PHP Session per JS setzen?

Sysmatic

Sailor
Wir hatten das ja schonmal in einem anderen Thema angekratzt, hier schildere ich mal genauer wo mein Problem liegt...

Da es ja scheinbar unpassend ist, wenn Sessions ohne Einwilligung gesetzt werden, muss dies ja mit dem Click auf den "Cookies akzeptieren"-Button passieren.
Leider habe ich von JS überhaupt keine Ahnung, und der Cookie-Hinweis, welchen ich mir mal irgendwo wegkopiert habe, funktioniert mit JS.

Beim Aufruf der Seite werden 2 Sessions gesetzt, eine für den Besucherzähler und die andere für die Ausgabesprache:

PHP

<?php


session_set_cookie_params(43200);
session_start();
if(!isset($_GET['language']))
{
    if(!isset($_SESSION['language']))
    {
        include('lang/de.php');
        $_SESSION['language'] = 'de';
    }
    else
    {
        include('lang/' . $_SESSION['language']  . '.php');
    }
}
else
{
    $_SESSION['language'] = $_GET['language'];
    include('lang/' . $_SESSION['language']  . '.php');
}


$statement = $db->query('SELECT visitor_counter FROM bl_verwaltung WHERE id = 1');
while  ($db_current_visitors = $statement->fetch()):
    $current_visitors = $db_current_visitors['visitor_counter'];
endwhile;


if(!isset($_SESSION['visitor_count']))
{
    $current_visitors++;
    $statement = $db->prepare("UPDATE bl_verwaltung SET visitor_counter = ? WHERE id = 1");
    $statement->execute(array($current_visitors));
    $_SESSION['visitor_count'] = true;
}


?>

Alles anzeigen

Der Code für den Cookie-Hinweis:

Code

<div id="cookie">
<a onClick="var d = new Date(); d = new Date(d.getTime() +1000*60*60*24*730); document.cookie = 'cookie=1; expires='+ d.toGMTString() + ';'; document.getElementById('cookie').style.display = 'none';" class="button">Okay!</a>
<p class="cookiemessage">
Wir benutzen Cookies zur Steigerung der Besucherfreundlichkeit.<br />Mit der Verwendung dieser Website akzeptierst du unsere Datenschutzerklärung.
<a class="cookielink" href="index.php?loc=privacy">Mehr erfahren...</a>
</p>
</div>


<script>
a = document.cookie;
while(a != '')
{
    while(a.substr(0,1) == ' ')
    {
        a = a.substr(1,a.length);
    }
    cn = a.substring(0,a.indexOf('='));
    if(a.indexOf(';') != -1)
    {
        cw = a.substring(a.indexOf('=')+1,a.indexOf(';'));
    }
    else
    {
        cw = a.substr(a.indexOf('=')+1,a.length);
    }
    if(cn == 'cookie')
    {
        r = cw;
    }
    i = a.indexOf(';')+1;
    if(i == 0)
    {
        i = a.length
    }
    a = a.substring(i,a.length);
}
if(r == '1') document.getElementById('cookie').style.display = 'none';
</script>

Alles anzeigen

Ich habe wirklich NULL Ahnung wie es gemacht wird, ich hoffe mir kann dabei geholfen werden

Gastl

Muss eine Session nicht als allererstes gestartet werden, bevor überhaupt eine Ausgabe im Browser erfolgt? Das würde dann aber eine Abfrage per JS unmöglich machen, da dann ja schon damit eine Ausgabe erfolgte.

Liege ich da richtig?

Sysmatic

Nicht ganz.
Mit session_start() startet man den ganzen Spaß noch bevor andere Skripte ausgeführt werden, dann ist die Session aber ohne irgendwelche Informationen, quasi jungfräulich.
Die Informationen können dann an jeder beliebigen Stelle wie bspw. nach Login angelegt, geändert oder gelöscht werden

Sailor

Ja, da hast du tatsächlich ein Problem(chen). Du nutzt SESSION Variablen gleich auf der Startseite - musst also die SESSION starten, damit keine Fehler auftreten. Und der Fehler würde sich fortsetzen, weil du wahrscheinlich auf jeder Unterseite diese SESSION Variablen nutzt, um zB die gewählte Sprache anzuzeigen.
Welche SESSION Variablen - außer den beiden (language und visitor_count), die im Code zu sehen sind, werden denn noch an anderen Stellen benötigt.
Was soll passieren, wenn ein 'Besucher' nicht auf den OK Button klickt?... oder der Browser des Besuchers keine Cookies akzeptiert?
Man kann sicher im Einzelfall (wie zB bei der Sprache) über eine if Abfrage if(!isset($_SESSION['language'])) jeweils eine Default-Sprache setzen - aber bei zu vielen Defaults wird das mühsam.
Aber im Prinzip ist das machbar.
Vor dem Starten der Session wird im PHP abgefragt, ob der Akzeptier-Cookie gesetzt ist, wenn ja - alles ist gut, der Code kann so laufen, wie er ist.
Wenn nein, wird die SESSION nicht gestartet und es muss die Alternative mit den Default-Werten greifen - die Seitennutzung wäre dann aber eingeschränkt.
Etwas nutzerunfreundlicher... aber einfacher... wäre es, auf der Startseite dem Nutzer keine andere Wahl zu lassen, als den Akzeptier-Button zu klicken.

Arne Drews

Der Unterschied zwischen Sessions und Cookies ist aber bekannt?
In dem Code aus #1 wird PHP seitig kein Cookie gesetzt.

EDIT: Vielleicht habe ich das Problem auch falsch verstanden?!

Sailor

Zitat von Arne Drews

...In dem Code aus #1 wird PHP seitig kein Cookie gesetzt.

Zählt die clientseitig gespeicherte SESSION ID nicht als Cookie?
Wenn ja, fällt die unter diese zustimmungspflichtige Nutzung von Cookies? ... bin da unsicher und kein Jurist.

Arne Drews

Zitat von Sailor

Zählt die clientseitig gespeicherte SESSION ID nicht als Cookie?
Wenn ja, fällt die unter diese zustimmungspflichtige Nutzung von Cookies? ... bin da unsicher und kein Jurist.

Doch, das ist vollkommen richtig. Deshalb schrieb ich ja noch, ob ich es falsch verstanden habe.

Ich habe es so verstanden, dass per JS auf die SESSION-Daten zugegriffen werden soll und das ist nicht möglich, denn Client seitig wird nur ein Cookie mit der SID gesetzt, wie Du schon sagtest.
Diese dient auch nur zur Erkennung, um welche Session es sich handelt. Die Daten innerhalb der Session werden auf dem Server gespeichert, weshalb JS im klassischen Sinne dort nicht ran kommt.

Man kann PHP auch veranlassen/zwingen, die SID in der URL zu übertragen, dann wird kein SID-Cookie am Client gesetzt.
Finde ich zwar keine schöne Lösung, aber möglich wäre es.

Sysmatic

Hmm naja, die genannten Optionen kommen da nicht wirklich in Frage.

Mir kam ein anderer Gedanke:
würde es genügen, im Cookie-Hinweis einen Link/Button anzubieten mit welchem die Session gelöscht werden kann?
Müsste dann nur auf eine "Exit-Page" weiterleiten...

Arne Drews

Warum willst Du die Session löschen?
In der Session befinden sich idealer Weise nur Ablauf relevante Daten und keine Personen bezogenen.

Deine Webapplikation dürfte mit gelöschter Session vermutlich gar nicht lauffähig sein.

Wenn es aber unbedingt sein muss, kannst Du das Click-Event abfangen und einen XmlHttpRequest auf ein Server-Script setzen, wo die Session gelöscht wird.

Sysmatic

Es ist mir halt immer noch nicht ganz klar ob PHP-Sessions im allgemeinen Datenschutzrechtlich relevant sind oder nicht.

Arne Drews

Die Sessions sind absolut unkritisch für den Datenschutz. Relevant sind die Daten, die Du darin speicherst.

Sailor

Es kann und darf dir hier im Forum niemand einen rechtssicheren und verbindlichen Rat geben - das kann und darf nur ein Anwalt, der sich mit Internetrecht auskennt. Der ist dann auch im Zweifelsfall dein Ansprechpartner.
Zu klären wäre u.a., ob die Session ID (PHPSESSID) ohne vorherige Zustimmung gespeichert werden darf?
Und - stellt die Einbindung von 'Fremdscripten / externen Fonts' einen Verstoß gegen die DSGVO dar.
In deinem Code wäre das...

Code

<script async src="https://www.googletagmanager.com/gtag/js?id=UA-126919990-1"></script>
...
<script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
...
<link href="https://fonts.googleapis.com/css?family=Noto+Sans" rel="stylesheet">

Erst wenn dann die Grundlagen klar sind, käme das Forum ins Spiel beim Unterstützen, wie und ob man die juristischen Vorgaben umsetzen kann?

Arne Drews

Du verwechselst da etwas.
Die Nutzung von Cookies wird nicht in der DSGVO, sondern in der ePrivacy geregelt, diese ist aber mit letzem Fälligkeitstermin der DSGVO noch nicht abgeschlossen und kommt 2019 ( Monat weiß ich grad nicht ).
Die Frage, ob ein OptIn dann zwingend ist oder ein klarer OptOut ausreicht, wird also auch erst dann beantwortet sein.

Der aktuelle Stand ist, dass OptOut ausreichen würde, aber mit OptIn der sicherere Weg ist.
Das muss dann jeder für sich entscheiden, im Zweifel durch eine Rechtsberatung, die hier nicht stattfinden kann, wie Du schon sagst.

Aber mit der DSGVO hat das Thema hier nur soviel zu tun, dass ich den Benutzer darauf hinweisen und eine Möglichkeit zum Widersprechen einräumen muss!
OptIn oder OptOut entscheidet nicht die DSGVO.

Sailor

Zitat von Arne Drews

...OptIn oder OptOut entscheidet nicht die DSGVO.

Ja du hast Recht - ist aber auch nicht einfach das ganze juristische Geflecht auseinander zu halten. Ungeachtet dessen kann und sollte die Empfehlung, sich von einem Anwalt beraten zu lassen, weiter Bestand haben.

Arne Drews

Auf jeden Fall! Rechtsberatungen gibt es hier nicht, dazu sind Juristen da, absolut Deiner Meinung!

Tags