Page 1 of 1
Cookie Verschleierung
Posted: Fri 29. Nov 2019, 17:20
by pummelbaer
Hallo zusammen,
ich hab da mal wieder ne Verständnisfrage….
Jede PHP-Anwendung wie Wordpress oder ein SMF-Form generiert eigene Session-Cookies.
Jetzt möchte ich aus datenschutzrechtlichen Gründen folgendes machen:
- Cookies verschleiern
Lebensdauer der Cookies setzen
Löschung der Cookies nach ablauf der Lebenszeit
Transprt der Cookies über HTTPOnly
Wie kann ich das ganze denn realisieren???
Da müssen doch bestimmt noch Apache Module wie mod_sessioncookie und mod_sessioncrypt nachinstalliert werden???
Ich das zum ersten mal und bin da etwas ratlos…
Gruß Pummelbaer
[Mod-Edit]
Thread nach Off Topic verschoben, da der Topic erstmal nichts direkt mit Keyhelp zu tun hat.
Re: Cookie Verschleierung
Posted: Fri 29. Nov 2019, 17:52
by Jolinar
pummelbaer wrote: ↑Fri 29. Nov 2019, 17:20
Wie kann ich das ganze denn realisieren???
Man möge mich korrigieren, wenn ich jetzt Mist erzähle, aber ich hab nicht sooo viel mit Programmierung zu tun...aber meines Wissens nach setzt und verarbeitet nicht der Webserver, sondern die Webanwendung Session-Cookies. Insofern bedarf es vermutlich keiner weiterer Apache-Module.
Ein Beispiel dafür hab ich hier gefunden -->
https://www.w3schools.com/php/func_netw ... cookie.asp
Beim Setzen des Cookies wird auch die Lebenszeit des Cookies festgelegt. Das Löschen von Cookies sollte AFAIK der Browser, wo der Cookie gesetzt wurde, entsprechend der Cookie-Lifetime übernehmen.
Was mir grad völlig unbekannt vorkommt ist dein Wunsch, Cookies zu verschleiern, Tante G hat mir da auch nichts Brauchbares ausgespuckt.
Re: Cookie Verschleierung
Posted: Fri 29. Nov 2019, 22:15
by nikko
Nein, da kannst du nichts wirklich verschleiern. Datenschutzrechtlich bekommst du mit technisch notwendigen Cookies auch keinen Ärger.
Re: Cookie Verschleierung
Posted: Sat 30. Nov 2019, 01:10
by Tobi
Klar kann man den Inhalt des Cookies verschleiern.
Man könnte einen einfachen ROT13 Schlüssel verwenden.
Für Cäsar hat es gereicht.
Verboten ist das nicht
Re: Cookie Verschleierung
Posted: Sat 30. Nov 2019, 10:12
by pummelbaer
@Tobi
Klar, hat das Cäsar gereicht...
Der ist ja auch im alten Rom gleich mit der Keule umher gerannt, der olle Brandstifter
Also ganz lassen sich die Cookies nicht verschleiern...
Aber ich denke, ich bin da an etwas dran....
Muss nur noch etwas basteln und experimentieren...
Jedenfalls lassen die Session-Cookie sich sehr gut einschränken...
So ist es es mir jedenfalls schon mal gestern gelungen, dass Google und Facebook keine Session-Cookies mehr tracken können
Dann werden wa ja den Rest ooch noch hinbekommen
Gruß Pummel
Re: Cookie Verschleierung
Posted: Sat 30. Nov 2019, 10:21
by Jolinar
pummelbaer wrote: ↑Sat 30. Nov 2019, 10:12
So ist es es mir jedenfalls schon mal gestern gelungen, dass Google und Facebook keine Session-Cookies mehr tracken können
pummelbaer wrote: ↑Sat 30. Nov 2019, 10:12
Aber ich denke, ich bin da an etwas dran....
Muss nur noch etwas basteln und experimentieren...
Nur so eine Idee...Wenn du ein paar Hinweise zu den Hintergründen deines Vorhabens geben könntest, dann könnte dir vielleicht der eine oder andere hier wesentlich zielgerichteter helfen.
Dann bräuchtest du möglicherweise garnicht rumbasteln, sondern könntest auf eventuell schon vorhandene Lösungen zurückgreifen...
Re: Cookie Verschleierung
Posted: Sat 30. Nov 2019, 11:47
by Enigma
Tobi wrote: ↑Sat 30. Nov 2019, 01:10
Man könnte einen einfachen ROT13 Schlüssel verwenden.
Gute Idee, siehe meine Signatur!
pummelbaer wrote: ↑Sat 30. Nov 2019, 10:12
der olle Brandstifter
Das war Nero.
Gruß
Jan
Re: Cookie Verschleierung
Posted: Sun 1. Dec 2019, 10:50
by Lou Zypher
pummelbaer wrote: ↑Sat 30. Nov 2019, 10:12
Klar, hat das Cäsar gereicht...
Der ist ja auch im alten Rom gleich mit der Keule umher gerannt, der olle
Brandstifter
Das war Nero^^
Der hatte zwar auch ein "Cesar" im Namen, wird aber damit nicht assoiziert.
Setzen, sechs
Re: Cookie Verschleierung
Posted: Sun 1. Dec 2019, 12:24
by Tobi
Wow hier wimmelts nur so von Lateinern
@Alex
Wann kommt das lateinische Sprachpaket für KeyHelp
?
Re: Cookie Verschleierung
Posted: Sun 1. Dec 2019, 12:29
by Jolinar
Tobi wrote: ↑Sun 1. Dec 2019, 12:24
Wann kommt das lateinische Sprachpaket für KeyHelp
?
Dann würde Keyhelp aber auch
Clavem Auxilium heißen...klingt irgendwie nicht so eingängig
Re: Cookie Verschleierung
Posted: Sun 1. Dec 2019, 12:52
by Tobi
Wobei Limes eine schöne Umschreibung für Firewall wäre
Ob die alten Römer schon SPAM kannten? Wahrscheinlich müsste man das als "nec poplitem" umschreiben
Re: Cookie Verschleierung
Posted: Mon 2. Dec 2019, 23:13
by pummelbaer
Sooo, also ich hab mal nen bissl rumgebastelt...
Man müsste also die Session auf drei Session-Cookies aufsplitten:
- Einen für den Session-Start mit Startzeitponkt
- Einen für die laufende Session
- Und einen für das Ende der Session
Verschleiern gäbe es zwei Möglichkeiten
- über PHP
- über den Apache mit den beiden Modulen mod_sessioncrypt und mod_sessioncookie
(mal schauen, welches die bessere Lösung wäre)
Dennoch sollte man die Header-Security gegen Cross-Scripting aktivieren und das ganze auf den Host begrenzen.
Re: Cookie Verschleierung
Posted: Tue 3. Dec 2019, 06:49
by Tobi
Den Cookie für den "Startzeitpunkt" kannst du dir sparen. Du kannst die Startzeit einfach in die Session schreiben.
Ebenso den "Sitzungsende-Cookie". Einfach die Session zerstören und fertig. Speicherst du Cookies über die Session hinaus musst du das in deiner Datenschutzerklärung darlegen.
Schau dir Mal auf php.net die Artikel zu den Session-Funktionen an und Augenmerk auf $_SESSION.
Re: Cookie Verschleierung
Posted: Tue 3. Dec 2019, 20:40
by pummelbaer
Speicherst du Cookies über die Session hinaus musst du das in deiner Datenschutzerklärung darlegen.
Genau das möchte ich nicht...
Der Session-Cookie soll nach dem Ende der Sitzung elemeniert werden...
Re: Cookie Verschleierung
Posted: Tue 3. Dec 2019, 20:47
by Jolinar
pummelbaer wrote: ↑Tue 3. Dec 2019, 20:40
Der Session-Cookie soll nach dem Ende der Sitzung elemeniert werden...
Dann setze das Cookie am Ende der Session neu, diesmal ohne Inhalt und mit Expire zum Sessionende. Das Löschen des Cookies übernimmt dann der Browser des Users.