Ny EU-lov: Alle cookies skal godkendes af brugeren

Min ene browser spørger mig allerede hver gang jeg modtager en cookie fra et ukendt domæne. Så kan jeg vælge mellem 'Ja, denne gang', 'Nej, denne gang', 'ja, altid' og 'nej, altid'.

Hvorfor ikke bare udnytte sig af at cookies rent er noget der sker på brugerens maskine og så bede brugerene om at vælge browsere der giver dem den fornødne kontrol over egen maskine?

Lidt paradoksalt vil så vær,e at vælger brugeren NEJ til cookies, kan man ikke gemme hans svar som en cookie, så han ikke bliver spurgt næste gang.

Jeg glæder mig til ikke at blive tracket på alle mulige måder af reklame-sider. Det er jo ikke fordi de ikke kan lave reklamer uden cookies. Hvis jeg er på en side med artikler omkring f.eks. tomat-dyrkning, så skal de nok prøve at sælge mig nogle haveredskaber.
Hvis cookies er strengt nødvendige for en service brugeren har bedt om må man jo godt bruge dem.
Desuden kan man jo bare altid få brugeren til at acceptere cookie'en. Så vil de vise sig hvor mange der er interesserede.

Er det websiderne (alle milliarder) der skal spørge brugerne, eller er det browseren der skal spørge?

Og hvad med organisationer udenfor EU, e.g. Google Analytics? Skal de spørge for hver enkelt side, én gang og så er Google Analytics godkendt i fremtiden, eller aldrig fordi Google er et Amerikansk foretagende?

Jeg lader bare Adblock Plus droppe de sider jeg ikke gider have til at snuse rundt, og det skulle da også stoppe en del tracking cookies.

Man kan godt lave indkøbskurve uden cookies: Man koder det blot i URL'en som parametre, f.eks.

www.firma.com/side.msp?session=djfgsjk

hvor djfgsjk er en kode for den igangværende session. Serveren skal så lokalt have en fil, der beskriver indkøbskurv osv. for denne session.

Den eneste ulempe er, at man ikke kan bevare indkøbskurv mellem sessions, med mindre man bookmarker URL'en med sessionskoden eller logger ind (hvorved sessionskoden erstattes af en brugerkode). Serveren kan slette data for anonyme sessions efter et stykke tid, men bevare data for registrerede brugere. Dermed kan registrerede brugere også bevare indkøbskurv osv. mellem sessions.

Et problem med at gemme identifikationen af en session i query-part af en URI er at brugere rask væk lige via noget instant messaging klipper url'en over i en anden kontekst. Dette giver i nogle tilfælde mulighed for at lække fortrolig data.

Det er så tåbeligt. Så hvergang man vil logge ind på et site skal man også lige bekræfte at det er iorden at man gemmer en session cookie på personen computer.

Det vil også forvirre brugere at de skal godkende noget, som de ikke forstår.

Det lyder helt åndssvagt, er det virkeligt sandt?
De nævntet eksempel på misbrug:

For eksempel kan et flyselskab med en cookie registrere, hvis den samme kunden tjekker prisen på en bestemt afgang tit. Sker det, vil prisen automatisk blive hævet lidt hver gang, fordi det vil få kunden til at slå til og købe. Sletter kunden sine cookies, ryger prisen tilbage til udgangspunktet, skriver dr.dk.

Er det så ikke mere relevant, at gøre det ulovligt at have individuelle priser, til folk der ikke aktivt har identificeret sig, ved fx at logge ind?
At kræve accept af stort set alle cookies, rammer alt for mange sites der bruger cookies til noget fornuftigt.

Nej du kan bare holde informationerne i din session.
Hvis du mener den cookie der indeholder dit session-id så nej. Det er så vidt jeg kan tolke ikke det der bliver lovgivet om her.

Mon ikke det cookie forbud er et eller andet vildskud fra en interesseorganisation som er blevet forvansket gennem 100 led og endt som noget helt andet end det der blev ønsket?

Under alle omstændigheder er det eneste man kan gøre at ignorere det og håbe på at det går væk en gang.

Session cookies er en ganske god måde at styre en webapplikation på. Jeg kan ikke forestille mig det er her skoen trykker. I øvrigt er der med nutidens sprog som ASP.Net og JSP (etc), rigeligt med andre muligheder for at identificere en klient imellem sideforespørgsler.

Der hvor cookies ikke er i orden, er såkaldte tracecookies. De gemmes på klienten uden brugerens viden med det formål at udnytte brugerens brugsmønstre. Hvis man bliver spurt, som man jo i øvrigt alligevel gør ved de fleste legitime persisterede cookies, så ved man da i det mindste at siden man er inde på, holder øje med en.

Der hvor cookies ikke er i orden, er såkaldte tracecookies. De gemmes på klienten uden brugerens viden med det formål at udnytte brugerens brugsmønstre. Hvis man bliver spurt, som man jo i øvrigt alligevel gør ved de fleste legitime persisterede cookies, så ved man da i det mindste at siden man er inde på, holder øje med en.

Jeg synes du er meget kategorisk når du afviser alt andet end session cookies (eller er det ikke det du mener).
På mit fritidsprojekt (obsurvey.com) har jeg lavet det sådan at man bare kan klikke "Try now" og får oprettet en brugerkonto og lagt en cookie på computeren sådan at når man kommer næste gang og trykker "Try now" bliver man logget på med samme bruger. Så kan man prøve applikationen med det samme uden at registrere sig. Man kan altså vente med at registrere sig, så man kan logge ind fra en anden computer/browser, til man har lyst. Det jeg ikke kan gennemskue er om jeg så skal til at spørge om tilladelse til det. Det ville være svært uhensigtsmæssigt og sikkert skræmme folk væk der bare lige vil prøve.

Jeg vil også mene at kun giver mening at spørge når man ønsker at placere cookies (session cookie og persistent cookies) som skal gælde cross-domain med P3P http://www.w3.org/TR/P3P/ standarden som fx skal anvendes i forbindelse med sporing af køb fra Kelkoo.dk og lign. services.
Ikke at kelkoo.dk misbruger deres tillid, men har man ikke så meget moral kan et misbruges også i kommercielle sammenhænge.
Og der kunne det være en god idé at spørge brugeren, fordi man har reelt en mulighed for at lave server-server callbacks i fx en kelkoo.dk- og affiliateløsninger.

Men det vækker da helt sikkert en god debat!

Ville det ikke være dejligt, hvis vi kunne få forbudt misbrug af data om folk på nettet, frem for at at forbyde en masse af de måder hvorpå man kan misbruge dem?

"Du må ikke slå ihjel", frem for a opremse alle metoderne de kan komme på at dette kan gøres... "Du må ikke uden brugerens explicitte samtykke bruge eller indsamle oplysninger om brugeren til handlinger som ikke er nødvendige for at brugeren kan udføre den ønskede handling." Så har vi vel også dækket cookies, og måske oven i købet lagt op til spørgsmål som "Må vi gemme lidt data hos dig, så det næste gang er nemmere for dig at komme til at skrive kommentarer" frem for "Må vi gemme data hos dig, for det siger loven vi SKAL spørgem om".

Jeg er altid bange for love der omhandler specifikke tekniske implementationer, frem for at angribe problemet fra en mere hensigtsbeskrivende vinkel. Tekniske implementeringer kan hurtigt ændres til at indsamle data om brugeren på anden vis (Eksempelvis gemme IP + browser, nu om dage sidder en router ofte konstant på nettet, så selv ved dynamisk IP holder man IPen i månedsvis).

Helt enig. Det må være hensigten og ikke metoden, der skal lovgives om.

Ville det ikke være dejligt, hvis vi kunne få forbudt misbrug af data om folk på nettet, frem for at at forbyde en masse af de måder hvorpå man kan misbruge dem?

Jo. Men det er jo nærmest umuligt at påvise hvornår noget er misbrug og i de tilfælde er det forsent. Når data er indsamlet vil de blive misbrugt.

Så skal du lave en lov om at man ikke må hive data ud af brugeren med mindre han/hun har givet lov.

Det vil dog gøre det fuldstændig umuligt at se om folk bryder loven hvis de får lov til at gemme en cookie med et id. Alle data kan jo bare ligge på serveren. Så man bliver nødt til at sige at man ikke må gemme en cookie uden at brugeren giver lov.

Ellers skal du lave en lov som siger "Du må ikke gemme nogen oplysninger om brugeren der kan genkende dem uden for session, medmindre de giver lov."
Det ville nok være den bedste løsning.

På mit fritidsprojekt (obsurvey.com) har jeg lavet det sådan at man bare kan klikke "Try now" og får oprettet en brugerkonto og lagt en cookie på computeren sådan at når man kommer næste gang og trykker "Try now" bliver man logget på med samme bruger.

Jeg synes det var et dårligt eksempel på god brug. Det lyder som en meget uoverkuelig process for brugeren medmindre du alligevel forklarer at du skal gemme noget information på brugerens PC. Det kan også være at det slet ikke matcher brugerens ønsker at genoptage sin session.

Jeg synes det var et dårligt eksempel på god brug. Det lyder som en meget uoverkuelig process for brugeren medmindre du alligevel forklarer at du skal gemme noget information på brugerens PC. Det kan også være at det slet ikke matcher brugerens ønsker at genoptage sin session.

Jeg forklarer det i introduktionsvideoen, der er ingen der har beklaget sig over metoden. Hvad er det mere præcist du ikke kan lide? Hvilken situation kan opstå, som er forvirrende?

Jeg forklarer det i introduktionsvideoen, der er ingen der har beklaget sig over metoden. Hvad er det mere præcist du ikke kan lide? Hvilken situation kan opstå, som er forvirrende?

Jeg har ikke kigget på dine hjemmeside. Jeg synes bare det er et dårligt eksempel du fremlægger.
Du kan lige så godt sige til folk kan logge ind med id "brugernavn" og eller bare bede dem acceptere din cookie. Hvis de er interesserede skal de nok gøre det.
F.eks. "Hvis du ønsker at vi skal gemme dine oplysninger til næste gang: CHECKMARK HER".

Jeg har ikke kigget på dine hjemmeside. Jeg synes bare det er et dårligt eksempel du fremlægger. Du kan lige så godt sige til folk kan logge ind med id "brugernavn" og eller bare bede dem acceptere din cookie. Hvis de er interesserede skal de nok gøre det. F.eks. "Hvis du ønsker at vi skal gemme dine oplysninger til næste gang: CHECKMARK HER".

Det giver ikke ret meget mening at bruge applikationen uden at gemme login. for så kan man ikke se de svar der er givet til spørgeskemaet.

Hvsi man logger på med brugernavn og adgangskode, så må den man logger på hos da kunne huske, hvad man gjorde sidst man var "på besøg". Alene evnen til at lægge en cookie på en persons PC bør forbydes, idet et brugernavn og adgangskode til de der ønsker "avanceret adgang" kan hindre uønsket tapning af forbrugsmønstre m.v.

Jeg undgår virksomheder, der vil have mig til at acceptere cookies for at komme ind på deres hjemmeside.

Når så vi har fået forbudt cookies, så kan vi starte med at forbyde udveksling af email-adresser. Straffen for en CEO for en virksomhed, der sælger ens email adresse til andre skumle virksomheder kan passende være 16 års fængsel.

Flash har en shared object funktion, der kan gemme og læse data på brugerens maskine. Brugeren kan i lighed med cookies disable dem i Flashplayeren. Som standard kan gemmes op til 100 kB ialt.

Hvis forbudet gælder Cookies alene, er Flash et smuthul til omgåelse.

Ingen tvivl om at loven kan omgås, forstået på den måde at brugere alligevel vil kunne blive genkendt uden for sessioner. Men det bliver alt andet lige, lidt sværere end det har været med cookies.

Det ville være en uoverkommelig opgave at lave en lov der på teknisk niveau specificerede alle muligheder der potentielt set kan anvendes til at genkende en bruger imellem sessioner.

Så er det nok mere en 'Du må ikke misbruge brugeres data' lov (Mark Gjøls indlæg), der er brug for

Var det indlæg sarkastisk?

Nej, hvis jeg kommer til en webside, der siger at mit sikkerhedsniveau forhindrer cookies, så får de ikke lov at sælge mig noget.

Cookies er derfor ikke et problem for mig, men for dem der vil sælge mig noget, som de ikke kan få lov til, da jeg ikke kan se, hvad de udbyder - jeg bevæger mig ikke ind på deres websider.

Mit indlæg var seriøst derhen, at jeg mener at de der misbruger nettet skal straffes voldsomt - det kan jo kaldes en form vor virtuel voldtægt. Og strengt taget, så er der ikke nogen der har brug for cookies, den webside man besøger kan da gemme opsætning af dette og hint lokalt på sin egen server. Hvis man er for doven til at taste brugernavn og adgangskode, så kan man jobede browseren huske det for een. Jeg har ikke hørt eet eneste validt argument for at cookies skal være tilladt overhovedet.

Til det allerøverste indlæg:

Hvis man elsker sikkerhed, så kan man som jeg have en PC, som den jeg bruger i øjeblikket, hvor næsten alt er tilladt, og udstyret med det bedste i virusbeskyttelse. Denne PC bruges imidlertid ikke til nethandel og netbank, det har jeg en anden PC til. De hjernelamme idioter der forsøger at målrette reklamer efter mine indkøb bliver slemt skuffede, for de finder ikke noget nethandel på denne PC.

På den anden PC, der handler jeg kun på steder der ikke forsøger at lære mig at kende. Jeg har enkelte gange været nødt til at acceptere en cookie, fordi det jeg skulle købe kun kunne fås eet sted. Inden jeg lukkede PCen ned var cookien fjernet.

Cookies er kun til for at genere almindelige mennesker.

Jeg kan i øvrigt se på den negative respons på et af mine andre indlæg, at der er een af de tilstedeværende debatører, der lever af spionere på vi andre, og sælge den viden til skumle virksomheder. Gad vide om man kan bruge spionage paragraffen i straffeloven til at komme efter sådanne useriøse mennesker.

Jeg vil lige påpege at der er en lille forskel på hvad der er nødvendigt, og hvad der blot er et praktisk værktøj.

Man kan jo godt undvære cookies, men de er altså generelt ganske praktiske. Ikke blot kan cookies bruges til at huske login mellem sessions og faneblade, de kan også bruges til at gemme indstillinger og data til gavn for brugeren, uden at brugeren behøver at oprette en konto, logge ind osv. Fx kan man på en del tegneseriesider sætte et bogmærke så man ikke selv behøver at huske hvor langt man er kommet. Det er ikke nogen kæmpe revolution, det er bare praktisk.

Hvis du blot indstiller din browser til ikke at acceptere 3. part cookies så er tracking cookiesne praktisk talt ryddet af vejen.

Meningen med loven er jo god nok, men eftersom enhver kan opnå det samme blot ved at ændre indstillingerne i sin browser så er loven i bedste fald overflødig.

Jeg er helt enig i din holdning omkring folk der misbruger email systemet, de skulle sendes hen hvor peberen gror/spankes med et vådt håndklæde/skydes ved daggry eller noget i den retning, men det er jo sådan set off topic.

Thomas Jensen skrev:

Jeg forstår ikke hvorfor det er nødvendigt at lovgive på dette område, og andre lignende områder. Der findes massere af browsere som allerede kan håndtere og beskytte brugeren i passende omfang.

Er det ikke lidt det samme som at sige at vi behøver ikke forbyde automatvåben på Nørrebro, fordi folk jo bare kan vælge at gå med skudsikker vest?

Du har ret i at man kan opsætte browsere så man ikke bliver overvåget med cookies (til en vis grænse), men det er ikke default indstillingen nogen steder, og jeg synes at det er sund fornuft at virksomheder er forpligtet til at fortælle folk hvad de registrerer om dem og bede om samtykke til registrering af personlige oplysninger.

Er det ikke lidt det samme som at sige at vi behøver ikke forbyde automatvåben på Nørrebro, fordi folk jo bare kan vælge at gå med skudsikker vest?

Hvis du virkelig vil køre den sammenligning:

Cookies har i de fleste tilfælde lovlige praktiske formål, det har automatvåben på Nørrebro ikke.
Den negative effekt som cookies kan have kan du let og effektivt beskytte dig imod med en browserindstilling. En skudsikker vest derimod er ret langt fra at være egentlig skudsikker, og dækker ikke engang hele kroppen.