RSS
 

Posts Tagged ‘firefox’

Session und Cookies Domainübergreifend im Frameset im Internet Explorer – ja es geht!

08 Jun

Heute hatte ich mal wieder ein lustiges Problem mit dem allseits beliebten IE. Offensichtlich ist es schon seit einer Weile so, dass der IE ab der Standardsicherheitsstufe keine Cookies von sog. 3rd Parties mehr akzeptiert. Als 3rd Party gilt natürlich auch eine Seite, die von Domain abc.de in einem Frameset aufgerufen wird und unter der Domain xyz.de erreichbar ist. Dem Firefox ist das übrigens komplett wurscht. Er schreibt den Cookie ohnehin nur für die Domain xyz.de wenn er von dort aus gesetzt werden soll.

Nun gut – auf Anhieb scheint das Problem unlösbar. Man kann es drehen und wenden wie man will, der IE verweigert sich einfach. Ob Session oder direktes Setzen eines Cookies – man bleibt vor verschlossenen Türen.

Die Lösung dieses Problems ist tatsächlich denkbar einfach und stellt die ach so tolle Sicherheitsregel des IE gehörig in Frage:

Man schickt im Header der Seite, also vor Auslieferung des Contents und auch vor dem Setzen des ersten Cookies, einfach folgende Zeile mit:
P3P: CP="CAO PSA OUR

In PHP sähe das zum Beispiel so aus:

<?php
header('P3P: CP="CAO PSA OUR"');
?>

Und schon werden Cookies brav akzeptiert. Was hat das nun für einen Hintergrund?
Der IE erwartet die Einhaltung definierter Security Policies. Diese findet man hier:
http://www.w3c.org/TR/P3P/

Der sogenannte sog. P3P Standard (Platform for Privacy Preferences)

Was bedeuten die Angaben im Detail? Das ist schnell erklärt:
CAO: Die Webseite gewährt Zugang zu den eigenen Kontaktdaten
PSA: Erhobene Daten werden nicht mit einer natürlichen Person in Verbindung gebracht
OUR: Erhobene Daten werden nicht an Dritte weiter gegeben

Nun mag man vielleicht auf den Gedanken kommen “Verdammt, aber ich halte diese Angaben doch gar nicht ein…” – macht nix. Bisher gibt es keine Methode, diese Angaben auf ihre Richtigkeit zu überprüfen.
Das soll jetzt natürlich kein Aufruf zu illegalen Machenschaften sein. In meiner Nebenrolle als betrieblicher Datenschutzbeauftragter, lege ich natürlich höchsten Wert auf die Einhaltung solcher Regeln und die Beachtung des BDSG. Eine solche Maßnahme von den Internet Explorer Entwicklern scheint mir aber so dermaßen sinnlos wenn sie so leicht umgangen werden kann, dass ich im gleichen Zuge keinen Grund sehe, sich einfach drum herum zu mogeln.

 

 
1 Comment

Posted in Software

 

Finger weg von WOT (Web of Trust)

29 Sep

Bei WOT (Web of Trust) handelt es sich um ein Addon für Firefox und Internet Explorer welches vom Grundgedanken her wirklich nicht verkehrt ist.

Angemeldete Mitglieder können Seiten aufgrund von vier Kriterien bewerten: Vertrauenswürdigkeit, Händlerzuverlässigkeit, Datenschutz und Jugendschutz. Somit wäre es theoretisch möglich schwarze Schafe im Internet kenntlich zu machen. Leider gibt es dabei zwei Probleme:

1. Die Community beurteilt rein subjektiv
Ein Beispiel: Auf einer Webseite werden Bücher zum Thema Homöopathie verkauft. Einige WOT-User können mit diesem Thema nichts anfangen und halten es für Unfug. Um dies der gesamten Welt kund zu tun, bewerten Sie die Seite schlecht und zwar anhand der oben genannten Kriterien.

Ein weiteres Beispiel:
Eine Webseite eines Reisebüros ist seit vielen Jahren TÜV-geprüft. Das bedeutet, dass einmal pro Jahr ein kostspieliges Audit vom TÜV Süd vorgenommen wird. Hier wird das komplette Unternehmen, das Geschäftsmodell, der Webauftritt und die Sicherheit der Server bis aufs letzte Detail durchleuchtet. Teilweise sogar mit Besuchen von Auditoren vor Ort.
Nun steht ein WOT-User eines Tages mit dem falschen Bein auf und denkt sich “Bäh – blöde Seite… ich behaupte jetzt einfach mal die Betreiber sind Betrüger und warne die Leute davor dort irgendwelche Geschäfte abzuschließen”
Der Herr ist nicht mal Kunde des Reisebüros (ich weiß das weil ich auch dort arbeite) und behauptet solche Sachen.

Ein bisschen Recherche im Internet zeigt schnell, dass das keine Einzelfälle sind.

Doch was ist jetzt so schlimm daran von WOT schlecht bewertet zu werden?

Ansich könnte es einem ja egal sein was in irgendeiner Community geschrieben und bewertet wird. Das Problem ist, dass es sicher zahlreiche User gibt die das Ganze nicht hinterblicken und blauäugig und naiv dieses Addon installieren und davon ausgehen, dass die Bewertungen Hand und Fuß haben. Für die Betreiber der betroffenen Webseiten kann das direkten Umsatzverlust bedeuten. WOT weist nämlich nicht irgendwie auf diesen Mißstand hin sondern färbt den kompletten Browser dunkel ein und schreibt in großer, roter Schrift auf den Bildschirm “Diese Seite hat einen schlechten Ruf”.
Das schreckt jeden Otto-Normalverbraucher umgehend ab.

Wie schon gesagt finde ich die Idee dahinter sehr gut. Aber so wie es derzeit gelebt wird bringt es leider gar nichts.

Vielleicht an dieser Stelle ein paar Vorschläge an die Betreiber von WOT:

  1. Ermöglicht es den Seitenbetreibern entsprechend Stellung zu beziehen und sich zu erklären
  2. Vereinfacht es bestimmte Bewertungen löschen zu lassen
  3. Überprüft die Häufigkeit von Bewertungen bestimmter User. Wenn ich da Leute mit über 80.000 Bewertungen sehe stelle ich schnell fest, dass diese qualitativ nicht gut sein können. Qualität statt Quantität!

Allen anderen kann ich nur empfehlen: Glaubt den Bewertungen von WOT nicht bedingungslos sondern macht euch selbst ein Bild! Mit ein bisschem gesundem Menschenverstand ist man auf solche Tools nicht angewiesen.

Kleines Update vom 02.05.2012:
Gott sei Dank werden immer mehr Stimmen laut und WOT steht immer stärker in der Kritik:
http://www.netz-trends.de/id/1615/Dubios-WOT-Web-of-Trust—Mozilla-Firefox-ad-on-wenig-glaubhaft/
http://www.kriegsberichterstattung.com/id/1423/wot-web-of-trust-die-grose-volksverarsche-eines-unseriosen-mozilla-ad-on-anbieters/

 
No Comments

Posted in Software, Websites