we Sitzung verschlüsseln - Cookie ?!

Fragen und Infos zur Installation & Update von webEdition.
chwons
Senior Member
Beiträge: 177
Registriert: Mi 19. Apr 2006, 11:59

we Sitzung verschlüsseln - Cookie ?!

Beitragvon chwons » Mo 28. Mai 2018, 14:19

Hallo, ich bin gerade über folgende Einstellung gestolpert:

"Sitzung für jeden Benutzer verschlüsseln
- nein
- transparent
- Cookie
"

Kann mir da jemand erklären, was es damit auf sich hat?! Würde das bedeuten, wenn ich NEIN wähle, dass webedition ohne cookies arbeiten würde?!

btw: muss ich eigentlich einen cookie Banner schalten, wenn nur das cms aber nicht die Webseite mit cookies arbeitet ????????? mein Anwalt meinte "ja sicherheitshalber" aber ich finde das unsinnig. ich weiß ihr dürft keine rechtsberatung geben, mich würde nur mal eure Meinung interessieren ;-)
Ich möchte mitkommen nach Alderan,
es hält mich nichts mehr hier.
Ich möchte mich mit der Macht vertraut
und ein Jedi wie mein Vater werden.

WBTMagnum
webEdition Partner
webEdition Partner
Beiträge: 1825
Registriert: Di 7. Mär 2006, 16:50
Wohnort: Wien
Kontaktdaten:

Re: we Sitzung verschlüsseln - Cookie ?!

Beitragvon WBTMagnum » Mo 28. Mai 2018, 16:20

chwons hat geschrieben: Mo 28. Mai 2018, 14:19btw: muss ich eigentlich einen cookie Banner schalten, wenn nur das cms aber nicht die Webseite mit cookies arbeitet ????????? mein Anwalt meinte "ja sicherheitshalber" aber ich finde das unsinnig. ich weiß ihr dürft keine rechtsberatung geben, mich würde nur mal eure Meinung interessieren ;-)
MbMn, nein. Für den betrieb notwendige Cookies sind ja explizit erlaubt.

LG,
Sascha

ThomasGoebe

Re: we Sitzung verschlüsseln - Cookie ?!

Beitragvon ThomasGoebe » Mo 28. Mai 2018, 17:14

Hallo chwons,

ich teile Saschas Meinung an der Stelle. Ausserdem meine ich, dass Deine Tastatur kaputt ist. Das Fragezeichen klemmt.

mokraemer
Senior Member
Beiträge: 3619
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: we Sitzung verschlüsseln - Cookie ?!

Beitragvon mokraemer » Di 29. Mai 2018, 15:34

Nein, die Einstellung betrifft die Privatsphäre.
WE braucht, wie jede PHP-Applikation Cookies um damit die Session wieder zu finden. Der Einsatz von URL-Parametern sollte grundsätzlich grundsätzlich für SessionIDs vermieden werden.
Sessions werden ja auf dem Server, bei php im Dateisystem gespeichert. Per default kann man alles lesen was da drin steht, sofern man Zugang zu dem Verzeichnis hat. Deshalb gewährt bspw. df keinen Zugang zum Tmp-Verzeichnis und einige Anwendungen beschweren sich, das sie Sessions nicht aufräumen können. D.h. ein Admin oder ein böser Mensch könnte, wenn er Zugriff auf den Ordner hat die Daten von der Session auslesen (hier könnten ja auch Kreditkartendaten etc. drin stehen).

Schaltet man das WE-Sessionmanagement ein, dann landen die Sessions in der DB. Ohne Verschlüsselung (keine) eben auch im Klartext, Transparent mit dem WE-Key (mit dessen Kenntnis man es auch entschlüsseln kann), oder Cookie, nur mit dem Cookie, das auf dem Clientrechner gespeichert ist, kann WE die Sessiondaten entschlüsseln.
Im Sinne der DSGVO ist hier nichts spezielles zu regeln, denn das ist ein technisches Cookie, das für den Betrieb und nicht zum Tracken verwendet wird (sofern ihr es nicht anderweitig noch nutzt).
muss ich eigentlich einen cookie Banner schalten, wenn nur das cms aber nicht die Webseite mit cookies arbeitet ?
Diese Banner sind eh umstritten/fragwürdig/nervig und waren noch nie Pflicht. Das CMS ist ja für den Seitenbesucher auch nicht relevant.

Die Cookies sollten im Zweifel unter den Datenschutzbestimmungen erwähnt werden und hier eben, das nur technische Cookies verwendet werden.
webEdition-Kern-Entwickler


Zurück zu „webEdition Installation & Update“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 12 Gäste