Tại sao chỉ thị cookie của EU gây ra nhiều hứng thú như vậy?


7

Tôi bối rối bởi tất cả sự phấn khích xung quanh chỉ thị cookie của EU; Tại sao nó là một điều đau đớn như vậy?

Theo như tôi có thể thấy các cookie được yêu cầu cho trang web của bạn hoạt động được cho phép như giỏ hàng và đăng nhập trang web. Am i thiếu cái gì ở đây?

Đặc tả HTTP ban đầu được thiết kế để hoạt động theo cách không trạng thái, do đó, theo tôi đây là bước đệm để đi đúng hướng đến các trang web RESTful không trạng thái. Tại sao trạng thái nên được thêm vào quá trình khi không cần thiết.

Có rất nhiều số dặm còn lại trong Digest Auth, v.v ... tại sao mọi người lại lo lắng?

Một câu trả lời rõ ràng có thể là Google Analytics cần đặt cookie để có thể theo dõi lưu lượng truy cập. Có một câu trả lời không thỏa đáng cho điểm này: http://cookies.dev.wolf-software.com

Vì vậy, tôi đã bỏ lỡ một cái gì đó mà tôi nên hoảng loạn? Bạn đã lo lắng về điều gì?


Bạn có nghiêm túc đề nghị tất cả các trang web EU từ bỏ đăng nhập dựa trên phiên và quay lại sử dụng xác thực HTTP không? Đó chỉ là vô ích từ cả quan điểm khả năng sử dụng và công nghệ. Từ bỏ đăng nhập xã hội, đăng nhập một lần, đăng nhập không đồng bộ, xác thực đa yếu tố, v.v. sẽ không chỉ gây ra sự sụt giảm lớn về khả năng sử dụng và giảm chuyển đổi sau đó, mà còn loại bỏ hầu hết các tính năng bảo mật nâng cao được sử dụng trong ngân hàng trực tuyến. Và tất cả để làm gì? Tôi không có vấn đề gì với EU coi chừng người tiêu dùng và hạn chế việc xử lý dữ liệu của các cơ quan tiếp thị. Nhưng chúng ta đừng quá nhiệt tình ...
Lèse majesté

Và chỉ để rõ ràng. Tôi không nói rằng xác thực digest là vô dụng hoặc lỗi thời. Nhưng nó không thay thế cho các phiên (và SID được mã hóa URL thể hiện mối quan tâm bảo mật của riêng họ). Xác thực HTTP là hoàn hảo cho các trang web phi thương mại nhỏ với yêu cầu ứng dụng tối thiểu, những người chỉ cần một giải pháp quảng cáo barebone để bảo vệ một tập hợp nhỏ các thư mục với thiết lập tối thiểu. Tôi sử dụng xác thực digest mọi lúc để thiết lập bảo vệ mật khẩu tạm thời để tải xuống tệp bí mật cho công việc. Nhưng nó không được chấp nhận để sử dụng cho 99% các dự án tôi phát triển.
Lèse majesté

@ Lèsemajesté đừng hoảng sợ! :) Sau khi đọc các chỉ thị, tôi đã đi đến kết luận rằng cookie phiên sẽ được cho phép nếu điều này có hiệu lực. Tuy nhiên, tôi vẫn không đồng ý với đánh giá của bạn về xác thực thông báo và đề nghị bạn đọc berenddeboer.net/rest/authentication.html
Treffynnon

Câu trả lời:


11

"Sự phấn khích" liên quan đến sự nhầm lẫn về cách chỉ thị mới (PDF: 2009/136 / EC ) nên được diễn giải và thực hiện, và liệu nó có công bằng với các quản trị web châu Âu hay không:

Luật có áp dụng cho cookie của bên thứ ba không?

Cơ quan bảo vệ dữ liệu của Vương quốc Anh chịu trách nhiệm thực thi luật pháp ở Anh cho biết trong hướng dẫn của họ rằng họ đang tìm kiếm làm rõ ( xem câu trả lời của tôi ở đây ), nhưng cho đến lúc đó, chúng tôi không biết liệu chúng tôi có phải xin phép sử dụng thứ ba không ví dụ: cookie của Google Analytics.

Có thể luật pháp làm tê liệt các trang web EU?

Nếu hóa ra luật mới yêu cầu các quản trị web châu Âu yêu cầu mỗi khách truy cập sử dụng cookie của bên thứ ba, điều này sẽ ảnh hưởng đến rất nhiều trang web và hiển thị phân tích, hệ thống liên kết, kiểm tra khả năng sử dụng và thậm chí nhúng video từ bên thứ ba (nhiều người trong đó sử dụng cookie) không sử dụng được hoặc kém hiệu quả hơn nhiều. Nó cũng sẽ yêu cầu nhiều chủ sở hữu trang web, những người nếu không sẽ phải đưa ra yêu cầu lưu trữ cookie để đột nhiên làm như vậy, bỏ dịch vụ hoặc tìm kiếm các lựa chọn thay thế không có cookie.

Chỉ thị có áp dụng cho các dịch vụ được lưu trữ bên ngoài EU không?

Liên quan đến vấn đề trên, nếu tôi điều hành một doanh nghiệp từ Vương quốc Anh nhưng điều hành một blog trên một dịch vụ được lưu trữ bên ngoài EU sử dụng cookie 'không cần thiết', tôi có phải xây dựng lại chủ đề của mình để xin phép sử dụng chúng không? Nếu vậy, dịch vụ sẽ được chuẩn bị để cung cấp chức năng này? Nếu không, tôi có phải di chuyển blog của mình đi nơi khác không? Những câu hỏi này vẫn chưa được trả lời.

Làm thế nào tốt nhất để có được sự cho phép?

Lệnh mới tồn tại để đảm bảo rằng những người không có kiến ​​thức kỹ thuật có cùng quyền kiểm soát quyền riêng tư của họ với nhiều người dùng kỹ thuật hơn. Nó thực hiện điều này bằng cách biến một hệ thống từ chối ("đây là cookie, bạn luôn có thể nôn nó ra nếu bạn không muốn") thành một hệ thống chọn tham gia ("bạn có muốn dùng cookie không? Đây là những gì trong đó. .. ").

Các luật mới rất phù hợp với người tiêu dùng, được các nhóm bảo mật hoan nghênh, liên kết chặt chẽ hơn với email chọn tham gia và hành vi tiếp thị cho phép, và phù hợp với tâm lý được thể hiện bởi các phong trào như Do Not Track, hy vọng sẽ chặn các kỹ thuật thu thập thông tin được sử dụng bởi hành vi mạng quảng cáo.

Vấn đề là các hệ thống chọn tham gia mang nhiều chi phí giao diện hơn so với các hệ thống từ chối, bởi vì yêu cầu cấp phép phải được thực hiện cho mọi người dùng. Điều 66 của chỉ thị nói:

"Các phương thức cung cấp thông tin và cung cấp quyền từ chối nên thân thiện với người dùng nhất có thể."

Thật không may, họ để lại phương pháp thực tế như một bài tập cho người đọc. Đây có lẽ là một điều tốt, bởi vì có phương pháp được ra lệnh có thể làm cho việc thực thi luật thậm chí còn đau đớn hơn. Điều đó nói rằng, nó vẫn đặt ra rất nhiều câu hỏi về cách tốt nhất để có được sự đồng ý.

ICO đã bước vào để đưa ra danh sách sáu phương thức để yêu cầu cookie ( xem trang 6 ). Họ thừa nhận rằng không có giải pháp nào là lý tưởng:

  1. Cửa sổ bật lên (xấu xí - xem cuộc thảo luận này - và thường bị người dùng bỏ qua)
  2. Các điều khoản và điều kiện mới (người dùng phải đồng ý rõ ràng với họ trước khi sử dụng trang web)
  3. Sự đồng ý dựa trên cài đặt (tốt cho tùy chỉnh trực quan, không tốt cho phân tích)
  4. Sự đồng ý dẫn đầu về tính năng (vẫn phải khiến người dùng biết rằng cookie đang được sử dụng)
  5. Sử dụng chức năng (họ đề xuất khu vực 'quyền' vĩnh viễn có thông báo)
  6. Thông qua các bên thứ ba (nhưng họ không biết luật áp dụng như thế nào)

Vì không có "một giải pháp phù hợp với tất cả" để yêu cầu quyền lưu trữ cookie, mỗi chủ sở hữu trang web phải đưa ra cách làm riêng của họ. Bởi vì không có suy nghĩ thực sự nào được đưa ra để chuẩn hóa định dạng yêu cầu hoặc trình bày một giao diện chung, chúng ta có thể sẽ thấy một loạt các cửa sổ bật lên và triển khai khác nhau.

Các trình duyệt không nên xử lý việc này?

Kịch bản lý tưởng có thể là ủy thác tất cả những điều này cho trình duyệt, nhưng các điều khiển cho cookie chưa đủ chín muồi và ngay cả khi các bản cập nhật trình duyệt có hỗ trợ cookie dạng hạt, chúng tôi vẫn phải điều chỉnh các trình duyệt cũ hơn, tạo ra một số loại Yêu cầu trang không thể tránh khỏi.

Liệu nó có một nhược điểm thương mại?

Luật riêng tư mới có thể khiến các dịch vụ Web của EU kém hấp dẫn hơn các dịch vụ của Hoa Kỳ. Như Nick Halsted của TweetMeme nói:

"Nếu bạn truy cập hai trang web có chức năng giống hệt nhau và một trong số họ yêu cầu bạn ký một hộp lớn đáng sợ có nội dung 'Tôi đang theo dõi mọi thứ về bạn', và trang web của Mỹ thì không, bạn sẽ đăng ký cái nào ? " [ nguồn ]

Không chỉ có thể bổ sung một thanh quyền phương thức dẫn đến giảm đăng ký và tương tác, mà chúng tôi thậm chí không thể kiểm tra các phương thức yêu cầu thay thế thử nghiệm, bởi vì trước tiên, việc theo dõi kết quả của thử nghiệm phân tách yêu cầu chúng tôi phải xin phép người dùng.

Hơn nữa, nếu hóa ra các doanh nghiệp EU không thể sử dụng Google Analytics và cộng sự mà không có sự cho phép của mỗi khách truy cập (khi các doanh nghiệp Mỹ có thể), đó cũng không phải là một bất lợi cạnh tranh? Hoa Kỳ đã có một cộng đồng khởi nghiệp thịnh vượng và tài trợ cho hệ sinh thái. Một số người sẽ cho rằng các chỉ thị về quyền riêng tư, trong khi tuyệt vời cho người dùng, là một nỗi đau cho các doanh nghiệp vì họ càng kìm hãm những người cạnh tranh với các công ty bên ngoài EU.

Nó đã thực sự được suy nghĩ thông qua?

Mặc dù mục tiêu trao quyền cho người dùng bằng các quyết định về quyền riêng tư của họ là một mục tiêu cao cả, các khía cạnh về khả năng sử dụng vẫn chưa được nghĩ đến. Tin tốt là (ít nhất ở Anh, ít nhất) chúng ta có đến tháng 5 năm 2012 để tìm ra điều gì đó.

Nói tóm lại, không có gì phải lo lắng , nhưng có rất nhiều điều phải suy nghĩ . Sau khi ICO làm rõ trường hợp cookie của bên thứ ba và các nhân viên bảo vệ dữ liệu khác của EU đã làm điều tương tự, điều quan trọng là các nhà quản trị trang web châu Âu sẽ đưa ra một giải pháp thống nhất.


"Nó cũng sẽ yêu cầu nhiều chủ sở hữu trang web, những người nếu không sẽ phải đưa ra yêu cầu lưu trữ cookie để đột nhiên làm như vậy, bỏ dịch vụ hoặc tìm kiếm các lựa chọn thay thế không có cookie." Tôi nghĩ rằng, họ sẽ chuyển doanh nghiệp của họ ra khỏi châu Âu. Nó dễ dàng hơn nhiều trong nhiều trường hợp.
feeela

4

Hầu hết các khiếu nại tôi đã thấy nằm ngoài các trường hợp ngoại lệ bạn đã đề cập và nhiều hơn vào lĩnh vực tiếp thị / dữ liệu. Một số vấn đề lớn tôi thấy là:

  1. Phân tích chuẩn (Google Analytics và các loại khác)
  2. Thử nghiệm bổ sung (thử nghiệm A / B, vv để tối ưu hóa khả năng sử dụng / tỷ lệ chuyển đổi)
  3. Theo dõi liên kết.
  4. Tiếp thị lại hiện có nhiều chương trình bỏ cookie và tạo quảng cáo động dựa trên hoạt động của người dùng.
  5. Cá nhân hóa - chẳng hạn như đưa ra các đề xuất sản phẩm được cá nhân hóa dựa trên các sản phẩm đã xem trước đó, v.v.

Phải thừa nhận rằng tôi là người Mỹ nên tôi không theo dõi điều này chặt chẽ như những người khác có thể có nhưng tôi không tin bất kỳ điều nào ở trên rơi vào "trường hợp ngoại lệ" và tất cả đều được sử dụng rộng rãi.


2

Nó có vẻ đau đớn cho những người đọc các tiêu đề và không biết rằng về những ngoại lệ được phép.

Sẽ rất đau nếu bạn có cookie cho mục đích thống kê vì chúng không được phép mà không có sự đồng ý:

Ví dụ, ngoại lệ sẽ không áp dụng chỉ vì bạn đã quyết định rằng trang web của bạn hấp dẫn hơn nếu bạn nhớ tùy chọn của người dùng hoặc nếu bạn quyết định sử dụng cookie để thu thập thông tin thống kê về việc sử dụng trang web của bạn.

http://www.ico.gov.uk/~/media/document/lvern/Privacy_and_electronic/Practical_application/advice_on_the_new_cookies_regutions.pdf

Điều này cũng đau đớn bởi vì mặc dù thật dễ dàng để đưa JavaScript lên trang web của bạn mà theo dõi thống kê thì không dễ dàng trừ khi bạn thấy plugin đó.


Tôi thấy thật phong phú khi một chính phủ đang tích cực giữ lại IE6 trong một số bộ phận của mình (chẳng hạn như MoJ) có khuôn mặt trần trụi để tuân thủ luật pháp, nay, thậm chí còn tư vấn cho bất kỳ ai khác trên trang web hoặc doanh nghiệp của họ.
Tinh chất kỹ thuật số

1
@Digital ICO không đưa ra luật. Nó chỉ diễn giải và thực thi chỉ thị của EU. Nó trông giống như một công việc khó khăn và vô ơn.
Nick
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.