Cookies und die Aussperrung von Nutzern

[XNOR]

Tag zusammen.

Mich würde mal folgendes interessieren: Wieso sind einige Webseiten so sehr darauf aus Cookies zu setzen? Das geht ja bei vielen so weit, dass man die Seite gar nicht nutzen darf, wenn man keine Cookies erlaubt und diese dann extra dafür aktivieren soll/muss.

Was also können Webseitenbetreiber noch machen außer jemanden durch Cookies zu tracken, dass sie diesen eine so große Wichtigkeit zuordnen? Und wieso genau erhöht es die Sicherheit des Nutzers, wenn er Cookies (auch die von Drittanbietern) generell blockt?

 

[The_Emperor]

Cookies können genau so getarnte Spybots sein. Deshalb sind sie auch bei mir generell für alle Seiten deaktiviert. Manche Seiten (zB. GameCopyWorld) verwenden Cookies um sich vor Deep-Links zu schützen.

 

[Kenobi van Gin]

Naja, zunächst mal kann man sich ja anhand der Sammlung an Cookies, die du so auf dem Rechner hast, ein ziemlich genaues Bild von dir, deinem Surfverhalten und deinen Vorlieben etc. machen. Schon alleine deshalb macht es denke ich Sinn, Cookies nicht unbedingt zuzulassen bzw. regelmäßig zu löschen.

Websites können so natürlich ziemlich genau rekonstruieren wie oft du ihre Angebote so besuchst und was genau du da treibst. Auch das ermöglicht es denen, sich eine Art Profil von dir zusammen zu setzen. Für Onlineshops, Google und Konsorten ist das natürlich ziemlich interessant von wegen personalisierte Werbung und so.

 

[Liaf]

Fragt doch mal die ngb-Admins warum sie Cookies setzen

Außerdem werden sie oft auch zur Anmeldung verwendet. Der Server muss ja wissen ob der GET-Request von einem eingeloggten User erfolgt oder nicht.
Gibt zwar alternativen dafür, aber soweit ich das bisher sehe ist die mit Cookies die verbreitetere.
Daher muss man dort dann auch Cookies erlauben, denn ansonsten funktioniert der Login-Vorgang nicht.

 

[Abul]

Ich denke er meint eher Seiten die zur einfachen nutzung (ohne Login etc.) schon Cookies setzen "müssen" weil ansonsten dauer reload o.Ä. kommt.

 

[bevoller]

Eine Begründung für einen pauschalen Cookie-Zwang gibt es ganz einfach nicht. Wenn man nicht wiedererkannt werden muss oder keine Einstellungen gespeichert werden sollen, braucht man keine Cookies. Und selbst dann sind Cookies keine zwingende Voraussetzung. Einem Betreiber, der partout auf das Setzen von Cookies besteht, würde ich durchaus unlautere Motive unterstellen. Manchmal auch Unfähigkeit.
Wobei man feststellen muss, dass eine entsprechende EU-Richtlinie nach wie vor häufig nicht korrekt umgesetzt wird.
http://vdsetal.wordpress.com/2011/06/23/leben-ohne-cookies/

Und wieso genau erhöht es die Sicherheit des Nutzers, wenn er Cookies (auch die von Drittanbietern) generell blockt?

Sicherer wird dadurch nichts. Aber man bewegt sich etwas unbeobachteter durchs Netz. Siehe Facebook. Ist man eingeloggt, ist ein Cookie gesetzt. Und so erfährt das Gesichtsbuch von jeder Website mit Like-Button, die man besucht hat. Während man sich bei FB herumtreibt, sollte man also nicht woanders surfen. Und danach den/die Cookies löschen.

Manche Seiten (zB. GameCopyWorld) verwenden Cookies um sich vor Deep-Links zu schützen.

Dafür gibt es den Referer. Den kann man auswerten und dann z.B. auch gegen Traffic-Klau nutzen
http://www.drfreund.net/aktuell_017.htm
Nachteil ist, dass der Browser dann auch den Referer senden muss. Aus Gründen der "Anonymität" soll man das ja deaktivieren.

PS: Die Übersetzung "asozialer Schnorrer" zu "antisocial cocksucker" ist dann doch recht interessant.

 

[Liaf]

Einem Betreiber, der partout auf das Setzen von Cookies besteht, würde ich durchaus unlautere Motive unterstellen. Manchmal auch Unfähigkeit.
Wobei man feststellen muss, dass eine entsprechende EU-Richtlinie nach wie vor häufig nicht korrekt umgesetzt wird.

Du unterstellst diesem Board hier unlautere Motive oder Unfähigkeit?
Denn beim ngb brauche ich z.B. einen Cookie um angemeldet zu bleiben.

 

[Mr_J]

Allein für sowas wie Session IDs.braucht man oftmals Cookies, bei Shops für den Warenkorb usw.

MfG
Mr. J

 

[Kugelfisch]

Cookies können genau so getarnte Spybots sein. Deshalb sind sie auch bei mir generell für alle Seiten deaktiviert.

Was genau meinst du in diesem Kontext mit `Spybots`? Um Schadsoftware kann es sich nicht handeln, da selbst wenn Schadcode in einem Cookie enthalten wäre, dieser ohne eine Remote-Code-Execution-Schwachstelle im Browser nicht ausgeführt werden kann. Im Falle einer solchen Schwachstelle wären allerdings in aller Regel keine Cookies zur Ausnutzung erforderlich. Viel kritischer in diesem Kontext sind Browser-Plugins (z.B. Flash, Java, Media-Player, MS Office-Viewer, ...) und auch JavaScript, da letzteres oftmals zur Ausnutzung auch nicht-JS-bezogener Schwachstellen benutzt wird (um bestimmte Speicherbereiche in einen definierten Zustand zu bringen, um Shellcode in den Heap zu sprayen, u.ä.). Cookies sind in Hinblick auf Browser-Schwachstellen relativ harmlos.

Gibt zwar alternativen dafür, aber soweit ich das bisher sehe ist die mit Cookies die verbreitetere.
Daher muss man dort dann auch Cookies erlauben, denn ansonsten funktioniert der Login-Vorgang nicht.

Korrekt. Die möglichen Alternativen, um Benutzer bei Bedarf (z.B. nach einem Login) wiederzuerkennen, sind üble Hacks, welche ebenfalls darauf basieren, dass eine bestimmte Information bei jedem HTTP-Request übertragen wird. So könnte man z.B. eine Session-ID in jeden URL kodieren, etwa im Query-String. Das führt allerdings dazu, dass beim Folgen von Links der vorherige URI inklusive der Session-ID geleakt wird, wodurch die Session u.U. übernommen werden kann. Alternativ könnte man die ID für jeden Request in einem POST-Body übertragen, allerdings müsste man dann komplett auf `normale` Links verzichten, da sich über diese ohne zusätzliches JS keine POST-Requests erzeugen lassen. Auch die Alternativen, anstelle von Cookies den Browser-Cache, DOM Local Storage oder Flash und LSOs zu nutzen, sind einerseits unschön, andererseits gewinnt der Benutzer dadurch nichts. Für Cookies existieren in vielen Szenarien schlicht keine sinnvollen Fallbacks.


Ein guter Mittelweg, wenn man die längerfristige Wiedererkennung durch Cookies vermeiden möchte, aber dennoch kurzfristige Sessions (z.B. das Login im ngb) nutzen möchte, ist meines Erachtens, nur Session-Cookies anzunehmen. `Session-Cookies` haben kein explizites Ablaufdatum gesetzt und laufen daher ab, wenn das letzte Tab der Seite oder der Browser geschlossen wird. Auch lässt sich in einigen Browsern (ggf. über Erweiterungen) festlegen, dass sämtliche Cookies beim Beenden gelöscht werden sollen. Drittanbieter-Cookies kann man in der Regel ohne Funktionsverlust komplett verweigern, diese werden primär von Werbetreibenden genutzt, welche darüber Benutzer tracken wollen.

 

[bevoller]

Du unterstellst diesem Board hier unlautere Motive oder Unfähigkeit?

Wer mit Hirn und Verstand liest, begreift schon allein aus dem Kontext heraus, was gemeint ist.
Deine Frage ist mir daher einfach zu dämlich, um näher darauf einzugehen.

Allein für sowas wie Session IDs.braucht man oftmals Cookies, bei Shops für den Warenkorb usw.

Oftmals aber eben nicht immer. Ich habe jetzt leider auf Anhieb kein konkretes Beispiel parat. Aber wenn man so im Netz surft, findet man durchaus manchmal Websites, die Cookies einfach so voraussetzen, selbst wenn man sich nicht anmelden will (dann wäre auch nur ein entsprechender Hinweis notwendig).
Und manchmal gibt es noch nicht mal eine keine Login-Möglichkeit oder einen (offensichtlichen) Grund, irgend etwas zu Speichern. Ich kann aber ein Beispiel nachreichen, wenn ich wieder mal darauf stoße.

Genau so nervig finde ich im Übrigen auch die momentane Unsitte, auf deaktivertes Javascript hinzuweisen, indem man die Seite mittels Layer gleich ganz unbrauchbar macht. bspw. http://www.wieistmeineip.de/
Javascript wird nämlich nicht benötigt, wenn man nur die IP samt Systeminformationen auslesen will. Zumindest letztere werden nämlich verdeckt.

 

[Kugelfisch]

Oftmals aber eben nicht immer. Ich habe jetzt leider auf Anhieb kein konkretes Beispiel parat. Aber wenn man so im Netz surft, findet man durchaus manchmal Websites, die Cookies einfach so voraussetzen, selbst wenn man sich nicht anmelden will (dann wäre auch nur ein entsprechender Hinweis notwendig).

Ich kenne zwar diverse Websites, welche ohne offensichtlichen Grund Cookies setzen, diese sind dann jedoch in aller Regel keine Voraussetzung zur Nutzung der Site. Websites, welche ohne Grund Cookies aktiv erzwingen, sind glücklicherweise eine seltene Ausnahme.

Genau so nervig finde ich im Übrigen auch die momentane Unsitte, auf deaktivertes Javascript hinzuweisen, indem man die Seite mittels Layer gleich ganz unbrauchbar macht. bspw. http://www.wieistmeineip.de/
Javascript wird nämlich nicht benötigt, wenn man nur die IP samt Systeminformationen auslesen will. Zumindest letztere werden nämlich verdeckt.

Natürlich lassen sich per JavaScript zusätzliche Informationen auslesen, wie z.B. die Bildschirmauflösung oder die Grösse des Browser-Fensters. Diese zeigt wieistmeineip.de allerdings ohnehin nicht an, und selbst wenn sie angezeigt würden, spräche wenig dagegen, zumindest die verfügbaren Informationen auch bei deaktivierter JS-Unterstützung anzuzeigen. Solche Hinweise stammen in der Regel von Webmastern, welche entweder keine Fallbacks umsetzen können, oder die Nutzer zum Aktivieren von JavaScript nötigen wollen, damit eventuelle Werbung angezeigt wird.

 

[Liaf]

@bevoller:
Ach ja, ich vergaß. Bei fehlenden Argumenten spielst Du ja die "Du bist doof"-Karte.

Der Kontext war hier btw: Cookies ganz böse. Auf den Scheiterhaufen mit ihnen.
Da war keine Differenzierung erkennbar.

 

[bevoller]

@bevoller:
Ach ja, ich vergaß. Bei fehlenden Argumenten spielst Du ja die "Du bist doof"-Karte.

Merkwürdig, dass alle außer dir es offensichtlich richtig verstanden haben.

Eigentlich liegt die Begründung eher in deinen übrigen Beiträgen und nicht zuletzt in deiner PN an mich, in der ein Begriff mit "*" zensiert wurde. (Mit der du dich ohnehin schon lächerlich gemacht hast, nebenbei bemerkt. )
Andererseits hat es natürlich etwas für sich. Wer geistig nicht dazu in der Lage ist, einer Diskussion zu folgen und meint, trotzdem dauernd seinen Senf dazugeben zu müssen - also so ganz verfehlt ist das "doof" dann vielleicht nicht. Bei offensichtlicher Trollerei streichen wir hier das "vielleicht".
Extra für dich: Trolle sind doof.

 

[Liaf]

OK, ich kann vieles ab, aber Verleumdungen lasse ich sicher nicht stehen.
Zeig mir die PN, die ich Dir geschickt haben soll.
Es gibt genau vier Personen mit denen ich geschrieben habe und Du gehörst nicht dazu.

Ich schreibe in Themen mit, in denen mir zu einseitig geschrieben wird.
Siehe hier das Thema wo über Cookies absolut negativ gesprochen wird. Die einzigen vernünftigen Beiträge sind von Kugelfisch.

 

[Mr_J]

[...]Die einzigen vernünftigen Beiträge sind von Kugelfisch.

Aha, wunderschön pauschalisiert...
Zurück zum Thema: Cookies haben ihre Berechtigung, werden darüber hinaus aber vor allem für Informationssammlung benutzt, aber mittlerweile sind Webseitenbetreiber dazu verpflichtet den Hinweis einzublenden, dass Cookies verwendet werden und die Zustimmung dazu vom Besucher einzuholen. Dazu kann man auch mal bei Google nach "eu cookie richtlinie" schauen.

MfG
Mr. J

 

[bevoller]

OK, ich kann vieles ab, aber Verleumdungen lasse ich sicher nicht stehen.
Zeig mir die PN, die ich Dir geschickt haben soll.
Es gibt genau vier Personen mit denen ich geschrieben habe und Du gehörst nicht dazu.

Hast Recht - hab dich mit jemandem verwechselt. Der Rest gilt nach wie vor.

Die einzigen vernünftigen Beiträge sind von Kugelfisch.

Klassisches Eigentor...

...mittlerweile sind Webseitenbetreiber dazu verpflichtet den Hinweis einzublenden, dass Cookies verwendet werden und die Zustimmung dazu vom Besucher einzuholen. Dazu kann man auch mal bei Google nach "eu cookie richtlinie" schauen.

Siehe Beitrag 6.

 

[The_Emperor]

PN ist eigentlich ein gutes Stichwort, regelt eure Problemchen darüber.

 

[BurnerR]

Korrekt. Die möglichen Alternativen, um Benutzer bei Bedarf (z.B. nach einem Login) wiederzuerkennen, sind üble Hacks, welche ebenfalls darauf basieren, dass eine bestimmte Information bei jedem HTTP-Request übertragen wird. So könnte man z.B. eine Session-ID in jeden URL kodieren, etwa im Query-String. Das führt allerdings dazu, dass beim Folgen von Links der vorherige URI inklusive der Session-ID geleakt wird, wodurch die Session u.U. übernommen werden kann.

Ich erinnere mich noch gut daran, dass das früher bei diversen Foren so gelöst wurde, wenn Cookies deaktiviert waren beim Benutzer. Auch beim g:b war das früher so afair.
Das hatte dann regelmäßig zur Folge das User Threads inklusive der codierten Session ID verlinkt haben, inklusive angehänger Diskussion .

 

[p3Eq]

Die Forensoftware phpbb2 (und ich glaube, auch phpbb3) hatten ebenfalls einen solchen Fallback eingebaut. Habe ich schon damals unsinnig/gefährlich gefunden, weil so schlicht und einfach die Session übernommen werden kann, falls da nicht noch ein paar andere Maßnahmen wie IP-Vergleich oder sowas mitgewirkt haben.