Page 1 of 1

Cookie Verschleierung

Posted: Fri 29. Nov 2019, 17:20
by pummelbaer
Hallo zusammen,

ich hab da mal wieder ne Verständnisfrage….

Jede PHP-Anwendung wie Wordpress oder ein SMF-Form generiert eigene Session-Cookies.


Jetzt möchte ich aus datenschutzrechtlichen Gründen folgendes machen:
  • Cookies verschleiern
    Lebensdauer der Cookies setzen
    Löschung der Cookies nach ablauf der Lebenszeit
    Transprt der Cookies über HTTPOnly
Wie kann ich das ganze denn realisieren???
Da müssen doch bestimmt noch Apache Module wie mod_sessioncookie und mod_sessioncrypt nachinstalliert werden???

Ich das zum ersten mal und bin da etwas ratlos…


Gruß Pummelbaer

[Mod-Edit]
Thread nach Off Topic verschoben, da der Topic erstmal nichts direkt mit Keyhelp zu tun hat.

Re: Cookie Verschleierung

Posted: Fri 29. Nov 2019, 17:52
by Jolinar
pummelbaer wrote: Fri 29. Nov 2019, 17:20 Wie kann ich das ganze denn realisieren???
Man möge mich korrigieren, wenn ich jetzt Mist erzähle, aber ich hab nicht sooo viel mit Programmierung zu tun...aber meines Wissens nach setzt und verarbeitet nicht der Webserver, sondern die Webanwendung Session-Cookies. Insofern bedarf es vermutlich keiner weiterer Apache-Module.
Ein Beispiel dafür hab ich hier gefunden --> https://www.w3schools.com/php/func_netw ... cookie.asp
Beim Setzen des Cookies wird auch die Lebenszeit des Cookies festgelegt. Das Löschen von Cookies sollte AFAIK der Browser, wo der Cookie gesetzt wurde, entsprechend der Cookie-Lifetime übernehmen.

Was mir grad völlig unbekannt vorkommt ist dein Wunsch, Cookies zu verschleiern, Tante G hat mir da auch nichts Brauchbares ausgespuckt.

Re: Cookie Verschleierung

Posted: Fri 29. Nov 2019, 22:15
by nikko
Nein, da kannst du nichts wirklich verschleiern. Datenschutzrechtlich bekommst du mit technisch notwendigen Cookies auch keinen Ärger.

Re: Cookie Verschleierung

Posted: Sat 30. Nov 2019, 01:10
by Tobi
Klar kann man den Inhalt des Cookies verschleiern.
Man könnte einen einfachen ROT13 Schlüssel verwenden.
Für Cäsar hat es gereicht.

Verboten ist das nicht 😂

Re: Cookie Verschleierung

Posted: Sat 30. Nov 2019, 10:12
by pummelbaer
@Tobi
Klar, hat das Cäsar gereicht...
Der ist ja auch im alten Rom gleich mit der Keule umher gerannt, der olle Brandstifter 8-)

Also ganz lassen sich die Cookies nicht verschleiern...
Aber ich denke, ich bin da an etwas dran....
Muss nur noch etwas basteln und experimentieren...

Jedenfalls lassen die Session-Cookie sich sehr gut einschränken...
So ist es es mir jedenfalls schon mal gestern gelungen, dass Google und Facebook keine Session-Cookies mehr tracken können ;-)
Dann werden wa ja den Rest ooch noch hinbekommen ;-)


Gruß Pummel

Re: Cookie Verschleierung

Posted: Sat 30. Nov 2019, 10:21
by Jolinar
pummelbaer wrote: Sat 30. Nov 2019, 10:12 So ist es es mir jedenfalls schon mal gestern gelungen, dass Google und Facebook keine Session-Cookies mehr tracken können
pummelbaer wrote: Sat 30. Nov 2019, 10:12 Aber ich denke, ich bin da an etwas dran....
Muss nur noch etwas basteln und experimentieren...
Nur so eine Idee...Wenn du ein paar Hinweise zu den Hintergründen deines Vorhabens geben könntest, dann könnte dir vielleicht der eine oder andere hier wesentlich zielgerichteter helfen.
Dann bräuchtest du möglicherweise garnicht rumbasteln, sondern könntest auf eventuell schon vorhandene Lösungen zurückgreifen...

Re: Cookie Verschleierung

Posted: Sat 30. Nov 2019, 11:47
by Enigma
Tobi wrote: Sat 30. Nov 2019, 01:10 Man könnte einen einfachen ROT13 Schlüssel verwenden.

Gute Idee, siehe meine Signatur! :mrgreen:

pummelbaer wrote: Sat 30. Nov 2019, 10:12 der olle Brandstifter 8-)

Das war Nero. ;)

Gruß
Jan

Re: Cookie Verschleierung

Posted: Sun 1. Dec 2019, 10:50
by Lou Zypher
pummelbaer wrote: Sat 30. Nov 2019, 10:12 Klar, hat das Cäsar gereicht...
Der ist ja auch im alten Rom gleich mit der Keule umher gerannt, der olle Brandstifter 8-)
Das war Nero^^
Der hatte zwar auch ein "Cesar" im Namen, wird aber damit nicht assoiziert.

Setzen, sechs :D

Re: Cookie Verschleierung

Posted: Sun 1. Dec 2019, 12:24
by Tobi
Wow hier wimmelts nur so von Lateinern 👍

@Alex
Wann kommt das lateinische Sprachpaket für KeyHelp😂?

Re: Cookie Verschleierung

Posted: Sun 1. Dec 2019, 12:29
by Jolinar
Tobi wrote: Sun 1. Dec 2019, 12:24 Wann kommt das lateinische Sprachpaket für KeyHelp😂?
Dann würde Keyhelp aber auch Clavem Auxilium heißen...klingt irgendwie nicht so eingängig :lol:

Re: Cookie Verschleierung

Posted: Sun 1. Dec 2019, 12:52
by Tobi
Wobei Limes eine schöne Umschreibung für Firewall wäre 😂

Ob die alten Römer schon SPAM kannten? Wahrscheinlich müsste man das als "nec poplitem" umschreiben 🤣🍖

Re: Cookie Verschleierung

Posted: Mon 2. Dec 2019, 23:13
by pummelbaer
Sooo, also ich hab mal nen bissl rumgebastelt...
Man müsste also die Session auf drei Session-Cookies aufsplitten:

- Einen für den Session-Start mit Startzeitponkt
- Einen für die laufende Session
- Und einen für das Ende der Session

Verschleiern gäbe es zwei Möglichkeiten

- über PHP
- über den Apache mit den beiden Modulen mod_sessioncrypt und mod_sessioncookie
(mal schauen, welches die bessere Lösung wäre)

Dennoch sollte man die Header-Security gegen Cross-Scripting aktivieren und das ganze auf den Host begrenzen.

Re: Cookie Verschleierung

Posted: Tue 3. Dec 2019, 06:49
by Tobi
Den Cookie für den "Startzeitpunkt" kannst du dir sparen. Du kannst die Startzeit einfach in die Session schreiben.
Ebenso den "Sitzungsende-Cookie". Einfach die Session zerstören und fertig. Speicherst du Cookies über die Session hinaus musst du das in deiner Datenschutzerklärung darlegen.

Schau dir Mal auf php.net die Artikel zu den Session-Funktionen an und Augenmerk auf $_SESSION.

Re: Cookie Verschleierung

Posted: Tue 3. Dec 2019, 20:40
by pummelbaer
Speicherst du Cookies über die Session hinaus musst du das in deiner Datenschutzerklärung darlegen.
Genau das möchte ich nicht...
Der Session-Cookie soll nach dem Ende der Sitzung elemeniert werden...

Re: Cookie Verschleierung

Posted: Tue 3. Dec 2019, 20:47
by Jolinar
pummelbaer wrote: Tue 3. Dec 2019, 20:40 Der Session-Cookie soll nach dem Ende der Sitzung elemeniert werden...
Dann setze das Cookie am Ende der Session neu, diesmal ohne Inhalt und mit Expire zum Sessionende. Das Löschen des Cookies übernimmt dann der Browser des Users.