Session und Cookies Domainübergreifend im Frameset im Internet Explorer – ja es geht!

Heute hatte ich mal wieder ein lustiges Problem mit dem allseits beliebten IE. Offensichtlich ist es schon seit einer Weile so, dass der IE ab der Standardsicherheitsstufe keine Cookies von sog. 3rd Parties mehr akzeptiert. Als 3rd Party gilt natürlich auch eine Seite, die von Domain abc.de in einem Frameset aufgerufen wird und unter der Domain xyz.de erreichbar ist. Dem Firefox ist das übrigens komplett wurscht. Er schreibt den Cookie ohnehin nur für die Domain xyz.de wenn er von dort aus gesetzt werden soll.

Nun gut – auf Anhieb scheint das Problem unlösbar. Man kann es drehen und wenden wie man will, der IE verweigert sich einfach. Ob Session oder direktes Setzen eines Cookies – man bleibt vor verschlossenen Türen.

Die Lösung dieses Problems ist tatsächlich denkbar einfach und stellt die ach so tolle Sicherheitsregel des IE gehörig in Frage:

Man schickt im Header der Seite, also vor Auslieferung des Contents und auch vor dem Setzen des ersten Cookies, einfach folgende Zeile mit:
P3P: CP="CAO PSA OUR

In PHP sähe das zum Beispiel so aus:

<?php
header('P3P: CP="CAO PSA OUR"');
?>

Und schon werden Cookies brav akzeptiert. Was hat das nun für einen Hintergrund?
Der IE erwartet die Einhaltung definierter Security Policies. Diese findet man hier:
http://www.w3c.org/TR/P3P/

Der sogenannte sog. P3P Standard (Platform for Privacy Preferences)

Was bedeuten die Angaben im Detail? Das ist schnell erklärt:
CAO: Die Webseite gewährt Zugang zu den eigenen Kontaktdaten
PSA: Erhobene Daten werden nicht mit einer natürlichen Person in Verbindung gebracht
OUR: Erhobene Daten werden nicht an Dritte weiter gegeben

Nun mag man vielleicht auf den Gedanken kommen „Verdammt, aber ich halte diese Angaben doch gar nicht ein…“ – macht nix. Bisher gibt es keine Methode, diese Angaben auf ihre Richtigkeit zu überprüfen.
Das soll jetzt natürlich kein Aufruf zu illegalen Machenschaften sein. In meiner Nebenrolle als betrieblicher Datenschutzbeauftragter, lege ich natürlich höchsten Wert auf die Einhaltung solcher Regeln und die Beachtung des BDSG. Eine solche Maßnahme von den Internet Explorer Entwicklern scheint mir aber so dermaßen sinnlos wenn sie so leicht umgangen werden kann, dass ich im gleichen Zuge keinen Grund sehe, sich einfach drum herum zu mogeln.

 

One reply on “Session und Cookies Domainübergreifend im Frameset im Internet Explorer – ja es geht!”

Schreibe einen Kommentar