Pull to refresh

Comments 67

UFO just landed and posted this here

Конечно, маразм. Пускай творят что хотят, лишь бы невидимо было.


Хотя да, вам от этого особой пользы нет, т.к. речь идёт по регуляции в ЕС.

UFO just landed and posted this here

Дело не в том, что вам дают клацнуть. А в том, что для того, чему вам дают клацнуть, вводят ограничения. Например, consent не может быть без scope & purpose, у вас есть право его отозвать.


Вы этим правом можете не пользоваться. (Более того, у вас, если вы живёте в РФ, этого права нет), но в целом индустрия с криком, болью и раздираемыми засохшими бинтами медленно становится чуть менее диким западом.


Вот я GDPR просто нарадоваться не могу. Помню, как мне дядька в агентстве недвижимости с сожалением говорил, что они вынуждены удалять все сканы всех паспортов с кем они работали по истечении пол-года с момента окочания сопровождаемого контракта/сделки. Я сочувственно покивал головой, а в нутри меня прямо пёрло "так так и должно быть".

А меня напрягает постоянно кликать эту кнопку на каждом сайте. Это похоже на очередную бюрократическую процедуру, и как минимум в моем случае, ненужную. Было бы супер, если бы разрешили браузерам автоматически кликать на эту кнопку, если пользователь, например, где-то в настройках один раз и навсегда даст свое согласие.

Всему своё время. Пока, вот, ещё индустрия находится во третьей стадии переживания (торг). Дальше будет принятие.

А вот представьте, дальше примут закон, который запретит под угрозой штрафов вмешательство в работу сайтов (что поставит блокировщики рекламы вне закона). И все будут обязаны смотреть рекламу. На выбор — нерелевантную рекламу Tampax (если не согласился на сбор статистики о своих предпочтениях) или релевантную рекламу новых инструментов для разработчиков. Вроде как и пользователей защитили от трекинга предпочтений без явного согласия, и создателей сайтов от недобросовестного использования их сайтов, а в итоге все недовольны.

Давайте уточним, что такое "работа сайта"? Если я отказываюсь выполнять код с сайта, то это моё право.


(почему вы прямо сейчас не выполняете код с сайта desunote.ru/malware, я настаиваю!)


Я имею право запросить well-known ресурсы сайта (index.html, robots.txt, etc), и есть судебные прецеденты на этот счёт. Я имею право запросить ресурсы, указанные в этих файлах. Я не обязан интепретировать их каким-либо специальным образом.


И я не понимаю как вы примете закон об обязательности исполнения чьего-либо кода.

Предположим, что такой нелепый закон был принят. Тогда у вас есть право отказаться от выполнения кода какого-то сайта. Для этого вы просто не заходите на него, вообще. А вот если вы уж зашли на сайт, то будьте добры — используйте сертифицированное ПО, которое выполнит весь код, который необходим для работы сайта. Код, что показывает рекламу — тоже часть сайта, и тоже должен быть выполнен, а результат — отображён. Попытка намеренно избавиться от рекламы путём использования запрещённого браузера поддерживающего установку блокировщика рекламы — не случайность, а явно злой умысел, который тянет на большой штраф.

Вернёмся в сегодняшнюю реальность. Если вы возьмёте триальную версию программы, и при её выполнении пропустите часть кода, что проверяет наличие лицензии, получив таким образом возможности полной версии — это нарушение, или реализация «права» решать какой код выполнять?

curl http:/google.com — я зашёл на сайт или нет?


Если я буду использовать чужую программу, на которую у меня нет лицензии, это будет нарушением авторского права. Вне зависимости от того, "отказывался" я от выполнения куска триального кода или нет. (если я буду использовать ворованный ключик — ситуация будет аналогичной). Наоборот, если у меня есть лицензия на использование программы, я могу отказываться от выполнения любой её части. Я не слышал про судебные случаи из-за выключения компьютера (частный случай отказа выполнять программу).

Постойте, но у вас же есть право выполнять триальную версию программы. По задумке авторов она должна работать, но с заложенными ограничениями, пока пользователь не оплатит полную версию. Или ещё лучше — пока программа не оплачена, она работает, но время от времени просто показывает рекламу. Легально ли вмешиваться в её код, чтобы спрятать рекламу?

В общем случае такого права нет. Надо смотреть условия лицензии. Так как в общем случае нет разрешения на исполнение программы, то что разрешили — то разрешили.


Насчёт "спрятать рекламу" — чтобы спрятать рекламу не нужно менять программу. Достаточно отключить интернет (в доме). Или наклеить стикер на этом месте экрана. Какое из этих действий запрещено?

Насчёт «спрятать рекламу» — чтобы спрятать рекламу не нужно менять программу. Достаточно отключить интернет (в доме). Или наклеить стикер на этом месте экрана. Какое из этих действий запрещено?
Но разработчик программы был предусмотрительным, и вместе с программой, где кода всего на 1 мегабайт, в ресурсах идёт 300 мегабайт рекламных медиафайлов, чтобы оно работало полностью оффлайн. Причём все эти ресурсы зашиты в исполняемый файл, для надёжности =) Реклама появляется в случайных местах — заклеить стикером не получится.

Повторю, для кода нет разрешения на запуск "по-умолчанию" и взаимоотношения с пользователем регулируются eula:
Вот, например, и EULA у MS:


SCOPE OF LICENSE. The software is licensed, not sold. Microsoft reserves all other rights. Unless applicable law gives you more rights despite this limitation, you will not (and have no right to):
work around any technical limitations in the software that only allow you to use it in certain ways;


Раз и два. Насколько я понимаю, сейчас существует странная биекция о "разрешении на запуск" js'а без лицензии (т.е. лицензии нет, а запускать js, вроде бы, можно). Если будет требование принять EULA перед запуском JS'а, то у меня всегда есть право эту лицензию не принимать, а ограничиться всего лишь обозреванием отданного мне без авторизации.


Кто-то может поставить авторизацию (да хоть и paywall) с лицензией; но мы-то говорим о публично доступных ресурсах, да?

Вы это сейчас из головы или 2GIS описывали?

В таком случае будет более очевидное поведение с точки зрения пользователя и рынок относительно быстро сам себя отрегулирует. Кто захочет смотреть рекламу — будет её смотреть. Кто не захочет — уйдёт на другие ресурсы: бесплатные без рекламы, платные без рекламы.
А вот представьте, дальше примут закон, который запретит под угрозой штрафов вмешательство в работу сайтов

Ура, Ростелеком и некоторых мобильных операторов будут штрафовать за подделку трафика!
Вмешательство в трафик со стороны провайдера совершенно точно должно быть под запретом =)
Запретить! Но разрешить (роскомнадзору)!
UFO just landed and posted this here

Есть uMatrix, который наоборот блокирует куки.

UFO just landed and posted this here
Ну не знаю, меня раздражают все эти плашки в рандомных местах на разных сайтах. Огорчает, что нет универсального способа убрать всех их разом. Это было большой глупостью заставлять сайты делать эти плашки, так как предупредить пользователя о том, что на сайте (обожемой, какой кошмар!) используются куки, вполне может сам браузер, с кнопкой для запрета приёма кук для текущего сайта, если вдруг это пользователю зачем-то нужно. В случае с плашкой, соглаешься ты с тем что там написано, или нет — сайт всё равно может использовать куки. Если вы на сайте отключили JS, то плашка эта может вообще не показаться, а куки будут продолжать работать. Встроенное в браузер решение могло бы надёжно и универсальным способом решить эту проблему, если кому-то это вдруг важно. Ну и для таких как я — возможность полностью убрать это недоразумение с глаз было бы полезным. Все были бы в выигрыше. А сейчас выходит, что все в проигрыше. Разработчикам сайтов — лишние телодвижения, пользователям — плохой UX и отсутствие гарантий что куки не устанавливаются.
UFO just landed and posted this here
Никак. Но это даёт гарантию, что куки не установлены. А остальное всё — полумеры. Какая вообще разница, кука используется только для рекламных целей (кешбек тоже ведь для рекламных целей существует), или нет? Любая сессионная кука позволяет вас отследить. Одна и та же кука может использоваться для того, чтобы показывать именно вашу корзину, и чтобы отслеживать вашу активность на сайте, чтобы понять, какие товары вы смотрели чаще и какого плана товары вам нужно показывать в реклманых блоках. Если вам действительно принципилаьно важно, чтобы вам никак не могли дать таргетированную рекламу, никакие куки нельзя принимать, нужно отключить кэширование в браузере, отключить JS, периодически менять свои внешние IP, и стараться при этом не сильно страдать.

Вообще, обязательство сайтов предупреждать об установке кук появилось за годы до GDPR. Последние наверное лет 10 уже докучают пользователям. Если на какой-то сайт заходишь из приватного режима (идеальный инструмент для того, чтобы попользоваться каким-то сайтом, и он тебя не запомнил), то эти плашки приходится закрывать при каждом посещении.
UFO just landed and posted this here
По-моему гораздо проще не гадать, чем там занимается сайт, а просто всегда по умолчанию считать, что любой сайт трекает чем ты на нём занимаешься, и действовать исходя из этого предположения.

Боязнь что кто-то натрекает что тебе интересен какой-то товар и покажет (о ужас!) релевантную рекламку мне напоминает боязнь ГМО. И то и другое, на мой взгляд, иррационально.

Другое дело, если вы вводите на сайте какие-то личные данные. В таком случае объяснение, что будет с этими данными, всё же нужно. Но это не то же самое, что вы зашли на какой-то сайт, и покликали там по каким-то ссылкам, а сайт это запомнил, и предложил потенциально интересную вам рекламку или контент.

Тут несколько уровней. Во-первых, уже есть ощутимый корпус случаев, когда "контекстная реклама" показывает человеку что-то, что он не готов показывать окружающим в тот момент, когда он показывает какую-то страницу кому-то. Это очевидное нарушение прайваси. Если человек до этого десять часов искал подгузники для взрослых и читал статьи про недержание мочи, это не означает, что он дал согласие на "таргетирование реклама для пользователей подгузников для взрослых" для него, тем самым раскрывая medical condition.


Второе: время жизни моего устройства от батареи — это моя личная проблема. И мне не нравится, когда чьи-то потребности трекать этот процесс находятся в конфликте с решением моей личной проблемы. То же касается и excessive traffic, потому что интернеты иногда платные по трафику.


Третье. Исполнение скриптов с посторонних ресурсов — один из простейших методов компрометации браузера через известные используемые уязвимости.

Если человек до этого десять часов искал подгузники для взрослых и читал статьи про недержание мочи, это не означает, что он дал согласие на «таргетирование реклама для пользователей подгузников для взрослых» для него, тем самым раскрывая medical condition.
Во-первых, нет, не раскрывает, так как наличие такой рекламы не говорит о том, что вы что-то такое искали. Зато история браузера покажет это достоверно. Во-вторых, если вы занимаетесь поиском какой-то чувствительной для вас информации, используйте приватный режим. Он для этого и создан. И история не сохраняется. Работает без помощи каких-либо нелепых законов более десяти лет!
Как будто приватный режим поможет от генерации отпечатка по канвасу, Audio Context'у или подобным техникам с последующим показом «нужной» рекламы.

Как будто несогласие с установкой куков от этого поможет.

Законы для того и применяются, что бы помогло. Они регулируют не только то, что мы называем «cookies», если я верно понимаю.

UPD
Поправил ошибку.
UFO just landed and posted this here

Конечно, можно. Вам надо:
а) находиться вне территории ЕС
б) взаимодействовать с компаниями, которые не расположены на территории ЕС.


Если же кто-то выполняет требования GDPR для субъектов, на которых действие GPPR не распространяется, то это их личное персональное решение и оно ничем не отличается от решения использовать comic sans в качестве основного шрифта на сайте.

Ну раз вашим друзьям и родителям это не нужно, то значит и всем не нужно. Это же логично.

Житель ЕС и полностью поддерживаю GDPR. Всё правильно делают. Ещё бы «Сахарную горку» прижучили, чтобы не лепил везде свою «мордокнигу». И производителям смартфонов запретили предустанавливать свои приложения, которые только с танцами с бубном удалить можно. Да и то не полностью. Кому надо пусть сам с любого магазина качает и через него обновляется.
UFO just landed and posted this here
А это хорошая идея. Была бы хорошая идея если можно было бы договора писать в машинно-понимаемым виде и была возможность договариваться об условиях (а не соглашаться на оферту). Только вот для этого похоже ИИ будет будет. В том числе потому что договора ж мало будет.
«Алиса, если сайт хранит данные об активности моей активности на территории Европы(Эстония Европой не считай) или США(кроме как там этого штата с мормонами) и выдает эти данные в <название стандартного формата> то согласится на максимальный уровень отслеживания, предоставить доступ ко все датчикам устройства в автоматическом режиме, в противном случае я против отслеживания, к датчикам доступ запретить, если сайт хранит данные в стране которая находится ниже 50 места в Мировом Рейтинге Конфеденциальности Данных по версии EFF или против сайта ведется расследования в отношении нарушения заключенных контрактов — то делай доступ только через Tor, и не давай никакие согласия на отслеживания больше чем на сутки (а лучше вообще). Если тематика сайта явно относится к интересным мне — предложи отключить рекламу за 0.1 цент в сутки, если при этом к сайту приходится производить доступ через Tor — то 1 сатоши в сутки, если сайт не согласен — врубай блокировку рекламы, если тематика сайта не относится к списку мне интересных — сразу врубай блокировку рекламы но если уже третий раз в неделю посещаю — напомни рассмотреть добавление сайта в интересные».
Мечты -:(
Описанное — не мечты, а rule-based decision system. Похожую модель уже используют броузер и сервер, выбирая протокол шифрования внутри ssl — нет технических причин не использовать её для того что вы хотите
Модель в браузере — это достаточно сложный код на C++.
А я хочу именно реализацию когда я могу голосовому помошнику сказать то что выше, и он поймет меня правильно, и сделает. И все необходимые данные — доступны. А сайты — имеют машинно-понимаемый протокол согласования уровня отслеживания или там платного отключения рекламы.

У меня есть простое предложение: сайты должны вести себя адекватно если пользователь отключил сохраенние cookies для этого сайта (или вообще). Например, тот же nytimes при отключенных cookies работает, но каждый раз надо убрать с экрана аж три плашки.

Сайты, как правило, при отключении кук ведут себя вполне адекватно. Только удобства это не добавляет. Скорее наоборот. Например, на хабре, каждый раз при попытке сделать что-нибудь кроме прочтения статьи — скажем, написать комментарий, придётся логониться через логин и пароль.
UFO just landed and posted this here
Роскомнадзор подсматривает
Русскоязычный сегмент интернета ≠ Россия

Потому как этими плашками спамят даже сайты, не имеющие отношения к ЕС при заходе из стран, не имеющих отношения к ЕС

Забавно, но обычно плашки с информированием о «использовании кукис» запоминают своё состояние в кукис.

И как предлагается без кук хранить сессию и всякие там корзины товаров? Тащить через все ссылки session_id?
localStorage. Удобнее в работе, и никем вроде бы не регулируются.
У меня все проекты на localStorage.

P.S.: я не [настоящий] фронтендер.
От перестановки переменных хранилищ результат не меняется. Законом localStorage точно так же регулируется или будет регулироваться в ближайшем будущем.
Чего уж там, давайте сделаем два шага вперёд, и сразу введём законы, которые будут запрещать без прямого согласия сохранять личные данные в любые переменные, и не только в вебе, а вообще.

Открываешь в текстовом редакторе файл — а он тебя такой спрашивает, мол согласны ли вы, что этот файл, который потенциально может содержать личные данные, будет прочитан во внутренний буфер для отображения? Вставляешь текст из буфера обмена — а программа такая и спрашивает, а точно можно прочитать содержимое буфера обмена? И так на каждый чих =)
С каких пор трекинговые идентификаторы превратились в личные данные?

И да, трекинговые идентификаторы в файлах документов, картинок и даже распечатанные на бумаге «жёлтые точки» так же следует регулировать юридически или технически (я скорее за второй вариант, т.к. любое юридическое регулирование потенциально мешает всем).

А то нашли себе забаву… без спроса о людях информацию налево-направо продавать/передавать.

Корзина — это как раз тот случай, когда использование кукиз осмысленно.


Но есть миллион мест, где нет. Вот, например, сайт habr.com. С одной стороны кука мне нужна, чтобы авторизоваться. С другой стороны — зачем мне куки (и сетевые запросы) на все эти ресурсы?


Бесплатный сервис зарабатывает на рекламе, реклама таргетируется куками.

Каким образом это соотносится с GDPR? Я совершенно не желаю участвовать в этой ротации приватной информации между чёрти кем. Более того, согласно GDPR, отказ от участия в этой свистопляске не может быть основанием для непредоставления сервиса.


Впрочем, пока что технические средства (umatrix) более эффективны, чем юридические.

Алсо, хабр — не бесплатный сервис, у него вполне себе платящая клиентура из многих компаний с корпоративными блогами.

У бесплатного сервиса в настройках habr.com/ru/auth/settings/others есть галочка отключить рекламу, как минимум у некоторых пользователей (И почему то мне кажется что у amarao эта галочка — есть, не факт что поставленная конечно).
Ну и в конце концов за платную подписку на хабр то можно бы и платить.

… тут не только реклама. Тут ещё всякие "аналитики" на которые я не подписывался. Наличие галочки мне безразлично, у меня технические средства ограничения неавторизованной активности бразуера.


Насчёт кто кому должен платить — вопрос интересный. Вот медиум честно отдаёт деньги авторам (удерживая себе жирные ручки, понятно). У хабра модель другая.

раньше его добвляли в url (при включенных куках):
```
/some/;jsessionid=E85FAC04E331FFCA55549B10B7C7A4FA
```

а сейчас есть хранилища и без кук: localStorage, sessionStorage, indexeddb

так что по идее нет технических преград для приложений, а вот для слежки как раз только cookies и загрузка ресурсов (картинки, js) подходят, как я понимаю
Кукисы, которые необходимы для работы сайта (например, запомнить выбор «разрешённых» кукисов) не нуждаются в разрешении от пользователя.
Предвосхищая ваш вопрос: попробуйте назвать рекламную куку «необходимой» и посмотрите что получится (сколько исков будет и сколько судов проиграете).
SPA могут хранить в памяти приложения. Проблемы будут только для не SPA приложений или при серверном рендеринге SPA приложений.

При этом ещё нужна поддержка со стороны браузера, что бы session_id не светился в referer, иначе опять через referer начнут сессии воровать…
Интересно, завезут ли подобные правила в РФ?
Платформа управления согласием

В оригинале таких терминов нет. Есть cookie-wall. Плашка не платформа, однако.
Обновил перевод версии 2018 года на русский. Публиковать? Там мало изменений.
У меня дежавю: где-то в нулевых уже была эта истерия с куками и все сайты тоже начали такие плашки показывать. Потом подутихло и все забили и забыли. А теперь, спустя более, чем десять лет, вдруг по новой всполошились, как в первый раз.

СМИ утихают, регуляторы нет. Эволюция такова


  • Директива о Защите данных 95/46/EC
  • Директива о Конфиденциальности и электронных средствах связи 2002/58/EC
  • Общий регламент защиты персональных данных 2016/679 или GDPR, включая
    — Согласие на обработку персональных данных wp259rev.01
    — Согласие на обработку персональных данных version 1.0

Статья про последний этап.

а доступ на сайт должен осуществляться даже в случае отказа
И что, никого не смущает, что какие-то политиканы диктуют то, как должны работать чужие сайты?

Сайт — это просто набор текста. Как правильно заметил amarao, пользователь сам решает, исполнять ему этот текст или нет, и если да, то как именно исполнять. Всякие блокировщики рекламы как раз реализуют это право. Исполняет этот текст, превращает его в сайт, именно браузер. Вот пусть ему и адресуют претензии.

А вот этот закон — самая настоящая цензура. Правительство запрещает определенный текст потому что заботится о детях может. А дальше что? Если пользователь отказался заплатить, услуга ему все равно должна быть оказана?

Пользователь может просто уйти с сайта — это раз. Пользователь может не сохранять куки (инкогнито режим) — это два. Пользователь может самостоятельно регулировать, какие участки кода его браузеру нужно исполнять, а какие нет — это три. Пользователь может даже самостоятельно удалять куки — это четыре. А сайт, получается, не может ничего. Нормально.

Одно дело, когда дело касается, к примеру, почтового ящика или номера телефона. Если они хранятся у чужих людей, то эти люди могут их использовать в недобросовестных целях. Но куки — они же хранятся у самих пользователей на их машинах. Не хочешь их отправлять на сайт — берешь и не отправляешь, в чем проблема?

Еще раз, подытожу. Законом нужно регулировать сбор данных. К примеру, без согласия пользователя не запоминать его fingerprint — операционную систему, айпи адрес, всякие параметры канваса и прочее. И только лишь это. Потому что это все хранится на стороне компании, на чей сайт человек зашел, и может быть использовано после визита на сайт. Куки не может быть использовано в том случае, если человек этого не хочет — он может их просто удалить.
GDPR хороший, современный, только не понятно при чем здесь куки и прочиие браузеры.
Закон защищает от неправомерного использования данных конкретного человека, без его конкретного согласия.

На данный момент нет способов установить гарантированную аутентификацию, то-есть ни пароль, IP, куки не гарантируют что вся активность сделана единственным и конкретным человеком. Соответственно достоверно привязать данные к персоне, которую защищает закон, доподлинно не возможно! Единственный способ на данный момент — это свидетель, который проверит ID и запишет в журнал время работы, и тп, типа как нотариус. Даже мобильные приложения проверяют логин а не полностью во время работы.
Sign up to leave a comment.

Other news