Contao 4.5 Cookie csrf_contao_csrf_token

[bird]

Hallo, in Contao 4.5 wird automatisch das Cookie "csrf_contao_csrf_token" gesetzt, welches Cross Site Forgery Requests verhindert soll. Dieses Cookie scheint eine maximale Lebensdauer von 22 Stunden zu haben, wobei ich etwas überrascht bin, dass die Dokumentation im Hinblick auf DSGVO und ePrivacy-Verordnung bisher sehr überschaubar ausfällt.

An welcher Stelle des Systems werden Aktivierung und Laufzeit dieses Cookies definiert? Wäre es nicht besser, ein solches Feature optional über die Einstellungen anzubieten und mit Cookies (auch mit technischen Cookies) im Core eher sparsam umzugehen?

[Spooky]

Mit der DSGVO hat dieses Cookie nichts zu tun.

[bird]

Mit der DSGVO hat dieses Cookie nichts zu tun.

Sorry, das ist nicht korrekt und hilft der inhaltlichen Frage auch nicht weiter. Auch wenn die DSGVO im Unterschied zur ePrivacy-Verordnung nicht explizit den Umgang mit Cookies regelt und auch wenn in der aktuellen Fassung der ePrivacy-Verordnung zwischen notwendigen (temporären) Session Cookies und Persistent Cookies unterschieden wird, ist das beliebige und undokumentierte Setzen von Cookies nach aktueller Rechtslage eher nicht zu empfehlen, zumal es sich eben nicht um ein Session Cookie handelt. Ich möchte daher mit diesem Beitrag eine Diskussion über Sinn und Zweck sowie Steuerbarkeit dieses Cookies anstoßen, nicht mehr und nicht weniger. Es gibt hier im Forum mittlerweile zahlreiche Beiträge zu dem Session Cookie „PHPSESSID“, mit dem o.g. Cookie und dessen Sinn und Zweck hat sich bisher aber anscheinend nur das Core-Entwicklerteam beschäftigt.

[Spooky]

Sorry, das ist nicht korrekt

Doch

mit dem o.g. Cookie und dessen Sinn und Zweck hat sich bisher aber anscheinend nur das Core-Entwicklerteam beschäftigt.

Sinn und Zweck ist es nicht mehr die Session für Request Tokens zu brauchen. Siehe https://www.owasp.org/index.php/Cros...on_Cheat_Sheet » Double Submit Cookie.

[bird]

Sinn und Zweck ist es nicht mehr die Session für Request Tokens zu brauchen.

Und genau das ist paradox, denn wenn ich unter Version 4.5.8 die Option "Anfrage-Tokens deaktivieren" deaktivierte, wird zwar das Cookie "PHPSESSID" nicht mehr standardmäßig gesetzt, das Cookie "csrf_contao_csrf_token" bleibt davon aber unbehelligt und dessen Lebensdauer ist auch nicht an die Session gebunden. Aus meiner Sicht ist das momentan etwas unausgegoren, vielleicht ist für künftige Versionen > 4.5 aber auch schon eine bessere bzw. transparentere Verwaltung der Cookies angedacht.

[Spooky]

Und genau das ist paradox, denn wenn ich unter Version 4.5.8 die Option "Anfrage-Tokens deaktivieren" deaktivierte, wird zwar das Cookie "PHPSESSID" nicht mehr standardmäßig gesetzt

Das hat mit dieser Option nicht direkt etwas zu tun. Das Session Cookie wird so oder so nicht gesetzt, wenn nicht unbedingt benötigt.

das Cookie "csrf_contao_csrf_token" bleibt davon aber unbehelligt und dessen Lebensdauer ist auch nicht an die Session gebunden. Aus meiner Sicht ist das momentan etwas unausgegoren, vielleicht ist für künftige Versionen > 4.5 aber auch schon eine bessere bzw. transparentere Verwaltung der Cookies angedacht.

Du solltest diese Diskussion auf GitHub führen, wenn du eine Änderung haben möchtest.

[bird]

Das hat mit dieser Option nicht direkt etwas zu tun. Das Session Cookie wird so oder so nicht gesetzt, wenn nicht unbedingt benötigt.

Das deckt sich leider nicht mit meiner Beobachtung bei der Version 4.5.8. Selbst mit einem komplett leeren Template wird das Session Cookie standardmäßig gesetzt, wobei ich nicht beurteilen kann, ob evtl. eine Erweiterung das Setzen dieses Cookies triggert, auch wenn die Erweiterung im FE nicht zum Einsatz kommt.

Du solltest diese Diskussion auf GitHub führen, wenn du eine Änderung haben möchtest.

Ja, ich werde ein Feature-Request zur transparenteren Verwaltung von Cookies starten.

[Spooky]

Das deckt sich leider nicht mit meiner Beobachtung bei der Version 4.5.8. Selbst mit einem komplett leeren Template wird das Session Cookie standardmäßig gesetzt, wobei ich nicht beurteilen kann, ob evtl. eine Erweiterung das Setzen dieses Cookies triggert, auch wenn die Erweiterung im FE nicht zum Einsatz kommt.

Aktualisiere zuerst mal auf Contao 4.5.10.

Ja, ich werde ein Feature-Request zur transparenteren Verwaltung von Cookies starten.

So etwas wird es vermutlich nie geben. Das Session Cookie wird gesetzt, wenn eine Session benötigt wird. Beim CSRF Token Cookie würde es ähnlich sein, nur lässt sich da aufgrund der Abwärtskompatibilität vermutlich nicht feststellen, ob es gebraucht wird, oder nicht.

[Toflar]

Das Cookie wird in der 4.6 übrigens sowieso zum Session-Cookie (https://github.com/contao/core-bundl...8e89ace00fbdac).

[PaddySD]

Und davon völlig ab, ist es für das Setzen dieses Cookies ohnehin völlig egal. Selbst bei strengster Auslegung der DSGVO darfst Du diese Cookies setzen, denn sie sind nicht mit personenbezogenen Daten in Verbindung zu bringen, sprich, es entstehen hier keinerlei DSGVO relevante Daten.

Ich verstehe beim besten Willen langsam nicht mehr, warum sich nicht vorher bei einem Anwalt informiert wird, sondern lieber ein Programmierer für teuer Geld eine nicht rechtssichere Lösung präsentieren soll...

Kurz gesagt, und ohne das böse in Deine Richtung zu meinen, die Frage stellt sich in der Form schlicht nicht! Zumindest nicht im Rahmen der DSGVO. Wenn Du natürlich eine eigene Verwaltung Deiner Cookies möchtest, schreib eine Erweiterung, die das macht. Der Rest der informierten Menschheit wird sich hoffentlich nicht noch weiter von Kunden in die Irre treiben lassen. Nur weil jemand grundiertes Fundwissen hat, heisst das noch lange nicht, dass wir als Entwickler das auch übernehmen müssen. Just my two cents....

[Spooky]

Kurz gesagt, und ohne das böse in Deine Richtung zu meinen, die Frage stellt sich in der Form schlicht nicht! Zumindest nicht im Rahmen der DSGVO.

Auch nicht im Rahmen der zukünftigen ePrivacy Verordnung.

[mlweb]

Nur mal zur "Verteidigung" des TOs. Es sind ja häufig nicht die Kunden selbst, sondern zum Teil deren Anwälte - sogar Fachanwälte für IT-Recht - die solch ein Schmarren verbreiten. Ich habe es selbst auch erlebt. Gegen diese vermeintliche Fachkompetenz hat man sehr schlechte Karten.
Das ist etwas was ich im Zusammenhang mit der DSGVO immer wieder als ausgesprochen erschreckend empfinde.

[tab]

Ja, ist leider so. Die verzapfen den Schmarren unter anderem deshalb, weil sich da keiner aus dem Fenster lehnen will. Solange es dazu noch keine Urteile gibt ...