Mein "böses" Loginskript // unsichere Cookies

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
  • #1

    Mein "böses" Loginskript // unsichere Cookies

    Hallo zusammen!

    Folgendes Problem:

    Ich habe ein soweit super funktioinierendes Loginskript. Leider aber nur im Firefox. Beim Internet Explorer werden meine Cookies geblockt, da sie keiner "Datenschutzrichtilinie" unterliegen. Wie bring ichs auch dem IE bei, dass meine Cookies nur gutes für den User wollen und wie entscheidet der IE, ob das cookie böse ist oder nicht? Ich definiere die Variablen folgendermaßen:

    PHP-Code:
        $HTTP_SESSION_VARS["user_id"] = $data["Id"];
            $HTTP_SESSION_VARS["user_nickname"] = $data["Nickname"];
            $HTTP_SESSION_VARS["email"] = $data["email"];
            $HTTP_SESSION_VARS["status"] = $data["stat"]; 
    Ideen?

    Vielen Dank!

    kjh
    Stichworte: -
  • #2
    Re: Mein "böses" Loginskript // unsichere Cookies

    Original geschrieben von kjh
    Wie bring ichs auch dem IE bei, dass meine Cookies nur gutes für den User wollen und wie entscheidet der IE, ob das cookie böse ist oder nicht?
    Na an Hand der Datenschutzrichtlinie, wie du selber schon schriebst.

    Du keine haben? Dann du wohl eine Erstellen müssen.
    http://de.wikipedia.org/wiki/P3P
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar

    • #3
      Hab itsch schon. Aber nicht richtig funktionieren.

      Ja, hab ich gestern schon mal ausprobiert. Die Dateien erstellen lassen und ab ins w3c Verzeichnis damit. Die Sache dran ist, ich versteh nicht wie man das den Browser näherbringt, dass so eine Richtlinie vorhanden ist? Es gab da auch einen Hinweis, dass man

      PHP-Code:
      <link rel="P3Pv1" href="http://www.*****.de/w3c/p3p.xml"
      einbinden soll. Aber wo? Auf welcher Seite? Habs bei der Index bereits probiert... Funktioniert nicht.

      Aber Danke für den Hinweis...

      Kommentar

      • #4
        Ich würde im IE die Datenschutzrichtliniensperre tiefer setzen.

        Und vielleicht weiss wahsaga einen gehaltvolleren Text als die wikipedia (zb. den richtigen der weiterführenderen links oder besser).

        Deutschkurse gibts hier

        Kommentar

        • #5
          ja, dann gehts, das ist klar. Aber da kann ich ja nicht jeden meiner User dazu zwingen...

          Kommentar

          • #6
            Das stimmt. Vielleicht stellst Du mal in deinem IE6 den Datenschutz auf Standard.

            Ich kann mir nicht recht vorstellen, dass eigene gewöhnliches Cookies dann,
            in Standardeinstellung, ohne Datenschutzlink geblockt werden, weil dann fast die
            ganze Cookiewelt zusammenbricht, keine Sessions mehr möglich sind, und kaum alle
            php-Anwender v.a. dieses Forums als erstes eine DSRL machen.

            Diese Ueberlegung liegt näher, als sich in die DSRL zu vertiefen.

            Kommentar

            • #7
              Keine Ahnung was da ab geht! Mein Stand der Forschung: Im IE steht der Schutz standardmäßig auf Mittel. Mit der Stufe "mittel" funktionierts definitiv nicht. Mit der "niedrig" funktionierts wie im Firefox einwandfrei.

              Irgendwas macht das Forum wohl anders, evtl. Variablen Namen???

              Kommentar

              • #8
                Ich habe hier die Microsoft KB 293222
                http://support.microsoft.com/kb/293222/DE/
                http://support.microsoft.com/kb/293222/EN/

                Ich verstehe aber ehrlich gesagt die Worte first-party, Erstanbieter und third-party, Drittanbieter nicht. Was ich verstehe ist dass man cross-domain Cookies setzen kann, aber (ohne hacking) nicht lesen.

                Ich lese auch nicht, ob Microsoft das Setzen oder das Lesen von Cookies mit der Datenschutzrichtlinie einschränkt.

                Vielleicht helfen diese Bemerkungen Dir (und mir) weiter.

                Noch eine Aenderung: in meinem Probeskript läuft die session mit "Mittel" ohne irgendetwas.
                Zuletzt geändert von miximaxi; 20.04.2006, 17:00.

                Kommentar

                • #9
                  gelöscht, n/a.
                  Zuletzt geändert von miximaxi; 20.04.2006, 17:12.

                  Kommentar

                  • #10
                    Hier steht noch leserlich, was ein Erstanbieter und ein Drittanbieter (Fremdanbieter) sind (KB260971):

                    http://support.microsoft.com/default...d=kb;DE;260971

                    Möglicherweise ist dein php-Skript, via deine Serverkonstruktion, ein Drittanbieter?
                    Zuletzt geändert von miximaxi; 20.04.2006, 17:15.

                    Kommentar

                    • #11
                      OffTopic:
                      Original geschrieben von miximaxi
                      Ich verstehe aber ehrlich gesagt die Worte first-party, Erstanbieter und third-party, Drittanbieter nicht.
                      First party, Erstanbieter, ist die Domain, von der aus ich die Webseite abgerufen habe.

                      Darin können ja jetzt noch weitere Ressourcen eingebunden sein, z.B. ein Bild. Dieses Bild kann auch von einer anderen Domain stammen - bspw. von irgendeinem Werbetreibenden. Dieser wäre jetzt eine third party.
                      Da dieses Bild auch eine über HTTP angeforderte Ressource darstellt, kann es ebenfalls einen Cookie zu setzen versuchen.

                      Und damit sind wir schon beim Nachteil der Sache für den Nutzer:
                      Nehmen wir an, dieses Werbebildchen ist jetzt nicht nur auf einer fremden Webseite eingebunden, sondern auf Dutzenden. Wenn dieses Bildchen jetzt einen Cookie setzen darf, erkennt es dich damit immer eindeutig wieder. Und in Kombination mit dem Referrer, der ihm (idR.) verrät, auf welchen Seiten es eingebunden war, kann jetzt der Werbetreibende wunderbar ein Profil erstellen, welche von Seiten, auf denen er sein Bildchen überall eingebunden hat, du besucht hast, und auch in welcher Reihenfolge du sie aufgesucht hast, etc.
                      Das nennt man übrigens den "web bug".


                      Und um da zu unterbinden, sind die Browserhersteller dazu übergegangen, die Behandlung von Cookies zu verfeinern. Jetzt kannst du sagen, "Cookies von der originalen Webseite XY, die ich gerade angesurft habe, möchte ich annehmen - die von irgendwelchen Drittparteien möchte ich aber beim Besuch der Seite XY nicht haben".
                      I don't believe in rebirth. Actually, I never did in my whole lives.

                      Kommentar

                      • #12
                        Wahsaga, danke.

                        Gibt es eine Standarddatenschutzrichtlinie, die man sich einfach reinknallen kann ins <html><head> (egal ob wahr oder nicht) und dann ist's gefixt?

                        Kann ich etwa eine fremde DSRL in mein <html><head> einbinden und dann hat es sich auch?

                        Kommentar

                        • #13
                          Noch etwas für den OP. Mit JRCPolicyEditor kann man sich so ein /w3c/ komponieren, ohne viel davon zu verstehen. Oder wie hast Du es generiert?
                          Nachher muss man den Ordner /w3c/ nur in den root seiner webseite legen und alles sollte funktionieren (angeblich). Es braucht kein link rel=.... (angeblich).

                          JRCPolicyEditor ist SourceForge-erhältlich.

                          Kommentar

                          • #14
                            ja, also das mit dem w3c funktioniert so einfach anscheinend nicht. Hab mir meins auf http://www.p3pwiz.com/ erstellen lassen. Funktionieren tuts immer noch nicht. Egal!

                            Denn durch eure Hilfe habe ich es geschafft, endlich das ding zum laufen zu bekommen. Klare Sache so wie es Wahsaga schreibt und von deinem text, miximaxi, zu entnehmen ist. Ich leite über eine andere Domain auf einen Webspace von einer anderen Domain weiter auf dem die Seite läuft! Damit hätten wir ja genau das problem mit dem drittanbieter Jetzt wolln wir ma n bisschen rumprobieren...

                            Vielen, vielen Dank für eure Hilfe!!!!

                            Kommentar

                            • #15
                              Also die cookies werden auch vom IE angenommen wenn man von einer anderen Domain auf den eigentlich server zugreift. Jedoch muss der Absolute Pfad von dem webserver angegben werden, also nicht nur login.php sondern http://server.de/login.php

                              wohoo ich freu mich so...

                              Kommentar

                              Vorherige 1 2 template Weiter
                              Lädt...
                              X