IE 11 i kombination med Google udfordrer dansk cookie-lov

Hvis brugere af Internet Explorer 11 besøger en hjemmeside via en Google søgning, er det ikke sikkert, den lovpligtige cookie-advarsel faktisk bliver vist.

Som det givetvis er flere læsere bekendt, er mange hjemmesider udstyrede med et banner i toppen, der gør opmærksom på, at siden bruger cookies, og at brugeren accepterer dette ved at klikke sig videre på sitet.

Den tilgang lader dog til ikke at holde, hvis brugeren anvender Microsofts nyeste browser Internet Explorer 11 og via en Google-søgning klikker sig ind på et site. Dermed stiller det nye udfordringer til hjemmesideindehavere, når det kommer til at overholde cookie-bekendtgørelsen, der trådte i kraft i Danmark i 2011. Indtil nu er der Version2 bekendt ikke nogen, der har fået bøder for ikke at overholde bekendtgørelsen i Danmark.

Det kan dog snart ændre sig. Den ansvarlige myndighed på området, Erhvervsstyrelsen, fortalte til Version2, i september, at styrelsen i løbet af december ville gentage en undersøgelse af 50 udvalgte websider, og at det i den forbindelse kunne vise sig nødvendigt at ‘tage fat i nogle, hvis der ingen udvikling sker’.

Læs også: »Det skal ikke handle om ja eller nej til cookies«

Dengang viste undersøgelsen at at kun hver tredje store danske website havde klar information om cookies. Og at samtlige sider sætter cookies, før brugeren har givet lov. Siden da, er det øjensynligt ikke blevet lettere at leve op til cookie-bekendtgørelsen. I hvert fald ikke, hvis brugerne har Internet Explorer 11.

Martin Dan, indehaver af Web-konsulentfirmaet DAN, som har leveret over 2.500 CMS-løsninger, har opdaget uhensigtsmæssigheden:

»Hvis en bruger kommer ind via Google og anvender Internet Explorer 11, så kan man på nuværende tidspunkt ikke nøjes med at anvende en dialogboks om cookies på siden, der automatisk forsvinder, når brugeren klikker sig videre. Og sådan en løsning er der rigtigt mange, der anvender,« siger han.

Problemet skyldes ifølge Martin Dan, at IE11 kliks via Google bevirker, at mål-siden bliver ramt to gange eller på anden måde afvikler JavaScripts inden siden præsenteres. Så når brugeren lander på siden, opfatter det bagvedliggende system det som om, brugeren allerede har klikket sig videre og dermed accepteret cookies. Og derfor bliver dialogboksen aldrig vist.

Hverken Googles Chrome eller Mozillas Firefox resulterer i, at banneret mangler.

»Man kan sagtens lave det, så det også virker med IE11. Eksempelvis ved altid at vise cookie-dialogen og lade denne blive hængende, indtil brugeren aktivt har taget stilling til brugen af cookies ved at klikke i dialogboksen. Eller lave noget 'jiu jitsu' kode der tjekker på, om henvisningen kommer fra Google samt om brugeren anvender IE11,« siger Martin Dan og tilføjer, at spørgsmålet er, om det er kundernes ansvar at tjekke, hvilken metode der anvendes, når der linkes til en hjemmeside.

Version2 har testet på en enkelt hjemmeside med et cookie-informationsbanner i toppen. Og ganske rigtigt bliver banneret vist i Chrome, når besøget kommer fra Google, men ikke i IE 11 via Google.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Niklas Pedersen

Jeg har i min browser en indstilling der styrer om der kan gemmes cookies på min computer eller ej. Det behøver jeg ikke hvert eneste website i verdenen til at spørge mig om først. Jeg kan faktisk også styre dette per domæne, så jeg aktivt kan tilvælge/fravælge de sider som må, eller ikke må sætte cookies.

Få dog stoppet det vanvid i stedet for at poste penge i at jagte uskyldige firmaer, der iække har lyst til at genere deres kunder.

  • 27
  • 0
#2 Casper Olsen

Cookie loven er sat sammen, på en måde som er så tåbelig at man næsten ikke forstår det, eller er det bare mig ?

I stedet for at angribe samtlige websites i EU, skulle man have kigget på, om det ikke havde været mere relevant at gøre det på browser niveau. Derved ville man kunne fravælge Google Analytic eller diverse ad-services en gang for alle, tillade dem for altid eller tillade for enkelte sider.

samtidigt ville browseren også have muligheden for at "huske" at du har sagt nej tak, i stedet for at man får den evige samme popup hver gang man besøger siden og samtidigt ville den også opdage, hvis der blev aktiveret nye cookies, siden man sidst sagde "ja tak".

Nu risikere vi, at lille Søren på 12 som har en wordpress side om Minecraft og har Google Analytics aktiveret kan få en bøde, fordi han ikke lige beder om samtykke for hans brug af cookies.

Overstående ville stadigvæk være et irritations moment for de besøgende, men ville da gjort det nemmere for brugerne. Noget helt andet er, hvilken moderne browser understøtter ikke allerede "Do not track"?

  • 14
  • 0
#3 Daniel Udsen

Den model med at man bare lige viser et banner og opfatter alle følgende clicks som accept er formenteligt borderline ulovlig eller ialtfald en omgåelse af formålet med cookie direktivet men her har vi problemet, reklamenetværkne og webbranchen er så afhængig af det direktivet forsøger at forbryde at man ikke kan leve med en real løsning(ie ingen brugeridentifikation uden explicit bruger-login).

Problemet for dem er at når EU bestlutter sig for noget følger EU som regel en eskalations politik der starter med det tandløse cookie direktiv og stopper når webbranchen holder op med at forsøge at identificere brugere på bagrund af metadata, og her er total forbud mod cookies og logning af meta data uden underskreven kontrakt et af de trin der kommer hvis man bliver ved med at kigge efter huller i lovgivningen.

  • 6
  • 0
#5 Jacob Smedegård

Daniel Udsen, jeg er helt enig. Det virker mest som om at hjemmesider har hoppet over hvor hegnet er lavest og så ikke har tænkt på det her ene tilfælde..

Jeg synes ikke jeg noget sted i artiklen kan læse hvad det er der er skyld i at siden bliver ramt to gange? Er problemet noget Prerender/prefetch sammen med noget intern håndtering/redirect af IE11 urls i Google? Det kunne være interessant at vide.

  • 1
  • 0
#6 Deleted User

Jeg ser det som en feature ved IE11 og ikke en fejl. ;-)

Som der bliver sagt, er det allerede i dag muligt at styre cookie-sætningen i browseren. Bare det at en hjemmeside er nødt til at sætte en cookie for at huske at man takker nej til cookies udstiller med al tydelighed det tåbelige i projektet.

  • 4
  • 0
#7 Jacob Smedegård

Er der nogen der kan smide et link til en side der giver den nævnte opførsel? Nu har jeg prøvet folketinget, politiken, dr, børsen, cdon, eb, version2 og linkedin og ingen af dem har den nævnte opførsel (flere af dem siger dog slet ikke noget om cookies).

  • 1
  • 0
#8 Daniel Gertsen

Så er det godt at det er super nemt at genkende en IE browser.

Nååååårh nej, det har Microsoft ødelagt i version 11, så nu skal man virkelig undersøge headeren i detaljer, for at se at der er tale om en IE 11.

Før kunne du let se at det var en MSIE og hvilken version, det er væk nu.

Foreløbig kan man tjekke for "Trident", men hvem ved hvor længe det holder?

Måske hader Microsoft i virkeligheden bare web udviklere? Mon det er dét?

  • 5
  • 4
#9 Jacob Smedegård

Den eneste side jeg lige har fundet der fjerner banneret når man refresher er BBC.co.uk, men her virker banneret fint når man kommer ind via Google for første gang. Ifølge Fiddler bliver siden ikke loadet 2 gange. Når jeg først klikker i Google bliver der sendt en Get til Google og så bliver siden loadet uden nogen problemer.

  • 1
  • 0
#11 Daniel Gertsen

Nogle gange kan man blive nødt til at lave undtagelser for den enkelte browser. Det gælder ikke kun IE 11, men alle browsere.

Normalt går jeg langt, for at opnå et kompromis der virker i alle browsere, og ser rigtigt ud. Men en sjælden gang er det altså nødvendigt at gøre noget specielt i en bestemt browser.

Derfor er det vigtigt at kunne identificere browseren, både serverside og i JavaScript.

  • 3
  • 2
#12 Benni Bennetsen

Cookies har aldrig irriteret mig, og for de der følte sig irriteret over dem, kunne man nemt finde værktøjer/plugins til at blokere dem. Nu har vi stedet virkelig irriterende bannere, fx version2's fjollede, der er 'jamen vi skal jo egentlig, så vi vælger at lave en dårlig løsning. Placeret i bunden, så man ikke bemærker den, men jeg mister pladsen på skærmen, man kan ikke afvise, der er kun en ok knap, så den giver ingen mening overhovedet. Siden den linker til er en lang smøre, der er jo ingen, der gider læse det på hver eneste side man besøger som i praksis er et krav for at det giver mening dette system ?

  • 2
  • 0
#13 Jacob Smedegård

Jeps, jeg er sådan set enig og du må endelig ikke tro at jeg mener at IE11, eller nogen anden browser, er fejlfri på nogen måde. Det her specifikke problem virker ikke til at have noget at gøre med IE11 som sådan, men derimod en dårlig "cookie" implementation i forhold til et eller andet specialtilfælde med hvordan Google redirecter browsere? Her vil det være meget bedre bare at fikse sin implementering alt efter hvilke headers man får smidt i hovedet. Jeg kan heller ikke se hvordan et refresh af siden skulle være stilsigende accept af cookies.

UA detection virker som en alt for stor hammer der ofte bliver brugt hvor feature detection nok var en bedre ide.

  • 3
  • 0
#14 Daniel Gertsen

iden den linker til er en lang smøre, der er jo ingen, der gider læse det på hver eneste side man besøger som i praksis er et krav for at det giver mening dette system ?

Enig.

Men websiderne er jo nødt til at overholde loven. Ved at gøre det sådan, kan det være at politikerne bliver irriteret selv, og får øjnene op for hvor latterligt det er.

Cookies generer som udgangspunkt ingen, lad dem dog leve i fred.

Hvis der så er nogen der føler sig overvåget, så må de da selv slå dem fra. Ligesom de kan gøre med JavaScript, Flash osv.

  • 1
  • 1
#15 Daniel Gertsen

UA detection virker som en alt for stor hammer der ofte bliver brugt hvor feature detection nok var en bedre ide.

Enig i at det bruges for ofte, og i dette tilfælde bør det nok fixes så det virker i alle browsere, uden særregler. Det kan vel heller ikke være så svært. Vis banneret hver gang, indtil folk har trykket på et link eller en knap, og på den måde aktivt har vist at de har set boksen. Det er irriterende for brugeren, og spild af skærmplads, men sådan er loven desværre. Så indtil de retter loven, må det være nødvendigt :-/

Endnu et eksempel på effekt af lovgivning, der er lavet af folk der ikke har forstand på det de lovgiver om, men bare gør hvad de tror er populært at gøre - for der var jo brok over skjulte cookies før i tiden - at det brok var overdrevet helt vild, opdagede politikerne åbenbart ikke.

  • 1
  • 1
#16 ab ab

Er det ikke ved at være på tide, at nogen går sammen om at lave et filter til AdBlockPlus, som filtrerer de hjernedøde cookie-advarsler væk? Jeg bidrog gerne med data, hvis nogen kunne henvise til et godt eksempel på, hvordan man identificerer og eliminerer de relevante kodestumper.

  • 4
  • 0
#19 Jacob Smedegård

Kan vi ikke få at vide hvilken hjemmeside det er at Version2 har testet med, der viser denne opførsel? Lige nu står vi med en nyhed om at der er problemer med at overholde lovgivningen hvis man bruger en af de mest brugte løsninger derude, men ikke noget om hvad det tekniske problem egentligt er.

  • 1
  • 1
#20 Daniel Gertsen

Jeg har lige testet browserspy.dk med både Firefox og IE11. Den var i stand til at genkende begge browsere med korrekt version.

Jeg sagde jo heller ikke noget om at det var umuligt. Jeg siger bare at det er mere besværligt nu, og at ALLE tidligere detection scripts ikke længere kan detecte IE 11 - de skal skrives om for at virke fremover. ...som jeg også sagde tidligere... suk

  • 1
  • 0
#21 Janich Rasmussen

Enig i det er ringe cookie-løsninger, hvis de kun reagere på første kald i sessionen!

Anyway... Microsoft implementerede prerendering og prefetching i IE11, og det lyder meget som om det er dette der sker.

Både Google og Bing bruger prerendering (svjv), så resultatet bør være det samme. Nogle der har testet det/har konkret erfaring med prerendering?

  • 4
  • 1
#22 Niels Elgaard Larsen

Vis banneret hver gang, indtil folk har trykket på et link eller en knap, og på den måde aktivt har vist at de har set boksen. Det er irriterende for brugeren, og spild af skærmplads, men sådan er loven desværre. Så indtil de retter loven, må det være nødvendigt :-/

Nej sådan er loven ikke. Der er krav til både information og indhentning af specifikt samtykke.

Man skal også have let adgang til at trække sit samtykke tilbage. Fx her på version2 ser det ikke ud til at være ret let at trække sit samtykke tilbage. Hvordan gør.

Jeg vil ikke forsvare bekendtgørelsen. Men det ville trods alt være bedre at overholde den end at omgå den.

  • 2
  • 1
#24 Daniel Udsen

Nej sådan er loven ikke. Der er krav til både information og indhentning af specifikt samtykke.

Det er også værd at bemærke at rene session cookies i det store og hele er undtaget, direktivet beskeftiger sig kun med 3je parts tracking cookies.

Iøvrigt er en side der respektere "do not track" ikke tvunget til at vise bannere for brugere med "do not track" slået til. Men her er problemet at "do not track" ikke respekteres bredt af webbranchen.

At direktivet er så løst formuleret som det skyldet svjv primært webbranchens lobby arbejde.

  • 1
  • 0
#25 Michael Thomsen

som er at sabotere den hjernebødning, som cookie direktivet har affødt.

Hvorfor f**** i h**** skal jeg på hver f****ing eneste hjemmeside trykke på "ok til cookies"?

Hvorfor kan min indstilling i browseren ikke være nok?

Hvorfor kan de f****lede offentlige hjemmesider i det mindste ikke samarbejde, så jeg ikke skal trykke "ok til cookies" på samtlige offentlige hjemmesider?

Hvem er de idioter som har fundet på det her skrammel?!?

  • 0
  • 1
#26 Deleted User

Nej, Microsoft hader ikke webudviklere - de forsøger at få dem til at lave cross-browser-funktionel kode.

Der er alt for mange, der er hoppet fra at lave IE6-specifik kode, til at lave Mozilla/Safari-specifik kode - og det er vældig skidt.

Ved at ændre user-agent, kan mange detection scripts netop ikke genkende browseren, og så udføres IE-specifikke quirks ikke. Resultat? Siden virker formentlig bedre end hvis den prøvede ie-quirks.

Problematikken er jo, at detection scripts sjældent er gode. MS har længe sagt, lav nu en, der hedder check for version X eller lavere - hvis false: gør som du har tænkt dig. Fremover advokerer de for Feature Detection: http://msdn.microsoft.com/en-us/library/ie/hh273397(v=vs.85).aspx hvilket er meget bedre imho.

  • 2
  • 1
#27 Henrik Biering Blogger

Jeg har lige testet i Chrome, Firefox, Safari, Opera og Chrome (efter forudgående sletning af cookies fra Erhvervsstyrelsen).

Her vises cookieadvarslen udelukkende i Chrome ved link fra Google - og ikke med hverken Firefox, Safari, Opera, eller IE11.

Så det ligner mere at en uheldig cookie-advarsels-leverandør forsøger at tørre et problem af på Microsoft.

  • 3
  • 0
Log ind eller Opret konto for at kommentere