Datenschutzkonforme Cookies in Weblication

Das Cookie-Handling innerhalb Weblication® CMS Core/Grid.

Weblication® speichert aus Datenschutzgründen grundsätzlich keine Cookies auf dem Rechner des Besuchers. Um PHP-Sessions zu nutzen, werden lediglich Session-Cookies eingesetzt.

Cookie-Handling in Weblication® CMS

Die von Weblication genutzten Session-Cookies werden nur im Hauptspeicher des Browsers abgelegt, wodurch sie nach dem Schließen des Browsers wieder verloren gehen. Das ist auch der Grund, weshalb Sie sich nach dem Schließen des Browsers generell neu einloggen müssen. Besuchsdaten, die während einer Session persistent vorgehalten werden müssen, sind z.B. Formulardaten, um diese bei fehlerhafter Eingabe erneut anzuzeigen. Spätestens mit dem Absenden des Formulares werden auch diese gelöscht.
Mit einer aktuellen Weblication® CMS Version 12.x wird das bislang verwendete cc-Cookie (z.B. in alten Login-Formularen gesetzt) nicht mehr benötigt und verwendet. Dies wurde bislang genutzt, um zu prüfen, ob Cookies funktionieren.
Für Seitenbesucher sind ab Weblication® CMS Version 13.x überhaupt keine Cookies mehr notwendig.

Die immer öfter anzutreffenden Abfragen, ob man einwilligt, Cookies zu nutzen ist dann notwendig, wenn Daten mit Hilfe von Cookies über den Besuch hinaus gespeichert werden. Dies ist mit Weblication nicht der Fall.
Die Dauer der Cookies kann zwar grundsätzlich über eigene Skripte verlängert werden, softwareseitig stehen dafür allerdings keine Funktionen zur Verfügung.

Hilfs-Cookies, also Cookies, die serverseitig zu keinerlei Datenspeicherung führen, wie z.B. das Merken der Datenschutzeinstellungen, werden für längere Zeit behalten, da sie auch nur dann Sinn machen.
Aktuelle BASE (Mobile First) Projekte sind hinsichtlich der Speicherdauer dieser Datenschutzeinstellung-Cookies auf einen kürzeren Zeitraum reduziert. Eine permanente Verlängerung ist hier nicht gesetzt, da dies ggf. Rückschlüsse geben kann, wann der Besucher zuletzt auf der Seite war.

Zusammenfassend kann man folgende Aussagen zum Thema Cookies und Weblication® CMS treffen:

  • Weblication® speichert keine Cookies (ausser Hilfs-Cookies, siehe oben) auf dem Rechner des Besuchers.
  • Mit dem Schließen des Browsers kann Weblication® keine Benutzerzuordnung mehr treffen.
  • Alternative Techniken zur Benutzerverfolgung, wie z.B. Flash-Cookies, HTML5-LSO oder Device Fingerprinting finden in der Standardauslieferung weder im CMS, noch in Weblics® Anwendung

Sicherheitseinstellungen zu Session-Cookies

Ab Weblication® CMS Version 7.x ist das Cookie-Handling in der Konfiguration einstellbar.

httpOnly:
Setzen Sie hierzu den Wert des httpOnly-Attributes innerhalb des cookie-Tags (zu sessions) auf den Wert "1", damit Cookies nicht per JavaScript ausgelesen werden können. Dies ist standardmässig bereits seit längerem bei Neuinstallation gesetzt. Prüfen Sie dies sicherheitshalber in Ihrer Installation.

secure:
Setzen Sie hierzu den Wert des secure-Attributes innerhalb des cookie-Tags (zu sessions) auf den Wert "1", damit ein über HTTPS gesetztes Cookie nur über eine sichere Verbindung gesendet wird.

Sofern das Tag in der default.wConf.php noch nicht vorhanden sein sollte, setzen Sie dies XML-Konform.
Diese Optionen finden Sie zu PHP in der setcookie Dokumentation beschrieben.

samesite:
Setzen Sie hierzu den Wert des samesite-Attributes innerhalb des cookie-Tags (zu sessions) auf den Wert gewünschten Wert ("Strict", "Lax" oder "None"), damit beim Setzen von Cookies das samesite-Element den entsprechenden Wert gesetzt bekommt.
(verfügbar ab CMS-Version 014.002.101.000)

<wConf version="15">
  ...
  <sessions>
    ...
    <cookie secure="1" httpOnly="1" samesite="Strict"/>
  </sessions>
  ...
</wConf>

Cookie-Hinweis auf Webseiten