Keine Cookies an Server senden

  • Firefox-Version
    86.0
    Betriebssystem
    Debian buster

    Die DSGVO erzeugt ja mitlerweile den Cookiewahnsinn, dass bei jeder Webseite erst die Cookies erlaubt werden müssen.

    Ich möchte einen umgekehrten Weg gehen können.

    Ich habe Seiten auf denen Cookies verwendet werden und andere Seiten ohne Cookies.

    Gibt es eine Möglichkeit das ich vom Server das Senden von Cookies verbiete, so wie ich einen Cacheheader schicken kann.

    Das würde auch u.U. den Traffic senken, da ja auch bei jeder Anforderung auch eines Image alle Cookies mit gesendet werden.


    Firefox könnte ja dann noch ein schickes Logo NoCookies einblenden. :)

    Gruß Detlef

    I7 6700,Memory 64 GB, SSD 512 GB, HD 4TB,
    RADEON PRO WX4100, Bildschirme 2x 24" , 2x 32"

    1 SMP PREEMPT_DYNAMIC Debian 6.1.38-2 (2023-07-27) x86_64 GNU/Linux

  • Gibt es eine Möglichkeit das ich vom Server das Senden von Cookies verbiete, so wie ich einen Cacheheader schicken kann.

    Nicht, dass ich wüsste, und meines Erachtens wäre dieser Ansatzt auch problematisch. Cookies sind ja nichts per se Schlechtes und für grundlegende Funktionalität unzähliger Websites zwingend erforderlich. Einen Anwendungsfall, zu verhindern, dass Cookies gar nicht angelegt werden, sehe ich keinen, insbesondere da der Browser bereits die Werkzeuge bereitstellt, damit Cookies, falls gewünscht, nicht dauerhaft gespeichert werden. Der Privatsphäre-Aspekt wird also mit dem, was es bereits gibt, adressiert. Deine Idee würde lediglich für massig Funktionalitäts-Probleme sorgen, ohne im Gegenzug einen Vorteil zu bringen. Das Traffic-Argument mag zwar theoretisch zutreffend sein, ist in der Praxis aber nicht wirklich relevant, da der daraus resultierende Performance-Einfluss so marginal ist, dass er nicht nur nicht spürbar, sondern auch kaum messbar ist und im Bereich der Messungenauigkeit liegen würde.

    Abgesehen davon würde es überhaupt nichts daran ändern, ob du Cookies bestätigen musst oder nicht. Das ist Website-Funktionalität. Selbst wenn du es schaffen würdest, dass Cookies überhaupt nicht mehr gespeichert werden, wüsste die Website davon nichts und würde weiterhin den entsprechenden Dialog anzeigen.

    PS: Der Themen-Titel sagt genau das Gegenteil dessen, was du im Beitrag schreibst (an Server senden vs. vom Server senden).

  • Hallo Sören,

    ich sehe da kein Problem mit der Funktionalität.

    Die User macht eine Anfrage GET filexyz.php

    Der Server antwortet : und schickt z.B. einen header "NOCOOKIES" ( den gibt es noch nicht)

    Firefox schickt daraufhin die Anfragekopfzeilen ohne Cookies) und sendet auch im weiteren Verlauf keine Cookies bei Images, .js ...
    Firefox muss ja sowieso feststellen welche Cookies er senden darf und wenn er die Info hat "NOCookies"

    get das auch schneller (marginal).

    Da der Ersteller der Webseite das dann steuern kann, sind alle kommerziellen Seite mit ihren Cookies nicht betroffen, da das ja aktiv vom Server aktiviert wird / werden muß.

    Für die einzelne Seite mag der Performancegewinn kaum messbar sein. In der Summe aller Anfragen könnte das den Traffik jedoch schon reduzieren (kommt auf den Umfang und die Anzahl der Cookies an).

    Klar ist, das die Webseite die Bestätigung anfordert. Wenn aber Firefox ein Icon, analog zu "keine Script erkannt", bzw "verifiziert" einblendet, muss die Webseite nicht mehr darauf hinweisen und er User kann sofort sehen, das keine Cookies übertragen werden.

    Ich finde das zumindest ein Diskussion wert.

    Gruß Detlef

    I7 6700,Memory 64 GB, SSD 512 GB, HD 4TB,
    RADEON PRO WX4100, Bildschirme 2x 24" , 2x 32"

    1 SMP PREEMPT_DYNAMIC Debian 6.1.38-2 (2023-07-27) x86_64 GNU/Linux

  • Eine Diskussion hat sich schon mit Inkrafttreten der DSGVO erübrigt. Entweder setzt du das um, was Sören dir geraten hast, oder du lebst mit Einschränkungen oder gar Fehlfunktionen. Cookies verhindern ist eh sinnfrei, mit einer Cookie-Erweiterung automatisch löschen lassen ist aktuell cleverer.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Für die einzelne Seite mag der Performancegewinn kaum messbar sein. In der Summe aller Anfragen könnte das den Traffik jedoch schon reduzieren (kommt auf den Umfang und die Anzahl der Cookies an).

    Nicht kaum. Überhaupt nicht. Ich befasse mich wirklich viel damit, Websites schneller zu machen. Alleine heute war ich wieder mehrere Stunden nur damit beschäftigt. Deswegen traue ich mir auch eine Einschätzung darüber zu, dass das nicht der Punkt ist, wo die Performance flöten geht. Da gibt es andere Maßnahmen, die einfach sehr viel mehr bringen als solche Micro-Optimierungen.

    Wenn aber Firefox ein Icon, analog zu "keine Script erkannt", bzw "verifiziert" einblendet, muss die Webseite nicht mehr darauf hinweisen und er User kann sofort sehen, das keine Cookies übertragen werden.

    Den Teil des Vorschlags verstehe ich ehrlich gesagt nicht. Wieso sollte Firefox anzeigen, dass es keine Cookies gibt? Das impliziert ja, dass Cookies etwas Schlechtes wären, was so ja nun ganz und gar nicht stimmt. Zumal die Notwendigkeit für Cookies nicht bereits mit dem Laden der Seite gegeben sein muss. Soll Firefox mitten in der Benutzung einen Hinweis einblenden, dass es nun doch Cookies braucht? Vor allem aber: Was genau hat der Nutzer davon?

    Von den Logik-Fragen abgesehen geht der Trend außerdem dahin, den Nutzer weniger und nicht mehr mit Informationen zu "belästigen", welche ihn von dem abhalten, wieso er Firefox eigentlich nutzt. Aus diesem Grund gibt es ab Firefox 88 beispielsweise nicht mehr die Leiste, welche auf einen langsamen Start hinweist und eine Erneuerung des Profils vorschlägt, und mit Firefox 89 werden die kontextbezogenen Empfehlungen in der Adressleiste entfernt, ebenso wie die Schaltfläche, welche anzeigt, welche Neuerungen es nach einem Firefox-Update gibt.

    Eine Meldung, dass kein Script erkannt worden wäre, wie du es als vergleichbares Beispiel nennst, kenne ich aus Firefox übrigens nicht.

    Ich finde das zumindest ein Diskussion wert.

    Wenn du einen neuen Webstandard vorschlagen möchtest, bist du in diesem Forum komplett falsch. Hier kann dir nur gesagt werden, dass es das nicht gibt und wieso man das für eine gute oder schlecht Idee hält. Aber nochmal: Aus deinem Vorschlag ergibt sich absolut kein nennenswerter Vorteil und die Zielgruppe wäre auch verschwindend gering, da es Seiten so komplett ohne Cookie-Bedarf nur ganz wenige gibt. Insofern wäre es wohl vergebene Mühe, einen neuen Standard vorzuschlagen, zumal sich so ein Standardisierungs-Prozess über Jahre ziehen kann und die ganze Idee in meinen Augen noch sehr unausgereift ist.

  • Zitat

    Zumal die Notwendigkeit für Cookies nicht bereits mit dem Laden der Seite gegeben sein muss. Soll Firefox mitten in der Benutzung einen Hinweis einblenden, dass es nun doch Cookies braucht?

    Ich will weder Cookies abschaffen oder verteufeln. Bitte Fragestellung genau lesen.

    Ich habe mehrere Webseiten, die u.U. viele Cookies setzen.

    Ich habe weitere Webseiten (mit vielen Images) die keine Cookies benötigen. Diese Seiten senden als Antwort z.B. auf den Get header wie


    wen wnn hier eine Information mit gesendet würde , he Browser ich will keine Cookies, dann kann sich der Broswer das mitsenden der Cookies schenken. Da die Webseite selbst festgelegt hat, dass sie keine Cookies will, ist dei Konstrukt, dass sie dann doch welches benötigt simple falsch, denn dann darf sie das am Anfang nicht forderm.

    Das hat auch nicht damit zu tun, dass ich Firefox anweisen kann cookies beim beenden zu löschen.

    Google möchte z.b. gepackte scripts und css um den Trafik und die Anzahl der Anfragen zu vermindern.

    Aber hier wird unnütz traffik erzeugt.

    Mag ja sein, dass das hier das falsche Forum ist.

    Mir erschliest sich nicht warum sinnvoll bei einer <img src="blabla.jpg">

    alle Cookies mit gesendet werden.

    Gruß Detlef

    I7 6700,Memory 64 GB, SSD 512 GB, HD 4TB,
    RADEON PRO WX4100, Bildschirme 2x 24" , 2x 32"

    1 SMP PREEMPT_DYNAMIC Debian 6.1.38-2 (2023-07-27) x86_64 GNU/Linux

  • Bitte Fragestellung genau lesen.

    Ich habe deine Beiträge genau gelesen. Es ändert nichts an dem, was ich sagte: Dass ich a) den Vorschlag für nicht besonders sinnvoll halte und du b) hier völlig falsch bist, wenn du einen neuen Standard vorschlagen möchtest.

    Das hat auch nicht damit zu tun, dass ich Firefox anweisen kann cookies beim beenden zu löschen.

    Selbstverständlich hat das mit damit zu tun und zwar vor dem Hintergrund der Bewertung, wie sinnvoll dein Vorschlag ist. Dein Vorschlag muss schließlich nennenswerte Vorteile bringen. Einen nennenswerten Performance-Vorteil gibt es wie gesagt keinen. Was wirklich ein Argument wäre, wäre ein Privatsphäre-Vorteil. Aber den gibt es aus eben diesem genannten Grund auch nicht. Und damit hat diese Aussage dann auch mit dem Thema zu tun. Denn die Aussage unterstützt meinen Standpunkt zu dem Thema, nämlich dass der Vorschlag keinen nennenswerten Vorteil bringt.

    Mir erschliest sich nicht warum sinnvoll bei einer <img src="blabla.jpg">

    alle Cookies mit gesendet werden.

    Ich denke, die Funktionsweise des Webs im Detail zu erklären, führt an dieser Stelle zu weit. Da gibt es vermutlich bessere Orte für als dieses Forum.

    Firefox sendet keine Cookies. :rolleyes:

    Natürlich werden Cookies mit jeder Anfrage an den entsprechenden Server gesendet.

  • hmm, sollte ich bislang so falsch gelegen haben? Ich dachte nämlich, dass die entsprechenden Webseiten bzw. Server Daten in Cookies hinterlegen und später selbst wieder auslesen. Das ist für mich was anderes als Cookies senden, weil ich mit letzterem einen aktiven Vorgang in Firefox verbinde und keinen auf Anfrage.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Der Server kann Cookies lesen, kann aber nicht auf den Client zugreifen, ergo werden die Cookies mit jeder Anfrage an den Server gesendet. Das ist auch der Grund, wieso du im Netzwerkanalyse-Werkzeug von Firefox einen Cookies-Reiter bei jeder Anfrage hast und dort explizit von "Anfrage-Cookies" die Rede ist. Das ist ein wesentlicher Unterschied zum Local Storage beispielsweise, der komplett Client-seitig ist und nichts an den Server sendet.

  • Richtig, bei jeder Anfrage werden von Firefox alle Cookies gesendet.

    Diese Webseite hat 59 Anfragen (.png, .js , .ico ) dabei werden jedes Mal, auch die Usernummer, und das Passwort (verschlüsselt) mit übertragen.

    Wozu müssen bei der Anforderung eines .png Cookies übertragen werden (hier z.B. das Kennwort , ca 600 Zeichen über 60x )?

    Diese Frage wurde leider nicht beantwortet.

    Davon abgesehen würde ich ein Kennwort niemals als Cookie ablegen, sondern nur in einem Worker und dann auch dort zusätzlich verschlüsselt übertragen.

    Da kann man nur hoffen, das die User unterschiedliche Kennworte bei camp-firefox verwenden.

    PS: ich habe das Kennwort hier im Text etwas modifiziert nur die Länge stimmt.

    Danke für die Antworten


    Ich akzeptiere, daß es sich dann hier um das falsche Forum handelt hätte mir nur etwas mehr Offenheit gewünscht.

    Gruß Detlef

    I7 6700,Memory 64 GB, SSD 512 GB, HD 4TB,
    RADEON PRO WX4100, Bildschirme 2x 24" , 2x 32"

    1 SMP PREEMPT_DYNAMIC Debian 6.1.38-2 (2023-07-27) x86_64 GNU/Linux

  • Wozu müssen bei der Anforderung eines .png Cookies übertragen werden

    Hallo Detlef :)

    das musst Du den Betreiber der jeweiligen Website fragen. Woher sollen wir das wissen?

    Ich akzeptiere, daß es sich dann hier um das falsche Forum handelt hätte

    Ja, mit dem Fx hat das nicht das geringste zu tun.

    hätte mir nur etwas mehr Offenheit gewünscht

    Was meinst Du damit? Hier ist ein Fx-Forum, in dem User anderen Usern bei Problemen mit dem Fx helfen. Du hast kein Problem mit dem Fx. Woher sollen wir hier wissen, warum bestimmte Webseiten welche Cookies setzen?

    Gruß Ingo

  • Zitat

    das musst Du den Betreiber der jeweiligen Website fragen. Woher sollen wir das wissen?

    Wer betreibt den die Seite camp-firefox?

    Jeder kann das überprüfen :

    - Login machen

    - eine andere Seite aufrufen

    - F12 (Entwicklerwerzeuge)

    - Netzwerkanalyse

    - Seite neu laden

    - in beliebigen GET klicken

    - Anwortkofzeilen ansehen Siehe da Cookie mit Password.

    Gruß Detlef

    I7 6700,Memory 64 GB, SSD 512 GB, HD 4TB,
    RADEON PRO WX4100, Bildschirme 2x 24" , 2x 32"

    1 SMP PREEMPT_DYNAMIC Debian 6.1.38-2 (2023-07-27) x86_64 GNU/Linux

  • Davon abgesehen würde ich ein Kennwort niemals als Cookie ablegen, sondern nur in einem Worker und dann auch dort zusätzlich verschlüsselt übertragen.


    Da kann man nur hoffen, das die User unterschiedliche Kennworte bei camp-firefox verwenden.

    Das passiert hier auch nicht und ich bin ehrlich gesagt nicht davon begeistert, dass du hier den Eindruck erweckst, so etwas würde auf camp-firefox.de passieren. Ganz im Gegenteil, die hier verwendete Software folgt einem sehr hohen Sicherheits-Standard und es gibt nicht einen einzigen bekannten Fall, der auf ein Sicherheits-Defizit hindeutet. Die Daten-Sicherheit der Nutzer von camp-firefox.de ist definitiv gewährleistet. Natürlich sollte man überall ein unterschiedliches Passwort verwenden, aber nicht deswegen. Und um auch das noch klarzustellen: Auf camp-firefox.de werden an keiner Stelle Passwörter unverschlüsselt übertragen. Das passiert nicht.

    Wer betreibt den die Seite camp-firefox?

    Das ist völlig irrelevant, weil ich als Betreiber dieser Seite nicht das Geringste damit zu tun habe, wie das Web funktioniert.

    - Anwortkofzeilen ansehen Siehe da Cookie mit Password.

    Was du an dieser Stelle verschweigst: Im Falle dieser Seite sprechen wir von einem verschlüsselten Hash, welcher eine Sicherheits-Funktion erfüllt, und nicht tatsächlich vom Klartext-Passwort. Keine Ahnung, ob du hier einem Irrtum aufliegst, weil das Cookie mit password benannt ist, aber das siehst du ja sofort am Inhalt, dass das nicht dein Nutzer-Passwort ist.

    Seiten, die tatsächlich ein Passwort im Klartext in einem Cookie speichern, mag es geben, da es grundsätzlich nichts gibt, was es nicht gibt. Aber das ist dann eine Ausnahme und absolut nicht die Regel. Es gibt keinen sinnvollen Grund dafür, tatsächlich ein Passwort in einem Cookie zu speichern und glücklicherweise passiert das auch praktisch nirgends.

    Bevor hier noch weitere Unwahrheiten über die Sicherheit dieser Plattform verbreitet werden, schließe ich hier. Ich halte es für schädlich, Nutzer mit solchen Falschmeldungen zu verunsichern. Aber die Richtigstellung war wichtig, auch wenn der letzte Beitrag schon ein paar Tage her ist. Ich war nicht mehr eher hier im Thema, sonst wäre das bereits früher passiert.