Haha.

Ich hoffe das Google diesmal die volle Härte trifft! Das war nicht einfach nur eine Frechheit von Google sondern in meinen Augen hoch kriminell!

nowMAC:

Wieviele Firmen sollen da dann mit auf die Anklagebank, die das genauso gemacht haben? Wird wohl ein Mammutverfahren werden und große Teiler der gesamten Web- und Content-Industrie treffen (inkl. Microsoft -- die sich darüber wohl am meisten echauffiert haben und Google auch bei der FTC angeschärzt haben, es aber auch nicht anders machen und handhaben als Google, also selber diesbzgl. zu belangen wären. Inkl. Facebook und vielen vielen anderen Namhaften und Nichtnamhaften dr IT-Branche), die das alle ganz genauso gemacht haben und immer noch machen -- weil sie mangels besserer technischer Alternativen derzeit leider keine andere Möglichkeit dazu haben, bestimmte Dinge im Sinne der Bequemlichkeit für den Anwender umzusetzen und zu erreichen...

Wer werfe da dann den ersten Stein? Du?

an den herren nowmac. ihnen sollte klar sein. das auch apple. sowie viele andere unternehmen. bereits cookiesperren umgangen haben.
oder gilt. für apple. wieder mal eine andere regelung.
zum wiederholten male. verdammen sie. werter herr. etwas. was apple ebeno macht. oder gemacht hat. aber wieso nur. verdammen sie dies. lediglich bei google?

Gut das die Strafverfolgungsbehörden so allmällig auf diese Sachen anspringen, egal wen es trifft.

@sierkbAlle natürlich Was für eine billige Ausrede

Aronnax:

Mache einen besseren technischen Gegenvorschlag, der heute/jetzt umsetzbar wäre. Und zwar bei allen Browsern. Bei gleichgebliebener Funktionalität im Sinne eines reibungslosen Sessionhandlings in den betreffenden Fällen. Dir wäre der Applaus aller sich.

@sierkb
Für ein Cross-Domain Sessionhandling gibt es überhaupt keine Begründung. Ist dann alles nur Spionagekram und sollte grundsätzlich verboten sein. Wieso sollte ich also einen Vorschlag machen?
Dieser Fall ist ja wunderbar Beispielhaft für den massiven Missbrauch, wo es nur irgendwie geht, und sogar in den USA wird deshalb jetzt ganz neu über Datenschutz nachgedacht bzw. neue Gesetze sind in der Vorbereitung. Man glaubt es kaum, in diesem Bereich werden sie eventuell nun sogar Deutschland überholen - mal schauen

Aronnax:

Deine technische Begründung für Deine Position? Dein technischer Gegenvorschlag es anders und besser zu machen?

Genau. Und nochmal meine Frage: Dein technischer Gegenvorschlag lautet genau wie?

Und als nächstes soll ich wohl noch einen Vorschlag unterbreiten, wie man effektiver Kokain herstellt und wenn nicht dieses sonst ein Mittel, welches die gleiche (illegale) Dröhnung verursacht, oder wie?

Nebenbei, Cookies von der gleichen Domain - gibt es, reicht und fertig

es kommt doch nicht darauf an ob es für den User irgendwelche vorgeschobenen oder tatsächlichen Vorteile
bringt , ganz offensichtlich war es verboten und das wird
nun untersucht. Wen und wiviele es noch trifft
spielt genausowenig eine Rolle

Aronnax:

Lies mal:

Kristian Koehntopp: C is for Cookie, G is for Google

Lauren Weinstein: Google, Safari, and a Clamor of Cookie Confusion

Golem Forum: 1/3 des Webs benutzt ungültige P3P-Spezifikationen

heise: Google umging auch die Cookie-Einstellungen des Internet Explorer

Spiegel.de: Ausgetrickster Cookie-Datenschutz:
Microsoft schwärzt Google an

Das Problem ist also etwas komplizierter und umfangreicher als Du offenbar der Ansicht bist...

Deshalb nochmal die Frage an Dich: wie ist Dein Lösungsvorschlag aus der ganzen Misere, welche nicht nur Google betrifft, sondern die gesamte Webbranche und vor allem auch die Browser-Hersteller (und zwar ausnahmslos alle Mitschuld an der Misere haben, dadurch, dass sie die P3P-Spezifikation -- welche selber dann auch auch total veraltet ist und nicht den heutigen Gegebenheiten und Ansprüchen entspricht -- nur äußerst unzureichend umgesetzt haben und dadurch erst zu solchen Tricksereien den technischen Anlass geben)?

Also, Aronnax: nicht nur einfach kritisieren, sondern bitte konstruktiv kritisieren. Mache einen konstruktiven technischen Lösungsvorschlag, der aus dieser Misere führt. Und zwar JETZT aus der Misere führt und eine Alternative aufzeigt, die gegangen werden kann oder hätte gegangen werden können und nicht irgendwann einmal.

Dann lies doch einfach mal, was ich bereits geschrieben habe. Es gibt hier nicht mehr viel zu sagen.
Hier werden z.B. auch Bugs der Browser ausgenutzt. Natürlich sind auch die Browserhersteller in der Pflicht.

Aber was gibt es hier sonst noch zu bereden? Hierbei verhalten sich auch internationale, milliardenschwere Konzerne wie kleine Hacker. Was macht man denn mit den keinen Hackern, wenn sie beim illegalen Aktionen erwischt werden?
Wir sehen also in erster Linie nur, dass die Gesetze und Strafen nicht ausreichen. Auch das habe ich bereits erwähnt. Die ganze Sache ist übrigens überhaupt nicht kompliziert. Was willst du also noch?

Was redest du überhaupt immer von einer technischen Lösung? Es gibt hier nichts technisch zu lösen. Nur die üblichen Bug-Fixes sollten eben auch kommen. In diesem konkreten Fall hat auch Apple viel zu lange gepennt.

Mal ganz platt gesagt: Nun saftige Geldstrafen und dann auch neue Gesetze die auch mit Gefängnis drohen. Wie bei den kleinen Hackern übrigens genauso üblich - und fertig

glücklicher apfel

Von Apple habe ich das einfach noch nicht gelesen. In diesem und anderen Artikeln habe ich immer nur von Google gelesen oder auch mal von nicht näher benannten anderen. Selbstverständlich gehört auch allen andern ein drüber, wenn sie da gegen verstoßen. Selbstverständlich auch Apple, sollte das wahr sein was du schreibst. Ich verstehe nicht warum du mir unterstellst das ich das nicht so sehen würde. Wie gesagt in dem Artikel geht es um Google von Apple steht da nichts!

Hoffe wir sind uns einig

LG

Aronnax:

Aber oh ja, da gäbe es eine Menge technisch zu lösen! Und weil es diesbzgl. eben nichts oder nichts Ausgereiftes gibt und zudem auch noch das Wenige, das in den Browsern umgesetzt ist, auch noch teilweise fehlerhaft umgesetzt ist wie in Safari, sodass man um diese Fehler herumprogrammieren muss, um überhaupt zu einem annehmbaren Ergebnis zu kommen, gibt es eben genau jene Lösung, zu der nicht nur Google gegriffen hat, sondern auch Microsoft und Facebook und viele, viele, viele andere auch -- übrigens hat Google nur eine Lösung aufgegriffen, die zuvor eh schon im Netz verbreitet war und die eben auch andere nutzen und nicht nur Google.

sierkb

Warum denn? Es geht um Cookies von "Dritten und Werbeanbietern" und genau die sollen keinen Sessionhandling haben. Bzw. ist das meine Entscheidung! Ich habe ausdrücklich im Browser eingestellt dass ich keine Cookies von "Dritten" haben möchte und verzichte dann natürlich auch gerne auf die Funktionen die damit verbunden sind!

Aronnax:

Nachtrag: Microsoft und Facebook haben sogar in ihren Developer-Dokumenten dazu aufgerufen und es genau so empfohlen, wie auch Google es ebenfalls umgesetzt hatte.

Seit wann kann Safari nicht nicht normalen Cookies umgehen?

Google und Facebook und Co. haben also zum heimlichen, illegalen spionieren nicht die ausreichenden (legalen) Möglichkeiten ... ohhh, da sind wir jetzt aber zu tiefst betroffen und voller Mitleid
Ja nun, lasst also alle Diebe laufen. Andere benutzen immerhin die gleichen Tricks und kommen auch immer wieder ungestraft davon, oder wie?

Aronnax:

Safaris Cookieverwaltung ist ganz generell ziemlich kaputt und problembeladen...

Aronnax:

Primäres Ziel ist nicht gewesen, auszuspionieren, primäres Ziel ist eine funktionierende Lösung in Ermangelung besserer Alternativen anzubieten! Wenn daraus durch unglückliche Kombination mit

Genau darum geht's Aronnax, und genau da ist Dein Denkfehler: es gibt derzeit leider keine legale und vor allem ausreichend funktionierende Möglichkeit, die man stattdessen hätte nutzen können! Genau das ist doch die Krux an der ganzen Sache! Diese Trickserei wird nur deshalb gemacht, weil man in der Not ist, nix Besseres zu haben für sessionübergreifendes Cookie-Tracking. Welches aber benötigt wird und bisher nicht ersetzt werden kann, um bestimmte für den Benutzer und sein Nutzungsverhalten bequeme Vorgänge überhaupt realisieren zu können. P3P wäre der richtige und legale und wünschenswerte Weg, sowas legal und richtig zu realisieren. Aber leider ist die P3P-Spezifikation total veraltet und entspricht nicht heutigen Anforderungen, sie muss also dringens überarbeitet werden, und zum Zweiten ist die bisherige Umsetzung dieser veralteten P3P-Spezifikation in den Browsern äußerst mangelhaft, kann im Grunde also nicht in Anspruch genommen werden (u.a. gerade auch die von Safari und vom IE). Also muss man sich was ausdenken, wie man trotz mangelnder P3P-Umsetzung in den Browsern trotzdem zu genau dem Ziel kommt, das eine ordentliche P3P-Implementierung eigentlich hätte sicherstellen sollen: nämlich u.a. auch sowas wie genau dieses jetzt infragestehende nahtlose Session-Tracking. Und die Webgemeinschaft hat sich was ausgedacht bzw. es ist allgemeiner common sense, allgemeine Praxis geworden, was Google da eigentlich nur aufgegriffen hatte und auch für seine Dienste verwendet hatte.

Wen will man also zuerst prügeln? Google und alle anderen mit Google, die sich, in Ermangelung einer funktionierenden P3P-Umsetzung in den Browsern, auf diese Notlösung eingelassen haben, um überhaupt was Funktionierendes zustandezubringen und anbieten zu können?

Oder will man zuerst auf die Browser-Hersteller einprügeln, die bislang noch immer keine funktionierende P3P-Umsetzung in ihren Browsern hinbekommen haben (also im Grunde alle)?

Oder will man das W3C und die zuständige Arbeitsgruppe nebst deren Mitgliedern prügeln, dass sie die P3P-Spezifikation so lange haben schleifen lassen und nicht so den heutigen Realitäten angepasst haben, dass das, was da drinsteht, auch tatsächlich praktikabel umsetzbar ist und vor allem auch die Ansprüche der Gegenwart berücksichtig und befriedigt? Die P3P 1.0-Spezifikation ist vom 16. April 2002. Also 10 Jahre alt! Eine ergänzende Note, die P3P 1.0 zu P3P 1.1 erhebt, stammt aus dem Jahr 2006: , die aber eben nur eine kleine Ergänzung zu P3P 1.0 ist und in ihrer Ergänzung auch nicht das abdeckt, was heute eigentlich gebraucht wird. In 10 Jahren hat sich auf diesem Gebiet eine Menge getan im Web, da sind andere, neue Bedarfe entstanden. Die jetzige P3P-Spezifikation deckt heutige Ansprüche nicht ab, formuliert dazu keine für heutige Bedarfe ausreichenden oder praktikablen Vorgaben, ist somit absolut veraltet und für heutige Zwecke im Grunde kaum mehr brauchbar. DAS wäre aber zu wünschen! Weil der offizielle, legale und zu praktizierende Weg!
Auf der Webseite des W3C P3P Projektes prankt jedoch schon seit einiger Zeit in großen Lettern: "Status: P3P Work suspended". Und u.a. Google hat schon seit einiger Zeit darauf gedrungen, dass da an der Stelle wieder Leben in die Bude kommt und endlich eine neuzeitliche P3P-Spezifikation erarbeitet wird. Bislang ist da aber nix bis wenig geschehen an Aktivitäten zur Wiederbelebung und Anpassung an die Neuzeit -- mangels breitem Interesse.

Oder will man unter den Browser-Herstellern diejenigen prügeln, die nicht nur keine funktionierende P3P-Umsetzung in ihrem Browser hingekriegt haben, sondern die es dann auch noch hingekriegt haben, dass der kleine Rest, den sie hingekriegt haben, dann auch noch so fehlerhaft ist, dass die Umsetzung dieses kläglichen Restes auch noch ein Sicherheitsloch mit sich herumträgt (Blick Richtung Safari, die Lücke ist inzwischen wohl gefixt)?

Oder steckt man lieber alle gleich miteiander in einen großen Sack, schnürt diesen zu und haut mit dem Knüppel drauf, und man trifft jedes Mal den Richtigen?

Wen will die Justiz da jetzt für was abstrafen? Dass sich da Einige bzw. ein nicht unbeträchtlicher Teil der Inhalteanbieter im Web (einer davon: Google) mittlerweile eine Notlösung haben einfallen lassen und diese ins Werk gesetzt haben, um eine technologische Herausforderung und Versorgungslücke zu meistern, die eigentlich gar nicht bestehen dürfte, gar nicht erst hätte entstehen dürfen, hätten die Browser-Hersteller alle ihre Hausaufgaben gemacht und hätte die P3P-Arbeitsgruppe des W3C ihre Hausaufgaben gemacht und den Browser-Herstellern eine aktualisierte Spezifikation zur Verfügung gestellt, mit der sie hätten in der Neuzeit, im Hier und Jetzt, arbeiten können.

Da man aber allseits geschlafen und das Problem offenbar lieber ausgesessen oder lieber anderen Projekten eine größere Wichtigkeit eingeräumt hatte als ausgerechnet diesem Thema, ist die Situation eben so verfahren wie sie jetzt ist. Und alle zeigen nur und allein auf Google. Obwohl eigentlich alle gleichzeitig schuld und mitschuld sind an dieser ganzen Misere und Situation und Google nur einer unter vielen ist, der versucht hat, das Beste aus dieser vertrackten Misere zu machen, indem sie wie viele andere auch schlicht und einfach eine im Web etablierte funktionierende Lösung anbieten wollten im Rahmen ihrer eigenen Dienste für ein Problem, das eigentlich P3P und dessen funktionierende Umsetzung in den Browsern schon viel früher hätte lösen sollen, es bis heute aber leider nicht tut mangels Interesse, Einsatz und Willen gleich eines ganzen Haufens an maßgeblichen Akteuren und Verantwortlichen.

Wer ist hier also der Schuldige? Google? Zu kurz gesprungen, wie ich finde. Und irgendwo auch ziemlich unfair angesichts des "epic fails" gleich mehrerer Verantwortlicher und Beteiligter (die alle nicht Google heißen) und voll gegen die Wand gefahrenen Gesamtsituation, wie sie sich entwickelt hat und sich nun darstellt.

Also: entweder alle verknacken, weil sie alle Mist gebaut haben. Oder keinen.

Nachtrag:

Also: entweder alle verknacken, weil sie alle Mist gebaut haben. Oder keinen, weil halt irgendeine funktionierende, praktikable Lösung gefunden werden musste. Derer sich Google, wie viele andere auch, nur bedient hat, um beim Thema nahtloses Session-Tracking mangels allseits funktionierender P3P-Implementierung überhaupt was zu haben, um bestimmte Services und Komfortmerkmale für den Benutzer anbieten zu können.

Du redest hier massiv am Thema vorbei. Es geht bei diesem Vorfall um Cross-Domain-Tracking. Um nichts anderes als die Nutzer über verschiedene Seiten verfolgen bzw. ausspionieren zu können und nichts anderes.

Nebenbei, wenn das so wichtig war, was funktioniert denn bei Google z.B. nun nicht mehr? "Gegenüber Cnet verteidigt Google sein Vorgehen mit den erweiterten Funktionsmöglichkeiten für angemeldete Nutzer"
Können es ja nicht einmal benennen und ihr sonstiges Verhalten lässt wohl auch eher darauf schließen, dass sie genau wussten was sie da zusammenhackten. Als etwas Licht auf die Sache fiel, verzogen sie sich wie Kakerlaken es ebenso tun ... alles sehr vertrauensbildend

Von welchen Realitäten und Ansprüchen redest du eigentlich? Etwa von einem Cross-Domain-Tracking mit W3C Segen? Denn nur das würde wohl den Ansprüchen von Goolge und Facebook gerecht. Wahrlich haben da einige schon sehr sehr seltsame "Realitäten"

Aronnax:

Nö. Ich rede hier EXAKT ZUM Thema.

Eben!

Eben!

Nur mit dem Unterschied, dass es noch andere und sehr lautere und legale Anwendungsfälle gibt, als das von Dir unterstellte Ausspionieren, in denen es für manche völlig untadelige Szenarios notwendig und richtig und nicht unwichtig sein kann, ein Tracking über mehrere Seiten hinweg zu machen oder machen zu können -- unbenommen der verwendeten Methode (die Methode ist es, die hier in diesem konkreten Fall näher zu beleuchten wäre)! Ganz legale und sehr lautere und gut begründbare und einsehbare Anwendungsfälle gibt es da! Und hättest Du die oben verlinkten Artikel/Essays von Koehntopp und Weinstein gelesen, dann wäre Dir das spätestens nach Lektüre von deren Artikeln auch inzwischen klar!

Nicht alles, was Du auf den ersten Blick nicht verstehst oder deren Hintergründe Du auf den ersten Blick nicht erfasst, ist gleich pöse, pöse, pöse!

Es mag ja sein, dass man gute Beispiele für Cross-Domain-Tracking finden kann/könnte. Ändert aber kaum etwas daran, dass damit in 99.999 Prozent der Fälle nichts weiteres getan wird als Nutzer auszuspionieren.

Was macht man also mit so einer Methode: man verdammt sie und gibt sie z.B. niemals einen W3C Segen. Um Mal auf wieder auf deine angeblichen, mangelnden neuen Möglichkeiten bezüglich Cookies, oder sonst einer Tacking-Methode einzugehen. Dann hat man eben ein Mangel an Überwachungsmöglichkeiten. Irgendwie macht es mich eher glücklich. Scheiß doch drauf was Google und Facebook, oder z.B. auch Apple will. Im W3C sind derartige Firmen übrigens wahrlich nicht zu knapp vertreten, wenn sie es dort nicht durchdrücken können ... ja dann wird es wohl einen Grund haben ... zum Glück

Aronnax:

Nicht nur mag es sein, sondern es IST auch so. Und zwar in einer überwiegenden Anzahl von Fällen.
Missbrauch in Richtung Ausspionieren mag es geben, Missbrauch gibt es immer und überall, doch dürfte der nicht die Mehrheit ausmachen, sondern die Minderheit.

Das Glas ist halb voll und nicht halb leer, Aronnax. So und mit dieser Einstellung sollte man da mal rangehen an sowas.

Belege/Beweise Deinerseits? Und zwar überzeugende? Und zwar auch in Richtung 99.999 Prozent?

Oder ist das einfach nur mal so blau in die Luft geblasen und behauptet von Dir?

Ja, ist das so, dann gibt doch mal nur ein richtiges/praktisches Beispiel.

Nebenbei, Cross-Domain Kram/Code wurde schon häufiger wegen Sicherheitsbedenken geblockt - siehe z.B. WebGL-Code, wo sie unter Mozilla/Firefox z.B. auch nur eine Quelle/Domain zulassen. Ist auch nur ein Beispiel unter vielen.

Wo du es ja so unbedingt willst, bist du dann nicht übrigens auch in der Begründungsschuld. Die diversen Datenschutzskandale, auch von Google, führen ja wohl eher dazu, dass man sich als "Kritiker" nun bequem die Eier schaukeln lassen kann und auf echte/gute Begründungen warten könnte.
Bisher kam da ja nicht viel bzw. nur heiße Luft