Keine Cookies verwenden (PHPSESSID)

**sparklz** · 25.03.2010, 12:25

HAllo an alle

Bei meinem TL Projekt darf ich keine Cookies verwenden.
Jetzt mußte ich feststellen, daß beim Auruf jeder Seite nach einem Cookie gefragt wird. Einem sogenannten PHPSESSID (Sitzungs-Cookie)
Wie kann ich sie abschalten.

Vielen Dank schon mal für Eure Antworten
sparklz

**lindesbs** · 25.03.2010, 12:42

Du koenntest versuchen, das Handling ueber die htaccess auszuschalten, wenn der Webserver dass erlaubt. Ist nicht getestet !

session.use-cookies : http://www.php.net/manual/de/session...on.use-cookies
session.use-only-cookies : http://www.php.net/manual/de/session...e-only-cookies
session.use-trans-sid : http://www.php.net/manual/de/session....use-trans-sid

**sparklz** · 25.03.2010, 12:45

Danke für Deine antwort

Dumme Frage - wozu sind diese Session-Cookies gedacht, bzw. welche Daten fragen sie ab?
Mir geht es dabei um den Datenschutz - mein Kunde hat da sehr strikte Richtlinien.

Wo schalte ich die Cookies aus, in der .htaccess im root-Verzeichnis?

Danke , sparklz

**lindesbs** · 25.03.2010, 12:51

Nu ja, in der Session werden die Daten des Benutzer gehalten. Damit er eindeutig identifiziert werden kann (z.B. ob er irgendwo eingeloggt ist)
Diese Informationen werden halt in den Cookies des Nutzers gespeichert, damit der Server weiss, das du auf gewisse Dinge zugreifen kannst/darfst.

**weke** · 25.03.2010, 13:42

Hallo sparklz,

ganz kurz betrachtet sehe ich die Idee ganz auf Cookies verzichten zu können als sehr schwierig an.
Da für alle angemeldeten Benutzer zur Identifizierung dieser ein Cookie (BE_USER_AUTH) gesetzt wird, muss mindestens das Backend Cookies erlauben. Falls auch im Frondend Mitglieder per Anmeldung vorkommen sollen, so haben diese enbenfalls ein eigenes Cookie (FE_USER_AUTH), welches zur Identifizierung des Anmeldestatus genutzt wird.

Auf dem ersten Blick sehe ich gerade keine Alternative die Cookies als GET oder POST-Variable zu aktivieren, ohne größere Änderungen am Core vorzunehmen.

Falls es jedoch ausschließlich um das PHPSESSID-Cookie geht, könnte es mit lindesbs Vorschlag schon klappen.

**sparklz** · 25.03.2010, 13:46

ich habs jetzt mit der .htaccess Datei probiert.

Leider bekomme ich einen Internal Server Error und die Seite läßt sich natürlich nicht mehr aufrufen.

Es sollte doch eine Möglichkeit geben die Erzeugung der Cookies in TL selbst zu unterbinden.
Wo geht das?

Viele Grüße
sparklz

**sparklz** · 25.03.2010, 13:53

Hallo weke

Danke für Deine Antwort.
mit der -htaccess Datei klappts leider nicht.
Ich brauche Cookies nur für das Backend. Im Frontend gibt es nichts, wo sich ein User anmelden müßte oder ähnliches. Bei der Website handelt es sich eigentlich um eine ganz simple statische Website - einfach nur ein paar HTML-Seiten ohne Formulare usw.

Ich bzw. TL brauche weder ein (FE_USER_AUTH) noch ein PHPSESSID-Cookie.
Kann ich das denn nirgends abschalten?

Gruß
sparklz

**lindesbs** · 25.03.2010, 13:55

Schaue in die error.log deines Webservers warum der Fehler kommt. Haengt halt vom Webserver ab, so wie ich geschrieben hatte.
Ansonsten wende dich an deinen Provider, vielleicht kann er diese Einstellung direkt in deiner php.ini durchfuehren.

TL selbst kannst du nicht Cookie frei bekommen

**sparklz** · 25.03.2010, 17:10

Gibt es denn gar keine andere Möglichkeit?

Ich bin bei 1und1. der Weg über die .htaccess Datei funktioniert leider nicht.
Man hat mir bei 1und1 geraten statt dessen in jedes Verzeichnis eine php.ini datei mit den Angabe der htaccess-Datei zu legen.

session.use_cookies 0
session.use_only_cookies 0
session.use_trans_sid 1

Keine Auswirkungen.

Was tun?

sparklz

**lindesbs** · 25.03.2010, 18:25

Nutze die Macht der Suchmaschinen ;-)

Tip : php_value

php_value session.use_cookies 0

**bird** · 14.10.2010, 09:49

Hallo,

zum Thema Datenschutz habe ich auch eine Frage: Werden ausschließlich bei Login-Vorgängen Session-Cookies angelegt oder auch bei "normaler" Nutzung von Contao-Seiten? Welche Informationen enthalten diese? IP, Zugriffszeit, besuchte Seiten?

**schman** · 14.10.2010, 09:55

Laut View Cookie (Firefox Plugin) enthält dieses folgende Werte

Code:

__utmb
__utmc
__utma
__utmz
PHPSESSID

Die Werte sind jeweils Haswerte, mit Verfalldatum natürlich

PS: So siehts bei www.contao.org aus.

**bird** · 14.10.2010, 10:31

Hallo schman,

danke für Deine Antwort.

Mich würde prinzipiell interessieren, welche Informationen Im Unterscheid bei normalen PHP-Session-Cookies und einem fe_user_auth-Cookie abgelegt werden. Ist das in beiden Fällen nur ein verschlüsselter Hashwert oder werden bspw. auch Suchanfragen, Weiterleitungen, Berechtigungen etc. abgelegt?

Eingeloggte User werden ja bspw. auch mit IP und Zugriffzeit im Log geführt, normale Nutzer nicht.

Edit:
Gibt es evtl. irgendwo einen Muster-Datenschutzhinweis, wie eine Erläuterung zu Cookies aussehen könnte, wenn sowohl einfache Nutzer wie auch Mitglieder (mit Login) ein Contao-System nutzen?

Entspricht das Verfallsdatum des fe_user_auth der Einstellung des Autologin-Zeitraums im BE?

**andrea$** · 25.03.2016, 20:37

...auch bei mir funktionert der Befehl: php_value session.use_cookies 0 in der .htaccess nicht Internal Error und im error_log steht:

Invalid command 'session.use_cookies', perhaps misspelled or defined by a module not included in the server configuration

das php_value session.use_cookies 0 bringt zwar keine Fehlermeldung aber die Cookies werden gesetzt!

Meine Hoster habe ich schon angeschrieben.

**andrea$** · 27.03.2016, 10:16

Zitat von andrea$

...auch bei mir funktionert der Befehl: php_value session.use_cookies 0 in der .htaccess nicht Internal Error und im error_log steht:

Invalid command 'session.use_cookies', perhaps misspelled or defined by a module not included in the server configuration

das php_value session.use_cookies 0 bringt zwar keine Fehlermeldung aber die Cookies werden gesetzt!

Meine Hoster habe ich schon angeschrieben.

Ich habe ne eigene php.ini in das Rootverzeichnis von Cto abgelegt aber das wird wohl von meinem Hoster nicht unterstützt.
Änderung:
session.use_cookies = 0
session.use_only_cookies = 0

Auch Rootverzeichnis meines Webspace greifen die Änderungen nicht.

**Spooky** · 27.03.2016, 10:23

Ob und wie du das einstellen kannst wird dir im Endeffekt nur der Hoster sagen können. Außer du sagst uns, bei welchem Hoster du bist, dann kann dir das evt. jemand sagen, der das bei genau diesem Hoster schon einmal versucht hat.

**andrea$** · 27.03.2016, 17:19

der Support hat bisher noch nicht geantwortet!

Im Webpanel (Plesk) gibt es PHP Einstellungen aber da kann ich auch so gut wie nichts ändern, bis auf:

error_reporting
display_errors
log_errors
allow_url_fopen
file_uploads
short_open_tag

**andrea$** · 05.04.2016, 07:57

Zitat von Spooky

Ob und wie du das einstellen kannst wird dir im Endeffekt nur der Hoster sagen können.

ich befürchte, das wird wohl nicht mehr geschehen Probleme bei P-H.
Ich habe auf ca. 10 Anfragen immer noch keine Antwort erhalten. Ich denke, ich bin auch gut beraten den Provider zu wechseln.