Frage:
Kann die Schaltfläche "Cookie akzeptieren" auf einer Website böswillig sein?
0_o
2018-10-16 17:02:13 UTC
view on stackexchange narkive permalink

Ich kann mich nicht erinnern, wann diese Schaltfläche "Cookie akzeptieren / abbrechen" auf Websites verwendet wurde. Warum bestehen sie darauf, Benutzer dazu zu bringen, auf diese Schaltfläche zu klicken?

Kann es dem PC des Benutzers Schaden zufügen oder private und sensible Daten sammeln? Der Grund dafür ist hauptsächlich "Für ein besseres Surferlebnis auf der Website".

Ist es möglich, dies als Trick für einen möglichen Hack zu verwenden? Auch meine Kenntnisse über Cookies und Web-Hacking sind nicht gut genug.

Genau so viel wie jede andere Schaltfläche, wie die Schaltfläche "Anmelden" oder die Schaltfläche "Katzenbilder anzeigen".
@immibis Das glaube ich nicht.Z.B.Würden Sie auf einer Website, der Sie nicht vertrauen, auf die Schaltfläche "Anmelden" klicken?
Genau so viel wie jede andere Schaltfläche, ** aber mit der außergewöhnlichen Eigenschaft, dass es weitaus wahrscheinlicher ist, dass der Benutzer ohne weitere Überlegungen darauf klickt **.
Mögliches Duplikat von [Sind EU-Cookie-Einverständniserklärungen sicher?] (Https://security.stackexchange.com/questions/192943/are-eu-cookie-consent-forms-safe)
Die DSGVO wurde am 25. Mai 2018 implementiert, und das ist ziemlich genau der Zeitpunkt, an dem das Cookie-Benachrichtigungs- / Zustimmungsmaterial gestartet wurde.
@caw Ich weiß nichts über dich, aber ich klicke die ganze Zeit ohne viel Nachdenken auf Links.
@immibis Wir können in dieser Hinsicht unterschiedlich sein.Diese Cookie-Benachrichtigungen haben Sie jedoch geschult, fast automatisch und sofort zu klicken, wenn sich auf der Seite etwas befindet, das einem solchen Hinweis ähnelt.Was könnte ein solcher Klick dazu führen, dass ein einfacher Besuch dieser Seite überhaupt nicht möglich ist?Nun, hauptsächlich Vollbild und Popups öffnen.Zugegeben, die Risiken und Auswirkungen sind nicht zu hoch und es ist noch nicht vorbei, wenn Sie einfach auf eine solche Schaltfläche klicken.Das wäre eine schwerwiegende Sicherheitslücke in Browsern.
Wenn Sie diese Frage stellen, fehlt Ihnen eine wichtige Idee zur Sicherheit.Jede einzelne mögliche Sicherheitslücke wird ausgenutzt.Wenn es einer Website möglich ist, eine Schaltfläche zu entwerfen, bei der das Klicken anfällig ist, ist das lächerlich.Sie könnten einfach auf die Schaltfläche _any_ klicken, um dieselbe Sicherheitsanfälligkeit zu beheben. Was haben die Wörter um die Schaltfläche mit der Schaltfläche zu tun?Darüber hinaus kann jeder Code, der beim Klicken auf die Schaltfläche ausgeführt wird, nur ausgeführt werden, bevor Sie auf die Schaltfläche klicken!Wenn eine Website Ihre persönlichen Daten herunterladen könnte, gehen Ihre Daten sofort verloren.
Alle Browser sind so konzipiert, dass sie Websites so kapseln, dass sie sich nicht gegenseitig stören und nicht auf den Computer zugreifen können, auf dem sie ausgeführt werden.Das einzige, was Websites berühren dürfen, sind Dateien auf der Website selbst (zum Herunterladen von Bildern, Code usw.) und die öffentlichen Dateien (CSS-Dateien usw.), über die andere Websites verfügen.Wenn Sie den Verdacht hatten, dass eine Website mehr kann, sollten Sie nicht einmal Ihren Browser geöffnet haben, um diese Frage zu stellen - ohne vorher einen Wegwerfcomputer zu verwenden.
Wenn jemand sagt "Ich wurde nur durch Klicken auf diesen Link in meiner E-Mail gehackt", sagt er nicht die Wahrheit oder kann 10.000 USD + einlösen, indem er den Fehler an Google meldet (höchst unwahrscheinlich).Sie müssen irgendwie ihr Passwort in ein Feld irgendwo auf der Website eingegeben haben.Klicken ist niemals gefährlich, genauso wie das Herunterladen von Dateien aus dem Internet niemals gefährlich ist (und nur das Ausführen von Dateien ist gefährlich).
Verwenden Sie [UBlock Origin] (https://addons.mozilla.org/en-us/firefox/addon/ublock-origin), und Sie müssen sich weniger Gedanken über das Verfolgen von Cookies machen.Stellen Sie Ihren Browser außerdem so ein, dass Cookies gelöscht werden, wenn Sie ihn schließen.
"Eine bessere Erfahrung" = "gezielte Anzeigen" = "Wir versuchen, * Ihr * Geld zu nehmen".Ich halte Cookies aus genau diesem Grund für böse.Als all dies in der EU zu einem Problem wurde, lautete die Antwort: Jetzt müssen Sie auf diese Schaltfläche klicken, um Cookies für die Nutzung dieser Website zu akzeptieren.Was ist, wenn ich die Website * ohne * das Akzeptieren von Cookies nutzen möchte?In meinem Browser (Firefox) wurden beim Beenden alle Cookies gelöscht, dies wurde jedoch entfernt.Jetzt führe ich jede Woche ein kurzes Skript aus, das die Cookie-Datenbank löscht.Klappt wunderbar.
@Jennifer, danke, dass Sie bemerkt haben, dass Firefox diese Option entfernt hat!
"Ihr Grund dafür ist meistens" Für ein besseres Surferlebnis auf der Website "." Eigentlich liegt es daran, dass sie GDPR-Banhammer werden, wenn sie dies nicht tun. "
Fünf antworten:
A. Hersean
2018-10-16 17:22:23 UTC
view on stackexchange narkive permalink

Technisch gesehen müssen Browser dem Benutzer keine Frage stellen, um Cookies zu verwenden. Darüber hinaus sind sie technisch nicht an die vom Benutzer gegebene Antwort gebunden.

Rechtlich ist dies eine andere Sache. In der Europäischen Union müssen die Websites den Benutzer nun um seine Zustimmung bitten, bevor sie Tracking -Cookies oder andere Mittel verwenden, um personenbezogene Daten über den Benutzer zu sammeln. Sie müssen jedoch nicht um die Zustimmung des Benutzers bitten, Cookies zu verwenden, die für die Bereitstellung ihres Dienstes erforderlich sind (z. B. Sitzungscookies). Wenn Websites Cookies zulassen möchten, dient dies dazu, rechtmäßig personenbezogene Daten über den Benutzer zu sammeln. Diese Daten können je nach Wertschätzung der Benutzer als privat oder vertraulich angesehen werden.

Die Formulierung „Für ein besseres Surferlebnis“ bedeutet normalerweise „In Damit wir Ihnen gezielte Werbung anbieten können, verdienen wir mehr Geld, um bessere Inhalte zu erstellen. “ oder "Damit wir Ihnen gezielte Werbung anbieten können, haben Sie (theoretisch) weniger irrelevante Werbung."

Eine böswillige Website wird möglicherweise ihren gesetzlichen Verpflichtungen nicht nachkommen. Sie könnten um die Zustimmung bitten und die Antwort nicht einhalten, oder sie könnten darauf verzichten, die Frage überhaupt zu stellen.

Weitere Informationen zum Gesetz: DSGVO auf Wikipedia

Wir müssen also vertrauen, und wenn wir immer noch nicht akzeptieren, können sie tun, was sie wollen.Vielen Dank für die Antwort übrigens.
@AidenStewart Wenn dies ein Problem darstellt, sollten Sie sich die Browsersicherheitseinstellungen und Addons ansehen, um Cookies von Drittanbietern, insbesondere bekannte Tracker, zu blockieren.
"Die Formulierung" Für ein besseres Surferlebnis "bedeutet normalerweise [bessere Anzeigen]." Nun, es kann auch eine legitime bessere Erfahrung sein.Verschiedene kleine Dinge können einfach in Keksen aufbewahrt werden.Wenn Sie beispielsweise zu einer Wetterwebsite gehen und Ihre Standorte eingeben, können diese gespeichert und dann aus einem Cookie abgerufen werden. Selbst wenn Sie kein Konto haben, bleiben Ihre häufigsten Standorte erhalten.Andere Einstellungen und Daten könnten auch für den Benutzer beibehalten werden, um weniger Arbeit zu erledigen, wodurch sie eine bessere Erfahrung erhalten.Es wird zwar häufig für Werbezwecke verwendet, aber dies ist nicht die einzige Verwendung für Cookies.
@vlaz Deshalb verwende ich das Wort "normalerweise", was "meistens" bedeutet.Dies bedeutet, dass Cookies manchmal für andere Zwecke verwendet werden.Ich könnte meine Antwort erweitern, wenn Sie denken, dass es eine lohnende Ergänzung wäre.
Beachten Sie, dass die Cookie-Fragen mit der EU-Richtlinie vom Mai 2011 begonnen haben, nicht mit der DSGVO vom Mai 2018. Die erste betrifft Cookies, die zweite alle Daten (z. B. die Übertragung von Informationen über Ihren Kauf an Dritte, die dies tun werden)Erstellen Sie ein Profil über Sie ... auch wenn keine Cookies verwendet werden.
@ Ángel Du hast recht.Soweit mir bekannt ist, bedeutet die Einhaltung der DSGVO jedoch die Einhaltung der vorherigen EU-Richtlinie über Cookies (und anderer nationaler Gesetze).Daher ist das Gesetz, nach einem Neuankömmling in dieser Frage zu suchen, die DSGVO.
@A.Hersean Ich wollte nur dieses bisschen klarstellen.Abgesehen von diesem Teil am Ende mag ich Ihre Antwort und habe sie positiv bewertet.
@ Ángel Sofern sich die Umsetzung der Richtlinie vom Mai 2011 nicht verzögert hat (ich persönlich bin nicht mit ihr vertraut und kann daher nicht auf ihren Inhalt eingehen), vermute ich, dass sie von einem viel engeren Umfang war.Während auf vielen Websites zwischen 2011 und 2018 Cookies in ihren Fußzeilen oder Nutzungsbedingungen erwähnt wurden, habe ich die abscheulichen Banner, auf die in dieser Frage verwiesen wurde, vor der Implementierung der DSGVO sicherlich nicht beachtet.
@vlaz Ich glaube nicht, dass Sie Recht haben, weil sie keine Erlaubnis benötigen, wenn sie den Cookie benötigen, um Ihnen einen Service zu bieten.Das Gesetz ist meines Wissens nur so formuliert, dass sie nicht für alles, was tatsächlich im Interesse des Benutzers liegt, eine Erlaubnis benötigen.Wenn sie um Erlaubnis bitten, bedeutet dies automatisch, dass sie Dinge tun möchten, denen ein Gericht nicht unbedingt zustimmen würde, um die Benutzererfahrung zu verbessern (was Teil des Dienstes ist).
Die Cookie-Anforderungen stammen aus den Datenschutz- und elektronischen Kommunikationsbestimmungen (PECR) und nicht aus der DSGVO.PECR wurde mit Inkrafttreten der DSGVO aktualisiert, ist jedoch separat.https://en.wikipedia.org/wiki/Privacy_and_Electronic_Communications_Directive_2002
@ Ángel In der Richtlinie von 2011 geht es nicht nur um Cookies.Geht es um ** jede ** Form der Verfolgung, nicht nur um Cookie-basierte Lösungen.Aus [europa.eu] (http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_2) geht hervor, dass * Sie Benutzer fragen müssen, ob sie den meisten Cookies ** und ähnlichen Technologien zustimmen** (z. B. Web Beacons, Flash-Cookies usw.), bevor die Website diese verwendet. *
@IllusiveBrian hat es geschafft![NoScript] (https://noscript.net) ** ein Plugin für Firefox ** und auch [Adblock Plus] (https://adblockplus.org) sind die besten Lösungen.Sie müssen NoScript manchmal "trainieren", um JavaScript auf einigen Websites zuzulassen (insbesondere zuerst).Aber das ist einer der Gründe, warum es eine so hervorragende Sicherheitslösung ist.
Während die Anforderung technisch möglicherweise aus dem Jahr 2011 stammt, scheint die DSGVO die meisten Unternehmen aufgrund der Überschneidungen für ihre Anforderungen sensibilisiert zu haben.Deshalb haben all diese Eingabeaufforderungen erst in diesem Jahr begonnen.
Ich möchte nur hinzufügen, dass "Für ein besseres Surferlebnis" sich auch auf das Aktivieren einiger App-Funktionen beziehen kann.Ein Geschäft kann beispielsweise Ihren (groben) aktuellen Standort verwenden, um anzuzeigen, ob das Produkt, das Sie sich ansehen, für Ihr lokales physisches Geschäft auf Lager ist.Es sind nicht nur Anzeigen.
Ich denke, das eigentliche Problem besteht darin, dass Benutzer automatisch auf Bestätigungsschaltflächen auf jeder Website klicken, auf der sie landen, da sich die Schaltfläche praktisch auf jeder Website befindet und das Klicken zum natürlichen und erwarteten Verhalten wurde.
Dmitry Grigoryev
2018-10-16 18:52:30 UTC
view on stackexchange narkive permalink

Eine schädliche Website kann Ihnen Schaden zufügen, ohne dass Sie auf etwas klicken müssen. Die Tatsache, dass der Benutzer auf ein Seitenelement geklickt hat, vereinfacht die Aufgabe: Beispielsweise blockieren die meisten Browser automatisch unerwünschte Popus (was z. B. Benutzer dazu verleiten kann, Malware zu installieren), erlauben jedoch ein Popup als Reaktion auf einen Klick. P. >

Und ja, meiner Meinung nach erhöht eine standardisierte Schaltfläche, auf die Benutzer lernen, ohne einen zweiten Gedanken immer wieder zu klicken, das Risiko.

"Und ja, meiner Meinung nach erhöht eine standardisierte Schaltfläche, auf die Benutzer lernen, ohne einen zweiten Gedanken immer wieder zu klicken, das Risiko." Ähnlich wie bei einem Antivirenprogramm, das viele Fehlalarme kennzeichnet, die der Benutzer ignorieren oder beispielsweise ignorieren mussDie Benutzerkontensteuerung nervt Sie immer wieder wegen erhöhter Berechtigungen, sodass Benutzer sie einfach allen gewähren.
Aus diesem Grund klicke ich nicht auf die Schaltfläche * entweder *, es sei denn, ich vertraue der Site.
Ich bin neulich auf eine Website gestoßen, auf der es eine Schaltfläche zum Aktivieren von Push-Benachrichtigungen gab, die in dem Format angeordnet waren, in dem Sie eine Schaltfläche für die Zustimmung zu Cookies erwarten würden.Natürlich habe ich darauf geklickt.Die Konditionierung funktioniert.
@Will Das würde allerdings keine Push-Benachrichtigungen ermöglichen.Sie fragen in ihrem eigenen Format, damit sie es mehrmals fragen können.Wenn sie den realen Dialog angezeigt haben (vom Browser angezeigt, die Website kann ihn nicht bearbeiten), können sie nicht erneut um die Erlaubnis bitten, wenn Sie ihn ablehnen.Wenn Sie also auf die Schaltfläche "Fälschung" klicken, wird nur der echte Browser-Dialog angezeigt, in dem Sie um Erlaubnis gebeten werden.
schroeder
2018-10-16 17:18:41 UTC
view on stackexchange narkive permalink

Aufgrund der jüngsten Bestimmungen zum Datenschutz bitten Websites die Benutzer um ausdrückliche Erlaubnis, ihre Informationen aus Cookies zu sammeln.

Cookies schaden PCs nicht. Die aus Cookies gesammelten Daten könnten möglicherweise auf eine Weise verwendet werden, die den Benutzern nicht gefällt (Cambridge Analytica fällt mir ein). Diejenigen, die an einem privateren und anonymeren Surfen interessiert sind, möchten Cookies ablehnen (dies tun sie jedoch ohnehin eher mit Browser-Plug-Ins).

Könnte eine böswillige Website eine Schaltfläche auf der Website verwenden, um böswillige Dinge zu tun ? Ja. Dies gilt jedoch für jeden Link auf einer Website, sodass diese Schaltfläche Ihr Risiko nicht erhöht.

Wenn wir also täglich Hunderte von Websites durchsuchen, wie können wir sicher sein, dass unsere Cookies sicher sind?Weil wir ihnen grundsätzlich Zugang zu unseren Informationen gewähren.
Sie bewahren Cookies nicht sicher auf.Sie erlauben ihre Verwendung oder nicht.Cookies sind ein Mittel für Websites, um Daten im Webbrowser des Benutzers so zu speichern, dass sie bei Neustarts und auf Websites, die dieselben Tracking-Dienste verwenden (z. B. Werbeanbieter oder Facebook-Like-Buttons), bestehen bleiben.
Nur um weiter zu expandieren, wenn jemand mit Cookies bösartig sein wollte.Sie können dies einfach über Javascript tun, wenn eine Seite geladen wird, oder sogar über die erste http-Antwort, die Sie von ihrem Server erhalten, bevor etwas in den Browser geladen wird.Ein Benutzer muss nicht auf etwas klicken.
@AidenStewart Auf ein Cookie kann nur von derselben Domain / Website aus zugegriffen werden, sodass Sie nichts tun müssen, um "sie zu schützen".Evil.com kann Ihr Cookie nicht von Example.com erhalten
"Aber das gilt für jeden Link auf einer Website" Nein, ist es nicht.Das Klicken auf einen anderen Link ist insofern optional, als ich nur darauf klicken würde, wenn er etwas verspricht, an dem ich interessiert bin, dh wenn ich mich mit der eigentlichen Website beschäftigen möchte, nachdem ich mich selbst davon überzeugt habe, dass diese Website eine ist, der ich vertrauen kann(weil es etwas bietet, an dem ich interessiert bin).Die Cookie-Frage kommt "bevor" ich anfange, mich mit dem Inhalt zu beschäftigen, wobei oft ein Teil der Website verdeckt wird und manchmal sogar die Website blockiert wird.Das heißt, ich bin gezwungen, darauf zu drücken, bevor ich die Möglichkeit habe, mir die aktuelle Site anzusehen und zu entscheiden, ob ich ihr vertrauen möchte.
@eMBee das ist auch nicht allgemein wahr.Viele Websites funktionieren ohne Klicken auf die Cookie-Schaltfläche, und böswillige Websites können anklickbare Bereiche ohne erkennbaren Link oder Schaltfläche einrichten
und da jetzt jede andere Website eine solche Eingabeaufforderung hat, habe ich die Angewohnheit, diesen Knopf ohne viel Nachdenken zu drücken, nur um die Frage verschwinden zu lassen.Für jeden anderen Link gilt diese Gewohnheit nicht, und ein solcher Link würde genauer geprüft.
Das Klicken von Links auf @eMBee ohne nachzudenken ist ein konsistentes Risiko, das sich in diesem Szenario unabhängig von den neuen Zielen nicht ändert
Websites können anklickbare Bereiche einrichten, aber ich werde sie nicht anklicken, es sei denn, ich habe einen sehr guten Grund dafür.aber normalerweise nicht.Die Cookie-Schaltfläche fügt einen Bereich hinzu, auf den ich jetzt standardmäßig klicke, ohne nachzudenken.Kein anderer Klick auf eine Website ist so.
allo
2018-10-18 14:20:16 UTC
view on stackexchange narkive permalink

Ja, aber nicht mehr als jede andere Schaltfläche oder jeder andere Link.

Das Hauptanliegen ist das Clickjacking. Jemand, der genau weiß, wo Sie klicken werden, kann versuchen, ein anderes Klickziel an dieser Position zu verschieben, sobald Sie klicken. Sie können beispielsweise auf einer anderen Site, die in einem Iframe geöffnet ist, auf "Mein Konto löschen" klicken.

Außerdem werden durch Klicks manchmal mehr Berechtigungen freigeschaltet, z Alle modernen Browser erlauben keine Popups, außer Sie haben auf etwas geklickt, um das Popup zu öffnen. Manchmal führen Websites dazu, dass Sie auf etwas klicken, um ein neues Popup / einen neuen Tab zu öffnen.

Dies gilt natürlich für alle Schaltflächen auf einer Website, sodass die Schaltfläche "Cookie akzeptieren" nicht schlechter ist als eine Schaltfläche "Klicken Sie hier, um die Website aufzurufen".

Goufalite
2018-10-17 11:40:33 UTC
view on stackexchange narkive permalink

Bösartig wie was? Identitäts-Usurpation?

Vor einiger Zeit zeigten die Zeitleisten mehrerer Freunde auf Facebook einen suggestiven / Clickbait-Link zu Videos mit einem falschen Youtube-Miniaturbild. Wenn Sie darauf geklickt haben, wurde ein Popup angezeigt, in dem Sie gefragt wurden, ob der Benutzer ein Mensch ist, indem Sie auf eine einzelne Schaltfläche klicken.

Durch Klicken auf die Schaltfläche wurde ein Inhalt stillschweigend gemocht oder geteilt Facebook (weil Sie noch angemeldet waren), das dies auf Ihrer Timeline veröffentlicht hat.

Wie andere sagen: Sie können alles hinter jedem Link verstecken, und das einzige, auf das Sie klicken können, ist Vertrauen.

  • Wenn Sie auf einer solchen Website ankommen, überprüfen Sie die Anzeigen (eingebettete Anzeigen überall oder explodierender Anzeigenblockzähler). Wenn zu viele vorhanden sind, verlassen .
  • Google die im Titel eines Links angegebenen Informationen schnell, anstatt darauf zu klicken. Möglicherweise finden Sie ein sichereres Youtube-Video.
  • Sie möchten das wirklich sehen? Klicken Sie mit der rechten Maustaste und öffnen Sie sie in einem privaten Fenster.
  • Erfahren Sie, wie Sie Clickbait erkennen und Ihren Freunden mitteilen, dass sie nicht in diese Falle tappen sollen.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...