ACHTUNG. Das ist ein Archiv des alten forum.ruby-portal.de. Die aktuelle Mailingliste gibt es auf lists.ruby-lang.org/pipermail/ruby-de.

NOTICE. This is a ready-only copy of the old forum.ruby-portal.de. You can find the current mailing list at lists.ruby-lang.org/pipermail/ruby-de.

Die Programmiersprache Ruby

Blog|

Forum|

Wiki  


Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]

Ein neues Thema erstellen Auf das Thema antworten  [ 3 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 28 Jul 2015, 19:59 
Offline
Interpreter
Benutzeravatar

Registriert: 18 Sep 2008, 22:32
Beiträge: 1821
Wohnort: NRW → UN
Hallo Leute,

ich bin mir nicht so ganz sicher, wie viele deutsche/europäische Webentwickler das wissen, aber die EU-Richtlinie 2009/136/EG des europäischen Parlements und des Rates vom 25. November 2009 (sog. „Cookie-Richtlinie“) schreibt vor, dass Webseiten, die Cookies verwenden, darauf hinzuweisen und wenigstens einen Opt-Out anzubieten haben. Tatsächlich soll die Ideal-Lösung sogar ein Opt-In sein, d.h. vor positiver Bestätigung soll überhaupt kein Cookie gsetzt werden. Zuerst kurz zum Stand der Dinge:

EU-Richtlinien sind kein unmittelbar geltendes Recht in den Mitgliedsstaaten der Europäischen Union. Sie richten sich an die einzelnen Mitgliedsstaaten, die innerhalb einer gesetzen Frist die Richtlinie in ihr jeweiliges nationales Recht umzusetzen haben. Versäumen sie dies, kann es zur unmittelbaren Bindung der Richtlinie kommen, die mit Schadensersatzansprüchen der betroffenen Privaten gegen den jeweilige EU-Mitgliedsstaat einhergeht. Die Cookie-Richtlinie ist in Deutschland niemals explizit umgesetzt worden, aber die EU-Kommission vertritt die Auffassung, das bestehende deutsche Recht genüge, womit vermutlich §15 Abs. 3 TMG gemeint ist. Dazu auch bei Heise. Man sollte also davon ausgehen, dass die Cookie-Richtlinie über das TMG auch in Deutschland gilt.

Abgesehen vom Sinn und Unsinn dieser Vorschrift — die verlinkte Richtlinie enthält zu Beginn stattliche 76 Erwägungsgründe, wer also nachlesen mag, kommt auf seine Kosten; Cookies werden explizit in Erwägungsgrund 66 erwähnt — stellt sich die Frage, wie das in Ruby-Webanwendungen technisch umsetzbar ist. Insbesondere würde ich mich dafür interessieren, wie man es mit Padrino macht, aber da das Session-Handling letzlich auf Rack zurückgeht, ist das ein unerhebliches Detail. Die konkreten Fragen lauten also:

  • Wie bewege ich Padrino/Rack dazu, den Session-Cookie erst nach Zustimmung des Nutzers (AJAX-Request) zu setzen (Opt-In), oder, falls das nicht möglich ist,
  • wie kann ich den einmal erstellten Session-Cookie nach Opt-Out wieder entfernen?

Dass ohne Session-Cookie Logins nicht funktionieren, ist offenbar (sofern man nicht HTTP-Basic/Digest Auth einsetzt), aber darum geht es nicht. Ein Nutzer, der sich einloggen will, wird schließlich zustimmen. Da aber Nutzungsfälle denkbar sind, bei denen ein Nutzer sich nicht einloggt, aber dennoch die Webseite nutzen will — bestes Beispiel ist ein Forum wie dieses, das man vielleicht einfach nur mitlesen möchte, ohne selbst zu posten — soll das hier nicht zur Debatte stehen. Mich interessieren allein die Möglichkeiten der technischen Umsetzung zeitlich verzögerter bzw. später zu entfernender Cookies in Ruby mit Padrino/Rack, aber wenn ihr auf Rails bezogene Ressourcen habt, nehme ich die ebenso gern entgegen.

Offensichtliche Nebenfrage: Wer von euch setzt die Cookie-Richtlinie in seinen Anwendungen wirklich um? Nutzt ihr ein Opt-In oder ein Opt-Out?

Valete,
Quintus

_________________
Habe den Mut, dich deines eigenen Verstandes zu bedienen! — Immanuel Kant

Ich bin freischaffender Softwareentwickler und freue mich über jedes neue Projekt. Kontaktinformation auf meiner Website.

Mein Blog | GitHub-Profil | Auf Twitter: @qquintilianus | PGP/GPG-Schlüssel: B1FE 958E D5E8 468E AA20 8F4B F1D8 799F BCC8 BC4F


Nach oben
 Profil  
 
 Betreff des Beitrags: Re: Rack-Session-Cookie loswerden
BeitragVerfasst: 28 Jul 2015, 20:54 
Offline
Interpreter
Benutzeravatar

Registriert: 18 Sep 2008, 22:32
Beiträge: 1821
Wohnort: NRW → UN
Okay, Kommando zurück. Die Cookie-Richtlinie umfasst kurzlebige Session-Cookies, die nicht dauerhaft auf der Festplatte gespeichert werden, wohl nicht. Damit sind zumindest die von Padrino standardmäßig benutzten Session-Cookies raus (gerade mal getestet, die überleben einen Browser-Neustart nicht).

Für langlebigere Cookies (man denke etwa an die Funktion, Nutzer automatisch einzuloggen) muss ein Hinweis bzw. je nach Interpretation ein Opt-In erfolgen. Das betrifft auch insbesondere Piwik- und Google-Analytics-Cookies. Da solche Cookies nicht standardmäßig von Rack/Padrino gesetzt werden, sondern explizit angefordert werden müssen, ist dies wohl wenig problematisch.

Sorry für den Wirbel.

Valete,
Quintus

_________________
Habe den Mut, dich deines eigenen Verstandes zu bedienen! — Immanuel Kant

Ich bin freischaffender Softwareentwickler und freue mich über jedes neue Projekt. Kontaktinformation auf meiner Website.

Mein Blog | GitHub-Profil | Auf Twitter: @qquintilianus | PGP/GPG-Schlüssel: B1FE 958E D5E8 468E AA20 8F4B F1D8 799F BCC8 BC4F


Nach oben
 Profil  
 
BeitragVerfasst: 29 Jul 2015, 07:38 
Offline
Interpreter

Registriert: 10 Dez 2007, 17:37
Beiträge: 1906
Dieser Artikel fasst den aktuellen Zustand und Möglichkeiten recht gut zusammen. Dieser Artikel weisst nochmal darauf hin, dass es mit den Session Cookies nicht so einfach ist und man ganz genau prüfen müsste, was im Cookie steht. Interessant ist die Auslegung zu "Speichern dass der Nutzer sich eingeloggt hat", aber lies selbst mal. So lange es keine Urteile oder Abmahnungen dazu gibt, kann man nur oraceln.

Auffällig ist jedoch, dass immer mehr Seiten einen kurzen PopUp bringen, um auf Cookies hin zu weisen.

_________________
Grüße
Jack


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 3 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach: