WBCE Home | WBCE Hilfe | WBCE Addon Repository | Impressum | Datenschutz

WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

#26 30.04.2018 07:38:14

cwsoft
Member

Re: WBCE Session-Cookie

Österreich ist bezüglich DSGVO leider nicht 1 zu 1 mit Deutschland vergleichbar:
https://www.heise.de/newsticker/meldung … 31217.html

In Deutschland überlässt man die Entscheidung meist den Gerichten, die über Prozesse irgendwann mal Klarheit schaffen.


Account inactive since 2018/11/17.

Offline

Liked by:

florian

#27 30.04.2018 19:25:48

berny
Member

Re: WBCE Session-Cookie

und was heisst das jetzt?

immerhin ist der Provider VERPFLICHTET, ip Adressen zu speichern, also ein Widerspruch insich.

Ein Cookie Hinweis ist ok.

ich warte aber bis zur ersten Abmahnung, weil jemand genau diesen Hinweis auf der Homepage hat, obwohl er nur das erlaubte Session Cookie verwendet.....

Offline

#28 30.04.2018 19:42:41

webbird
Administrator

Re: WBCE Session-Cookie

Mann ist das gaga. Ein Cookie, das rein gar nichts über den Benutzer speichert und zum Ende der Browsersession sowieso gelöscht wird, erfordert einen "AchwassindwirbösewirsetzeneinCookie"-Hinweis. Das ist wieder so typisch... Gießkannenprinzip. Als könnte man die wirklich "Bösen" damit irgendwie einfangen.


Some people just need a high-five. In the face. With a chair.

Offline

#29 30.04.2018 20:05:27

florian
Administrator

Re: WBCE Session-Cookie

ich warte aber bis zur ersten Abmahnung, weil jemand genau diesen Hinweis auf der Homepage hat, obwohl er nur das erlaubte Session Cookie verwendet.....

Selbst ich als alter Paranoiker und Panikmacher habe keine Idee, mit welcher Begründung sowas abgemahnt werden sollte. *kopfkratz*

Offline

#30 30.04.2018 20:15:42

cwsoft
Member

Re: WBCE Session-Cookie

Der Provider speichert die IP-Adresse, klar. Aber im Backend des Providers kann man in der Regel einstellen, ob und wie lange Logfiles gespeichert werden, ob IP-Adressen für Analysezwecke (Traffic) überhaupt, oder in verkürzter Form (z.B. letzte Oktett ausgeixt) gespeichert werden ...

Das ist es letztendlich, was man sich anschauen und evtl. reagieren muss (Einstellungen ändern, Hinweis in Datenschutzerklärung ob und wie IP-Adressen gespeichert und durch den Seitenbetreiber verwendet werden etc.

Dem Session-Cookie sehe ich hingegen recht gelassen entgegen. Hinweis beim Setzen (Cookie Message) und kurze Erklärung in der DS-Erklärung.

Last edited by cwsoft (30.04.2018 20:22:50)


Account inactive since 2018/11/17.

Offline

Liked by:

florian

#31 01.05.2018 19:47:33

jean
Member

Re: WBCE Session-Cookie

... so wie ich es sehe, sind Session-Cookies ja ok, und (bis zur nächsten Verordnung) auch ohne Hinweis setzbar. Der Standard-WBCE-Cookie sitzt dann aber etwas zwischen den Stühlen: auch / gerade weil er nicht für eine (richtige) Session genutzt wird, verstößt er gegen die Sparsamkeits-Vorgabe wink Jupps, ist natürlich Pillepalle. (Mal generell: ja, es ist nicht schön, daß der Gesetzgeber alles so fluffig formuliert hat. Auf der anderen Seite würden wir auch alle jammern, wenn es Regeln bis zur siebten Stelle hinter dem Komma geben würde.)

Offline

#32 01.05.2018 22:15:34

bastie
Member

Re: WBCE Session-Cookie

Naja, beim Anmelden habe ich ja jetzt auch einen Klick mehr.

Was mich jetzt bei der ganzen Diskussion am meisten interessiert (egal, was dieses Session-Cookie macht oder nicht macht), muß ich jetzt den Cookie-Hinweis einbauen oder nicht? Das geht aus der Diskussion leider nicht hervor. Wat nu: Ja oder nein?

Also, wie ich es momentan sehe, bin ich auf der sicheren Seite, wenn ich diesen (wie von anderer Stelle schon angemerkt, nervigen Hinweis) einsetze, ob nun rechtlich erforderlich oder auch nicht. Klar, dass dann auch in der Datenschutzerklärung diese ganzen Erklärungen zu Cookies usw. nicht fehlen dürfen.

Irgendwie ist das alles nur noch verwirrend. Auf der einen Seite wird Panik gemacht, auf der anderen wieder abgewiegelt - also ich für meinen Teil kann nur noch sagen: Chaos.

Nur, wie berny sagte

ich warte aber bis zur ersten Abmahnung, weil jemand genau diesen Hinweis auf der Homepage hat, obwohl er nur das erlaubte Session Cookie verwendet....."

, das kann aber mal verdammt teuer werden. Zumal da ja nicht nur Abmahnanwälte in den Startlöchern stehen, sondern auch mehr als saftige Bußgelder im Raum stehen.

Ich für meinen Teil bin so ziemlich verunsichert.

Bastie

PS: Ich betreue eine Seite, bei der ich momentan Coast-CMS einsetze. Wenn ich diese Seite normal im Browswr aufrufe, kann ich nach Cookies suchen ohne ende, es gibt keine. Wenn ich mich aber als Admin einlogge habe ich ein Session-Cookie. Könnte man das bei WBCE nicht auch so machen? Beim normalen Seitenbesucher werden keine Cookies gesetzt, bei Admins, Redakteuren, oder wemauch immer eingeloggten schon?

Last edited by bastie (01.05.2018 22:23:01)


Wer Rechtschreibfehler findet, darf sie gerne herunterladen, kopieren, weiterverwenden und weiterverbreiten. Ich beanspruche in keiner Weise ein Urheberrecht. Meine Rechtschreibfehler stehen ausschließlich unter der CC0-Lizenz.

Offline

#33 01.05.2018 22:25:40

grindmobil
Guest

Re: WBCE Session-Cookie

Da das Session-Cookie eine sehr geringe Lebensdauer hat, keine personenbezogenen Daten speichert und kein Zugriff des Betreibers besteht, betrachte ich das Cookie als bedeutungslos.

#34 01.05.2018 22:57:22

jean
Member

Re: WBCE Session-Cookie

> als bedeutungslos

ja, sehe ich auch genauso (allerdings - und das ist dann das Problem - neigen Anwälte dazu, sich nach den Buchstaben zu richten ...)

@bastie
so wie ich es verstanden habe, ist das Cookie ein wenig aus Gründen der Bequemlichkeit (das ist nicht böse gemeint) im Code - man unterscheidet nicht per se zwischen Besucher oder angemeldetem Besucher - beide bekommen das gleiche auf den Tisch. Ich würde im Moment auf das Cookie hinweisen (eben weil es kein notwendiges Session-Cookie ist), auch wenn ich da keine ernsthafte Gefahr sehe.

Offline

#35 01.05.2018 23:01:13

bastie
Member

Re: WBCE Session-Cookie

@grindmobil

Chio, das klärt leider immer noch nicht die rechtliche Frage ob Hinweis ja /nein (aus deutscher Sicht). Ob Du oder ich das Cookie oder den Cookie-Hinweis als bedeutungslos betrachten, ist eine Sache, ob so manch einer, der mit sowas ein Schweinegeld verdient es genauso sieht, eine andere.

Keine Ahnung, wie es bei Euch in Österreich aussieht, aber hier bei uns in Deutschland verdienen sich so einige Saubeutel eine goldene Nase mit Abmahungen.

Bastie


Wer Rechtschreibfehler findet, darf sie gerne herunterladen, kopieren, weiterverwenden und weiterverbreiten. Ich beanspruche in keiner Weise ein Urheberrecht. Meine Rechtschreibfehler stehen ausschließlich unter der CC0-Lizenz.

Offline

#36 01.05.2018 23:09:09

bastie
Member

Re: WBCE Session-Cookie

jean wrote:

> als bedeutungslos

ja, sehe ich auch genauso (allerdings - und das ist dann das Problem - neigen Anwälte dazu, sich nach den Buchstaben zu richten ...)

@bastie
so wie ich es verstanden habe, ist das Cookie ein wenig aus Gründen der Bequemlichkeit (das ist nicht böse gemeint) im Code - man unterscheidet nicht per se zwischen Besucher oder angemeldetem Besucher - beide bekommen das gleiche auf den Tisch. Ich würde im Moment auf das Cookie hinweisen (eben weil es kein notwendiges Session-Cookie ist), auch wenn ich da keine ernsthafte Gefahr sehe.

Nö, geht auch nicht um Bequemlichkeit - auch meine Frage war nicht böse gemeint - sondern es geht mir einfach nur darum, auf der rechtlichen sicheren Seite zu sein. Naja - zumindest auf der momentanen rechtlichen Sicherheit.

Aber ich denke, dass es besser ist, auf dieses Cookie hinzuweisen.

Aber da taucht schon ein neues Problem auf:

Wer sich die gängigen Datenschutzerklärungen ansieht, kommt nicht umhin, beim Thema Cookies mindestens drei bis vier Absätze lesen zu müssen, in denen Cookies an sich erklärt werden,m was Cookies machen, was sie nicht machen usw.

Wenn es sich um einen eifachen Session-Cookie handelt, müßte doch eigentlich der Hinweis reichen, dass es sich eben nur um einen solchen handelt, und er sich am Ende der Browser.Sitzung von selbst erledigt -. oder nicht?

Last edited by bastie (01.05.2018 23:16:37)


Wer Rechtschreibfehler findet, darf sie gerne herunterladen, kopieren, weiterverwenden und weiterverbreiten. Ich beanspruche in keiner Weise ein Urheberrecht. Meine Rechtschreibfehler stehen ausschließlich unter der CC0-Lizenz.

Offline

#37 02.05.2018 09:26:41

berny
Member

Re: WBCE Session-Cookie

Auf unserer Seite wird zur besseren Funktionalität  ein Session Cookie verwendet. Wenn sie die Seite ohne Cookies verwenden wollen, müssen sie die Speicherung in Ihrem Browser deaktivieren. Ohne Cookies ist die volle Funktionalität der Seite nicht gewährleistet.

wie wäre es damit?

Last edited by berny (02.05.2018 09:28:15)

Offline

#38 02.05.2018 11:17:59

florian
Administrator

Re: WBCE Session-Cookie

"Session-Cookie" und "Sie" groß, ansonsten find ichs gut

Offline

#39 08.05.2018 23:34:35

jean
Member

Re: WBCE Session-Cookie

... ich habe - wie erwähnt - kein Problem mit dem ungenutzten Session-Cookie für normale Besucher, aber ich hatte keine Lust, mich zu entscheiden, ob ich nun nur drauf hinweisen oder es abnicken lassen muss. Also habe ich es für normale Besucher deaktiviert.

Obacht: ich habe nur Brot-und-Butter-Seiten. Keine Formulare, keine Kommentare, keine fiegelinschen Module wie Itemz und Co. Ich habe _nicht_ getestet, ob das Fehlen der Session dort Probleme macht.

Gut - für meine Seiten reicht dafür ein Einzeiler, anbei eine verbose 2-Zeiler-Version:

[== PHP ==]
// Start a session
// URL auf /admin/ prüfen und als Bedingung ergänzen
$adminpage = strpos( $_SERVER['REQUEST_URI'], "/admin/" );
if( $adminpage !== false && !defined('SESSION_STARTED') ) {

(diese Lösung greift zu kurz)
Der Code kommt in framework/initialize.php (Zeile 98 ff), dort werden die Sessions für jeden Seitenaufruf gestartet.
Obacht: das ist eine zentrale Datei für WBCE. Wer sie verhunzt, hat Probleme!

Die erste (neue) Zeile schaut, ob eine Admin-Seite aufgerufen wird, indem der URL auf den Bestandteil "/admin/" geprüft wird. Vermutlich gibt es schlauere interne WBCE-Funktionen zum Prüfen, aber mir reichte das so. Die Prüfung auf "/admin/" ist natürlich nur mau - man kann ja vermutlich Pfade erstellen, die auch "/admin/" enthalten. Sicherer wäre also eine schlauere Prüfung, die den ganzen URL mit einbezieht (SCRIPT_FILENAME ... sonstwas). Aber ich bin faul ...

Die zweite (geänderte) Zeile ergänzt die Bedingung zum Starten der Session einfach um die Prüfung auf Admin-Seite.

Jetzt wird auf allen Admin-Seiten (wie zuvor) die Session gestartet / weitergeführt. Auf nicht-Admin-Seiten wird keine Session gestartet. (Und ja, so bekommt man auch auf der Login-Seite ein Session-Cookie, auch wenn man sich nicht einloggt. Aber das Leben kann nicht nur Freude sein).

Ich habe das nur bei v. 1.1.11 / 1.2.0-alpha.4 probiert, aber an dieser Stelle gibt es vermutlich seit längerer Zeit keine Unterschiede im Code. Wie gesagt, ich habe weder geschaut noch getestet, was bei Seiten mit komplexeren Modulen passiert - wer soetwas hat, muss selber gucken ... Und ja, das ist ein dwaatschiger Eingriff, der nur eine sehr individuelle Befindlichkeit löst und der mit jeder neuen Version überschrieben wird.

Last edited by jean (13.05.2018 15:36:22)

Offline

#40 08.05.2018 23:55:05

grindbatzn
Guest

Re: WBCE Session-Cookie

Ich denke, man sollte auf die Konstante ADMIN_URL prüfen, statt auf "/admin/"

Probleme gibt es sicher bei allen Modulen, die Frontend-Edit haben; die funktionieren dann im Frontend nicht mehr. Abhilfe wäre: Prüfen, ob das Cookie bereits vorhanden ist.

Als Bastelarbeit könnte man im Access-File vermerken, ob die jeweilige Seite ein Cookie braucht oder nicht. Oder man definiert es nach Modulen.

#41 09.05.2018 21:42:17

norhei
Developer

Re: WBCE Session-Cookie

Prinzipiell funktioniert das ...
Wie Du schon so schön festgestellt hast , kann das mit wie ich vermute mit etlichen Modulen Probleme bereiten.

Damals noch in WB hat man sich entschieden , das es eine gute Idee ist  ein Session Cookie zu setzen, damit nicht die Module alle ein eigenes setzen , wie das z.b. in Wordpress oft üblich ist . 

Freiwillige vor zum Testen , welche Module probleme Machen ;-)

Offline

#42 09.05.2018 22:52:55

bernd
Developer

Re: WBCE Session-Cookie

Die von jean gepostete Variante funktioniert so aber in der 1.3.1 nicht (mehr)?!?
Oder bin ich grade nur blind oder blöd oder beides?


2 x ROT13 hält besser ...

Online

#43 10.05.2018 16:49:17

jean
Member

Re: WBCE Session-Cookie

nöö, nicht blind, nicht blöd. v 1.3.x sieht einfach schon anders aus. Da sich bei mir - keineAhnungwarumdasLebenistgemein - v.1.3.1 nicht installieren läßt, nur mit 1.3 portabel getestet (haben aber den gleichen Code):

Dort wird die Session nun in initialize.php / z306 gestartet:
// Init  special Session handling and Start session.
WSession::Start();

Man kann also die Abfrage dort herum einbauen, würde ich aber nicht empfehlen (obwohl Back- und Frontend funktionierten).

Da WSession::Start() aber mehr macht, als nur die Session zu starten, ist es wohl charmanter, die Abfrage-Schleife in wsession.php / z67ff zu verlegen:

[== PHP ==]
$adminpage = strpos( $_SERVER['REQUEST_URI'], "/admin/" ); // besser: die schlauere Konstante von grindbatzn verwenden und den ganzen URL testen
if( $adminpage !== false ){
            // Session parameter
            session_name(APP_NAME . '-sid');
            session_set_cookie_params(0);
            session_start();
}

(diese Lösung greift zu kurz)

Klappt zumindest für Standard-Sachen/-Installationen, alles andere: selber probieren. Und es ist weiterhin keine schöne Lösung.

Last edited by jean (13.05.2018 15:36:48)

Offline

#44 13.05.2018 15:34:49

jean
Member

Re: WBCE Session-Cookie

ich habe (etwas spät - sorry) gemerkt, daß zum Seiten-Editieren auch ckeditor die Session benötigt - das Modul wurde aber mit der "admin"-Abfrage nicht abgedeckt.

Funktionierender - und besser erweiterbar - ist zum Beispiel so eine regex-Prüfung auf verschiedene Pfade

[== PHP ==]
// Start a session
$strCookiepagepattern = "@(editor\/|\/admin\/)@";
$nrCookiepage = preg_match( $strCookiepagepattern, $_SERVER['REQUEST_URI'] );

if(  $nrCookiepage == 1 && !defined('SESSION_STARTED')  ) {
...

Und weiterhin: Es ist keine schöne Lösung. Und es wird auch nicht schöner.

Last edited by jean (13.05.2018 15:56:39)

Offline

#45 13.05.2018 16:17:28

colinax
Developer

Re: WBCE Session-Cookie

jean wrote:

ich habe (etwas spät - sorry) gemerkt, daß zum Seiten-Editieren auch ckeditor die Session benötigt

Na, what else? Ohne Session gäbe es im CKE keine Links, keine Droplets, keine media Verwaltung, kein Rechte-Management, ...

jean wrote:

das Modul wurde aber mit der "admin"-Abfrage nicht abgedeckt.

Der CKE fragt schon nach ob dieser mit einem angemeldeten User im BE arbeitet, nur halt nicht per admin Abfrage, da sonst nur der Superuser (ID: 1) den CKE verwenden könnte.

Der Editor ist das wichtigste und komplizierteste Element in einem CMS, von da der ist es nicht möglich den CKE unter einem bestimmten Hut zu bringen, bzw. zu beschneiden.


Des Weiteren ist der CKE nur im BE vorhanden, von dem her betrifft das nicht die DSGVO.

Die DSGVO betrifft nur Seitenbesucher aber nicht die angemeldeten CMS User.

Offline

#46 13.05.2018 16:47:34

jean
Member

Re: WBCE Session-Cookie

@colinax
mir ist klar, das der Editor und Admin-Funktionen und das Backend die Session haben muss. Habe ich doch gar nichts dagegen. Nur hat meine vereinfachte Abfrage (beim Versuch, die Session auf das Backend zu begrenzen) das Modul irrtümlicherweise nicht berücksichtigt ...

Und meine "admin"-Abfrage checkt nur den Pfad, hat also nichts mit den User-Rechten zu tun.

> Die DSGVO betrifft nur Seitenbesucher aber nicht die angemeldeten CMS User.

jupps, auch das ist mir klar. Daher ja gerade der Versuch, die Session auf das Backend zu beschränken und im Frontend nicht zu starten. Ich glaube, du hast die Intention falsch verstanden.

Offline

Liked by:

colinax

#47 22.05.2018 12:46:11

cyberdyne
Member

Re: WBCE Session-Cookie

Hallo,
lange Rede, kurzer Sinn (oder auch nicht).

Ich kann leider nirgends eine Beschreibung dessen finden, was dieses Sitzungs-Cookie eigentlich speichert, um etwa mich als Admin wieder zu erkennen, wenn ich mich im Backend durch den Seitenbaum wühle. Wie erkennt WBCE/ WB/ Lepton, dass ich dieselbe Person (der selbe Rechner) bin? Entscheidend ist hierbei die Frage, geschieht dies in irgendeiner Form über die Speicherung der IP-Adresse.

Sorry, ich erkenne den Sinn jener Cookie und mir isses auch wurscht, aber leider meinen Kunden nicht. Die wollen wegen der grassierenden DSGVO-Panik genau wissen, was in der Sitzungs-Cookie drinne steht.

Gibt es hierzu eine verlässliche Auskunft über den Inhalt der Cookie?

Viele Grüße,
Klaus


Macht's gut und danke für den Fisch!

Offline

#48 22.05.2018 12:56:15

florian
Administrator

Re: WBCE Session-Cookie

Im Sitzungscookie steht nichts weiter als eine zufällige Zeichenkette. (Siehe Screenshot am Beispiel von wbce.org)
Die IP steht also nicht im Cookie.
Die Identifizierung im Backend, also wenn man sich angemeldet hat, erfolgt aber schon anhand der IP-Adresse, die dann in der Datenbank gespeichert wird. Darauf müsste man dann wohl in der DSE hinweisen.

Offline

#49 22.05.2018 14:26:23

tomno399
Member

Re: WBCE Session-Cookie

Die IP des Session-Cookies steht anonymisiert in der Datenbank. Siehe mein Beispiel aus der lokalen Installation auf Xampp, denn sonst müsste 127.0.0.1 (localhost) zu lesen sein:

WBCE|a:1:{s:13:"discard_after";i:1526847895;}session_started|i:1526839355;a764c093aa2542aa|a:1:{i:0;s:1:"0";}ad59b97562a6e0f1|a:8:{i:0;s:1:"0";s:24:"thWNzhAFUAHeMp04sMuA9w--";a:3:{s:5:"value";s:1:"1";s:4:"time";i:1526840666;s:4:"page";s:33:"10865047055b01bd5a3a1ab3.80953075";}s:24:"sX98Ip9VFhTcnuTzMi6waw--";a:3:

Last edited by tomno399 (22.05.2018 14:27:10)

Offline

#50 23.05.2018 08:35:53

berny
Member

Re: WBCE Session-Cookie

colinax wrote:
jean wrote:

ich habe (etwas spät - sorry) gemerkt, daß zum Seiten-Editieren auch ckeditor die Session benötigt

Na, what else? Ohne Session gäbe es im CKE keine Links, keine Droplets, keine media Verwaltung, kein Rechte-Management, ...

jean wrote:

das Modul wurde aber mit der "admin"-Abfrage nicht abgedeckt.

Der CKE fragt schon nach ob dieser mit einem angemeldeten User im BE arbeitet, nur halt nicht per admin Abfrage, da sonst nur der Superuser (ID: 1) den CKE verwenden könnte.

Der Editor ist das wichtigste und komplizierteste Element in einem CMS, von da der ist es nicht möglich den CKE unter einem bestimmten Hut zu bringen, bzw. zu beschneiden.


Des Weiteren ist der CKE nur im BE vorhanden, von dem her betrifft das nicht die DSGVO.

Die DSGVO betrifft nur Seitenbesucher aber nicht die angemeldeten CMS User.

ähm, sorry
aber die Dsgvo betrifft alle, auch angemeldete Besucher.
Der Unterschied liegt lediglich darin, dass der angemeldete User im Fall des nicht Einverständnis sich einfach nicht anmelden kann, der normale Besucher durch das Coockie Zwangsbeglückt wird.

Aber keine Panik, der User muss es einfach nur wissen

Offline

Board footer

Powered by FluxBB

up