Hallo 1UnitedPower,

Erst bei vollständiger Umstellung auf stateful Connections (z. B. WTP) benötigt man keine Cookies mehr. Im Zeitalter des Überwachungswahns wird das auch kommen.

Mit welchem Argument möchtest du einen Überwachungs-Kritiker davon überzeugen, dass eine zustandsbehaftete Verbindung mehr seinen Interessen entspricht als eine zustandslose Verbindung?

Ich kann Dir hier leider nicht folgen. Ich habe nicht geschrieben, dass ich jemanden überzeugen will.

Request-Response oder kontinuirlcher Stream macht aus Datenschützer-Perspektive erstmal keinen Unterschid. Ich glaube jedenfalls, dass sich gesicherte Verbindungen (z.B. mit TLS) in Zukunft immer größerer Beliebtheit erfreuen werden.

Hier geht es um "verbindungslos" contra "verbindungsorientiert" und einzig alleine zu dem Zweck, Requests eines Clients einem Prozess zuzuordnen (siehe hierzu auch https://forum.selfhtml.org/?t=218800&m=1507766, letzter Absatz.

Das kann man derzeit mit Daten-Ping-Pong, Übertragung der Credentials pro Request (Basic Auth), Authentication Token, Cookie, oder WTP erreichen.

Dass man mit WTP dann keinen dedizierten Server und Client mehr hat, ist ein Zusatznutzen für die Überwachungsindustrie. Die kann dann, wenn die Verbindung erst einmal konstituiert ist, immer hübsch nachgucken, ob der Teilnehmer noch da ist und auch, was viel schlimmer ist, RPCs ausführen, deren Handler irgenwo versteckt in der Software (im mBrowser) sitzen.

_Meine_ Frage zielte jedoch nur auf den Umstand, wie und wann man dem User klar macht, dass man sogleich transiente Cookies verwenden wird, oder ob man sich das aus rechtlicher Sicht schenken kann, da sowieso jeder Benutzer eines komplexeren Portals wissen sollte, dass die aus technischer Sicht notwendig sind.

Und dann bleibt immer die lästige Frage, wie man vernünftig feststellt, ob der Benutzer transiente Cookies zulässt, ohne eine SessionID in die URL einzubauen.

Von persistenten Cookies war bei überhaupt noch nicht die Rede.

Grüße aus der warmen Stube

Robert