Om nah hoo pez nyeetz, Robert R.!

_Meine_ Frage zielte jedoch nur auf den Umstand, wie und wann man dem User klar macht, dass man sogleich transiente Cookies verwenden wird, oder ob man sich das aus rechtlicher Sicht schenken kann, da sowieso jeder Benutzer eines komplexeren Portals wissen sollte, dass die aus technischer Sicht notwendig sind.

Nach meinem Verständnis, muss man keine Zustimmung für das Setzen eines Session-Cookies einholen. (Es handelt sich hierbei nicht um eine Rechtsberatung.)

Und dann bleibt immer die lästige Frage, wie man vernünftig feststellt, ob der Benutzer transiente Cookies zulässt, ohne eine SessionID in die URL einzubauen.

In PHP zum Beispiel durch die Einstellung session.use_trans_sid = 1.

„Wenn in der Datei php.ini die Option session.use_trans_sid eingeschaltet ist, erfolgt die Weitergabe der Session-ID "transparent", also ohne dass Sie dies in ihrem Dokument explizit vorsehen müssen. Dabei werden Verweise mit relativen Pfadangaben vom PHP-Interpreter automatisch um den entsprechenden URL-Parameter ergänzt, falls die Session-ID nicht mit einem Cookie weitergegeben werden kann. Ebenso werden Formulare automatisch um ein verstecktes Textfeld mit der Session-ID ergänzt.“ (http://www.teialehrbuch.de/Kostenlose-Kurse/PHP/9360-Sessions-ohne-Cookies.html)

Allerdings: „URL-basiertes Session-Management hat im Vergleich zu Cookie-basiertem Session-Management zusätzliche Sicherheitsrisiken. Benutzer können zum Beispiel eine URL, die eine aktive Session-ID enthält, per Email an Freunde schicken oder in ihren Bookmarks speichern und immer mit der selben Session-ID auf Ihre Seite zugreifen.“ (php manual)

Matthias

--
Der Unterschied zwischen Java und JavaScript ist größer als der zwischen wir und Wirrwarr.