Cookie

Das Ende der Cookie-Warnungen

Gestern hat die EU-Kommission ihren offiziellen Entwurf für eine neue Verordnung zum Schutz der Privatsphäre vorgelegt. Die sogenannte E-Privacy-Verordnung soll ab Mitte des nächsten Jahres an die Stelle der bisher geltende ePrivacy-Richtlinie und die ergänzende Cookie-Richtlinie aus dem Jahr 2009 treten. Schon im letzten Monat wurde ein Vorentwurf dazu geleakt. Dieser Vorentwurf machte schon deutlich klar, was sich bei dem aktuellen Entwurf bestätigt: Die EU-Kommission will die Cookie-Regeln für Verbraucher stark vereinfachen. Die leidigen Cookie-Warn-Banner, die aus Angst vor Abmahnern von den Seitenbetreibern geschaltet werden, sollen schon bald der Vergangenheit angehören. Betreiber von Internetseiten sollen dann nicht mehr über Cookies informieren müssen, die nur zur Konfiguration dienen, zum Beispiel dem Session-Tracking von Einkaufskörben in Online-Shops.

GSL-Team2017-01-11T11:27:41+02:00Januar 11th, 2017|Allgemein, CSS, HTML, Javascript|Kommentare deaktiviert

SEO: Google straft mobile Popups ab

Der Suchmaschinen- und Werbegigant Google will jetzt Internetseiten abstrafen, die in ihrer Mobilansicht zu viele Inhalte durch Werbung überdecken. Die neue Regelung soll ab Januar 2017 in Kraft treten, gibt der Konzern im Webmaster Central-Blog bekannt. Die aktuell grassierenden Werbeformen irritierten die Nutzer, begründet Google diesen Schritt. Sogenannte Interstitials zum Beispiel mit Hinweisen auf die Cookie-Nutzung oder zur Altersprüfung und "angemessen" kleine Banner sollen aber nicht zur Abstrafung führen. "Webseiten, die aufdringliche Werbung zeigen, bieten eine schlechtere Nutzererfahrung als Webseiten, die ihre Inhalte direkt anzeigen", begründet Produktmanager Doantam Phan diesen Schritt. Google-Mitarbeiter hätten viele Internetseiten gefunden, die die von der Suchmaschine indexierten Inhalte mit displayfüllenden Anzeigen überdeckten oder sogar entsprechende Popups einsetzen. Dies sei es aber nicht, was Nutzer erwarteten, wenn sie auf ein Suchergebnis bei Google klickten. Legale und technische Popups gestattet Internetseiten, auf denen solche Werbeformen für Mobilgeräte einsetzt werden, werden ab dem 10. Januar 2017 innerhalb der Google-Suchergebnisse heruntergestuft. Die Kernfrage für Google ist dabei: Ist der gewünschte Inhalt auf den ersten Blick sichtbar oder muss der Nutzer erst einen anderen Inhalt wegklicken oder überscrollen? Popups aus legalen Zwecken wie die allgegenwärtigen Cookie-Warnungen, ebenso Altersverifizierungen oder Login-Formulare sind weiterhin erlaubt. Werbebanner dürfen aber nur einen "angemessenen Teil des Bildschirms" bedecken - wieviel das genau [...]

GSL-Team2016-08-24T18:02:22+02:00August 24th, 2016|Allgemein|Kommentare deaktiviert

Ruby on Rails und die Cookies

Bei Zehntausenden von Internetseiten, die mit dem Web-Framework Ruby on Rails erstellt wurden, haben Angreifer über eine Sicherheitslücke durch Kopieren der Session-Cookies die Nutzerkonten übernommen. Darunter sind teilweise sehr bekannte Seiten wie Warner Bros., Kickstarter, Paper.li, Simfy, Ask.fm und Audioboo. Besonders einfach wird der Cookie-Klau, wenn der Angreifer im selben Netz ist wie das Opfer. Dummerweise können die Session-Daten beliebig lang genutzt werden, weil Rails die Cookies nicht ungültig macht. Das ist besonders dann sehr gefährlich, wenn die Seite ihre Authentifizierung nicht über eine sichere SSL-Verbindung abwickelt. Zwar hat hat Rails die Version 4.0 der Komponente so umgestellt, dass die Cookies nur noch verschlüsselte Daten enthalten – das hilft aber nicht wirklich, weil sich Angreifer mit abgefangenen Cookies immer noch anmelden können. Wer Ruby-Seiten betreibt, sollte andere Möglichkeiten für Session-Cookies nutzen, beispielsweise durch eine Sessionverwaltung mit ActiveRecord::Store.

GSL-Team2013-11-29T17:47:08+02:00November 29th, 2013|Allgemein|Kommentare deaktiviert

Neues Javascript-SDK bei Facebook

Nach dem überarbeiteten PHP-SDK, das unter Anderem auch die Anpassungen für das neue Cookie-Format von Facebook beinhaltet, brachte Facebook jetzt auch ein aktualisiertes Developer-Kit für Javascript, das OAuth 2.0 unterstützt. Das ist der aktuelle Standard zur Freigabe des Zugriffs auf Benutzer-Daten für Dritte und wird zum Beispiel von mobilen Apps oder von Webservices genutzt. In diesen Tagen bringt Facebook neue Sicherheitsmechanismen auf seiner Plattform. Wer seine Zugriffsfunktionen jetzt noch nicht auf das neue OAuth 2.0 umgestellt hat, wird jetzt feststellen, dass es nicht mehr funktioniert. Gleichzeitig wird die Ausgabe der Daten auch von http: auf HTTPS: umgestellt, was bedeutet, dass alle Facebook-Apps ein Zertifikat brauchen.

GSL-Team2011-10-03T08:36:55+02:00Oktober 3rd, 2011|Javascript, PHP|Kommentare deaktiviert