opt in code ALWAYS executed

Resolved ffwebdesigner
(@ffwebdesigner)

3 years, 9 months ago
hi guys,

big and maybe legally really dangerous problem to other user with real cookie banner and opt in code:

i set up google analytics as statistics service in real cookie banner:
group:statistics, opt-in.

code to be executed on opt-in:
```

<script async src="https://www.googletagmanager.com/gtag/js?id=UA-xxxxxx-1"></script>
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());

  gtag('config', 'UA-xxxxxx-1', { 'anonymize_ip': true });
</script>
```
the code ALWAYS gets executed! right now i disabled analytics and the service completely as i got an expensive warning from a lawyer. checked cookies with ccm19.de and cookie.rocks. before disabling the service both said the code is being executed AND cookies beeing stored illegally.

latest wordpress version, latest real cookie banner version. also happens with no other plugins active in theme 2020. normal unix/apache server.

login to the site for to check it yourselves upon request.
- This topic was modified 3 years, 9 months ago by ffwebdesigner.

Viewing 3 replies - 1 through 3 (of 3 total)

Plugin Contributor Matthias Günter
(@mguenter)

3 years, 9 months ago

Hey @ffwebdesigner !

Danke für deine Nachricht.

Wenn ich auf deiner Seite den Cookie Banner noch nicht akzeptiert habe, werden auch keine Google Analytics Scripte geladen, siehe dazu auch die Entwickler-Tools via F12 -> Network: https://i.imgur.com/I7Igcko.png

Magst du mir bitte kurz einen solchen Report zukommen lassen, wo Google Analytics vor der Einwilligung geladen wird?
Thread Starter ffwebdesigner
(@ffwebdesigner)

3 years, 9 months ago
hi matthias,

der cookie banner war akzeptiert. der code eingebaut als opt in. als du getestet hast war der opt in code gerade inaktiv, da nicht rechtssicher. ich hab übers wochenende ein grosses update auf php 8 gefahren und in dem rahmen zahlreiche veraltete plugins durch neue ersetzt sowie php fehler behoben. jetzt wirft console und wp_debug keinerlei fehler mehr. nochmals getestet: jetzt wird der opt in code aus cookie consent gar nicht mehr geladen, auch mit zustimmung.

angelegt als opt in code unter statistik > analytics, opt in code oben natürlich mit echter UA nummer. zuerst wurde dieser code IMMER geladen, jetzte GAR NICHT MEHR.

dort ausgebaut und fest in heade reingebaut. content blocker erstellt. jetzt scheint analytics korrekt gebockt zu werden wenn nicht akzeptiert:

<script async consent-original-src-_=”https://www.googletagmanager.com/gtag/js?id=UA-619798-1″ consent-required=”1945″ consent-by=”cookies” consent-id=”1946″ consent-original-type-_=”application/javascript” type=”application/consent”></script>

aber: https://www.ccm19.de/cookie-scanner/?scanurl=ff-webdesigner.com&scanstart=Scan+starten&csrf_token=c9da1e21008fa1fd8d6338e6 motzt weiter dass angeblich analytics cookies geladen werden. laut dev tools ist das nicht der fall.

auch cookie.rocks behauptet dass dort cookies gesetzt werden würden.

habe den code
```
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());
  gtag('config', 'UA-619798-1', { 'anonymize_ip': true });
</script>
```
verlagert von head in opt in code in real cookie banner.

laut devtools werden ohne zustimmung jetzt weder analytics scripte geladen noch cookies gesetzt.

beide cookie checker widersprechen.

kanns sein dass mein beiden lieblings checker einfach falsche aussagen machen?
welche checker nutzt du?

wenn ich real cookie banner ansatz richtig versteht greifst du mittels jquery in den code der seite ein und schaltetst damit definierte bereiche via content blocker inaktiv. wenn die cookie checker kein js können MÜSSEN die also immer denken dass cookies gesetzt werden, korrekt?

ich frage mich auch ob nicht irgendwann ein fieser anwalt auf die idee kommt zu sagen: hey ich hab js deaktiviert und auf einmal kriegt google wieder daten…ok ohne js auch keine cookies…unwahrscheinlich…
Plugin Contributor Matthias Günter
(@mguenter)

3 years, 9 months ago

Hey @ffwebdesigner !

Um welche Seite geht es denn? Etwa auch um https://kitesurf-reisen.eu/ ? Wenn ja, dann kann dort durch den Fehler aus https://ww.wp.xz.cn/support/topic/real-cookie-banner-shown-on-every-page-again-in-chrome/ kein Opt-In Code ausgeführt werden, da die Einwilligung nicht gespeichert werden kann. Heißt: Zunächst muss dieser Fehler beseitigt werden, sodass Opt-In Code ausgeführt wird, denn nur mit einer gültig-gespeicherten Einwilligung soll bspw. Google Analytics geladen werden.

kanns sein dass mein beiden lieblings checker einfach falsche aussagen machen? welche checker nutzt du?

Wie genau solche Checker funktionieren, kann ich leider nicht sagen. Wir selbst verwenden aber keiner solchen Checker, da die Google Chrome DevTools völlig ausreichend sind. Siehe dazu auch: https://devowl.io/de/wissensdatenbank/real-cookie-banner-alle-services-finden/

wenn ich real cookie banner ansatz richtig versteht greifst du mittels jquery in den code der seite ein und schaltetst damit definierte bereiche via content blocker inaktiv. wenn die cookie checker kein js können MÜSSEN die also immer denken dass cookies gesetzt werden, korrekt?

Nein, Real Cookie Banner geht hier den sichersten Weg und verlässt sich nicht auf den anfragenden Client. Heißt, Daten werden schon vor dem Senden an den Client “maskiert” und blockiert. Ein Beispiel für ein YouTube-Embed: Anstelle des src Attributs wird es zu einem consent-original-src Attribut umgewandelt.

<iframe height="152px" width="400px" frameborder="0" scrolling="no" consent-original-src-_="https://youtube.com/..." consent-required="25783"

Sobald du nun via RCB eine Einwilligung gibst, wird das Attribut client-seitig “einfach umgetauscht” und der Content lädt. Ein ähnliches Verhalten gilt auch mit blockierten Inline Scripten für bspw. Google Analytics.

Viewing 3 replies - 1 through 3 (of 3 total)

The topic ‘opt in code ALWAYS executed’ is closed to new replies.

Tags