Hallo, ich bin gerade über folgende Einstellung gestolpert:
"Sitzung für jeden Benutzer verschlüsseln
- nein
- transparent
- Cookie
"
Kann mir da jemand erklären, was es damit auf sich hat?! Würde das bedeuten, wenn ich NEIN wähle, dass webedition ohne cookies arbeiten würde?!
btw: muss ich eigentlich einen cookie Banner schalten, wenn nur das cms aber nicht die Webseite mit cookies arbeitet ????????? mein Anwalt meinte "ja sicherheitshalber" aber ich finde das unsinnig. ich weiß ihr dürft keine rechtsberatung geben, mich würde nur mal eure Meinung interessieren
we Sitzung verschlüsseln - Cookie ?!
we Sitzung verschlüsseln - Cookie ?!
Ich möchte mitkommen nach Alderan,
es hält mich nichts mehr hier.
Ich möchte mich mit der Macht vertraut
und ein Jedi wie mein Vater werden.
es hält mich nichts mehr hier.
Ich möchte mich mit der Macht vertraut
und ein Jedi wie mein Vater werden.
-
- webEdition Partner
- Beiträge: 1825
- Registriert: Di 7. Mär 2006, 16:50
- Wohnort: Wien
- Kontaktdaten:
Re: we Sitzung verschlüsseln - Cookie ?!
MbMn, nein. Für den betrieb notwendige Cookies sind ja explizit erlaubt.chwons hat geschrieben: ↑Mo 28. Mai 2018, 14:19btw: muss ich eigentlich einen cookie Banner schalten, wenn nur das cms aber nicht die Webseite mit cookies arbeitet ????????? mein Anwalt meinte "ja sicherheitshalber" aber ich finde das unsinnig. ich weiß ihr dürft keine rechtsberatung geben, mich würde nur mal eure Meinung interessieren
LG,
Sascha
Re: we Sitzung verschlüsseln - Cookie ?!
Hallo chwons,
ich teile Saschas Meinung an der Stelle. Ausserdem meine ich, dass Deine Tastatur kaputt ist. Das Fragezeichen klemmt.
ich teile Saschas Meinung an der Stelle. Ausserdem meine ich, dass Deine Tastatur kaputt ist. Das Fragezeichen klemmt.
Re: we Sitzung verschlüsseln - Cookie ?!
Nein, die Einstellung betrifft die Privatsphäre.
WE braucht, wie jede PHP-Applikation Cookies um damit die Session wieder zu finden. Der Einsatz von URL-Parametern sollte grundsätzlich grundsätzlich für SessionIDs vermieden werden.
Sessions werden ja auf dem Server, bei php im Dateisystem gespeichert. Per default kann man alles lesen was da drin steht, sofern man Zugang zu dem Verzeichnis hat. Deshalb gewährt bspw. df keinen Zugang zum Tmp-Verzeichnis und einige Anwendungen beschweren sich, das sie Sessions nicht aufräumen können. D.h. ein Admin oder ein böser Mensch könnte, wenn er Zugriff auf den Ordner hat die Daten von der Session auslesen (hier könnten ja auch Kreditkartendaten etc. drin stehen).
Schaltet man das WE-Sessionmanagement ein, dann landen die Sessions in der DB. Ohne Verschlüsselung (keine) eben auch im Klartext, Transparent mit dem WE-Key (mit dessen Kenntnis man es auch entschlüsseln kann), oder Cookie, nur mit dem Cookie, das auf dem Clientrechner gespeichert ist, kann WE die Sessiondaten entschlüsseln.
Im Sinne der DSGVO ist hier nichts spezielles zu regeln, denn das ist ein technisches Cookie, das für den Betrieb und nicht zum Tracken verwendet wird (sofern ihr es nicht anderweitig noch nutzt).
Die Cookies sollten im Zweifel unter den Datenschutzbestimmungen erwähnt werden und hier eben, das nur technische Cookies verwendet werden.
WE braucht, wie jede PHP-Applikation Cookies um damit die Session wieder zu finden. Der Einsatz von URL-Parametern sollte grundsätzlich grundsätzlich für SessionIDs vermieden werden.
Sessions werden ja auf dem Server, bei php im Dateisystem gespeichert. Per default kann man alles lesen was da drin steht, sofern man Zugang zu dem Verzeichnis hat. Deshalb gewährt bspw. df keinen Zugang zum Tmp-Verzeichnis und einige Anwendungen beschweren sich, das sie Sessions nicht aufräumen können. D.h. ein Admin oder ein böser Mensch könnte, wenn er Zugriff auf den Ordner hat die Daten von der Session auslesen (hier könnten ja auch Kreditkartendaten etc. drin stehen).
Schaltet man das WE-Sessionmanagement ein, dann landen die Sessions in der DB. Ohne Verschlüsselung (keine) eben auch im Klartext, Transparent mit dem WE-Key (mit dessen Kenntnis man es auch entschlüsseln kann), oder Cookie, nur mit dem Cookie, das auf dem Clientrechner gespeichert ist, kann WE die Sessiondaten entschlüsseln.
Im Sinne der DSGVO ist hier nichts spezielles zu regeln, denn das ist ein technisches Cookie, das für den Betrieb und nicht zum Tracken verwendet wird (sofern ihr es nicht anderweitig noch nutzt).
Diese Banner sind eh umstritten/fragwürdig/nervig und waren noch nie Pflicht. Das CMS ist ja für den Seitenbesucher auch nicht relevant.muss ich eigentlich einen cookie Banner schalten, wenn nur das cms aber nicht die Webseite mit cookies arbeitet ?
Die Cookies sollten im Zweifel unter den Datenschutzbestimmungen erwähnt werden und hier eben, das nur technische Cookies verwendet werden.
webEdition-Kern-Entwickler
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 60 Gäste