EU Cookie Richtline...?

**okapi** · 26.05.2012, 14:29

Anlässlich des aktuellen Datums würde mich interessieren, wie das Contao Team plant, mit der EU Cookie Richtline umzugehen und welche technischen Möglichkeiten es als Extension oder Core-seitig für die erforderliche Einverständniserklärung des Webseiten-Besuchers gibt oder geben wird.

Michael

**BugBuster** · 30.05.2012, 12:09

Wie hier schon von Jan erwähnt, gibt es technische Notwendigkeiten ohne die ein CMS nun mal nicht funktioniert.
In der Richtlinie heißt es:

Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen

Das sollte doch passen?

**jan.theofel** · 31.05.2012, 10:47

Hi,

ohne mir von damals widersprechen zu wollen:
Man kann sich schon darüber streiten, ob Contao für eine Standard-Webseite (vor allem sollte sie ohne Formulare sein) ein Session-Cookie setzen muss. Eine Option, dass man das ausschalten kann wäre schon hilfreich. Ich kann jetzt aber so direkt nicht sagen, was davon alles in Contao betroffen wäre, sprich ob ich da gerade etwas übersehe.

Jan

**BugBuster** · 31.05.2012, 12:56

Und wie "merkt" Contao sich dann ein FE Login ohne PHPSESSID Cookie? Wäre jetzt so der erste Knackpunkt der mir einfällt.
Alles wieder hübsch per get mit der URL? Häßlich und schreit wieder nach Identklau.

**Flex** · 31.05.2012, 13:44

Es ging ja um eine Seite ohne Formulare. Ein FE Login ist direkt wieder eine neue Sache. Da gibt es ein Loginformular, wo man schön auf solche Dinge hinweisen kann oder es wird eine Zwischenseite vor dem Login eingebunden (Extension), wo auf das Setzen des Cookies hingewiesen wird.

Die Seiten wo ich persönlich den FE Login einsetze sind nicht gerade zahlreich... Und bei einer normalen Seite sehe ich spontan keinen Grund einen standardmäßigen Session Cookie zu setzen...

**BugBuster** · 31.05.2012, 14:18

Meines Wissens tut das PHP automatisch schon beim ersten Aufruf. Ich habe jedenfalls immer so einen bei mir im Browser.
Bliebe mal zu prüfen.

**Flex** · 31.05.2012, 14:31

PHP setzt den Cookie nur wenn auch eine Session gestartet wird. Das passiert bei Contao in der initialize.php...
Im FE nutzt Contao die Session aber auch für den Referrer Check und ich vermute auch beim Request Token der Formulare...

**okapi** · 31.05.2012, 14:45

Das kann man selbst leicht ausprobieren, indem man den Browser die Cookies ablehnen lässt: es funktioniert dann kein Formular mehr, also zum Beispiel auch kein Frontend-Login.
Ohne Cookies geht's also de facto nicht.

Michael

**fiedsch** · 31.05.2012, 16:10

Zitat von okapi

es funktioniert dann kein Formular mehr, also zum Beispiel auch kein Frontend-Login.
Ohne Cookies geht's also de facto nicht.

Abr genau das ist ja der springende Punkt: wenn es um eine Website geht, die weder Login noch Formulare hat, dann bräuchte Contao keine Session und damit gäbe es auch kein Session-Cookie. Es gibt aber (außer durch einen manuellen Eingriff in der initialize.php) keine Möglichkeit, Contao dies "zu sagen".

**Kahmoon** · 01.06.2012, 08:14

Gibt es heute noch Webseiten ohne Formulare? Hatte ich persönlich noch nie

Folgendes ist heute Nacht im Repository aufgetaucht: http://www.contao.org/de/extension-l...anager.de.html

**FloB** · 02.06.2012, 13:07

IMO fällt das Session-Cookie nicht unter die Richtlinie. Auch wenn eine Seite jetzt kein Formular enthält, wäre es technisch (zur Zeit) zu aufwändig, für diese speziellen Seiten die Cookies auszuschließen. Zudem wird ein Benutzer dadurch nur technisch "verfolgt", um z. B. die Request Tokens zu realisieren; und nicht zu Werbezwecken oder zur persönlichen Identifizierung / Verknüpfung mit gespeicherten Daten (soweit nicht vom Nutzer initialisiert, z. B. durch Login).

Also muss man IMO keine zusätzlichen Maßnahmen ergreifen, außer ggf. auf die Benutzung von Cookies hinzuweisen.

(Wie immer keine Rechtsberatung.)

Edit: Evtl. kann man ein Modul / einen speziellen Page-Typ (im Core) o. ä. erstellen, das sämtliche Cookies der Seite löscht, worauf in solchen Hinweistexten verlinkt werden kann.

**jan.theofel** · 24.06.2012, 09:00

Hi zusammen,

im englischen Forum ist die Erweiterung CookiesManager vorgestellt worden. Zur Zeit unterbindet sie das Setzen des Session-Cookies noch nicht (Ticket dazu habe ich angelegt) aber sie zeigt zumindest schon mal so einen Hinweis an. Wer es optisch mal sehen will, kann einen Blick auf www.contao-anleitungen.de werfen, wo ich es mal testweise eingebaut habe.

Ich habe eine Reihe von Tickets angelegt, auch wegen dem Anlegen des Cookies auch wenn der Benutzer das noch nicht bestätigt hat. Wenn die soweit bearbeitet sind, ist das denke ich die Lösung für das Thema. Ich werde dann auch in googleanalytics eine Option einbauen, dass man Tracking nur vorgenommen wird, wenn der Benutzer Cookies zugelassen hat.

Jan

**ok99** · 06.09.2012, 10:16

Zitat von jan.theofel

Hi zusammen,

im englischen Forum ist die Erweiterung CookiesManager vorgestellt worden. Zur Zeit unterbindet sie das Setzen des Session-Cookies noch nicht (Ticket dazu habe ich angelegt) aber sie zeigt zumindest schon mal so einen Hinweis an. Wer es optisch mal sehen will, kann einen Blick auf www.contao-anleitungen.de werfen, wo ich es mal testweise eingebaut habe.

Jan

Ich habe eine Frage dazu:

Kann es sein, dass diese Erweiterung nicht wirklich funktioniert?

http://www.contao-anleitungen.de/
1. Ich habe die Cookies nicht akzeptiert => nur Session-Cookie wird gesetzt
2. Cookies akzeptiert => Cookies, aber OHNE Google-Analytics Cookies, werden gesetzt
Sollten hier nicht dann auch die Tracking-Cookies gesetzt werden? Oder verstehe ich da etwas falsch?

Gleiches gilt auch für die engl. Seite: http://www.360fusion.co.uk/

Auf dieser Seite, wo das Script "händisch" eingebaut wurde, funktioniert das so, wie ich mir das vorstelle:
http://cookiesdirective.com
Cookies nicht akzeptiert: Keine Cookies gesetzt
Cookies akzeptiert: Cookies samt Google werden gesetzt

Geprüft habe ich das mit dem Firefox Webdeveloper

Kann mir hier jemand meinen Horizont erweitern?

**jan.theofel** · 12.09.2012, 08:24

Hi,

ja, die Erweiterung belässt den Standard-Session Cookie von Contao. Das habe ich dem Autor schon geschrieben, dass das dann eben auch nicht sein darf.

Jan

**ok99** · 13.09.2012, 08:25

Zitat von jan.theofel

Hi,

ja, die Erweiterung belässt den Standard-Session Cookie von Contao. Das habe ich dem Autor schon geschrieben, dass das dann eben auch nicht sein darf.

Jan

Moin!

Mir geht es eher um die Sache, das nachdem ich Cookies erlaubt habe, die Cookies für Google Analytics nicht gesetzt werden.
Für mein Verständnis müßte das aber passieren, sonst ist es ja nicht möglich zu tracken. Sehe ich das richtig?
Das betrifft natürlich nicht nur Analytics sondern auch Piwi oder ähnliche Tracking-Tools. Hier müßten die Erweiterung mit dem Cookie-Manager zusammenarbeiten.
Wie ist denn allgemein der Stand der Erweiterungen. Ich hatte u.a. im engl. Forum gelesen, dass Du die Google-Analytics-Erweiterung anpassen wolltest.

Das Session Cookie ist für mich ein notwendiges Cookie, was von Contao gesetzt werden muß und auch darf. Zwingend notwendige Cookies sind ja erlaubt.

Eine ganz tolle Umsetzung der Cookie-Richtlinien habe ich übrigens hier entdeckt: http://www.globalservices.bt.com/de/de/home

Hier kann der User expliziet einstellen, welche Cookies er erlaubt. Außerdem wird klar, welche Cookies für was eingesetzt werden.
Aber solch eine Lösung ist ja nunmal nicht so "schnell dahinprogrammiert".

**Flex** · 13.09.2012, 13:30

Das Session Cookie muss gar nicht gesetzt werden, sondern eigentlich nur wenn Formulare (Request Token) oder ein Login ins Spiel kommen... An allen anderen Stellen ist auch der Session Cookie keine technische Voraussetzung für den Betrieb von Contao... (afaik)

**ok99** · 13.09.2012, 14:12

Zitat von Flex

Das Session Cookie muss gar nicht gesetzt werden, sondern eigentlich nur wenn Formulare (Request Token) oder ein Login ins Spiel kommen... An allen anderen Stellen ist auch der Session Cookie keine technische Voraussetzung für den Betrieb von Contao... (afaik)

Ah, ok, danke für die Info.

**ok99** · 13.09.2012, 14:16

Zitat von jan.theofel

.... Wer es optisch mal sehen will, kann einen Blick auf www.contao-anleitungen.de werfen, wo ich es mal testweise eingebaut habe.....

Jan

Hi Jan,

ich habe die Extension jetzt auch mal installiert (Contao 2.11.4). Leider finde ich keine Möglichkeit diese zu konfigurieren/aktivieren im BE. Es muss da doch irgendwo (versteckt?) ein Eintrag existieren?
Einfach so funktionieren tut die leider auch nicht ..... stehe gerade etwas auf dem Schlauch ....

EDIT: Danke, habe es schon gefunden. Wird als Modul eingebunden .....

**ok99** · 18.09.2012, 12:24

Als jQuery gibt es ein "nettes" Script für die Umsetrzung der EU Cookie Richtlinien: http://cookiecuttr.com/

Dieses Script habe ich "manuell" in Contao eingebaut, also nicht als Erweiterung. Einen Beispiellink kann ich euch leider nicht bereitstellen, da das Projekt noch nicht offiziell ist und passwort-geschützt.... :-(

Ich persönlich halte dieses Script besser geeignet um die EU Richtlinien umzusetzen. Der User kann Cookies akzeptieren aber auch ablehnen und kann hinterher seine Entscheidung auch noch mal revidieren und neu entscheiden.

Leider sehe ich mich nicht in der Lage dazu eine Erweiterung zu stricken. Gibt es diese evtl. schon, bzw. plant jemand dies umzusetzen?

**ok99** · 26.09.2012, 09:09

Hallo in die Runde!
Gibt es zu diesem Thema schon etwas Neues zu berichten?
Wie ist der Stand bezüglich [CookieManager] und [GoogleAnalytics]?
Ich habe noch keine Neuigkeiten hierzu finden können ...

Viele Grüße

**jan.theofel** · 26.09.2012, 15:43

Hi,

zu CookieManager kann ich nichts sagen, aber GoogleAnalytics nehme ich mir am Wochenende mal vor.

Jan

**neelix** · 03.04.2013, 14:34

Hallo,

ich habe das Modul bei mir auch mal testweise eingebunden. Aber wo kann ich den Text formatieren? Bei mir habe ich da jetzt schwarz auf schwarz.

Neelix