HMAC-SHA256 Consent Cookie | Consenta

HMAC-SHA256 Consent Cookies — Echte Kryptographie für manipulationssicheres Consent

Seit v1.7.0 signiert Consenta jeden Consent-Cookie mit echtem HMAC-SHA256 und dem WordPress AUTH_KEY. Serverseitige Verifikation via hash_equals() macht Timing-Angriffe unmöglich — unsignierte Cookies werden konsequent abgelehnt.

Jetzt starten — ab 6 €/Mo Features entdecken

14-Tage Geld-zurück · Jederzeit kündbar · DSGVO-konform · Lokal in WordPress

Consenta WordPress Cookie Consent Dashboard
LAUNCH DEAL — LIMITIERT Agency Lifetime + White-Label — 149 € 499 € Jetzt sichern →
HMAC-SHA256
Signatur
AUTH_KEY
WordPress-Schlüssel
hash_equals
Timing-sicher
v1.7.0
Upgrade

Was ist ein HMAC-SHA256-signiertes Consent Cookie?

Ein HMAC (Hash-based Message Authentication Code) ist ein kryptographisches Verfahren, das die Integrität von Daten sicherstellt. Seit Consenta v1.7.0 wird jeder Consent-Cookie mit echtem HMAC-SHA256 signiert — unter Verwendung des WordPress AUTH_KEY als geheimen Schlüssel. Wird das Cookie im Browser manipuliert — z.B. um gesperrte Kategorien freizuschalten — erkennt der Server die ungültige Signatur via hash_equals() und verwirft das Cookie. Unsignierte Cookies werden generell abgelehnt. Der Nutzer muss erneut einwilligen. Hinweis: Die frühere djb2-basierte Signatur aus v1.6.x wird nur noch als Legacy-Fallback für die Migration bestehender Cookies akzeptiert und gilt als deprecated.

Features

HMAC Consent Cookie im Detail

HMAC-SHA256 mit WordPress AUTH_KEY

Seit v1.7.0 wird echter HMAC-SHA256 unter Verwendung des WordPress AUTH_KEY verwendet. Der geheime Schlüssel ist einzigartig pro WordPress-Installation — nur dieser Server kann gültige Signaturen erstellen.

hash_equals() — Timing-Attack-Schutz

Die Signaturverifizierung nutzt hash_equals() statt direktem String-Vergleich. Damit sind Timing-Angriffe, bei denen ein Angreifer durch Messung der Antwortzeit Rückschlüsse auf den Schlüssel ziehen könnte, unmöglich.

Unsignierte Cookies werden abgelehnt

Cookies ohne gültige HMAC-SHA256-Signatur werden seit v1.7.0 konsequent abgelehnt. Nur der Legacy-Fallback für djb2-signierte Cookies aus v1.6.x wird noch für die Migration akzeptiert.

Automatische Erneuerung

Bei erkannter Manipulation oder ungültiger Signatur wird das Cookie gelöscht und der Consent-Dialog erneut angezeigt. Der Nutzer muss seine Einwilligung neu erteilen.

Kein Klartext-Cookie

Die Consent-Daten im Cookie sind durch die HMAC-Signatur gegen jede Manipulation geschützt. Eine Änderung auch nur eines einzelnen Zeichens invalidiert die Signatur sofort.

Nahtlose v1.7.0-Migration

Bestehende djb2-signierte Cookies aus v1.6.x werden während der Migration als Legacy-Fallback erkannt und beim nächsten Consent automatisch durch neue HMAC-SHA256-Cookies ersetzt.

So funktioniert es

HMAC-SHA256 Consent Cookie in 3 Schritten

1

Automatisch aktiv (v1.7.0+)

HMAC-SHA256-Signierung ist standardmäßig aktiv — seit v1.7.0 mit echtem HMAC und WordPress AUTH_KEY. Du musst nichts konfigurieren.

2

Cookie wird HMAC-SHA256-signiert

Wenn der Nutzer seine Einwilligung gibt, wird das Cookie mit echtem HMAC-SHA256 signiert. Der WordPress AUTH_KEY dient als geheimer Schlüssel.

3

Server verifiziert via hash_equals()

Bei jedem Seitenaufruf prüft der Server die Signatur via hash_equals(). Unsignierte oder manipulierte Cookies werden abgelehnt, der Consent-Dialog erneut angezeigt.

Preise

Monatlich oder jährlich — jederzeit kündbar.

LAUNCH DEAL — LIMITIERT
Agency Lifetime + White-Label — 499 € 149 €
Alle Agency-Features inkl. White-Label Addon — unbegrenzte Sites, eigenes Branding.
Bundle sichern
STARTER
Starter
6
/Monat
monatlich kündbar · 1 WordPress-Site
54
/Jahr
4.5 €/Monat · 3 Monate gratis
  • 1 WordPress-Site
  • Consent-Dialog & Banner
  • Cookie & Script Blocking
  • Cookie Scanner
  • Google Consent Mode v2
  • IAB TCF 2.2
  • GPC-Signal (Do Not Sell)
  • Live-Editor (Farben, Logo)
  • Import/Export
  • Browser API Blocking
  • Webhooks
  • E-Mail-Support
Jetzt kaufen

Jederzeit kündbar

BELIEBTESTE WAHL
Pro
12
/Monat
monatlich kündbar · 10 WordPress-Sites
108
/Jahr
9 €/Monat · 3 Monate gratis
  • 10 WordPress-Sites
  • Alles aus Starter
  • Consent-Logging & CSV-Export
  • Geolokalisierung
  • CCPA / CPRA (US Opt-out)
  • Content-Blocker Platzhalter
  • Re-Consent bei Änderung
  • 30+ Sprachen
  • Custom CSS
  • Service Worker Blocking
  • Auto Cache Purge
  • Webhooks
  • Browser API Blocking
  • Priority Support
Jetzt kaufen

Jederzeit kündbar · 14 Tage Geld-zurück

AGENCY & FREELANCER
Agency
20
/Monat
monatlich kündbar · Unbegrenzte Sites
180
/Jahr
15 €/Monat · 3 Monate gratis
  • Unbegrenzte WordPress-Sites
  • Alles aus Pro
  • Multi-Site Central-Dashboard
  • REST API Zugriff
  • Gebrandete Reports
  • Custom Consent-Texte
  • Dedizierter Support
  • + White-Label Addon ab 20 €/Monat · separat erhältlich
Agency starten

Jederzeit kündbar · 14 Tage Geld-zurück

Häufige Fragen

Fragen zum HMAC-SHA256 Consent Cookie

Was ist HMAC-SHA256 und wie unterscheidet es sich von djb2?
HMAC-SHA256 ist ein kryptographisch sicheres Signaturverfahren, das einen geheimen Schlüssel (den WordPress AUTH_KEY) mit einem SHA-256-Hash kombiniert. Das frühere djb2-Verfahren aus v1.6.x ist eine einfache Prüfsumme ohne kryptographische Stärke und gilt seit v1.7.0 als deprecated — es wird nur noch als Legacy-Fallback für bestehende Cookies akzeptiert.
Wird das Cookie durch HMAC-SHA256 größer?
Minimal. Die HMAC-SHA256-Signatur fügt 64 Zeichen (32 Bytes hex-codiert) zum Cookie hinzu. Das ist vernachlässigbar und hat keinen Einfluss auf die Performance.
Was bedeutet hash_equals() für die Sicherheit?
hash_equals() ist eine PHP-Funktion, die Strings in konstanter Zeit vergleicht — unabhängig davon, wie früh die Strings sich unterscheiden. Dadurch werden Timing-Angriffe verhindert, bei denen ein Angreifer durch Messung der Vergleichsdauer Rückschlüsse auf den geheimen Schlüssel ziehen könnte.
Was passiert mit bestehenden Cookies nach dem Update auf v1.7.0?
Bestehende djb2-signierte Cookies aus v1.6.x werden als Legacy-Fallback erkannt und weiterhin akzeptiert. Beim nächsten Consent-Ereignis wird das Cookie automatisch durch ein neues HMAC-SHA256-signiertes Cookie ersetzt. Die Migration erfolgt nahtlos ohne Einwirkung des Nutzers.
Cookie Blocking Consent Dialog Cookie Banner Consent Widget Google Consent Mode v2 Google Fonts lokal IAB TCF Cookie Scanner Consent-Protokolle Geolocation Multi-Site White-Label A/B Testing Statistiken Einzeldienst-Consent WooCommerce WCAG 2.1 AA Auto-Scan Mehrsprachig REST API Consent-Nachweis IP-Anonymisierung Gutenberg Block CMP-Import Consent-Verlauf Service Worker Blocking CCPA / CPRA CSV Export Webhooks RTL-Unterstützung WP-Datenschutz PDF Export Browser API Blocking Sicherheit DSGVO-konform Alle Features

Consent-Cookies. HMAC-SHA256. Manipulationssicher.

HMAC-SHA256 · WordPress AUTH_KEY · hash_equals() · Timing-Attack-sicher · Unsignierte Cookies abgelehnt · DSGVO-konform

Jetzt starten — ab 6 €/Mo Alle Features

14 Tage Geld-zurück-Garantie · Jederzeit kündbar · In 34 Sprachen verfügbar