Keine Cookies an Server senden

Zitat von Sailor_44

Gibt es eine Möglichkeit das ich vom Server das Senden von Cookies verbiete, so wie ich einen Cacheheader schicken kann.

Nicht, dass ich wüsste, und meines Erachtens wäre dieser Ansatzt auch problematisch. Cookies sind ja nichts per se Schlechtes und für grundlegende Funktionalität unzähliger Websites zwingend erforderlich. Einen Anwendungsfall, zu verhindern, dass Cookies gar nicht angelegt werden, sehe ich keinen, insbesondere da der Browser bereits die Werkzeuge bereitstellt, damit Cookies, falls gewünscht, nicht dauerhaft gespeichert werden. Der Privatsphäre-Aspekt wird also mit dem, was es bereits gibt, adressiert. Deine Idee würde lediglich für massig Funktionalitäts-Probleme sorgen, ohne im Gegenzug einen Vorteil zu bringen. Das Traffic-Argument mag zwar theoretisch zutreffend sein, ist in der Praxis aber nicht wirklich relevant, da der daraus resultierende Performance-Einfluss so marginal ist, dass er nicht nur nicht spürbar, sondern auch kaum messbar ist und im Bereich der Messungenauigkeit liegen würde.

Abgesehen davon würde es überhaupt nichts daran ändern, ob du Cookies bestätigen musst oder nicht. Das ist Website-Funktionalität. Selbst wenn du es schaffen würdest, dass Cookies überhaupt nicht mehr gespeichert werden, wüsste die Website davon nichts und würde weiterhin den entsprechenden Dialog anzeigen.

PS: Der Themen-Titel sagt genau das Gegenteil dessen, was du im Beitrag schreibst (an Server senden vs. vom Server senden).

Eine Diskussion hat sich schon mit Inkrafttreten der DSGVO erübrigt. Entweder setzt du das um, was Sören dir geraten hast, oder du lebst mit Einschränkungen oder gar Fehlfunktionen. Cookies verhindern ist eh sinnfrei, mit einer Cookie-Erweiterung automatisch löschen lassen ist aktuell cleverer.

Zitat von Sailor_44

Für die einzelne Seite mag der Performancegewinn kaum messbar sein. In der Summe aller Anfragen könnte das den Traffik jedoch schon reduzieren (kommt auf den Umfang und die Anzahl der Cookies an).

Nicht kaum. Überhaupt nicht. Ich befasse mich wirklich viel damit, Websites schneller zu machen. Alleine heute war ich wieder mehrere Stunden nur damit beschäftigt. Deswegen traue ich mir auch eine Einschätzung darüber zu, dass das nicht der Punkt ist, wo die Performance flöten geht. Da gibt es andere Maßnahmen, die einfach sehr viel mehr bringen als solche Micro-Optimierungen.

Zitat von Sailor_44

Wenn aber Firefox ein Icon, analog zu "keine Script erkannt", bzw "verifiziert" einblendet, muss die Webseite nicht mehr darauf hinweisen und er User kann sofort sehen, das keine Cookies übertragen werden.

Den Teil des Vorschlags verstehe ich ehrlich gesagt nicht. Wieso sollte Firefox anzeigen, dass es keine Cookies gibt? Das impliziert ja, dass Cookies etwas Schlechtes wären, was so ja nun ganz und gar nicht stimmt. Zumal die Notwendigkeit für Cookies nicht bereits mit dem Laden der Seite gegeben sein muss. Soll Firefox mitten in der Benutzung einen Hinweis einblenden, dass es nun doch Cookies braucht? Vor allem aber: Was genau hat der Nutzer davon?

Von den Logik-Fragen abgesehen geht der Trend außerdem dahin, den Nutzer weniger und nicht mehr mit Informationen zu "belästigen", welche ihn von dem abhalten, wieso er Firefox eigentlich nutzt. Aus diesem Grund gibt es ab Firefox 88 beispielsweise nicht mehr die Leiste, welche auf einen langsamen Start hinweist und eine Erneuerung des Profils vorschlägt, und mit Firefox 89 werden die kontextbezogenen Empfehlungen in der Adressleiste entfernt, ebenso wie die Schaltfläche, welche anzeigt, welche Neuerungen es nach einem Firefox-Update gibt.

Eine Meldung, dass kein Script erkannt worden wäre, wie du es als vergleichbares Beispiel nennst, kenne ich aus Firefox übrigens nicht.

Zitat von Sailor_44

Ich finde das zumindest ein Diskussion wert.

Wenn du einen neuen Webstandard vorschlagen möchtest, bist du in diesem Forum komplett falsch. Hier kann dir nur gesagt werden, dass es das nicht gibt und wieso man das für eine gute oder schlecht Idee hält. Aber nochmal: Aus deinem Vorschlag ergibt sich absolut kein nennenswerter Vorteil und die Zielgruppe wäre auch verschwindend gering, da es Seiten so komplett ohne Cookie-Bedarf nur ganz wenige gibt. Insofern wäre es wohl vergebene Mühe, einen neuen Standard vorzuschlagen, zumal sich so ein Standardisierungs-Prozess über Jahre ziehen kann und die ganze Idee in meinen Augen noch sehr unausgereift ist.

Firefox sendet keine Cookies.

Zitat von Sailor_44

Bitte Fragestellung genau lesen.

Ich habe deine Beiträge genau gelesen. Es ändert nichts an dem, was ich sagte: Dass ich a) den Vorschlag für nicht besonders sinnvoll halte und du b) hier völlig falsch bist, wenn du einen neuen Standard vorschlagen möchtest.

Zitat von Sailor_44

Das hat auch nicht damit zu tun, dass ich Firefox anweisen kann cookies beim beenden zu löschen.

Selbstverständlich hat das mit damit zu tun und zwar vor dem Hintergrund der Bewertung, wie sinnvoll dein Vorschlag ist. Dein Vorschlag muss schließlich nennenswerte Vorteile bringen. Einen nennenswerten Performance-Vorteil gibt es wie gesagt keinen. Was wirklich ein Argument wäre, wäre ein Privatsphäre-Vorteil. Aber den gibt es aus eben diesem genannten Grund auch nicht. Und damit hat diese Aussage dann auch mit dem Thema zu tun. Denn die Aussage unterstützt meinen Standpunkt zu dem Thema, nämlich dass der Vorschlag keinen nennenswerten Vorteil bringt.

Zitat von Sailor_44

Mir erschliest sich nicht warum sinnvoll bei einer <img src="blabla.jpg">

alle Cookies mit gesendet werden.

Ich denke, die Funktionsweise des Webs im Detail zu erklären, führt an dieser Stelle zu weit. Da gibt es vermutlich bessere Orte für als dieses Forum.

Zitat von .DeJaVu

Firefox sendet keine Cookies.

Natürlich werden Cookies mit jeder Anfrage an den entsprechenden Server gesendet.

hmm, sollte ich bislang so falsch gelegen haben? Ich dachte nämlich, dass die entsprechenden Webseiten bzw. Server Daten in Cookies hinterlegen und später selbst wieder auslesen. Das ist für mich was anderes als Cookies senden, weil ich mit letzterem einen aktiven Vorgang in Firefox verbinde und keinen auf Anfrage.

Der Server kann Cookies lesen, kann aber nicht auf den Client zugreifen, ergo werden die Cookies mit jeder Anfrage an den Server gesendet. Das ist auch der Grund, wieso du im Netzwerkanalyse-Werkzeug von Firefox einen Cookies-Reiter bei jeder Anfrage hast und dort explizit von "Anfrage-Cookies" die Rede ist. Das ist ein wesentlicher Unterschied zum Local Storage beispielsweise, der komplett Client-seitig ist und nichts an den Server sendet.

Zitat von Sören Hentzschel

ergo werden die Cookies mit jeder Anfrage an den Server gesendet.

Voller Konsent. Genau so habe ich es verstanden.

Zitat von Sailor_44

Wozu müssen bei der Anforderung eines .png Cookies übertragen werden

Hallo Detlef

das musst Du den Betreiber der jeweiligen Website fragen. Woher sollen wir das wissen?

Zitat von Sailor_44

Ich akzeptiere, daß es sich dann hier um das falsche Forum handelt hätte

Ja, mit dem Fx hat das nicht das geringste zu tun.

Zitat von Sailor_44

hätte mir nur etwas mehr Offenheit gewünscht

Was meinst Du damit? Hier ist ein Fx-Forum, in dem User anderen Usern bei Problemen mit dem Fx helfen. Du hast kein Problem mit dem Fx. Woher sollen wir hier wissen, warum bestimmte Webseiten welche Cookies setzen?

Gruß Ingo

Zitat von Sailor_44

Davon abgesehen würde ich ein Kennwort niemals als Cookie ablegen, sondern nur in einem Worker und dann auch dort zusätzlich verschlüsselt übertragen.

Da kann man nur hoffen, das die User unterschiedliche Kennworte bei camp-firefox verwenden.

Das passiert hier auch nicht und ich bin ehrlich gesagt nicht davon begeistert, dass du hier den Eindruck erweckst, so etwas würde auf camp-firefox.de passieren. Ganz im Gegenteil, die hier verwendete Software folgt einem sehr hohen Sicherheits-Standard und es gibt nicht einen einzigen bekannten Fall, der auf ein Sicherheits-Defizit hindeutet. Die Daten-Sicherheit der Nutzer von camp-firefox.de ist definitiv gewährleistet. Natürlich sollte man überall ein unterschiedliches Passwort verwenden, aber nicht deswegen. Und um auch das noch klarzustellen: Auf camp-firefox.de werden an keiner Stelle Passwörter unverschlüsselt übertragen. Das passiert nicht.

Zitat von Sailor_44

Wer betreibt den die Seite camp-firefox?

Das ist völlig irrelevant, weil ich als Betreiber dieser Seite nicht das Geringste damit zu tun habe, wie das Web funktioniert.

Zitat von Sailor_44

- Anwortkofzeilen ansehen Siehe da Cookie mit Password.

Was du an dieser Stelle verschweigst: Im Falle dieser Seite sprechen wir von einem verschlüsselten Hash, welcher eine Sicherheits-Funktion erfüllt, und nicht tatsächlich vom Klartext-Passwort. Keine Ahnung, ob du hier einem Irrtum aufliegst, weil das Cookie mit password benannt ist, aber das siehst du ja sofort am Inhalt, dass das nicht dein Nutzer-Passwort ist.

Seiten, die tatsächlich ein Passwort im Klartext in einem Cookie speichern, mag es geben, da es grundsätzlich nichts gibt, was es nicht gibt. Aber das ist dann eine Ausnahme und absolut nicht die Regel. Es gibt keinen sinnvollen Grund dafür, tatsächlich ein Passwort in einem Cookie zu speichern und glücklicherweise passiert das auch praktisch nirgends.

Bevor hier noch weitere Unwahrheiten über die Sicherheit dieser Plattform verbreitet werden, schließe ich hier. Ich halte es für schädlich, Nutzer mit solchen Falschmeldungen zu verunsichern. Aber die Richtigstellung war wichtig, auch wenn der letzte Beitrag schon ein paar Tage her ist. Ich war nicht mehr eher hier im Thema, sonst wäre das bereits früher passiert.