Nếu tôi bỏ cookie bằng JavaScript, liệu nó có còn tuân thủ Luật Cookie ICO của EU không?

8

Thách thức đề xuất với tôi là tạo ra một widget để áp dụng trong các trang web khác làm cho trang web tuân thủ luật cookie [1].

Tôi có thể làm điều này mà không thay đổi mã máy chủ?

Ý tôi là, nếu có mã ở phía máy chủ ghi cookie liên kết vào phản hồi và tiện ích JavaScript của tôi sẽ xóa nó sau trên window.load event: trang web có còn tuân thủ luật cookie không?

Sau đó đến Google Analytics và chia sẻ cookie nút. Làm cách nào để ngăn các tập lệnh và iframe này được thực thi trong JavaScript?

[1] Văn phòng Ủy ban Thông tin (ICO): Luật Cookie ICO mới

javascript  cookies 
Fabio Milheiro
nguồn
2
Bạn có thể giải thích những gì bạn đoán trước cookie law?
bbaja42
Có lẽ nói về một chỉ thị của EU (người mà tôi quên và cần phải cẩn thận vì các chỉ thị được ban hành bằng cách kết hợp với luật thành viên của nhà nước và có thể có một số lượng phức tạp đáng kể được thêm vào trong giai đoạn đó).
Donal Fellows
1
Tôi đang nói về điều này: lập trình
viên.stackexchange.com/questions/78176/ Kẻ

Câu trả lời:

1

Giải pháp của bạn có thể sẽ bị coi là phần mềm độc hại

Từ mô tả của bạn, có vẻ như bạn muốn tạo một thư viện JavaScript mà một trang web có thể bao gồm trên các trang của họ sẽ đảm bảo tuân thủ "luật cookie".

Chúng ta hãy cùng nhau giải quyết các vấn đề kỹ thuật xung quanh việc thực thi luật này khi nói đến vị trí của người dùng, máy khách (phiên từ xa?), Máy chủ và chủ sở hữu ứng dụng web đang chạy trên máy chủ. Và, hãy hạn chế hơn nữa và chỉ xem xét hướng dẫn của Vương quốc Anh được đưa ra xung quanh chỉ thị của EU.

Từ Văn phòng Ủy ban Thông tin :

Không được sử dụng cookie hoặc các thiết bị tương tự trừ khi người đăng ký hoặc người sử dụng thiết bị đầu cuối có liên quan:

(a) được cung cấp thông tin rõ ràng và toàn diện về mục đích lưu trữ hoặc truy cập vào thông tin đó; và

(b) đã đồng ý.

Điều này ngụ ý rằng widget của bạn sẽ phải đóng vai trò là cơ quan thanh toán bù trừ cho sự đồng ý của người dùng này. Nếu bạn không có quyền kiểm soát mã máy chủ thì phần mềm của bạn sẽ phải chặn các cookie phát ra từ máy chủ cho đến khi có được sự đồng ý như vậy. Điều này có nghĩa là phần mềm của bạn sẽ can thiệp vào thư viện của bên thứ ba (Google Analytics và Facebook Thích của bạn, v.v.).

Sự can thiệp như vậy, cho dù có ý nghĩa tốt đến đâu, rất có khả năng làm giảm trải nghiệm người dùng và bị chủ sở hữu của các thư viện bên thứ ba xem xét rất bất lợi. Do đó, nó sẽ được coi là phần mềm độc hại.

Tôi sẽ suy nghĩ lại trước khi đi xuống con đường này.

Gary Rowe
nguồn
Cảm ơn @Gary Rowe. Tôi đồng ý rằng chúng ta không nên có một tiện ích đơn giản là xóa mọi thứ trong trình duyệt cho đến khi người dùng tuân thủ nhưng điều đó đưa tôi đến một điểm. Tôi chỉ tải các tập lệnh sẽ cài đặt cookie trong trình duyệt sau khi người dùng đã đồng ý cookie. NHƯNG sau khi người dùng chấp nhận, anh ấy / cô ấy có thể loại bỏ sự đồng ý. Điều gì xảy ra sau đó? Các widget tôi tạo ra loại bỏ một số cookie google. Điều này cũng sẽ nằm trong danh mục phần mềm độc hại?
Fabio Milheiro
1
@FabioMilheiro Khó khăn ở đây là bạn đang viết phần mềm phá hoại hoạt động của một thư viện khác từ một nguồn có uy tín (ví dụ như tương phản với phần mềm chống vi-rút). Đây là một vấn đề nghiêm trọng với việc thực hiện kỹ thuật của pháp luật vì nó đứng vững (ai xác định cái gì là uy tín?). Tuy nhiên, giải pháp loại bỏ các cookie đó sau khi được chấp thuận là hợp lý vì nó tự động hóa những gì người dùng siêng năng sẽ làm thủ công.
Gary Rowe
[bút chiến] Vậy có phải là "Luật Cookie" phá hoại vì nó "can thiệp vào thư viện của bên thứ ba" và "rất có khả năng làm giảm trải nghiệm người dùng"? Điều này có nghĩa là cookie bên 3d được đặt mà không có sự cho phép của người dùng quan trọng hơn việc tuân thủ luật pháp? [/ polemic] Về mặt kỹ thuật, hộp cát của trình duyệt chỉ cho phép xóa cookie khỏi cùng một tên miền nơi js được tải từ đó. Vì vậy, tải js này từ www.somedomain.comkhông thể xóa cookie từ facebookhoặc google.
k3b
1

Một điều cần lưu ý là tập lệnh của bạn có thể bị vô dụng nếu máy chủ đặt cờ httpOnly khi cookie được tạo.

http://en.wikipedia.org/wiki/HTTP_cookie#HttpOnly_cookie

Cũng có thể có các vấn đề về nguồn gốc tên miền để truy cập / thao tác cookie được đặt từ các tên miền khác do bảo mật (XSS). Tôi không 100% về điều này vì tôi hiếm khi sử dụng javascript khi nói đến cookie với cùng mục đích giảm thiểu tiếp xúc với XSS.

Mặc dù khái niệm của bạn nghe có vẻ là một ý tưởng tuyệt vời, tôi khuyên bạn nên xem xét thêm các vấn đề có thể này trước khi đầu tư quá nhiều thời gian của bạn vào dự án này.

chetpot
nguồn
1
Bạn đang chào đón Fabio, điều duy nhất tôi nghĩ có thể chống lại những trở ngại có thể này là một phần mở rộng trình duyệt. Mặc dù từ bài viết gốc của bạn, có vẻ như một phần mở rộng trình duyệt có thể đánh bại mục đích.
chetpot
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.