Почему Евросоюз искореняет cookie-стены

    В конце прошлого года Суд Европейского союза запретил сайтам устанавливать cookies по умолчанию и использовать предварительно заполненные чек-боксы на соответствующих баннерах. Регулятор заявил, что эти практики противоречат требованиям Общего регламента по защите данных.

    В начале мая Европейский совет по защите данных (European Data Protection Board, EDPB) поставил точку еще в одном вопросе — cookie-стены нарушают GDPR. Обсуждаем ситуацию.


    Фото — Erol Ahmed — Unsplash

    Постановление EDPB


    В марте прошлого года нидерландский регулятор назвал cookie-стены незаконными. Это — баннеры, блокирующие доступ к контенту, пока пользователь не даст согласие на обработку персональных данных. Решение агентства по защите данных в Нидерландах спровоцировало дискуссию среди владельцев сайтов, юристов и политиков. И в начале месяца представители European Data Protection Board (занимается вопросами правоприменения GDPR) выпустили официальное разъяснение, в котором подтвердили — куки-стены противоречат требованиям GDPR. Они вынуждают пользователей принять условия сбора данных, в то время такое согласие должно быть добровольным.

    Дополнительно комиссия EDPB разъяснила, что пролистывание веб-страницы также нельзя считать разрешением на обработку ПД.

    Какие есть подводные камни


    EDPB лишь принимает новые правила и разъясняет законы, связанные с защитой персональных данных. За их исполнением следят местные власти стран-членов Евросоюза. Но ряд экспертов отмечает, что дела с этим обстоят не лучшим образом. Несмотря на штрафы по GDPR — которые могут достигать 20 млн евро — многие ресурсы устанавливают куки без согласия пользователей.

    Специалисты из Орхусского университета, Университетского колледжа Лондона и MIT отмечают, что лишь 11,8% баннеров соответствуют минимальным требованиям законодательства ЕС.

    Также журналисты The Verge пишут, что запрет cookie-стен не станет панацеей. В арсенале нечистых на руку веб-мастеров есть множество инструментов, с помощью которых они заставляют пользователей дать согласие на установку cookies. К «темным практикам» относят излишне сложные интерфейсы и расплывчатые формулировки.


    Фото — Kari Shea — Unsplash

    Что интересно, необходимости строго регулировать куки можно было избежать, если бы все компании изначально следовали рекомендациям, прописанным в оригинальной спецификации cookies (RFC 2109). На этот факт обратил внимание Томас Бикдал (Thomas Baekdal), основатель одноименного технологического журнала Baekdal.

    Спецификацию разработали инженеры из Netscape Communications еще в 1997 году. Документ запрещает интернет-ресурсам ставить сторонние cookies или как минимум активировать их по умолчанию. При этом сайты должны предоставлять пользователям возможность удалять данные о себе и отзывать разрешение на установку cookies. Аналогичные требования сегодня можно найти в статьях №17 и №21 GDPR.

    Как самостоятельно заблокировать нежелательные cookies


    Можно воспользоваться инструментами, которые предлагают различные браузеры. В Mozilla разработали утилиту, запрещающую установку сборщиков цифровых отпечатков и отслеживающих куков. Аналогичные решения есть в Safari и Brave, а Google пока только планирует их внедрить. Соответствующая функциональность в Chrome появится в ближайшие два года.

    Еще одним инструментом защиты может быть фреймворк Do Not Track (DNT). Он разработан консорциумом W3C и должен автоматизировать работу с куками. В браузер добавляется специальная функция. Она сообщает сайтам, установку каких cookies разрешил пользователь. Однако исследования Forrester показали, что популярные ресурсы игнорируют новый механизм. По этой причине в начале прошлого года инженеры из W3C прекратили работу над проектом. Остается надеяться, что кто-нибудь продолжит начатое консорциумом дело и доведет его до логического завершения.



    Посты из блога 1cloud.ru:

    Ситуация: нарушают ли AdTech-компании GDPR?
    Потенциальные атаки на HTTPS и как от них защититься
    Какие инструменты помогут соответствовать GDPR
    Почему разработчики мейнстрим-браузера снова отказались от отображения поддомена



    У нас на Хабре:



    1cloud.ru
    IaaS, VPS, VDS, Частное и публичное облако, SSL

    Комментарии 77

      0
      Так почему Евросоюз искореняет cookie-стены?
      Им бы сначала с обычными куками разобраться. Уж два года как борьба с cookie по GDPR — сплошная профанация. Любой сайт проверьте, — мало кто соблюдает GDPR
        0
        Искореняет потому, что они противоречат изначальной цели GDPR. А конкретно осознанность и добровольность предоставления и минимизация сбора персональных данных.
        Куки стены нарушают добровольность и осознанность, а часто и совсем не минимальны. Хотите, чтобы пользователь не мог пользоваться вашим сайтом без сбора персональных данных, делаете доступ по регистрации, но о ужас, так же упадет трафик. Да, вот такой парадокс, пользователь оказывается осознанно не хочет за ваш контент давать вам персональные данные и делает это только потому как не осознает на что же он подписывается разрешая куки в куки стене.
          +1
          Ну разрешить куки это совсем не то же самое, что оставить им свой емейл.
            +1
            Да, это существенно хуже. Во-первых, email вы можете оставить какой угодно, а во-вторых, понимаете как его можно использовать «против вас». А куки это такие безобидные штучки, которых даже не видно.
        +2
        каждый раз удивляюсь, когда читаю статьи о том, как на западе беспокоятся о пс и наши новости, об очередном сливе у банков, приложений по получению пропусков и тд. Я понимаю, что неизвестно, как это еще все будет работать, но то что они стараются защитить пд, вызывает уважение. Спасибо за статью
          +2
          А зачем вообще сайту о том какие куки можно ставить?
          Не проще ли, и надежнее блокировать установку на стороне браузера?
            +1
            Некоторые куки вполне себе полезны и местами даже и необходимы для нормальной работы сайта. Да и вообще грубо говоря сами по себе куки злом не являются.

            И ваш браузер сам не в состоянии отделить «вредные» куки от «полезных». Да и я бы не сказал что и человек всегда в состоянии это определить. Особенно средний пользователь.

            А если резать все куки, то и большинство сайтов будет криво работать.
              +2
              Пусть переписывают так, чтобы нормально работало. Меня бы вполне устроило, если бы браузер вываливал попап с предупреждением — «Этот сайт хочет поставить вам куки, если вы не уверены что вам это нужно — предлагаем запретить».
                +1
                Ну то, что это вас бы устроило, совсем не означает что все так хотят. Я вот например не хочу чтобы мне постоянно выскакивали попапы с предупреждением что сайт собирается поставить мне обычные куки, которые нужны исключительно для работы сайта.

                И именно так оно и работает: если куки нужны только для работы сайта и не могут быть использованы для трэкинга(ну или вообще для «вредных вещей» в целом), то о них предупреждать не надо.

                  +1

                  Нет, как оно работает сейчас: каждый сайт, который ты посещаешь, спрашивает разрешения куки (любого вида и целей использования). А если удалять куки расширениями (Cookie Autodelete), то всплывать попапы будут буквально каждый раз.

                    +1
                    Нет, как оно работает сейчас: каждый сайт, который ты посещаешь, спрашивает разрешения куки (любого вида и целей использования).

                    С чего вы это взяли? Сайты, которые используют только «необходимые» куки, сейчас ничего не спрашивают и спокойно работают со своими куки.

                    И только если сайт использует ккаие-то дополнительные куки, то тогда он у вас спрашивает какие куки вы ему разрешаете использовать. Но при этом всё равно эти самые «необходимые» отключить нельзя.
                      0
                      Точно! Чуть углубился в тему и формально вы правы (см. спойлер), тем не менее по опыту этих лет, очень редкий сайт не запросит полной формы (попап, который обычно контент блокирует). Поэтому добавил в uBlock/AdNauseam «Fanboy's Cookie List» фильтр — он их режет (меня они только нервируют, т.к. Cookie Autodelete).

                      Legal
                      С немецкого:
                      Нужно ли всем кукам согласие?
                      К сожалению, просто на это не ответить:
                      1. Регламент ePrivacy, который должен урегулировать куки, ещё не вступил в силу
                      2. DSGVO [GDPR по англ.] не делает высказываний о вопросе с трекингом и куки
                      3. Решений суда конкретно о том, какие точно куки должны требовать согласия [пользователя], ещё нет.

                      Как владелец сайта можно только ориентироваться на решение Европейского Суда и что предписывают отдельные ведомства защиты информации и Datenschutzkonferenz (DSK — Конференция Защиты Информации). Их нынешняя точка зрения:
                      1. Не для всех куки требуется согласие. Сессионные куки, куки для логина или товарной корзины, которые не делятся информацией, могут быть обоснованы в рамках интереса владельцев сайта (имеется ввиду, что без них немыслима работа сайта — прим. переводчика)
                      2. Трекинговые и рекламные куки третьих лиц нуждаются в согласии. Это прежде всего куки, которые не требуются для непосредственной работы веб-сайта и могут быть связаны с другими данными и сервисами или же им переданы.



                      PS к Legal: Ну, допустим у никакие сторонние сервисы не привязаны, а есть форум. Даже встраиваемые Youtube embeds/iframes не допускаем. И в этом случае хватит одного прямого <img>-тега (банальный «вставить картинку»), чтобы «сторонний сервис» смог установить куки (HTTP GET, все дела). Имхо, благими намерениями уложена дорога в ад.
                        +1
                        Точно! Чуть углубился в тему и формально вы правы (см. спойлер), тем не менее по опыту этих лет, очень редкий сайт не запросит полной формы (попап, который обычно контент блокирует).

                        Ну вот сейчас Европейский Суд признал такие вот блокирующие попапы незаконными.

                        П.С. На самом деле ситуация на мой взгляд похожа на ту когда ЕС стала заставлять производителей напитков и продуктов питания печатать на упаковках состав, калорийность и содержание жиров/белков/углеродов. Ну очень похожа.
                          +1
                          По состоянию на 2020, ситуация похожа на то, как если бы ЕС велела печатать на упаковках содержание жиров/белков/углеводов, и производители стали печатать буквально «наш продукт содержит жиры, белки и углеводы».
                            0
                            Ну вот так примерно оно было и с информацией на упаковках. То естъ поначалу куча производителей сопротивлялась как могла и придумывала различные уловки. И при этом далеко не все потребители понимали зачем это надо и далеко не все приветствовали эти требования.
                +1
                Теоретически, достаточно одной куки от сайта. Всю остальную работу, и слежку в том числе, можно сделать на сервере. Проблемы, на самом деле, только со сторонними куками, никто не знает, что там гугл делает с данными про вас.
                  0
                  Так ведь фреймворк Do Not Track, сообщает сайтам, установку каких cookies разрешил пользователь. Те предполагается, что браузер знает что сайт может устанавливать.
                  Логично было бы не устанавливать все остальное, поскольку пользователь этого не разрешал.
                    0

                    Ну так никто не запрещает сайтам использовать информацию с DoNotTrack.


                    Но этот фреймворк насколько мне известно не является чем-то официальным. И в первую очередь сами пользователи не обязаны о нём знать и им пользоваться.

                      0
                      Do Not Track изначально прописан был как выбор пользователя. Вот только некоторые компании (вроде MS см например habr.com/ru/post/160129 ) решили что они будут ставить его по умолчанию. А что, мы заботимся о пользователях вот так.
                  +1

                  Самые большие «куки-монстры» — это аналитические системы по типу Яндекс.метрики и гугл.аналитики. Ну еще соц. виджеты сетей.


                  Именно они ответственны за большую часть gdpr нарушений на множестве сайтов, потому что больше обычным сайтам смысла ставить куки слежения нет.


                  Вот на них стоит надавить, на них и дата-брокеров, после покупающих их данные.


                  Еще меня поражает позиция людей, которые в одном месте кричат «нет камерам на улицах, нет слежке за использованием денег, моя приватность бесценна» а потом «вот дебилы, с куки борются, делом бы занялись», не понимая что это все одного поля ягода.


                  Потом из этих «безобидных куки» дата-сатанисты лепят твой портрет не хуже камеры наблюдения

                    +9
                    Еще меня поражает позиция людей, которые в одном месте кричат «нет камерам на улицах, нет слежке за использованием денег, моя приватность бесценна» а потом «вот дебилы, с куки борются, делом бы занялись», не понимая что это все одного поля ягода.

                    Разница в том, что камеры на улице государственные, не ходить по улицам трудно, а за сокрытие лица могут и задержать, и данные о перемещении — реальный вектор атаки, а с куками все, мягко говоря, не так.


                    Это настолько же одного поля ягоды, как называть наличие заминусованных в минус бесконечность аккаунтов на Хабре цензурой и сравнивать ее с КНДР.

                      +3
                      Удалить или даже вообще запретить куки на своем компьютере можно в пару кликов мышкой. Это полностью легально.
                      А вот видео с гос камер уже не удалить с такой легкостью. Да и с легальностью такого действия есть вопросы.

                      При запрете кук часть сайтов сломается. Это их осознанное решение. Не надо тут про то что они без них могут работать. Не могут. Им кушать хочется. Без аналитических систем нет рекламы. А без рекламы нет денег.

                      На самом деле выбор стоит или платить за каждый сайт или соглашаться на отслеживание. Мир уже выбрал рекламную модель. А даже полностью в нее закопался. Найти нормальную игру на телефон за деньги без рекламы почти невозможно.
                      Хотя механизм оплаты игр на телефон полностью отлажен и работает идеально. С сайтами такого механизма нет. Как им собирать деньги непонятно. Регистрация с пейволами это ужастно.
                        0
                        или платить за каждый сайт или соглашаться на отслеживание

                        такого выбора уже нет. Трекают и те, и другие.

                          0
                          При запрете кук часть сайтов сломается

                          Все сайты с авторизацией сломаются.
                            0
                            Не все. Проблема же, в основном, в третьих куках: от Яндекса, Гугла и прочих любителей шпионить.
                              +1
                              Для сайтов это основной источник дохода. Откуда им брать деньги без него непонятно.

                              Да и аналитика лишней не бывает. Без Яндекса или Гугла ее не сделать. Знать кто твой посетитель хотят примерно все. Простейшие вещи типа М/Ж, возраст, да даже по какому запросу с поисковика пришли без них не узнать.
                                0

                                Если возраст нужен, то сайт может и спросить. Остальное — вообще не проблема пользователей ни разу. А вот то, что их частную жизнь кому-то продают — проблема. И ещё большая проблема то, что продают без согласия и даже уведомления.

                                  0
                                  Более животрепещущий вопрос что сайтам кушать? Польза аналитики для сайтов есть, но тут можно поговорить.
                                  А вот откуда им деньги брать это большой и нерешенный вопрос.
                        +1
                        Фигнёй занимаются. Лучше бы все те деньги, что тратят на бесконечные обсуждения и внедрения новых правил относительно cookies, потратили на повышение компьютерной грамотности населения, разъяснение что такое куки, для чего нужны, как отключить. У пользователя и так есть все возможности для отключения/фильтрации cookies. Закон мало того что неэффективен, так он ещё и бесполезен — 99% пользователей не смогут отказать своей родной соц сети в установке куки.
                        Давно уже установил расширение скрывающее эти глупые баннеры. За конфидициальность нужно бороться другими средствами. Выше вот упомянули про камеры на улицах — их точно надо регулировать и контролировать потому что их нельзя отключить в 2 клика.
                          +4
                          . Лучше бы все те деньги, что тратят на бесконечные обсуждения и внедрения новых правил относительно cookies, потратили на повышение компьютерной грамотности населения, разъяснение что такое куки, для чего нужны, как отключить.

                          А почему только куки? Про local storage тоже рассказать? Или скажем про усторйство автомобиля, ну чтобы механики никого на обманывали при ремонте. Весь курс электротехники чтобы их не обманывали при ремонте смартфонов? Или вон зачем мы тратим кучу денег чтобы на упаковакх продуктов писать что в них содержится?

                          Сейчас уже ни один человек не способен держать в голове и разбираться во всём что его окружает. Так что бессмысленно от него это требовать. А вот требовать чтобы люди предлагающие услуги соблюдали определённые правила приличия оно вполне себе того стоит.

                          У пользователя и так есть все возможности для отключения/фильтрации cookies.

                          Зато у пользовтеля практически нет возможности определить какие куки «вредные» и следовательно он хочет отключить, а какие нет.

                          Закон мало того что неэффективен, так он ещё и бесполезен — 99% пользователей не смогут отказать своей родной соц сети в установке куки.

                          Во первых не правда. Вы не можете отказаться только от куки необходимых для работы сервиса. Навязывать трекинговые/маркетинговые куки вам не имеют права.
                          Ну и в конце концов откажитесь от пользования такой соцсетью, которая от вас требует установки левых куки. Теперь как минимум все видят что эти куки там есть и хоть для чего примерно они используются.
                            0
                            Согласен. Регулировать как то надо. Только сейчас, на мой взгляд, всё это походит на театр абсурда. Но это моё личное оценочное суждение.
                            Насчёт соц сетей. Я то не особо пользуюсь. А вот люди, которые там сидят, думаю так просто, как вы написали, от них не откажутся, особенно если не поднимать их общую компьютерную грамотность.
                              0
                              Только сейчас, на мой взгляд, всё это походит на театр абсурда.

                              Ну как бы у нас была проведена проверка на соответствие GDPR и после неё отдельные вещи поправили. В том числе и парочку куки. Так что это однозначно не совсем зря.

                              . А вот люди, которые там сидят, думаю так просто, как вы написали, от них не откажутся

                              А это их полное право. Если они знают что их ссоцсеть при помощи куки собирает о них какую-то информацию и им это не мешает, то это их личное дело.
                                0
                                Они не знаю. Им пофиг
                                  0
                                  Вообще-то по GDPR им эта самая соцсеть должна сообщать о том какие куки и для чего используются. Иначе она их не может использовать. Ну а если люди уже и читать не умеют, то тогда не знаю как им можно помочь…
                              0
                              Зато у пользовтеля практически нет возможности определить какие куки «вредные» и следовательно он хочет отключить, а какие нет.

                              И каково решение данной проблемы?
                              Попапы «наш сайт ставит куки, нажмите accept» на каждом сайте — эту проблему точно не решают.
                                0
                                Ну так «Попапы «наш сайт ставит куки, нажмите accept»» именно в таком виде вообще-то нарушают GDPR.
                                  0
                                  Тем не менее, я их вижу на каждом первом сайте.
                                  До GDPR такой дурью никто не маялся.

                                  Но вы проигнорировали мой вопрос: каким образом у пользователя могла бы появиться возможность определить, какие куки «вредные» и следовательно он хочет отключить, а какие нет?
                                    0
                                    Тем не менее, я их вижу на каждом первом сайте.

                                    Конкретный пример можно?

                                    До GDPR такой дурью никто не маялся.

                                    Ну да, втихаря вас трэкали и всё. Возможно вы считаете такое поведение меньшим злом. Но я думаю вы понимаете что далеко не все с вами в этом согласны.

                                    каким образом у пользователя могла бы появиться возможность определить, какие куки «вредные» и следовательно он хочет отключить, а какие нет?

                                    Ну так в том то и дело что я не вижу откуда такой возможности взяться. Ну разве только если по закону обязать саму страницу предоставлять пользователю эту информацию и возможность отключения различных категорий куки. Что сейчас в общем-то и пытаются сделать при помощи GDPR.
                                      0
                                      Прошёлся по хистори за сегодня, вот вам конкретный пример: www.flightradar24.com
                                      This site uses cookies
                                      By using this site, you agree to the use of cookies. Please see our Privacy Policy for more information including a full list of cookies used.
                                      • We use third-party cookies for analytics tracking. We use data gathered from tracking to understand user behavior and to help us improve the website.
                                      • We use our own cookies to store session and settings data.
                                      • We use third-party cookies for presenting ads.

                                      Возможности отказаться от использования куки нет. Возможности выбрать, какие куки принимать, нет. Спрашивается — какая польза от этого попапа?

                                      Ну разве только если по закону обязать саму страницу предоставлять пользователю эту информацию

                                      Ну вот на flightradar24.com есть Privacy Policy, где под тонной legalese есть ещё и список куки с описаниями навроде «Used for request throttling». Как пользователю понять, полезная это кука или вредная? Если я не хочу, чтобы никого душили, наверное надо её отключить?
                                        0
                                        Ну что я могу сказать, этот flightradar24.com на мой взгляд однозначно нарушает GDPR.
                                          0
                                          Во-первых, я так и не понял, зачем они приделали этот попап, если требованиям GDPR он не удовлетворяет, а пользователей раздражает.

                                          Во-вторых, flightradar24.com — не единичный пример: пошерстив по хистори чуть дальше, я вам десятки сайтов с аналогичными попапами смогу назвать.
                                            0
                                            Во-первых, я так и не понял, зачем они приделали этот попап, если требованиям GDPR он не удовлетворяет, а пользователей раздражает.

                                            А зачем вы меня спрашиваете? Вы их спросите. Может они ошибочно решили что этого достаточно. Может они не собираются работать на потрбителей из ЕС и GDPR их вообще не интересует и они следуют какому-то там другому закону.

                                            Во-вторых, flightradar24.com — не единичный пример: пошерстив по хистори чуть дальше, я вам десятки сайтов с аналогичными попапами смогу назвать.

                                            Ну так всего «десятки» или «каждый первый»? Вы бы уж определились :)
                                              0
                                              Конкретно flightradar24.com расположен в Стокгольме, т.е. в юрисдикции ЕС.

                                              К слову, если зайти на careers.flightradar24.com — уж там-то точно ждут посетителей из ЕС! — то там формулировка в попапе ещё более краткая: «This website uses cookies to ensure you get the best experience on our website.» и одна кнопка «Got it».

                                              Ну так всего «десятки» или «каждый первый»? Вы бы уж определились :)

                                              Из тех, кто просит моего согласия на куки — каждый первый делает это вот в такой безальтернативной форме.
                                                0
                                                Ну тогда по моему мнению вы с чистой совестью можете на них пожаловаться. Если это сделают достаточное количество людей, то думаю ими достаточно быстро займутся.
                              0
                              Лучше бы все те деньги, что тратят на бесконечные обсуждения и внедрения новых правил относительно cookies, потратили на повышение компьютерной грамотности населения, разъяснение что такое куки, для чего нужны, как отключить

                              Тоже неплохо, чтобы не было комментариев, как ваш. Советую прочитать, что же такое GDPR.


                              И вообще-то нельзя запретить часть кук (например оставить логин и аффилиейт-программу, но запретить трекинг), нет такой функциональности в браузерах. И не будет, т.к. основной производитель браузеров на этом кормится и точно не будет поддерживать GDPR.

                                0
                                И вообще-то нельзя запретить часть кук (например оставить логин и аффилиейт-программу, но запретить трекинг), нет такой функциональности в браузерах

                                Вообще есть такая функциональность. Естественно браузер сам не может за вас определять какие куки вам нужны, а какие нет. Но все иструменты есть + куча расширений. И насчёт браузеров вы не правы. Как минимум firefox декларирует наоборот борьбу с трекерами и прочими нарушениями конфидициальности.
                                Но регулировать надо. Хорошо что обсуждают и что-то делают.
                                  0
                                  Но все иструменты есть + куча расширений.

                                  Буду рад ошибаться. Покажите эти инструменты. Пока что я не вижу принципов, по котором подобные расширения могли бы существовать, нельзя определить причину использования каждой определенной куки программно.


                                  И насчёт браузеров вы не правы.

                                  Вы комментарий невнимательно прочитали. Я писал про основного производителя браузеров, а вы почему-то про Firefox отвечаете.

                                    0
                                    нет такой функциональности в браузерах. И не будет, т.к. основной производитель браузеров на этом кормится и точно не будет поддерживать GDPR

                                    тогда где то у вас логическая связь между утверждением и доказательством потерялась — «браузеры не будут что то делать, потому что chrome это не выгодно». Мало того что chrome это даже не 70% рынка. Так к тому же сейчас своего браузера на основе chromium только у ленивых нет. Cookies это не такая сложная технология.
                                    0
                                    Вообще есть такая функциональность. Естественно браузер сам не может за вас определять какие куки вам нужны, а какие нет. Но все иструменты есть + куча расширений.

                                    И как вы это собираетесь прописать в законе? Ну что каждый сайт должен что должен будет делать чтобы соответствовать вашему варианту закона? Или каждый браузер? Или как это должно работать?
                                      0
                                      Вам лишь закон и чтобы кто нибудь чему нибудь должен был соответствовать. И побольше.
                                        0
                                        Ну то есть вы просто предлагаете отменить GDPR и пусть пользователи сами как хотят разбираются кто им там какие куки ставит, кто им там что в local storage пишет и кто там ещё какие способы придумает для того чтобы трэкать их персональные данные?
                                          0
                                          Было бы хорошо если бы всё работало. Сказали плохим дядькам «не следите» и они сразу перестали. Только не работает. Конечно законы нужны. Без них google и прочие вообще всякую совесть потеряют. Только нужно ли лезть со своим регулированием так глубоко в технологии. Есть же законы о персональных данных
                                            0
                                            Только нужно ли лезть со своим регулированием так глубоко в технологии.

                                            Хм… А вы вообще сам закон то хоть раз открывали? Не поленитесь, откройте GDPR и попробуйте найти там хоть слово про куки. Готов с вами поспорить что не найдёте. Потому что нет там ни слова про конкретные технологии.

                                            Там как раз таки написано что можно и что нельзя делать с персональными данными. И на каких основаниях и каким образом у пользователя можно брать разрешение на пользование этими самыми персональными данными…

                                              0
                                              Действительно я не читал закон. Наверно вы лучше разбираетесь в вопросе.
                                              Но думаю с cookies его ассоциирую не только я. Ведь именно после его принятия каждый бложик стал показывать ещё один всплывающий баннер.
                                                0
                                                Что вы там писали про то что надо заставить людей разбираться в различных вопросах? Может стоит вместо компьютерной грамотности сначала юридической заняться? :)

                                                «Всплывющие баннеры» это попытка сайтов, зарабатывающих на таргетинге/рекламе/торговле пд, обойти этот самый GDPR. И Суд Европейского Cоюза своими решениями как раз таки прикрывает им различные лазейки.
                                                  0
                                                  нигде не писал «заставить людей». Писал «Лучше бы все те деньги, что тратят на бесконечные обсуждения и внедрения новых правил относительно cookies, потратили на повышение компьютерной грамотности населения». Это вроде очень далеко от «заставить кого то». Я имел ввиду скорее просвещение. И юридическая грамотность важна.
                                                    0
                                                    Ну а проблема в том что для достижения ваших целей придётся именно заставлять. Потому что вон у нас в так назывемых Volkshochschule вполне себе предлагаются эти самые курсы компьютерной грамотности для всех желающих. Причём на любой вкус и считай бесплатно. Вы думаете на них много народа ходит?
                                0
                                Десятки критически важных сайтов — от сайта SAP до билетного сайта немецких железных дорог и амстердамского сайта по покупке проездных — требуют согласиться с куками и не пускают дальше страницы входа
                                и шо? помогло кастомерам прошлогоднее решение еврокомиссии?
                                  0
                                  Вот сейчас зашёл на сайт SAP, выбрал себе «только необходимые куки» и спокойно зашёл на саму страницу. ЧЯДНТ?

                                    0
                                    Аналогично, продвинулся на bahn.de до момента «введите свои данные и данные кредитки для покупки выбранного билета», ни разу не наткнувшись на упоминание куки…
                                      0
                                      bahn.de при первом же заходе ставит 16 кук без каких-либо предупреждений
                                        0
                                        Я ж не утверждал, что сайт куки не использует, я утверждал ровно написанное: сайт не требует согласия на использование куки, как сказано в комменте выше. Почему он не требует этого согласия, мне самому интересно…
                                          0
                                          Если там нет куки для трэкинга и прочего безобразия нарушающего GDPR, то согласия спрашивать и не надо.

                                          П.С. А если есть, то тогда это нарушение и о нём следует сообщить :)
                                  0
                                  Потребовали бы лучше соблюдать 'do not track', чего уж проще?
                                    +1

                                    Когда началась вся эта вакханалия с обязательными кнопками "Да! Я согласен на ваши куки!", я перетянул всю необходимую для работы приложения инфу в Local Storage и заодно получил больше свободы действий: в Local Storage можно хранить больше информации и вдобавок им куда удобнее управлять.
                                    Ну а пароли и прочие личные данные я и так никогда не хранил на клиенте.


                                    Результат:
                                    Требуется ли мне разрешение юзера записать чего-то там в его контупере? Нет.
                                    Юзеру стало лучше? Нет.
                                    Я стал хранить меньше информации на стороне юзера? Нет.
                                    Я соблюдаю GDPR? Да.


                                    Ну не бред ли? Да, бред. Зато GDPR соблюдается.

                                      0
                                      Я соблюдаю GDPR? Да.

                                      Если вы раньше собирали трэкинг информацию при помощи куки, а теперь делаете это при помощи local storage и не спрашиваете у пользователей ращрешения на это, то придётся вас расстроить — вы не соблюдаете GDPR.

                                      GDPR абсолютно наплевать на конкретные технологии. Если вы собираете и/или обрабатываете данные, которые напрямую или косвенно можно считать ПД, то вы должны спрпшивать разрешения у этих самых пользователей. Иначе вы нарушаете GDPR.
                                        +1

                                        Рискую получить минусы от гуру спама, но — нет, я не слежу за посетителями. Нет такой необходимости.

                                          0
                                          Тогда вы по идее могли совершенно спокойно и дальше работать с куки, ничего ни у кого не спрашивать и не показывать никакие баннеры.
                                            +1

                                            А тут вместо духа закона вступает в силу буква: ставишь куки? спроси разрешение.

                                              0

                                              Там есть такое понятие как технически необходимая кука. Скажем авторизация или выбранный пользователем язык интерфейса — это техническая кука. Согласования не требует. На другом конце спектра всякие рекламные хуки ретаргетинга. Всё что посередине (например анонимная аналитика) уже может вызывать вопросы. И если считается что это не является критически важным механизмом ресурса, то надо отключать пока юзер не даст своё согласие. Предустанавливать для него опции в форме согласия нельзя. Он должен сам изъявить свою волю. От этого вы часто видите такие монструозные формы. Бывает там даже 100500 галочек напротив каждой куки :D

                                                0

                                                Тогда необходимо предположить, что евросоюзовский чиновник ихнего евросоюзовского комнадзора разбирается, где техническая кука, а где не очень.

                                                  +2

                                                  Кажется это работает так в случае более-менее крупных контор:


                                                  • Политики: смотрите какую фигню мы придумали. Всем подчиняться
                                                  • IT-ки: это нежизнеспособная чушь, давайте сдел...
                                                  • Политики: заткнулись все, закон есть закон
                                                  • Business owner юристам: вот вам $, скажите как нам жить
                                                  • Юристы: [читают, спорят, читают, спорят]: ничего нельзя, всё на всякий случай запретить, всё отменить, все разрешения на всякий случай спросить, а то посодют
                                                  • Business owner: если я так сделаю, то я могу уже завтра закрыть свою контору. Так не пойдёт, найдите решение
                                                  • Юристы: ок, можно прогнуться тут, можно тут, и можно тут. Но потенциально могут посадить. Никто не знает наверняка. Мы всё равно вам рекомендуем всё запре...
                                                  • Business owner: ок, ок, я уже это слышал.
                                                  • Business owner погромистам: выполняйте промежуточный план
                                                  • IT-ки: это всё равно какая-то дичь
                                                  • Business owner: выбора нет, в дело
                                                  • [IT-ки пилят фичи и в процессе появляется куча вопросов юристам]

                                                  Затем пару раз повторяются этапы с консультацией у юристов, спорами, и поисками чего-то более жизнеспособного.

                                                    0
                                                    Ну да, чиновник должен либо сам разбираться, либо если не разбирается, то привлекать экспертов.

                                                    И оно так должно работать, и в общем-то и работает, не только с GDPR и куки, но и вообще со кучей аспектов общеевропейских законов.
                                                  0
                                                  Где «тут»? Лично у вас? Или что вы имеете в виду?
                                            0

                                            LocalStorage рассматривается как и cookies. По словам нашего юриста там никакой разницы. Любое хранение данных на стороне клиента может считаться (но не любое требует подтверждения пользователя). Всякие indexeddb тоже. Нас заставили выписать вообще все куки и localstorage записи всех до единого сервисов, и все наши. Все описать (зачем, почему и на какое время) и систематизировать. И периодически переспрашивать юзера, а то вдруг он передумал. Затем отключить всё что только можно отключить. Убрать к чёрту все счётчики до тех пор пока юзер явно не разрешит включить только то, что ему хочется. Никаких предустановленных галочек.


                                            Причём даже популярный ход конём — анонимный google analytics тоже запретили использовать.

                                            +1
                                            Странно что никто еще не написал что монстры со своим «интернетом» вроде Фейсбука двумя руками за запрет всех гугловых кук. Все же сами к ним прибегут и будут у них рекламу заказывать.

                                            Аналитика Фейсбука не сломается от любого gdpr. У них регистрация и они все по ней могут трекать.
                                            Аналогично аналитика Гугла на гугловых ресурсах.
                                            И аналитика Яндекса на яндексовых ресурсах.

                                            А вот все остальные пострадают очень сильно. Никакой тебе информации о посетителях. Никакой аналитики. О посетителях не известно примерно ничего. И никакой тебе рекламы за нормальные деньги. Как жить непонятно.

                                            Хотя один обходной вариант виден сразу. Очень навязчивое окно «Войдите с помощью Гугла». Дальше все становится легально и разрешено. Сохраняем и передаем информацию о логине. Пользователь сам зарегистрировался и это необходимая информация.

                                            Евробюрократы точно этого хотят добиться?
                                              +1
                                              «Как самостоятельно заблокировать нежелательные куки?»
                                              хаха ЛОЛ. Скажите лучше, как сразу всем сайтам разрешить их юзать, чтоб от меня отстали с этими банерами!

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                              Самое читаемое