none
Datenschutzrichtlinie und Cookies von Drittanbietern beim IE RRS feed

  • Frage

  • Hallo!

    Folgende Situation:

    Es gibt Besucher, die landen über einen Login einer anderen Domain auf meiner Website in einer Art Accountverwaltung, allerdings in einem Frame. Das heißt z.B. User von domain.com landen in meinem System, dass dafür eine Subdomain der Hauptdomain bekam wie bla.domain.com (läuft aber schon auf einem anderen Server). Soweit kein Problem. Jetzt können sich die Benutzer aber aus meinem System heraus einen Server aussuchen, indem sie ihn einfach anklicken und dann dort auch eingeloggt werden. Diese laufen aber auf Subdomains der eigenen Domain wie server1.irgendwas.de (also eine andere Domain). Für den Login sind Cookies zwingend notwendig. Sehen tun die Besucher davon aber nichts, da sie sich immer noch im Frame von domain.com aufhalten.

    Im Firefox funktioniert es. Im Internet Explorer funktioniert es aber nur, wenn unter "Extras" -> "Internetoptionen" -> "Datenschutz" die Einstellungen für die Internetzone auf "Niedrig" oder "Alle Cookies annehmen" gestellt werden. Die Standardeinstellung des Internet Explorer ist jedoch "Mittel" und es ist natürlich kaum möglich jedem User erst zu erklären, dass er seine Einstellungen ändern muss (es gehört ja zum Komfort, dass man es den Usern möglichst einfach macht).

    Der Internetexplorer definiert die Einstellungen wie folgt:
    "Mittel"
    - Blockt Cookies von Drittanbietern, die über keine Datenschutzrichtlinie verfügen
    - Blockt Cookies von Drittanbietern, die Informationen speichern, die zur Kontaktaufnahme mit Ihnen ohne ausdrückliche Zustimmung verwendet werden können
    - Schränkt Cookies von Erstanbietern ein, die Informationen speichern, die zur Kontaktaufname mit Ihnen ohne stillschweigende Zustimmung verwendet werden können


    "Niedrig"
    - Blockt Cookies von Drittanbietern, die über keine Datenschutzrichtlinie verfügen
    - Schränkt Cookies von Drittanbietern ein, die Informationen speichern, die zur Kontaktaufnahme mit Ihnen ohne stillschweigende Zustimmung verwendet werden können


    Die Fragen, die sich mir nun stellen sind, wie der Internet Explorer festlegt bzw. erkennt

    1) ob eine Seite über eine Datenschutzrichtlinie verfügt? (Einfach ein Link auf der Webseite namens "Datenschutz" und einem "privacy" in der URL ist wohl nicht die Lösung bzw. hat zumindest nicht funktioniert.)

    2) ob eine Seite Informationen zur Kontaktaufnahme speichert? (Im Fall hier klickt der Besucher zwar Formulare an zum Login, gibt aber keinerlei Daten ein. Ist für den Internet Explorer eine solche Information zur Kontaktaufnahme schon generell wenn ein Cookie gesetzt wird? Allerdings würde dann die Beschreibung nach der ja nur bestimmte Cookies eingeschränkt werden keinen Sinn machen. Die Cookies der letzten Domain (Drittanbieter-Cookies) enthalten Nutzer-IDs, verschiedene andere IDs und eines einen Hash.)


    Da es bei "Niedrig" funktioniert, "niedrig" aber laut Erklärung auch Cookies von Drittanbietern ohne Datenschutzrichtlinie blockiert, dürfte ja eigentlich nur noch das Zweite den Unterschied ausmachen: Cokies, die Informationen speichern, die zur Kontaktaufnahme verwendet werden können. Fest steht wohl auch, dass wegen der oben beschriebenen URL-Konstruktion die Seite am Ende als "Drittanbieter" gilt, oder?



    Also neben den schon gestellten Fragen würde mich natürlich interessieren

    3) ob jemand generell noch eine Idee hat, wie das Problem zu lösen wäre? Oder habe ich vielleicht einfach etwas nicht bedacht?


    Meine Suchen bringen mich immer nur auf "Anwenderseiten" (Einstellungen im Browser ändern,...), nie auf die "Entwicklerseite", aber irgendwie muss man die Anforderungen des Browsers ja erfüllen können und es muss eine Beschreibung geben wie.

     

     

    Um es noch mal zusammenzufassen:

    Ich will wissen, wie ich es hinbekomme, dass der Internet Explorer das Cookie der dritten Domain nicht als "Cookie eines Drittanbieters ohne Datenschutzrichtlinie" ansieht bzw. nicht als "Cookie eines Drittanbieters, dass Informationen zur Kontaktaufnahme speichert", sondern einfach als "seriöses" Cookie eines Drittanbieters.

    Montag, 27. September 2010 13:06

Alle Antworten

  • Hallo Tobias,

    hast Du inzwischen eine Lösung für dein Problem? Ich habe nämlich seit heute exakt das gleiche. :-( Eine ASP.NET Site mit Login, die über ein Frame einer anderen Domain angesprochen wird. Der bl*de IE sendet einfach die Cookies nicht mit..

     

    Gruß

    Oliver.

    Montag, 14. Februar 2011 10:46
  • Was ist konkret deine Frage? Die Antwort auf den ursprünglichen Beitrag
    wäre vermutlich "P3P" gewesen. Ansonsten finde ich es schon bemerkenswert,
    wie Webmaster immer wieder gerne die Datenschutzwünsche der Nutzer
    ignorieren und dann irgendwas von "blöder Browser" rumjammern.


    IEFAQ: http://iefaq.info
    Montag, 14. Februar 2011 11:30
    Beantworter
  • Hallo Tobias,

    hast Du inzwischen eine Lösung für dein Problem? Ich habe nämlich seit heute exakt das gleiche. :-( Eine ASP.NET Site mit Login, die über ein Frame einer anderen Domain angesprochen wird. Der bl*de IE sendet einfach die Cookies nicht mit..

     

    Gruß

    Oliver.

    Nur notgedrungen: Ich löste es damals dann umständlich über zusätzliche Subdomains unter der eigentlichen Hauptdomain (wodurch alle Unterseiten jeweils zwei Subdomains bekamen), damit sie nicht als "Drittanbieter" gehandhabt werden.

    Was ist konkret deine Frage? Die Antwort auf den ursprünglichen Beitrag
    wäre vermutlich "P3P" gewesen. Ansonsten finde ich es schon bemerkenswert,
    wie Webmaster immer wieder gerne die Datenschutzwünsche der Nutzer
    ignorieren und dann irgendwas von "blöder Browser" rumjammern.


    IEFAQ: http://iefaq.info
    Ich glaube inzwischen auch P3P könnte die Lösung sein, schade dass darauf früher nirgends jemand kam. Die Datenschutz-Wünsche der Nutzer werden meiner Meinung nach aber in keiner Weise ignoriert. Ich will bzw. wollte je explizit, dass die Datenschutzbedingungen der Seite auch vom Internet Explorer erkannt werden. Ebenso macht es mit der jetzigen Lösung für den Nutzer praktisch keinen Unterschied, nur wäre es über die oben genannte Sache für mich deutlich leichter und weniger umständlich gewesen. Wobei ich das ganze Konstrukt aber auch für ungünstig verschachtelt halte, geht aber leider nicht anders, weil entsprechende Unternehmen nicht akzeptieren, dass der Nutzer, der von ihnen kommt, andere Domains sehen könnte... vertraglicher Kram halt.
    Donnerstag, 5. Mai 2011 14:53