WBCE Home | WBCE Hilfe | WBCE Addon Repository | Impressum | Datenschutz

WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

#1 08.01.2018 17:04:53

viktor321j
Member

WBCE Session-Cookie

Vor längerer Zeit gab es einmal einen Beitrag irgendwo in diesem Forum, dessen Inhalt ich so in Erinnerung habe: WBCE setze nur ein Cookie. Was dieses genau mache, wisse man aber nicht (mehr).

Ich benötige kein Cookie. Habe ich eine Möglichkeit, das Setzen dieses einen Cookies zu unterbinden (wenn es denn wirklich nur das eine ist)?

Bzw.: Für den Fall, dass dieses Cookie möglicherweise auch technisch nicht notwendig ist: Wäre es nicht entwicklerseitig möglich, das Setzen des Cookies aus dem Code herauszunehmen?

Dann könnten wir guten Gewissens Websites ohne Cookie-Hinweis erstellen, den ich sowieso oft als mehr oder minder nervig empfinde, und könnten in diesem Punkt der EU-Datenschutzgrundverordnung (was für ein Wort!) schon einmal in diesem Punkt gelassen entgegen sehen.

Last edited by viktor321j (08.01.2018 17:05:43)

Offline

#2 08.01.2018 19:41:08

colinax
Developer

Re: WBCE Session-Cookie

Habe zur Zeit nur Internet am Handy,  daher halte ich mich kurz.

Soweit ich weiß wird das genannte WBCE Cookie nur in WBCE 1.2 und älter verwendet.

In WBCE 1.3 wurde ja das Session Management ersetzt und somit sollte auch das Cookie nicht mehr da sein.

Last edited by colinax (10.01.2018 08:41:35)

Offline

#3 09.01.2018 10:18:40

tomno399
Member

Re: WBCE Session-Cookie

@colinax

Hmm, ich habe Online und Lokal geschaut - beides WBCE 1.3. Anbei ein Bild des von WBCE lokal erzeugten Cookies.

Offline

#4 10.01.2018 08:43:56

colinax
Developer

Re: WBCE Session-Cookie

tomno399 wrote:

@colinax

Hmm, ich habe Online und Lokal geschaut - beides WBCE 1.3. Anbei ein Bild des von WBCE lokal erzeugten Cookies.

Das Cookie gehört zur SessionID, damit ist meine Aussage in #4 falsch.

Was es genau macht und für was man es benötigt weis ich aber nicht.

LG

Offline

#5 22.02.2018 12:17:32

webbird
Developer

Re: WBCE Session-Cookie

Interessanterweise las ich gerade letzte Tage einen Artikel darüber, wie aggressiv Datenschnüffler mittlerweile sind. Da sind Cookies eigentlich ein Witz.

Als Programmierer kann ich zum WBCE-Cookie folgendes sagen: Wenn sich nicht etwas gravierendes geändert hat, was ich nicht glaube, dient dieses Cookie lediglich dazu, die Benutzersession zuzuordnen. Das heißt im Cookie selbst sind keinerlei Daten enthalten. Allenfalls wäre es möglich, über das Namensschema zu erkennen, dass es sich um ein WBCE-Cookie handelt. Die Daten der Session sind auf dem Server gespeichert. Wenn man hier etwas absichern will, muss das auf Seiten der Sessionverwaltung passieren und ist ja auch schon passiert. Über die Lebensdauer des Cookies wurde an anderer Stelle schon mal diskutiert, ich weiß leider nicht den aktuellen Stand; normalerweise dürfte die Lebenszeit nicht länger sein als die der Session bzw. bis zum Ende der Browser-Sitzung.

Kleiner Exkurs: Da HTTP ein statusloses Protokoll ist, muss eine Authentifizierung, wie sie z.B. bei Verwendung des Backends bei jedem Aufruf notwendig ist, mit jedem Zugriff erneut erfolgen. Da man einen Benutzer ja schlecht bei jedem Zugriff erneut nach seinen Benutzerdaten fragen kann, muss man ihn anhand irgendwelcher Informationen wiedererkennen können. Standardweg ist dabei das Setzen eines Session-Cookies. Auf der Serverseite sind dann diverse Mechanismen zu implementieren, um sowas wie Session Hijacking zu unterbinden. Das heißt, es muss einem Angreifer erschwert werden, durch einfaches Übernehmen des Cookies - z.B. per Man-in-the-middle-Attacke - Zugang zu schutzbedürftigen Daten zu erhalten. Schützenswert und vom Gesetz her im Hauptfokus sind natürlich in erster Linie personenbezogene Daten, aber ganz banal gesehen will man ja auch schon nicht, dass irgendein Hacker Zugang zum CMS-Backend bekommt und die Seite mit Werbung vollmüllt. Im Session-Cookie ist in der Regel nichts weiter gespeichert als die Session-ID, der Server erhält beim Zugriff durch den Browser zusätzlich weitere Informationen, wie die IP-Adresse des Besuchers, Informationen über den Browser, das Betriebssystem usw. Diese Informationen können zur Absicherung der Session mit einbezogen werden, sind aber ebenso manipulierbar und damit unsicher wie der Cookie selbst.

Im Verhältnis gesehen ist der Cookie, den das CMS setzt, also eigentlich die uninteressanteste Information.


Some people just need a high-five. In the face. With a chair.

Offline

#6 06.04.2018 14:40:10

sonya
Member

Re: WBCE Session-Cookie

Hallo Florian,

herzlichen Dank für die Erstellung dieses Fadens und für diese Beiträge.

Nun wurde hier schon viel geschrieben, über dieses (eine?) Cookie welches das wbce beim jeweiligen Besucher erzeugt. Jedoch gibt es keine Antwort, wozu und warum dieses (eine?) Cookie überhaupt von wbce erzeugt wird.

Meine erster Gedanke war auch, es dient zum Login des Admin bzw. der Redakteure.

Wenn dem so ist – und ausschließlich so ist:

florian wrote:

Zum Thema Cookies:

Die Verordnung stellt klar, dass Cookies, die keine Auswirkungen auf die Privatsphäre haben, ohne Einwilligung oder Information des Nutzers gesetzt werden dürfen. Das betrifft beispielsweise solche, die eine Website ausschliesslich dafür nutzt, ihre Besucheranzahl zu erfassen.

Quelle:
http://www.lto.de/recht/hintergruende/h … htlinie/2/

Das bedeutet meines Erachtens, dass der Sessioncookie für Besucher unbedenklich ist - und wenn das der einzige Cookie ist, der gesetzt wird, also nicht noch Drittanbietercookies (Facebook, Google, Piwik(heißt jetzt anders), Affiliate, Werbenetzwerke o.ä.) gesetzt werden, ist auch der Cookiehinweis zukünftig verzichtbar.

Nach diesen, Deinen Zeilen sollte der Umgang und die Erwähnung bzw. die Nichterwähnung  in den Datenschutzhinweisen kein Thema mehr sein und auch kein  Problem mehr darstellen.

Was mich stutzig macht, ist das Fehlen einer konkreten Stellungnahme der Entwickler von wbce  Hierzu und zu eben diesem (einem?) Cookie und dessen genaue Funktion.

LG
Sonya

Offline

#7 06.04.2018 15:39:11

webbird
Developer

Re: WBCE Session-Cookie

Es ist ein Session-Cookie. https://de.wikipedia.org/wiki/Sitzungsbezeichner

Was möchtest Du konkreter haben?


Some people just need a high-five. In the face. With a chair.

Offline

Liked by:

pfreud01

#8 12.04.2018 11:51:39

jean
Member

Re: WBCE Session-Cookie

> Es ist ein Session-Cookie

ich denke, Sonja wollte wissen, _warum_ ein Session-Cookie bei normalen Besuchern gesetzt wird

Offline

#9 13.04.2018 15:55:26

sonya
Member

Re: WBCE Session-Cookie

jean wrote:

> Es ist ein Session-Cookie

ich denke, Sonja wollte wissen, _warum_ ein Session-Cookie bei normalen Besuchern gesetzt wird


Genau so war es gemeint. Danke.

Habe das Problem wohl nicht genau formuliert.
Das Cookie wird doch eigentlich nur zum Login benötigt. Die „normalen“ Nutzer benötigen das nicht, s.o.

VG
Sonya

Offline

#10 13.04.2018 20:28:57

colinax
Developer

Re: WBCE Session-Cookie

sonya wrote:

Das Cookie wird doch eigentlich nur zum Login benötigt. Die „normalen“ Nutzer benötigen das nicht, s.o.

Ich würde es mal so Formulieren: Das Session-Cookie wird nicht für den direkten Login benötigt sondern, dafür dass man eingelogt bleibt, auch über mehrere Tabs hinweg.*

Warum wird das Session-Cookie auch den Besuchern zugewiesen, WBCE lässt sich ja nicht nur über das Backend anpassen, sondern auch übers Frontend (z.B. RFG). Des Weiteren dient das Session-Cookie auch dem Datenschutz, denn durch das Session-Cookie wirsd einteutig nur DU als Admin erkannt und nicht per Zufall nach einem Reload der Seite z.B. ein Mitbewohner von dir.*

* Angaben ohne Gewähr, die og. Darstellung entpricht meinem Wissens- und Verständnisstand.

Offline

#11 19.04.2018 09:00:48

sonya
Member

Re: WBCE Session-Cookie

Hallo colinax,

vielen Dank für den Beitrag und die klare Darlegung.
Auch diese Frage ist nun geklärt.

VG
Sonya

Offline

Liked by:

colinax

#12 19.04.2018 12:22:20

colinax
Developer

Re: WBCE Session-Cookie

Hallo Sonya.

Gerne, ich habe mich jetzt mal genauer umgehört und die aktuelle Empfehlung als "kleiner Privater" ist: Abwarten und Kaffee/Tee trinken.

Der Grund dafür ist relativ einfach, die Neugregelung beruht auf zwei Bereiche einmal die DSGVO (GDPR) und noch die ePrivacy VO, geplant war beide VO's gleichzeitig als rechtskräftig werden zulassen.

Dadurch sind die beiden VO's von einander abhängig (steht in den VO's drinnen), die Brüsselaner haben es aber nicht geschafft die ePrivacy rechtzeitig fertig zu bekommen. Daher kommt die DSGVO dieses Jahr und die ePrivacy (vlt.) nächstes Jahr.

Dass erklärt auch die aktuelle Situation um die Diskussionen, Datenschutzskandale (Facebook, dt. Telekom, aut. Telekom) usw. diese Firmen gehen davon aus dass sie obwohl das einheitliche DSGVO EU Gesetz kaputt ist und jedes Land seine eigene Version davon hat, nach diesen Kriterien geprüft werden.

In der aktuellen Auslegung der VO's spricht man davon dass alle Webseiten betroffen sind, die europäische Personen (theoretisch) besuchen können = alle Webseiten. Dass heißt, auch Wordpress, Google usw. müssen sich weltweit der VO's unterwerfen - da sich europäische Personen auch außerhalb der EU aufhalten können.

Dass kann dauern, wenn einige Firmen nicht gegen dass Gesetz klagen.

Edit: Quellen:
https://www.wko.at/branchen/information … dnung.html
https://ec.europa.eu/digital-single-mar … unications

Last edited by colinax (19.04.2018 12:23:45)

Offline

#13 22.04.2018 00:11:07

jean
Member

Re: WBCE Session-Cookie

@florian - das baylda hat sowas auch für schmales Geld als schmales "Erste Hilfe"-Heftchen veröffentlich, wenn auch nicht mit Web als Hauptaugenmerk.

(@colinax - deine Beschreibung führt ja gerade aus, warum es ein Cookie in Verbindung mit einer Login-Session gibt. Für nomale Besucher ohne Login (egal ob via/für Backend- oder Frontend-Editing) ist eine Session-Verfolgung via Cookie natürlich weiterhin nicht notwendig. Nicht falsch verstehen - ich kann mit dem Cookie leben).

Offline

#14 22.04.2018 09:11:04

colinax
Developer

Re: WBCE Session-Cookie

jean wrote:

@florian - das baylda hat sowas auch für schmales Geld als schmales "Erste Hilfe"-Heftchen veröffentlich, wenn auch nicht mit Web als Hauptaugenmerk.

Wenn man Florian's Link folgt kann man diese Heftchen über den Link für "kleine Unternehmen" downloaden.

jean wrote:

@colinax - deine Beschreibung führt ja gerade aus, warum es ein Cookie in Verbindung mit einer Login-Session gibt. Für nomale Besucher ohne Login (egal ob via/für Backend- oder Frontend-Editing) ist eine Session-Verfolgung via Cookie natürlich weiterhin nicht notwendig. Nicht falsch verstehen - ich kann mit dem Cookie leben.

Das war ja die Frage von Sonya.
Mir ist auch bewusst das für nomale Besucher je nach Entscheidung des Webverantwortlichen, das Session-Cookie benötigt wird oder nicht.
Sobald eine Kommentarfunktion oder Eingabefelder von einem Modul vorhanden sind, wird das Cookie benötigt.

WBCE setzt aus Platzhalter ein Session-Cookie egal ob es benötigt wird oder nicht.
Wenn es nicht benötigt wird ist das nur eine leere Datei die nicht mal von den Cookie Checkern (wie z.B. diesem hier) erkannt wird, wenn auf der Seite das News Modul installiert ist, steht bereits etwas drinnen und das Cookie wird erkannt.

Offline

#15 25.04.2018 20:24:57

sonya
Member

Re: WBCE Session-Cookie

jean wrote:

>  … … …

> Das war ja die Frage von Sonya.

jupps. Ich fand die nur noch nicht vollumfänglich beantwortet, daher der Nachtrag wink "WBCE setzt aus Platzhalter ein Session-Cookie egal ob es benötigt wird oder nicht" klärt das nun aber - danke.  (wobei es bei mir unter v. 1.1.11 allerdings nie leer ist ... ich habe mich aber noch nie mit dem Session-Management von WBCE beschäftigt, mal sehen).

Hallo Jean,

vielen Dank für die Weiterführung.

Das möchte ich hier auch noch einmal aufgreifen.
Viele Seiten blenden eine „Cookiewarnung“ mit einem Bestätigungsbutton ein. Sehr nervend, denn ich konnte bisher nicht auf einen „akzeptiere ich nicht“ Button  klicken – auch mit der Konsequenz, den Seiteninhalt nicht sehen zu können  cool

Nun zu meinem Anliegen:
Solch eine Einblendung kann ja nun wegfallen, wenn die Datenschutzerklärung auf der Seite verlinkt ist? Ist das richtig?
Nach einem Aufruf einer Seite liegt der Link ja nicht gerade im ersten Blickfeld des Besuchers und brennt sich auch nicht sofort in die Netzhaut ein.
Ist es nicht besser die „alte“ allseits bekannte Cookiewarnung einzublenden? Nun jedoch mit einen „Nein“ bzw. „Nein akzeptiere ich nicht“  Button zu versehen? Besser noch, legt das die DSGVO nicht gar als gegeben hin und ein solcher Butten, inkl. der Einblendung der Cookiewarnung sollte Pflicht sein?


LG
Sonja

Offline

#16 25.04.2018 21:06:29

ice
Member

Re: WBCE Session-Cookie

Der Witz ist ja, wenn man sich die Datenschutzerklärung bzgl. von Cookies im Generator von WBS durchliest (https://www.wbs-law.de/it-recht/datensc … generator/), so soll der Nutzer selbst tätig werden und seinen Browser so einstellen, dass er keine Cookies mehr annimmt. Bei dieser Erklärung muss man seine eigenen Seiten gar nicht anpassen, dass gar kein Cookie gesetzt wird, der Nutzer selbst soll ja dazu tätig werden ...

Offline

#17 26.04.2018 00:01:25

florian
Projektmanagement und Support WBCE CMS

Re: WBCE Session-Cookie

Ich muss ehrlich gestehen, dass ich die letzten Posts hier von Euch (sonya und ice) nicht verstehe.

Besser noch, legt das die DSGVO nicht gar als gegeben hin und ein solcher Butten, inkl. der Einblendung der Cookiewarnung sollte Pflicht sein?

Wen legt die DSGVO  wo hin?

Bei dieser Erklärung muss man seine eigenen Seiten gar nicht anpassen, dass gar kein Cookie gesetzt wird, der Nutzer selbst soll ja dazu tätig werden ...

Welche "diese Erklärung" jetzt?

Offline

#18 26.04.2018 07:34:12

florian
Projektmanagement und Support WBCE CMS

Re: WBCE Session-Cookie

Auf dieser Seite (siehe anderer Thread, Danke an byteworker für den Link) steht

Wer auf seiner Webseite Cookies verwendet, muss unbedingt darauf hinweisen. Cookies werden nicht nur zu Marketingzwecken von großen Onlineshops verwendet, sondern z.B. auch standardmäßig von Content Management Systemen wie WordPress oder TYPO3 eingesetzt, mit denen Webseiten erstellt werden können. Es empfiehlt sich daher generell, einen Cookie-Banner einzubinden. Dieser muss beim ersten Aufruf der Webseite deutlich zu sehen sein und darf nicht die Links zu Impressum und Datenschutzerklärung verdecken.

Hervorhebung von mir. damit ist dann wohl klar, dass JEDE WBCE-Seite so einen Cookie-Hinweis braucht. Immer und ausnahmslos.

Offline

#19 26.04.2018 07:37:49

screamindan
Member

Re: WBCE Session-Cookie

Und SSL Verschlüsselung ist laut "dieser Seite" auch Pflicht, wenn man ein Kontaktformular benutzt...

Online

#20 28.04.2018 21:13:12

berny
Member

Re: WBCE Session-Cookie

war doch letztens ein Dsgvo Spezialist auf Facebook aktiv, klickte man auf dessen Seite, wurde der Link zum Impressum vom Cookiehinweis überdeckt.
Abmahngefährdeter Abmahnabwehrspezialist....

Macht euch nicht deppert!
K.I.S.S
keep it stupid simple

Btw
Österreich geht da einen für mich sehr guten Weg.

Last edited by berny (28.04.2018 21:15:24)

Offline

Liked by:

colinax

#21 28.04.2018 22:04:45

grindmobil
Member

Re: WBCE Session-Cookie

Man muss nicht jeden worst Case annehmen, den man irgendwo aufgeschnappt hat.
Scheinbar wird hier viel Panikmache betrieben.

Das Cookie ist ein kleines Ärgernis, aber keinesfalls ein Problem. Bei Gelegenheit sollte sich einer der Core-Entwickler ansehen, ob das Cookie wirklich nötig ist.

Offline

#22 29.04.2018 05:39:40

florian
Projektmanagement und Support WBCE CMS

Re: WBCE Session-Cookie

Scheinbar wird hier viel Panikmache betrieben.

Ich empfehle, das nicht zu sehr auf die leichte Schulter zu nehmen. Ja, es gibt viel Rechtsunsicherheit, aber im Ggs. zu Österreich gibt es in Deutschland auch eine echte Abmahnindustrie und die Summen, um die es dann geht, sind hierzulande deutlich höher.

Edit:
Zumal die Bedenken hier alle nicht aus der Luft gegriffen sind.
Siehe z.B. https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/

Sichtbarkeit des Datenschutzhinweises

Sollte klar ersichtlich und leicht erreichbar sein. Ein Link im Footer sollte reichen, einen Link Above-the-Fold zu integrieren, kann sicher nicht schaden. Besonders vorsichtige Naturen bringen einen Link zur Datenschutzerklärung direkt im sowieso vorgeschriebenen Cookie-Hinweis unter.

Offline

#23 29.04.2018 12:20:37

grindmobil
Member

Re: WBCE Session-Cookie

Das ist die Meinung von datenschMutz.net. eine von vielen Seiten, wo irgendwas steht.

Gibt es auch offizielle Richtlinien?

Offline

#24 29.04.2018 12:40:47

bernd
Developer

Re: WBCE Session-Cookie

Gibt es auch offizielle Richtlinien?

Der war gut  big_smile

Klar gibt's die, nennt sich:
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ...

und ist im üblichen Beamten-Geschwurbel -Deutsch verfasst, was auch nicht wirklich zum Verständnis der Texte beiträgt.
Alles andere was man z.Zt. so im Netzt findet sind halt einerseits Auslegungen und Interpretationen andernseits der Versuch aus dem ganzen "Käs" Profit zu schlagen.  devil


2 x ROT13 hält besser ...

Online

#25 29.04.2018 13:13:40

florian
Projektmanagement und Support WBCE CMS

Re: WBCE Session-Cookie

https://dsgvo-gesetz.de/erwaegungsgruende/nr-30/

DSGVO wrote:

Erwägungsgrund 30 Online-Kennungen zur Profilerstellung und Identifizierung
1Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. 2Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

https://www.it-recht-kanzlei.de/cookies … schnitt_11
https://www.gruender.de/dsgvo-cookie-law/
https://www.e-recht24.de/artikel/datens … okies.html
https://shopbetreiber-blog.de/2017/06/0 … cookies-2/
https://hosting.1und1.de/digitalguide/w … utschland/

Alles nur Panikmache, ja ja.

Offline

Board footer

Powered by FluxBB

up