Author Topic: Cookies und der Cookie Permission-Irrsinn  (Read 1393 times)

Offline msfrog

  • Posts: 54
Re: Cookies und der Cookie Permission-Irrsinn
« Reply #25 on: May 22, 2018, 01:59:03 PM »
Naja, dass da ne ID drinsteht kann man ja leicht sehen. Aber was macht denn WB nun genau damit, darauf fehlt irgendwie noch eine schlüssige Antwort. Ich hab so bisschen das Gefühl, dass es nichtmal die Entwickler mehr wissen ;)

Offline dbs

  • Betatester
  • **
  • Posts: 7549
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: Cookies und der Cookie Permission-Irrsinn
« Reply #26 on: May 22, 2018, 03:26:04 PM »
Da werden reine PHP-Funktionen verwendet.
Reinschauen kann man mit print_r($_SESSION);

session_start();
speichert intern dieses:
    [session_started] => 1526994...
    [TOKENS] => a:1:{s:7:"default";a:3:{s:5:"value";i:0;s:6:"expire"...
    [PAGE_ID] => 88
    [HTTP_REFERER] => https://deine.domain.de/pages/e...

Die generierte Session ID in dem Cookie verweist auf diese Daten.

session_regenerate_id();
Beim Wechseln der Seiten wird eine neue ID generiert und die Daten übernommen.
Das verhindert Session-Hijacking.

Offline evaki

  • Posts: 2219
Re: Cookies und der Cookie Permission-Irrsinn
« Reply #27 on: May 22, 2018, 03:43:32 PM »
Quote
Ich hab so bisschen das Gefühl
Du kannst auch gefühlt selbst finden, wenn Du schon weißt was gesucht ist:
https://de.wikipedia.org/wiki/Sitzungsbezeichner
und mehr.
MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 2976
  • Gender: Female
Re: Cookies und der Cookie Permission-Irrsinn
« Reply #28 on: May 23, 2018, 08:33:43 PM »
Mal wieder ein klein wenig ausführlicherer Lesestoff...

Cookies, das können einerseits leckere Süßigkeiten sein, aber auch etwas, an dem man sich gehörig den Magen verderben kann.
Wie immer bei Süßigkeiten, sollte man auch mit Cookies sehr vorsichtig umgehen. Man braucht nicht darauf verzichten, aber sie zumindest in einem vernünftigen Rahmen genießen.  8)

Generell:  Auch dynamische, interaktive Websites (mit PHP erstellt) lassen sich theoretisch ohne jeden Cookie betreiben. Nachteil ist dann jedoch, dass die Session-ID mit jedem internen Link mit übergeben werden muss. Dieses Verfahren ist sehr unsicher, da dabei die Session-ID fast immer in der URL im Klartext lesbar vorhanden ist. Nur zu leicht übersieht man diesen Umstand (egal ob aus Unachtsamkeit oder Unwissenheit) und kopiert die ID versehentlich mit einem Link in einen Post oder Chat. Und schon kann jeder mittels dieser ID dem Program eine falsche Identität vortäuschen. Stichwort: "Session-Hijacking".

Prinzipiell hat jeder die Möglichkeit, durch entsprechende Einstellung seines Browsers die Annahme von Cookies recht genau zu steuern (siehe Onlinehilfe des Browsers). Leider sind dazu meist etwas mehr als rudimentäre Grundkenntnisse der Technik erforderlich.

Die Nutzung eines meist einfach Session-Cookie genannten Cookies kann diese Fehlerquelle schon mal mit hoher Wahrscheinlichkeit beseitigen, da die Übertragung der Session-ID versteckt in den Headerdaten von Aufruf und Antwort erfolgt.
Zu diesem Cookie selbst: Es ist ein ganz einfaches Cookie, das als Datum ausschließlich die meist 32-stellige, hexadezimale  ID der aktuellen Session (Sitzung) transportiert. Diese Ziffer ist eine rein zufällig erzeugte Zahl, die keinerlei Rückschlüsse auf irgendwelche persönlichen Daten zulässt.
Das Cookie wird im Normalfall auch automatisch von der Festplatte des Besuchers gelöscht, sobald entweder die Session abgelaufen ist oder die letzte Instanz des benutzten Browsers geschlossen wird.

Anders verhält es sich mit dem sogenannten "remember me" Cookie. Dieses sorgt dafür, dass einUser bei einem späteren, erneuten Besuch einer Website automatisch wieder angemeldet wird. Auch dieses Cookie enthält nur einen zufälligen Code ohne Hinweis auf den User. Jedoch wird es dauerhaft (manches mal auch für einen wählbaren Zeitraum) auf der Festplatte gespeichert. Es wird nur dann gelöscht, wenn sich der Benutzer  bei der besuchten Website explizit abmeldet.

Eine dritte Art von Cookies kann Einstellungen speichern, mit denen z.B. die Anzeigesprache, ein wählbares Layout,  die Zeitzone usw. durch den Besucher ausgewählt wurde. Auch der Zustand des Seitenbaumes im Backend expanded/collapsed etc. wird auf diese Art gespeichert. Diese Cookies können unter Umständen recht lange überleben. Sie enthalten aber im Normalfall keinerlei persönliche Daten oder Daten, die Rückschlüsse auf den Besucher zulassen.

Ganz anders sieht es bei Cookies aus, die zu Tracking- und Statistikzwecken angelegt werden. Diese sind speziell darauf ausgelegt, Daten zu sammeln. Dabei ist es relativ gleichgültig, ob diese 'nur' von eigenen oder von entfernten Programmen ausgewertet werden.

Besondere Vorsicht ist geboten, wenn kostenlose Dateien (speziell Javascript) von Drittanbietern eingebunden werden. Es kann vorausgesetzt werden, dass hierdurch Tracking-Cookies gesetzt werden und auch der Einsatz der Dateien überwacht wird. Niemand hat etwas zu verschenken. Es mag zwar kein Geld kosten, jedoch sind die Daten die von diesen Diensten abgegriffen werden, für diese bares Geld wert. Auch ist es für den Betreiber einer Website praktisch unmöglich festzustellen, was diese eingebundenen Dateien eigentlich machen und ob sie auch morgen noch so harmlos sind, wie sie heute vorgeben zu sein.

Merke:  Fremde, eingebundene Dateien können vom Anbieter jederzeit unbemerkt verändert werden!! Fremde, eingebundene Dateien könnten private Daten unbemerkt an jeden beliebigen Ort der Welt liefern!!

------------- übrigens
Das Forum von WebsiteBaker benötigt genau 2 Cookies:
  • PHPSESSID Dies ist das 'berüchtigte" Session-Cookie, das einzig und allein die Session-ID speichert damit ein Besucher während einer Session (Sitzung) vom Server wieder erkannt wird und sich nicht bei jedem Seitenaufruf neu anmelden muss. (Dieses Cookie wird beim Schließen der letzten Browserinstanz gelöscht)
  • SMFCookieXX Mit Hilfe dieses Cookies kann sich das Forum zum Beispiel merken, welche Kategorien der Benutzer auf- oder zugeklappt hat und welche Anzeigesprache benutzt werden soll. Dieses Cookie enthält keinerlei persönliche Hinweise auf den aktuellen Benutzer. (Dieses Cookie kann bis zu 6 Jahren überdauern.)
Weitere Cookies werden vom Forum nicht gesetzt. Auch werden keinerlei Zusatzmodule benutzt, die eigene Cookies setzen könnten.
Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf ihnen Hirn vom Himmel !

 

postern-length