Erhvervsstyrelsen overholder ikke selv cookie-reglerne

Den danske myndighed, der kontrollerer, om hjemmesideindehavere overholder cookie-bekendtgørelsen, falder selv i et nyt hul, hvor besøgende med Internet Explorer 11 ikke får besked om cookies, når de kommer fra en Google-søgning.

Den ansvarlige myndighed på området, når det gælder cookie-bekendtgørelsen, Erhvervsstyrelsen, formår ikke selv at vise et cookie-banner, hvis et sidebesøg sker via Internet Explorer 11 og Google. Som tidligere omtalt her på Version2.dk, så bliver et cookie-topbanner, hvor brugeren stiltiende accepterer cookies, hvis han eller hun klikker videre, ikke vist, hvis brugeren anvender IE 11 og klikker sig ind via Google.

Læs også: IE 11 i kombination med Google udfordrer dansk cookie-lov

Og Erhvervsstyrelsen er altså et af de steder, hvor sådan et banner bliver anvendt, som Version2 kan dokumentere i videoen herunder.

Reglerne er, at den slags udefrakommende tekniske problemer er hjemmeside-ejerens eget problem, fortæller styrelsen.

»Helt grundlæggende ligger ansvaret hos indehaveren af hjemmesiden. Du skal have beskeden om cookies, uanset hvilken side du kommer fra. Hvis brugeren ikke får den besked, er det ikke en god nok løsning. Det bør man tage højde for,« siger Brian Wessel, kontorchef i Erhvervsstyrelsen.

Styrelsen vil nu se nærmere på egen hjemmeside og få løst problemet der, forklarer han.

»Vi må selv kigge på det og sikre, at det ikke sker igen. Det er jo en generel udfordring, som også har ramt os. Det er vores ansvar, at vores side lever op til reglerne, og det skal være i orden,« siger Brian Wessel.

Uden at være dykket ned i den tekniske forklaring om Javascript og Internet Explorers ’dobbeltbesøg’, når man lander på en side, ærgrer han sig over, at en ny browser skal give problemer.

»Det er jo lidt beklageligt. Det lå oprindeligt i lovgivningen, at browseren skulle hjælpe brugeren, men her er det jo modsat,« siger kontorchefen.

Se screencast af, hvordan Erhvervsstyrelsens hjemmeside ikke viser cookiebanner med IE11.

*Opdatering:

Det manglende cookie-banner på Erhhvervsstyrelsens hjemmeside relaterer sig tilsyneladende til koden på siden mere end Internet Explorer 11, som en Version2-bruger har gjort opmærksom på.*

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Wolsing

Det er jo helt galt. Ansvaret ligger hos websideejeren, men man har jo i praksis ikke en jordisk chance for at vide, hvordan tingene tager sig ud i alverdens underlige browsere. Selv hvis man laver advarslen i klartekst, kan det jo manipuleres af browseren. Og de færreste designer vil hjemmesider med det formål, at promovere en cookiebekendtgørelse, men for at sælge/oplyse.

Hvem har ansvaret den dag, der kommer et browser-plugin på gaden, der automatisk fjerner de cookie-advarsler der konstant dukker op? Et det så stadig hjemmesideejerens ansvar at oplysningerne når ud til brugeren.

Denne lov dr noget at det mest tåbelige, der er fundet på. Specielt fordi der er krav om, at link til cookieoplysninger skal være synlig "over the fold" for de besøgende. Den plads vil vi gerne bruge til noget andet. Desuden forstår 99,9% af alle brugere alligevel ikke, hvad det handler om. Prøv at at læse erst.dk's egen cookis-oplysninger, og overvej om det ikke forvirrer mere end det gavner.

Er der ikke et eller andet sted, man kan lufte sin utilfredshed, så dem der har fået ideen, kan få at vide, at det er en dårlig ide?

  • 6
  • 1
ab ab

Er der ikke et eller andet sted, man kan lufte sin utilfredshed, så dem der har fået ideen, kan få at vide, at det er en dårlig ide?


Du kan eksempelvis tage kontakt til din MEP'er. De skal genvælges til maj og vil derfor nok være relativt lydhøre over for borgerhenvendelser.

En anden mulighed er at starte et såkaldt "borgerinitiativ", som i praksis er en underskriftsindsamling, der formår at nå op på en million underskrifter inden for 12 måneder. Der er en række nærmere krav, som er beskrevet udførligt på følgende side:

http://korturl.dk/yo0

  • 4
  • 0
Christian Nobel

Desuden forstår 99,9% af alle brugere alligevel ikke, hvad det handler om.

Du peger på noget meget centralt her, nemlig at brugerne stilles over for muligheden for at svare ja eller ja.

Hvorved man opdrager folk til bevidstløst at klikke accepter i endnu højere grad end nu, hvor det ellers er galt nok, bla når hele landets til-salg-for-udenlandske-interesser gatekeeper, aka Nets, jo også bare siger man skal ignorerer sikkerhedsadvarsler.

Så indirekte er man med til at underminere den smule sikkerhedsbevidsthed der er tilbage hos brugerene - det er en ommer.

  • 6
  • 0
Henning Hansen

Browseren er brugerens værktøj, og det bør være op til brugeren at vælge det værktøj, som kan sortere, hvad han/hun ønsker at se, og hvordan - herunder at filtrere annoncer og diverse pop-ups fra - på eget ansvar. Det kan og skal aldrig være afsenderens ansvar, så længe afsenderen stiller den nødvendige information åbent til rådighed.

  • 1
  • 2
Daniel Udsen

Du peger på noget meget centralt her, nemlig at brugerne stilles over for muligheden for at svare ja eller ja.

Men du opdrager også folk i at vide at der er noget der hedder cookies.

Problemet her er stiltiende samtykke, hvilket formeteligt ikke bliver ved med at værre tilladt, eftersom det alle dage har været en gråzone.

Havde ehvervsministeriet ikke brugt frivillig tvang modellen men implementeret tingene uden 3je part tracking som en nødvendig komponent, havde de ikke haft problemet.

Så indirekte er man med til at underminere den smule sikkerhedsbevidsthed der er tilbage hos brugerene - det er en ommer.

I hæjere grad en ved i skjul bare at udlvere brugens oplysninger til ukendte firmaer?

Problemet her er ikke cookie direktivet men den måde webbranchen forsøger at arbejde sig uden om alle forsøg på at kræve højere sikkerheds og privatlivs standarder.

  • 0
  • 0
Mads Ohm Larsen

Jeg tænker, det om cookies skal bare stå med småt et eller andet sted på sitet, men hvor småt må man lave det?

Må man have en display: none; på det? (Nok ikke)

Kunne man skifte sit favikon ud med et billede af en kage og lade det være nok?

Denne lov er så indviklet og så ligegyldig. Lad det nu være op til brugeren selv om han vil have cookies slået til eller ej i sin BROWSER - ikke på det enkelte websted. I de fleste browsers kan man slå cookies til eller fra på webstedsniveau.

Den næste lov, som kommer, er sikkert at alle skal bruge Internet Explorer - eller lignede ligegyldig lov.

  • 2
  • 1
Christian Nobel

Men du opdrager også folk i at vide at der er noget der hedder cookies og at de ikke er harmløse.

Lad nu være med at se cookies kun som noget fanden har skabt - eksempelvis er sessioncookies (som i øvrigt, omend lidt diffust, er undtagede) svære at undgå, med mindre man vil gøre tingene meget besværlige for sig selv.

Problemet her er stiltiende samtykke, hvilket formeteligt ikke bliver ved med at værre tilladt.

Være eller værre - der er en verden til forskel i meningen, hvorfor korrektur ikke er at foragte!

Anyway, så er det naivt at tro, at det at gøre opmærksom på cookies resulterer i andet end støj - det løser på ingen måde problemet med tracking, og selv om man fuldstændig forbød cookies, så er fingeraftrykket så fedt at tracking alligevel er mulig.

Så det der skal til er en bevidstgørelse, så folk tager problemet omkring tracking seriøst, og benytter browsere der hjælper dem med at undgå tracking.
På den måde kan man også bedre fjerne tæppet under virksomheder som (mis)bruger tracking - de er i det store hele nok ret ligeglade med den danske cookielovgivning, ligesom man ikke stopper bankrøverier ved at etablere en lysreguleret fodgængerovergang uden for banken

Havde ehvervsministeriet ikke brugt frivillig tvang modellen men implementeret tingene uden 3je part tracking som en nødvendig komponent, havde de ikke haft problemet.

??

I hæjere grad en ved i skjul bare at udlvere brugens oplysninger til ukendte firmaer? Problemet her er ikke cookie direktivet men den måde webbranchen forsøger at arbejde sig uden om alle forsøg på at kræve højere sikkerheds og privatlivs standarder.

Lad nu være med tale om "webbrancen", for websites benyttes i alle mulige varianter, også hvor brugen af coockies er helt legitim, men alligevel skal brugerne generes af en fordummende popup eller et banner.

Så igen, hvis man vil undgå bankrøverier, så er det altså ikke ved at øge indsatsen for at folk ikke går over for rødt.

  • 0
  • 1
Casper Olsen

Hvorfor skal Erhvervsstyrelsen hænges ud forstår jeg ikke. En ting er at Microsoft IGEN har ændret retning og forsøger at være det besværlige barn med IE11, noget andet er at hvis man besøger dem igennem Chrome, så placere de faktisk ikke en eneste cookie før man trykker videre.

MEN, første gang man besøger version2 igennem Chrome, får man rigtig nok et banner, men mængden af cookies som bliver placeret på ens maskine ubeskrivelig. Det helt uden man har sagt "OK" eller at man har trykket sig videre.

Shame on you, version2.dk ?

  • 3
  • 0
Jacob Smedegård

Ej, helt ærligt, så er jeg lidt skuffet. Det tager ikke mange minutter at finde ud af hvorfor IE og Chrome har forskellig opførsel på erhvervsstyrelsens hjemmeside. Her er deres kode

....  
// check for cookie  
        var cookie = cookieMgr.readCookie(TRACKING_COOKIE);  
   
        if (cookie === NO_TRACK_VAL) {  
            log('a) disabletracking cookie found. Not tracking');  
        } else {  
            if (cookie === OK_TRACK_VAL) {  
                log(' b) ok cookie found, tracking accepted, we are tracking');  
                insertTrackingCode();  
            } else {  
                if(config.explicitAccept===true){  
                    renderCookieprompt();  
                }else{  
                    if (config.cameFromSameDomain(document)) {  
                        log(" c) referrer found from same domain, setting cookie and tracking");  
                        cookieMgr.createCookie(TRACKING_COOKIE, OK_TRACK_VAL, 30);  
                        insertTrackingCode();  
                    } else {  
                        log(" d) first time, let's ask");  
                        renderCookieprompt();  
                    }

problemet ligger i linjen "if (config.cameFromSameDomain(document))" der kalder en funktion der tjekker om referer indeholder erhvervsstyrelsen.dk.

cameFromSameDomain: function(doc){  
                return doc.referrer !== null && ~doc.referrer.indexOf(doc.location.host);  
            }

I Chrome er doc.referrer == "Google.com" og i IE er doc.referrer == "http://www.google.dk/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&sqi=2&ved=...;

Funktionen er noget slamkode da den retunerer integers, mere specifikt returnerer den 0 i chrome og -100 i IE pga. den forskellige referrer.

Resultatet bliver så misbrugt i en if statement således:

if(0 == true) { //<--- dette er false  
...  
} else {  
spørg om lov  
}  
   
if(-100 == true) { //<-- dette er true  
sæt cookie  
} else {  
...  
}

Så nej, der er ingen IE bug. Siden bliver ikke loadet 2 gange og implementationerne mellem IE og Chrome er konsistente. Det er simpelthen bare noget slamkode der ikke håndterer referrers på en korrekt måde.

Dvs. at det her kode ville heller ikke virke med links fra andre hjemmesider med intermediate steps som indeholder "erhvervsstyrelsen.dk" et eller andet sted.

  • 9
  • 0
Daniel Udsen

Denne lov er så indviklet og så ligegyldig. Lad det nu være op til brugeren selv om han vil have cookies slået til eller ej i sin BROWSER - ikke på det enkelte websted. I de fleste browsers kan man slå cookies til eller fra på webstedsniveau.

At blokere cookies er det samme som at blokere for login's eftersom browseren ikke kan skældne imellem en tracking cookie maskeret som sessions cookie og en legitim sessions cookie, og tekniske løsninger på det problem som f.eks. "do not track headere" ignoreres.

Der vil ske omgåelse af tekniske løsninger fra tracking branchen ergo er det naivt at tro at browser leverendårene kan vinde det slag alene, især når man tænker på hvor deres finansiering kommer fra.

Lad nu være med tale om "webbrancen", for websites benyttes i alle mulige varianter, også hvor brugen af coockies er helt legitim, men alligevel skal brugerne generes af en fordummende popup eller et banner.

Du skal kun bruge bannere hvis der er tale om tracking eller data lækkes til 3je parter.

Du må svjv godt sætte cookies uden at vise banner hvis der sker som følge af at brugeren giver input, og der ikke sker læk af data til 3je parter som følge af den satte cookie.

Direktivet har et forholdsvis klart sigte, det er rettet imod tracking og ikke cookies gennerelt. Det er den detalje der mangler i store dele af debatten om cookie direktivet, der er ikke noget gennerelt cookie forbud der er et forbud mod at gemme informationer om tracking dybt nede i en fodnote til en fodnote hvor det ikke er synligt for brugeren.

  • 1
  • 1
Jan Heisterberg
  1. En styrelse der vogter over andres "hellighed" må selv være hellig.
    Mon ikke man kan abbonnere på tidlige test-versioner og så teste ?
    Det her ligner sagen med NemId, hvor Nets havde valgt ikke at teste ......

  2. En lov som ukvalificeret pålægger hjemmesideejeren et ansvar er juridisk/teknologisk makværk.
    Loven, eller en ved en henvisning til en bekendtgørelse, burde naturligvis opererer med en positiv liste over e.g. 5 mest benyttede browsere, som hjemmesideejeren er forpligtet overfor.
    En åben forpligtelse overfor enhver browser, skrevet i een eller anden kælder, er naturligvis urealistisk ....

  • 0
  • 3
Gert Madsen

ad 2: - Det rigtige var naturligvis at kræve samtykke for enhver videretransport af oplysninger til 3. part, uanset hvordan det måtte foregå.
Vel at mærke enkelt og synligt, og ikke på side 532 i de generelle betingelser :-)
Det ville gøre det helt uafhængig af både coockies eller ej, og hvordan brugeren tilgår siden.

  • 2
  • 0
Daniel Udsen

problemet ligger i linjen "if (config.cameFromSameDomain(document))" der kalder en funktion der tjekker om referer indeholder erhvervsstyrelsen.dk.

Havde de fjernet den klausul der kalder cameFromSameDomain og sat opt-out som default havde det her problem ikke været der. Siden ser til og med ud til at fungere fint uden cookies.

En lov som ukvalificeret pålægger hjemmesideejeren et ansvar er juridisk/teknologisk makværk.
Loven, eller en ved en henvisning til en bekendtgørelse, burde naturligvis opererer med en positiv liste over e.g. 5 mest benyttede browsere, som hjemmesideejeren er forpligtet overfor.

Og ie er ikke en af dem?, At nævne specifikke produkter ville have været juridisk markværk, og der er altid en hvis flex i hvor
Hvis man acceptere at udgangspunktet er et fravalg af tracking cookies er det svært at komme i de her problemer ehvervstyrelsen er havnet i, selv uden browser detektering.

Fra et teknisk standpunkt er det svært at se det store problem i forhold til direktivet du kan implementere en løsning uden alle de her problemer opt-in uden explicit accept giver.

At så mange sider vælger opt-in uden accept som løsning undre mig lidt, det er jo ikke fordi EU har tradition for bare at acceptere at direktiver bøjes ud af form på den måde.

Google's opt out procedure(https://tools.google.com/dlpage/gaoptout) er et godt eksempel på noget der kan give bagslag hvis direktivet skal revideres, det samme er den slags problemer vi ser med ehverstyrelsen's side.

  • 1
  • 0
Jacob Smedegård

Inden der er andre der opdager det, skal jeg lige rette en lille fejl. I min forklaring skal der selvfølgelig stå:

if(0) { //<--- dette er false    
...    
} else {    
spørg om lov    
}    
   
if(-100) { //<-- dette er true    
sæt cookie    
} else {    
...    
}

Ellers giver det bare false og false. Logisk, er det ikke? ;)

  • 3
  • 0
Jesper Høgh

at vi endelig kan få debatten drejet hen på et virkeligt eksisterende problem.

Nemlig cookies. Jeg synes, at cookie pushere hyret af Google er nogle røvhuller.

Når jeg nu siger at cookies representerer small data collection.
Og NSA representerer big data collection, kan nogen så afgøre hvad jeg egentlig mener. Eller om jeg bare er sarkastisk.

Nej, vel?

  • 0
  • 0
John Jensen

Tak Søren
Det er så let for visse at skrige MS, IE skod osv hver gang der er noget.

Ofte er det helt ubegrundet, eller brugerens egen fejl at et eller andet ikke lige virker som de vil have det.
Og så er det hele MS skyld, eget ansvar findes ikke hos dem.

I denne sag er det dog ikke brugerne.

Jeg har ikke selv oplevet problemer med IE da jeg ikke bruger den, jeg bruger heller ikke Chorme, jeg foretrækker simpelthen Firefox.
Og svarer og eller lukker boksen når den kommer.

Det er sygt at EU har lavet denne bestemmelse, det er lige så irriterende som spam.

Da jeg som så mange andre besøger sider hvor scripts er nødvendigt så må jeg leve med denne spam indtil de IT angste og ofte IT uvidende politikere sløjfer denne paranoide regel.

  • 1
  • 0
John Jensen

Jeg ser det sådan mange bække små gør en stor å
De mange små cookies udgør tilsammen en kolossal datamængde.
Men jeg er så heller ikke så frygtelig bange for det.

Tænk hvis de kunne se jeg havde været inde på en fæl hjemmeside med rigtig mange grimme ting.

Hvis nogen på noget tidspunkt siden internettets udbredelse til den almindelige befolkning, er overraskede over at vi "overvåget" eller brugt hår vi bevæger os rundt på nettet, ja så er man godt nok naiv, selvfølgelig gør vi det.

Jeg lærte at lave cookies (altså IT cookies :-) i 1998, jeg har så ikke brugt det ret meget specifikt.

Men vi får mange gratis ting på nettet.
Og som en eller anden på dette eller et andet forum skrev.

"ER DET GRATIS - ER DU PRODUKTET!"

Godt sagt! :-)

  • 0
  • 0
Log ind eller Opret konto for at kommentere