User integriert wird, seid ihr außen vor, da ihr den Cookie halt an anderer Stelle killt.

Genau, da war der anfängliche Gedanke das mit einem Zweittemplate zu lösen, was aber wieder verworfen wurde, weil es eben die Alternative sessionstorage, localstorage gibt, die zukünftig wahrscheinlich öfter mal zu sehen sein wird (html5). Darüber, ob damit dann alles abgedeckt würde habe ich mir aber noch keinen Kopf gemacht.

Ob ich aktuell nun das komplette Script habe, weiß ich immer noch nicht - zwischenzeitlich kam noch was dazu, das noch vor dem set header die vorhandene Session killen soll.

Ob das nun alles notwenig wird  wird wohl von der E-Privacy-Verordnung abhängen, wo dann sicherlich auch sessionstorage und localstorage dazugehört.

Ich finde es selbst nur spannend, daß sich Leute um sowas Gedanken machen und Lösungen dafür suchen, was mich selbst dann auch zum genaueren Hinschauen und Ausprobieren inspiriert. Bei mir hat's demzufolge (noch) nichts mit Sicherheitswahn zu tun. Der Gedanke dahinter ist ja meist, daß man den ganzen Klickschei... loswerden will, um ihn nur dort einzusetzen wo er wirklich erforderlich ist.

Erstmal gehe ich aber wieder in die Heia. Eine Impfung hat mich umgehauen. Alles ist furchtbar anstrengend. Also is jetz ersma Ände.

MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Gast on October 26, 2019, 02:17:47 PM
Quote
weil es eben die Alternative sessionstorage, localstorage gibt

Am Ende entscheidet wohl die Cleverness des Anwalts bis hin zum Alter des Richters darüber, was rechtlich relevant ist, aber eben nicht die Logik eines Technikers.

Ob ich nun einen Cookie der althergebrachten Form (Datei im temp-Verzeichnis des Besuchers) setze oder die gleichen Daten im localstorage verarbeite, ist z.b. meiner Meinung nach der gleiche Vorgang. So oder so schreibe ich Daten auf dem Rechner des Besuchers und weil ich den Wiedererkennungswer t benötige, müssen dort eben auch personenbezogene Daten rein bis hin zur Browser-Identifikation.

Sessionstorage: Hier geht es nur darum, einen Zwischenspeicher für einen Zeitraum X zu schaffen, der i.d.R. recht kurz bemessen ist. Sessionstorage bezieht sich immer auf die aktuelle Sitzung (der Session) in genau diesem einen Browserfenster. Schließ ich das Fenster, ist die Session tot, d.h. es gibt keine Möglichkeit, Daten im Sinne eines Cookies zu erzeugen. Ich erzeuge wohl wiedererkennbare Daten, auf die aber niemand, außer dem Benutzer selbst, Zugriff hat - die aber ebenso nach Schließen des Tabs verschwunden sind. Meiner Meinung nach hat diese Variante auch nichts mit der DSGVO zu tun, weil der Betreiber diese Daten weder sammelt, noch verarbeitet.

Auf jeden Fall muß man betonen, das sessionstorage und die Session z.b. des Captchas außer dem Begriff "session" nichts miteinander zu tun haben. "Session" beschreibt in beiden Fällen eine Sitzung in einem einzigem Browserfenster
Ein gutes Beispiel für ein Sessionstorage wäre z.b. ein Warenkorbinhalt, inkl aller Berechnungen von Preisen, Steuer etc. Mit Schließen des Browserfensters ist der Inhalt dann gelöscht.
Das Captcha dagegen ist eine eher lokale Aufgabe auf dem Server, die möglichst kurzfristig erledigt sein muß, nämlich während des Ladens der Empfangsseite, der Warenkorb kann dagegen auch in aller Ruhe nach dem kompletten Laden der Seite eingelesen werden.

Zum Sicherheitswahn: Ich möchte betonen, das es KEIN Vorwurf an irgend jemanden war.
Mir ist schon klar, das die allermeisten Leute aus Angst Schutzmechanismen einbauen, die in den meisten Fällen überhaupt nicht nötig sind.
Nun gibt es Rechtsverdreher (und der Name passt hier wirklich), die machen aus klaren Situationen eine Fragwürdige. Stichwort Verkehrsampel: jeder weiß, bei Rot bleibe stehen. Nun ist das beileibe nicht so - man darf (und da fass ich mir mit der Hand an die Stirn) tatsächlich bei Rot fahren bis zu 2 Sec nach dem Umschalten. Jeder halbwegs normale Mensch, und da zähl ich mich dazu, sagt, ich habe die grün-gelb-Phase, Rot ist zu erwarten - so habe ich es gelernt. Der Verdreher sagt: bei grün-gelb darf ich aber noch fahren (was so auch richtig ist), dazu kommt 1 Sec Reaktionszeit des Fahrers + 1 Sec Verzögerung in der Ampelsteuerung, i.d.R. elektro-mechanisch durch Relais). Ich fahre z.b. oft die gleiche Strecke und oft mit Kiddies drin, ein 7-Sitzer-Van. Da kommt es schon des Öfteren vor, das ich vorn bei grün-gelb losfahre bzw eben im Fluß bin und die Kinder der hintersten Bank schreien: das war aber rot. Steht da ein Polizist, kommt es drauf an, wann er hinschaut und im Falle des Falles nehm ich mir dann doch eher den Rechtsverdreher als Anwalt

Analog der Webseiten. Für den (noch dazu) leeren WB-System-Cookie braucht es keine Einwilligung, aber dennoch wird er geschrieben und es findet sich sicher eine(r), der meint, das Schreiben allein ist schon der Punkt.
Es ist aktuell sowohl für einen Webmaster, der es DSVGO-gerecht machen muß, wie auch für einen Besucher, der die Tragweite eines Klicks in diesem Moment noch garnicht überschauen kann, unheimlich schwer und es wird noch komplizierter, wenn man versucht, eine Ein-Klick-Lösung anzustreben.
Ich nutze in einem Projekt Google Analytics + Google Adsense. Nach dem Urteil vom 12.10.19 ist klar, ich benötige ein Opt-In für beide Aktionen. Das Projekt beinhaltet ein Shop-System inkl. Besuchererkennung, Kontenverwaltung etc, dazu Kontaktformulare, eine OpenStreet-Anfahrtkarte usw.
Es ist nahezu unmöglich, das alles in einen einzigen Klick zu packen und es läuft wohl auf die Variante hinaus, das mit Anklicken des Opt-In-Fensters erst einmal ein Formular erscheint mit zig Checkboxen, zu jedem bisher nötigen Klick eine.
Und wenn der erste Einspruch zum Urteil eingeht, liegt die ganze Regelung auf Eis, so wie bei der Angabepflicht im Impressum. Auch nach 10 Jahren gibt es immernoch keine gültige  Rechtslage, was denn da nun wirklich rein muß.

Natürlich gibt es da auch einen Haken, die Daten, die Google Analytics dann noch bekommt, sind nahezu wertlos. Glaubt man den Studien dazu, verbieten jetzt schon auf den Seiten, die die Möglichkeit der Wahl lassen, mehr als 50% eine Nutzung von Analytics und es ist davon auszugehen, das dieser Prozentsatz steigt, je mehr Seiten die Abwahl ermöglichen. Analytics darf diesen Besuchern dann nicht mehr folgen und er erscheint mir in der Statistik als jemand, der nach Seite 1 sofort abgehauen ist. Und das betrifft dann plötzlich 50% meiner Besucher.
Analog bei Adsense. Im Prinzip investiere ich mein Geld dort nicht nur in ein paar Anzeigen auf Seite 1 der Suchergebnisse, sondern auch in der gezielten An- oder Bewerbung von Leuten, auch auf Seiten meiner Mitbewerber. Beispiel: Ich beschreibe und bewerbe eine Holzhackmaschine. Interessierte Nutzer stimmen der Adsense-Nutzung zu und bekommen nun in jeder erdenklichen Lage individuell ausgerichtete Werbung dazu, von mir und von art-ähnlichen Anbietern. Kennen wir alle. Such ich bei Ebay nach einem Fahhrad, erscheinen Vorschläge dazu auf jeder erdenklichen Webseite, meiner Lokalzeitung, dem Kicker usw.
Mit der Abwahl von Adsense ist mein investiertes Geld verloren, wenn die Leute, die potentielle Käufer gewesen wären, das Bewerben untersagen. Die Besucher werden dann eher Werbung der Mitbewerber erhalten, weil die noch nicht diese Ablehnmöglichkeit verbaut haben. So gesehen, bezahl ich dann sogar die Mitbewerber.

Ich persönlich war noch nie ein Freund von Analytics, Piwik & Co, aber mit solchen Studien muß man wohl auch den künftigen Sinn hinterfragen. Im beschriebenem Projekt bin ich nur Webmaster, der Eigner sah Analytics als seine Lösung an, Dinge zu hinterfragen, Inhalte zu ändern, Sachen zu testen, in der Hoffnung, das unterm Strich mehr Leute den KAUFEN-Button klicken. Ich sehe das immer ein wenig anders. Ich informiere mich gern über mögliche Varianten, aktuell über einen großen Fernseher. Ein 65-Zoll bekomm ich in meine Anbauwand, einen 75-Zoll könnt ich noch an die eine mögliche Wand hängen, alternativ vor der Anbauwand im Boden versenken. Brauch ich aber ein Taschentuch aus dem Fach hinter dem TV, muß ich den erst herunterfahren - doof, wenn das im WM-Finale passiert. Also lese und informiere ich mich gern. Und ich hätte gewiß schon mehr als 100 Geräte, würde ich überall auf Kaufen klicken.

Dem Endanwender (und nur die Wenigsten kennen die genaue Rechtslage) bleibt dann nur, auf Nummer Sicher zu gehen und im Zweifel eine Zustimmung zu Cookies einzubinden, die rechtlich aber oft garnicht notwendig ist. Auf meinen eigenen Webseiten habe ich diesen Klick mit der Zustimmung zu allen anderen anfallenden Cookies verknüpft, aber es befreit mich eben nicht von der Pflicht, in einem Kontaktformular den Opt-In für die Kenntnisnahme der DSGVO zu setzen, weil das schon wieder zwei unterschiedliche Punkte sind.
Der Klick im Formular unterrichtet den Besucher, das ich den Inhalt des Formulars bei mir speichere und auch verarbeite, z.b. weil ich ihm ja antworten möchte.

Im Grunde bräuchte es wohl ein Addon, das alle derzeit bekannten Datensammler beinhaltet, bequem per Liste erweiterbar ist und für jede Variante die Zustimmung oder Abwahl speichert. Für den User gibt es dann ein Popup oder Balken, Position frei wählbar im Backend, mit den Checkboxen, dem Link zur DGSVO usw wie man es aus dem großen Seiten (z.b. WP-Projekte) kennt.
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 26, 2019, 03:42:29 PM
Quote
Ob ich nun einen Cookie der althergebrachten Form (Datei im temp-Verzeichnis des Besuchers) setze oder die gleichen Daten im localstorage verarbeite, ist z.b. meiner Meinung nach der gleiche Vorgang.
Weshalb ich diesen CookieAbklickwahn ja so hirnrissig finde. Entscheidende Juristen meinen ja, daß sich jeder im Internet so doof verhält, wie sie selbst (ja, ein Gemeinplatz - aber zu dem stehe ich.)
Mein Vorschlag localstorage/sessionstorage war nur als technische Alternative zum bestehenden SessionCookie gedacht/gemeint, weil die bestehende Session durch den Trick ja immer wieder gekillt wird.   

Ob nun der FE-Session-Kram in WB geändert wird bzw. geändert werden kann, oder ob jemals eine Änderung nötig wird,  steht aktuell noch vollkommen in den Sternen bzw. noch sind das ungelegte Eier.

Allein, daß eine Lösung für diese Problemstellung gesucht und anscheinend auch gefunden wurde, finde ich halt spannend. Für einige ist der Cookiekram einfach nur nervig und lästig, weshalb ich die Haltung dahinter nachvollziehen kann.

Ach ja, zum allgemeinen Vergnügen die Frage, warum der spiegel.de keinen Cookie-Banner zeigt.
Viel Spaß :D


ps. Die Regelung bei einer Dauerrot-Ampel ist auch nicht ohne.
Demnächst vielleicht nur noch mit einem Merkheft auf die Straße gehen?
Wir hatten hier am Bürgersteig eine Situation wo innerhalb von 5 Minuten 3 Ordnungswidrigkeite n zusammenkamen. Da bleibt ein Rentner sicherlich gleich zuhause.

MfG. Evaki


Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Gast on October 26, 2019, 07:01:26 PM
Quote
Mein Vorschlag localstorage/sessionstorage war nur als technische Alternative zum bestehenden SessionCookie gedacht/gemeint, weil die bestehende Session durch den Trick ja immer wieder gekillt wird.

zum 1. auch einen Cookie im Localestorage kannst du ja killen, ob nun mit einer Dauerschleife wie in deiner Lösung oder ganz gezielt. Der einzige Unterschied ist ein anderer Speicherort, ohne localestorage im temp-Verzeichnis des Betriebssystems, mit localestorage in den Anwendungsdateien des jeweiligen Browsers. Persönlich glaub ich eh, das da mehr dahinter steckt - frei nach dem Motto "vom Kuchen des Datensammelns möchte der Browser auch etwas abhaben"
rein rechtlich spielt es keine Rolle, in der DSGVO gehts eher im das grundsätzliche Sammeln personenbezogener Daten.

Und wie bereits erwähnt, ein "echter" SessionCookie, wie er in WB mal verwendet wurde (Smart Login / Wiedererkennung / den Login im BE aufrecht erhalten), besteht ja jetzt nicht mehr

Quote
warum der spiegel.de keinen Cookie-Banner zeigt

weil diese Seite keine persönlichen Identifikationsmerk male darin speichert, zumindest nicht in den frei zugänglichen Bereichen. Ich bin regelmäßiger Spiegel.de-Leser. Du bekommst beim ersten Besuch 21 Cookies übersandt. Gleich der erste in der Liste entspricht dem WB-Cookie, ein Timestamp des Besuches, nicht mehr. Erst, wenn ich dann anmeldepflichtige Angebote nutzen möchte, muß ich dieser DSGVO auch zustimmen und erst dann werden Cookies geschrieben, die personenbezogene Angaben enthalten, meinen Rechner also identifizieren können.
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 27, 2019, 07:53:40 AM
Quote
ob nun mit einer Dauerschleife wie in deiner Lösung oder ganz gezielt.
Die Dauerschleife schmeißt gezielt die WBeigene Session raus, womit der Weg für eigene Sessions/Cookies frei wird, falls diese gebraucht werden. localstorage/sessionstorage kommt da als JS-Lösung wie gerufen, mal beiseite gelassen, was Browser damit anfängt.
Quote
Kuchen des Datensammelns möchte der Browser
Das liegt nahe, vielleicht bald 'nen EU-konformen Browser?  Da klingelt es bei mir dann aber auch sofort, wenn irgendwer vorschreiben will, was der Client zu empfangen hat und was nicht - natürlich nur zu meinem Besten.  Die Eu sollte gewährleisten, daß der Anwender sich es selbst aussuchen kann. Wenn nicht, kompiliert man sich was "eigenes". Andererseits, wenn sich DAU von Portalen vorschreiben läßt, was er - nicht - zu sehen hat, darf man an der Mündigkeit des Bürgers zweifeln.- na gut, statt Punkt ein "?".

Quote
Erst, wenn ich dann anmeldepflichtige Angebote nutzen möchte, 
Genauso sahen es wohl auch meine Anwender, als sie auf die Idee kamen.
Wobei ich deren Argumentation für localstorage/sessionstorage sehr gut verstehen kann, wenn es zutrifft, daß die entsprechenden DSGVOkonformen Formulare in Funktion, Ausführung und Gestaltung leichter zu realisieren sind. Man riet mir, mal mit FF-Web-Speicher-Inspektor auf Seiten zu gehen, wo sich so wunderschöne Auswahlformulare zur Datenerfassung befinden. Hab' ich gemacht localstorage/sessionstorage war dort dann dominant bis exklusiv.

Nochmal grundsätzlich. Diese "Problemlösung" war und ist nur als vorübergehende gedacht, bis die EU ihre Arbeit "auf die Reihe" kriegt und die Verordnungen fertigstellt. Diese Umschiffung tastet WB selbst nicht an.
Als Nebeneffekt eröffnet sie die Option für localstorage/sessionstorage, was für mich persönlich den eigentlichen Reiz darstellt.

Einen schönen Sonntag wünscht Evaki





Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Gast on October 27, 2019, 11:04:19 AM
Quote
ob nun mit einer Dauerschleife wie in deiner Lösung oder ganz gezielt.
Die Dauerschleife schmeißt gezielt die WBeigene Session raus, womit der Weg für eigene Sessions/Cookies frei wird, falls diese gebraucht werden.

da fehlt mir absolut der Sinn für, aber egal.
Ist alles gesagt, denk ich
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 27, 2019, 11:37:29 AM
Na, ist doch nur folgerichtig.
!.) Webmaster will grundsätzlich keine Session-Cookies im FE, auch wenn SessionCookies aktuell ohne spezielle Erlaubnis anwendbar sind.
2.) Da für die ein oder andere Anwendung doch ein Cookie gleich welcher Art fällig wäre, und dies
entsprechend DSGVO der Zustimmung bedarf, braucht es für diese Situation eine Lösung, weil das von WB erzeugte Cookie ja gekillt wird. Also entweder klassisches Cookie oder localstorage/sessionstorage, wobei sich die Anwender für letzteres wg. der vorgebrachten Gründe entschieden haben.

Diese Situation ergibt sich also ausschließlich aus der Forderung nach "keine Session-Cookies im FE", sonst nie. Wenn das jemand so haben will, wird das - wenn's geht - eben so gemacht. Technik soll dem Anwender dienen, nicht umgekehrt. Welcher Rationalität soll man den Vorzug geben? Solange das CMS nicht "abkackt" is doch alles jut.

<offtopic>Ein Elektriker verweigert erst eine Ausführung, wenn eine allgemeine sowie indiviuelle Gefährung eintreten kann. Dem ist aber egal was Du an Deine Steckdosen anschließt. Es ist die EU die Dir faktisch vorgibt, daß Du keine Glühbirnen mehr einschraubst. Meinem Energieunternehmen ist es vollkommen Schnuppe mit welchen Krimskrams ich den Strom verbrauche, sogar wenn ich mit einem Tauchsieder den Gartenteich erhitze. </offtopic>
MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Gast on October 27, 2019, 02:07:13 PM
erinnert mich an einen Bekannten, der fuhr, wie ich auch, einen mittlerweile Oldtimer aus den USA, hatte aber einen Rostschaden im Bereich der unteren A-Säule. Werkstatt 1 wollte 800 Euro + Steuer, Werkstatt 2 wollte 1100 Euro + Steuer. Ich hab ihm gesagt, ich repariere das für die Materialkosten, wären vielleicht 100 Euro gewesen.
Auf Grund einer Behinderung seiner Tochter benötigte er aber ein Fahrzeug, das eben auch einen Rollstuhl transportieren kann. Nix mit Rampe oder so, eher was kleines, zusammenfaltbar, halt nix für den Kofferraum einen Golf.
Also klapperte er die Autohäuser ab und fand, oh Wunder, natürlich einen Ersatzwagen. Es war wohl Liebe auf den ersten Blick, aber eine Summe in 5-stelliger Höhe. Der Oldtimer wurde verscherbelt.
Nun ist man mit einem schwerst behindertem Kind immer im Zwang, ein zuverlässiges Auto haben zu müssen und bis auf diese Rostsache war es der Oldtimer ja auch. Ich würde ja auch gern eines der neuesten Modelle fahren, schon allein wegen der ganzen Helferlein an Bord. Also sei es akzeptiert.
Unterm Strich stehen aber 25.000 gegen mein 100 Euro. Das neue Auto hat auch nur 4 Räder, die gleichen P.S., die gleichen Extras und muß auch alle zwei Jahre zum TÜV. Gewonnen hat er nix....

Der Fall hier ist ähnlich. Natürlich kann man die SessionCookies von WB killen, aber ist es z.b. nicht einfacher, das Anlegen einfach zu unterbinden?
Aber hier lasse ich das Argument: "ja nicht im Sourcecode fummeln" durchaus gelten, schon allein wegen der späteren Upgradefähigkeit, einmal ausgelöscht, soll der Status ja auch so bleiben bei einem Upgrade.

Das eine gewisse Abmahnangst besteht, kann ich ebenfalls nachvollziehen. Im Zweifel etwas mehr, spart ggf ein paar Euro. Da ich selbst schon für eine Abmahnung bezahlt hab, ist das eine Schiene, wo ich mitgehe.

Was mir nicht gefallen würde (und sieh das nicht als Meckerei, sondern eher als Meinung zum finden einer guten Lösung, ist, das man die WB-eigene Lösung killt, um eine eigene einzubauen. Aktuell fehlen wohl genügend Informationen dazu, um das ohne Bauchschmerzen zu erledigen, z.b. was passiert alles im Backend? Du hattest das oben schon angesprochen, wenn ich nach jedem Klick im FE, den ich ja nicht mal selber machen muß, im BE rausgeworfen werde, weil der Cookie gelöscht wurde, ist das wenig hilfreich. Neben den schon erwähnten Situationen "Display-Eigenschaft der Blöcke" gibt es ja noch mehr, was mit Cookies arbeitet, Status von Plus/Minus in der Seitenübersicht, der erwähnte Remember-Key usw. Noch nicht dabei sind Module. Auf Anhieb kann ich mich jetzt nicht erinnern, das in irgendeinem Code schon mal gelesen zu haben, aber sollte es da irgendwo drin sein, wurde es auch nie geändert.

Es würde mir widerstreben, statt der vorhandenen Lösung, die ggf den WB-eigenen Cookie benutzt, nun neue Dinge einzubauen, nur um diesen WB-Cookie weiterhin löschen zu können. Nicht falsch verstehen bitte, das er gelöscht wird, weil er garnicht benötigt wird, verstehe ich durchaus. Und selbst, wenn mir die aktuelle Rechtslage keine CookiePermission abverlangt, heißt das ja auch nicht, das dies ewig so bleibt.
Ich müßte nochmal eine der älteren Versionen aktivieren, 2.8.1 oder 2.8.2, da standen auf jeden Fall noch weitere Dinge drin, zumindest nach erfolgtem Login. Und soweit ich mich erinnere, war die Denke damals so: Ich habe einen SessionCookie, also nutz ich ihn auch, d.h. überall wo notwendig, würde dann in diesen Cookie geschrieben. Diese Technik beinhaltet aber auch, das ich, sollte der Cookie im Pfad nicht gefunden werden, diesen neu anlege, was dann aber dazu führen würde, das man eben doch den Core anfassen müßte.

Dazu kommt, das ich bei einer Cookieverwendung im FE, wo auch immer der anfällt,  das Opt-In auf jeden Fall benötige. Das wäre dann ein Haufen Arbeit umsonst.

P.S.: ist schon traurig, das von offizieller Seite dazu kein Beitrag kommt und sei es nur in Form von Informationen aus der Vergangenheit   :|
Das Thema schürt Unsicherheit bei den Benutzern, nicht nur bei diesem System - überall - und das Web ist voll von unnötigen Klickaktion aus reiner Angst und Vorsicht.
Ich bin da immernoch für eine zentrale Lösung, ein Setting mehr für den SuperAdmin
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 27, 2019, 05:18:41 PM
Quote
wenn ich nach jedem Klick im FE, den ich ja nicht mal selber machen muß, im BE rausgeworfen werde, weil der Cookie gelöscht wurde, ist das wenig hilfreich.
Genau das geschieht jetzt ja nicht mehr. Anfangs passierte das, wenn man mit ein und dem selben Browser arbeitete.  Aktuell ist, wenn jemand "drin ist", die Löschaktion nicht aktiv.
Man kann wie gewohnt arbeiten, ohne rausgeschmissen zu werden.
Quote
Das Thema schürt Unsicherheit bei den Benutzern, nicht nur bei diesem System - überall - und das Web ist voll von unnötigen Klickaktion aus reiner Angst und Vorsicht.
Weshalb man dieser Arie aus dem Weg gehen wollte. Die Anwender waren enorm genervt, auch darüber, daß die EU mal wieder nix zu Ende gebracht hat (e-privacy).
Quote
Ich bin da immernoch für eine zentrale Lösung, ein Setting mehr für den SuperAdmin
Das haben sich hier alle gewünscht, nur "mal auf die Schnelle" geht anscheinend nicht, da doch - soweit ich da Einblick hatte - mit erheblichem Aufwand verbunden, zumindest wenn das keinen Rattenschwanz an Modulen etc. nach sich ziehen soll. Zur Zeit hängt ja anscheinend alles an WSession::Start(); in der initialize.php.
Wenn man dann auch nicht weiß, wie die EU die ePrivacy-Verordnung gestalten wird, ist das aus Entwicklersicht verständlicherweise nicht umgehend angesagt.
Überlegungen dazu, also unabhängig von irgendwelchen EU-Entscheidungen, wären aber schon willkommen.
MfG. Evaki

Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 27, 2019, 05:40:43 PM
Korrektur
Quote
Zur Zeit hängt ja anscheinend alles an WSession::Start(); in der initialize.php.
Das trifft auf den WB-Fork zu, bei dem das auch getestet wurde.

Über WB hab ich nix auf'm Zettel -  jep, das war nur mündliche Überlieferung, aber es dürfte sich vergleichsweise gestalten. Da werde ich wohl nochmal nachhaken müssen, wenn nicht vorher jemand aufklärt, wie's im WB abläuft.
Die Tests liefen jedenfalls zuletzt erfolgreich ausschließlich unter      2.12.2 r378

MfG. Evaki


MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 29, 2019, 07:06:40 AM
Quote
P.S.: ist schon traurig, das von offizieller Seite dazu kein Beitrag kommt
Merkwürdig ist die ganze Angelegenheit aus meiner Sicht allein schon deshalb, weil es ein servereigenes Sessionmanagement gibt, also auch ohne PHP eines besteht, das ein- und abschaltbar ist.
Ein CMS muß also nicht zwingend wie ein Klotz am Bein dastehen. Das tut es aber. Dafür ist/wäre eine DSGVO noch nichtmal vonnöten gewesen. Eine rein technische Betrachtung reicht. Irgendwie erinnert mich das an "codeX".

MfG. Evaki
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Gast on October 29, 2019, 10:58:42 AM
Da ist er ja wieder, der alte Dramatiker - Hilfe, die Welt geht unter - WB benutzt einen Cookie  *kreisch

Überliest du die Erklärungen eigentlich bewußt? Damit deine Weltuntergangsstimm ung einen Boden hat?

WB setzt einen Cookie, der auf einer Seite ohne Extra-Funktionen unnötig scheint, allerdings in diesem Zustand auch keinerlei Daten enthält und damit keinerlei DSGVO-Zustimmung benötigt.

Dieser Cookie ist aber z.b. von Nöten, wenn man einen Frontend-Login benutzt, eine Registrierung und/oder einen Frontend-Edit, wie ihn einige Module anbieten
Dieser Cookie ist ebenfalls von Nöten, wenn der gleiche Rechner im Backend arbeiten möchte

Beide Dinge kannst du garnicht über eine serverseitige Session abwickeln, weil du zu einen dafür eine DSGVO-Zustimmung benötigst, zum anderem innerhalb kürzester Zeit eine Datenmenge sammelst, die u.U. dein Webspace sprengen könnte. Funktion wie RememberKey, SmartLogin, eine Farbschemaauswahl, wie sie einige Templates haben usw wäre dann vom Tisch, weil eben serverseitige Sessions im Allgemeinen nur kurzlebig wären und im Normalfall mit den Schließen des Browserfensters gekillt werden. Genau das wäre aber kontraproduktiv. Du warst doch auch einer derer, die am lautesten geschrienen haben, wenn deine Leute beim Schreiben eines langen Artikel automatisch ausgeloggt wurden, weil die Server-Session zu Ende war.
Und natürlich kannst du deinen Cookie killen, ist ein freies Land und ein OpenSource-CMS. Du wirst der Held sein bei deinen Leuten und der Arsch, wenn später festgestellt wird, das dies und das nun plötzlich nicht mehr funktioniert. Davon erfahren wir hier aber nichts.

Da ich weiß, wo das wieder endet, ist das Thema für mich beendet.
Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: evaki on October 29, 2019, 03:05:46 PM
Quote
Überliest du die Erklärungen eigentlich bewußt
Die Erklärung, daß Apache oder MS oder xxx das serverseitig managen können, läßt Dich wieder ausrasten? Oha. Du erklärst zwar viel, aber nicht immer bemerkst Du die Widersprüche, die Dir unterlaufen. Außerdem Sachen wiederzukäuen, die längst in der Praxis widerlegt oder allseits bekannt sind, machen es auch nicht spannender. Deine Tour, mir Dramatik zu unterstellen, gehört mittlerweile zu den Langweilern, zumal der Grund für die Modifikation erläutert wurde. Ein paar Überbleiber aus dem Anwender nutzen es, und gut ist. Der Rest ist bekannterweise aus WB und Forks ausgestiegen. Du glaubst doch nicht, daß ich mich da noch weiter reinhänge, und auch noch Überzeugungsarbeit leiste. Aus diesem Job bin ich draußen, und stecke meine Energie wieder in berufliche Zweige.

Im übrigen macht ausgerechnet das von mir absolut ungeliebte WP vor, wie's gehen kann, nämlich ohne und bei Bedarf. Bedarfsweise auch mit einem externen Dienst (https ://usercentrics.com).   
MfG. Evaki

Title: Re: EuGH: Deutscher Sonderweg bei Cookies für unzulässig erklärt
Post by: Luisehahne on October 29, 2019, 04:25:08 PM
Thema geschlossen, bevor es weiter ausartet.

Dietmar