Комментарии 37
Это влечёт за собой пересмотрение механизмов авторизации и оформления заказов. Учитывая, что никто правильно пока не сделал, ориентироваться не на кого. Ну и да, это целая авиакомпания. Это не два пальца об асфальт — переписать этот кусок сервисов.
Вот, если бы в законе была ссылка на рабочий пример, который не нарушает законов, но предоставляет некий похожий сервис, то всем было бы проще. Но как всегда. Запретить, переписать. Как? Сами разбирайтесь.
Кстати, пользовался этой авиакомпанией. Сайт удобный, даже посадочный сразу выдают.
Версия для печати по заказу хромает, да. И нет *.pkpass. Может эти законы их сподвигнут «допилить».
Закон идёт вразрез с естественным использованием технологии.
Где именно идёт вразрез? Как раз «естественное» использование (если понимать под этим «не для трекинга/маркетинга») даже не требует спрашивать разрешения (те самые «строго необходимые», и к ним относятся сессионные куки необходимые для запоминания логина, навигации, корзинки etc), достаточно рассказать о них.
Это не два пальца об асфальт — переписать этот кусок сервисов.
Как раз в данном случае именно два пальца — сессионных тут хватит за глаза, всё остальное нафиг не нужно для функциональности, можно просто тупо убрать из кода ссылки на гугль-аналитику, facebook, bing и прочую лабуду (ublock показывает аж 16 внешних сайтов, явно не имеющих отношения к функционалу сайта).
На самом деле, всё ещё проще — если сайт сохраняет функциональность с блокировкой трекеров и прочих 3rd-party — значит это как раз два пальца.
На счёт сессионных согласен. Однако кому как, а мне вот удобно открывать окно сайта, в котором я уже залогинен. Я хочу как минимум иметь такую возможность. И потом, вы же не знаете, как у них это уже реализовано и какие есть сложности для изменения подхода к работе с сессиями.
Вот только представьте, что недотестированная фича введена на высоконагруженный сервис такого уровня. И да, авторизация — важная фича. Тут нельзя опростоволоситься. Всё должно обеспечить не меньший уровень функциональности.
если сайт сохраняет функциональность с блокировкой трекеров и прочих 3rd-party — значит это как раз два пальцаА различные библиотеки и прочая статика, хранящиеся где-то в облаках? Для ускорения работы сайтов проще их у себя не хранить. Опять же и разработчику с этого проще и юзеру (у него одни и те же библиотеки на разных сайтах кэшируются).
И было бы неплохо, если считать закон — документацией, приводить рабочие примеры к этой документации. С той же аналитикой рекомендации. Это данность рынка. Метрики просто так это не выкинешь.
Это всё очень здорово, но кто заставлял сайты везде где нужно и не нужно лепить кучу куки, в том числе и однозначно бесполезных и даже вредных для пользователя? Да ещё и вообще без спроса и предупреждения? Теперь вот получили результат в виде GDPR.
И я всё понимаю, но не надо мне рассказывать что баннеры на весь экран это единственно возможный способ удовлетворять условиям GDPR. Даже если кто-то почему то решил всё-таки использовать какие-то опциональные куки, то это не единственно возможный вариант.
И вообще, когда-то интернет почти и не регулировали. И ничего, все до сих пор с особой теплотой вспоминают те времена.
А насчёт нужности пользователю — вот вам пример из реальной жизни — когда вы едете на работу в общественном транспорте, вам в глаза ярко тыкают рекламными баннерами. Вы же не просили. И ладно бы транспорт был бесплатным, ещё можно понять, но нет. Вы платите за проезд деньги и за них вам не дают никакого выбора. Хотя да, вы можете купить собственный автомобиль, где нет рекламы. Ну так и сайтом можно не пользоваться.
А почему нет? Не нравится сервис — не пользуйтесь. Закон рынка.
Человек сначала как-то должен узнать что сервис что-то подобное делает. А далеко не все являются экспертами в этом вопросе и могут сами определить какой сервис что там делает. И да, конечно можно заявить что если не понимаешь как всё это работает, то не лезь в интернет. Но тогда уже недовольны и "честные" сервисы, которые ничего подобного не делают и всё равно тогда теряют клиентов.
А насчёт нужности пользователю — вот вам пример из реальной жизни — когда вы едете на работу в общественном транспорте, вам в глаза ярко тыкают рекламными баннерами. Вы же не просили. И ладно бы транспорт был бесплатным, ещё можно понять, но нет. Вы платите за проезд деньги и за них вам не дают никакого выбора. Хотя да, вы можете купить собственный автомобиль, где нет рекламы. Ну так и сайтом можно не пользоваться.
В данном случае аналогия будет немного другой. Например такой что если вы едете в общественном транспорте, то этот транспорт трэкает ваше перемещение по городу и сливает эту информацию вашей жене, вашему начальнику или кому-то ещё. Причём какие-то фирмы это делают, а какие-то нет. И какие-то автомобили это делают, а какие-то нет. А вы не знаете какие именно и не особо понимаете как это выяснить. Или даже вообще не знаете что они могут это делать.
Где трэкают? В общественном транспорте в ЕС? И передают эту информацию всем кому не лень без вашего ведома? И даже продают её? В том числе и ваши персoнальные данные?
И передают эту информацию всем кому не лень без вашего ведома?Кому? О чём вы?
Кому? О чём вы?
О том что отдельные онлайн-сервисы собирали информацию о своих пользователях и раздавали или даже продавали её налево и направо без ведома самих этих пользователей. Поэтому как бы и появился GDPR.
Вы решили привести аналогию с общественным транспортом и автомобилями. Вот я вас и спрашиваю делает ли общественный транспорт в ЕС тоже самое. Ну чтобы аналогия была более-менее верной.
Я не хочу оставлять информацию о себе пересекая границу, и границ не хочу. Но на таможне я обязан предъявить паспорт и иметь валидную визу. А с моими личными данными они там делают что хотят.
В ЕС подчинятся GPDR должны и государственные структуры и правительства. В том числе и таможни. Как минимум ровно настолько же, а местами даже больше чем онлайн-сервисы. Так что я не особо понимаю о чём вы сейчас. Вы хотите чтобы GPDR сделали ещё строже?
А вы спорите о том, что сайты что-то делают без ведома. Нет, я не хочу, чтобы без моего ведома кто-то использовал мои данные. Я вообще против ими делиться и даже не понимаю постановки вопроса. То есть да, если я оформляю билет на самолёт, то я хочу, чтобы процессинг прошёл сам собой, и желательно без бюрократии. Но эти данные не должны быть использованы для рекламы услуг кампании мне. И для этого не нужно особых законов и вопросов про куки. Это само собой разумеется. А вот если они хотят этими данными пользоваться, то пусть спрашивают отдельное разрешение и если я его дам, то пускай.
И не надо этого окна на пол-экрана, чтобы это всё реализовать.
И штрафовать за его отсутсвие или неправильную реализацию тоже бред.
Мой самый первый комментарий был о том, что GPDR должен быть прозрачным и понятным. Желательно с примером реализации. Это всё.
Он вполне себе прозрачен и понятен. По крайней мере если сравнивать его с другими законами. А примеры реализации обычно в законах не пишут и их предлагают уже какие-нибудь адвокаты. И потом если что, то в судах уже решается соответствует ли эта реализация духу и/или букве закона. И это абсолютно нормальная практика для законов как в ЕС в целом, так и в отделных странах ЕС. А в принципе и не только там.
А вы спорите о том, что сайты что-то делают без ведома.
Я обьясняю вам откуда взялся GDPR и почему он именно такой какой он есть. Ну или как минимум пытаюсь это сделать.
И не надо этого окна на пол-экрана, чтобы это всё реализовать.
А никакой закон этого и не требует.
И штрафовать за его отсутсвие или неправильную реализацию тоже бред.
Вообще-то за нарушение закона обычно штрафуют и это нормально. Кроме того сейчас у GDPR "переходный период" и как раз таки по GDPR сразу штрафуют очень редко. Обычно сначала просто предупреждают.
Я обьясняю вам откуда взялся GDPR и почему он именно такой какой он есть.Так это не меня оштрафовали. Мне то ясно, зачем тут есть закон.
А никакой закон этого и не требует.
Закон требует несмотря на наличие или отсутствие согласия предоставлять сервис. Но предоставлять понятный и прозрачный выбор. И да, именно про баннер ни слова.
Закон требует несмотря на наличие или отсутствие согласия предоставлять сервис.
Не совсем так, он требует соответствия закону если вы предоставляете сервис гражданам и резидентам ЕС. Но никто не запрещает вам в принципе отказать в сервисе всем гражданам и резидентам ЕС.
Просто нельзя привязывать отказ в сервисе к отказу принятия куки пользователем.
Это всё очень здорово, но кто заставлял сайты везде где нужно и не нужно лепить кучу куки, в том числе и однозначно бесполезных и даже вредных для пользователя? Да ещё и вообще без спроса и предупреждения? Теперь вот получили результат в виде GDPR.Вот удивительное лицемерие. Какие-то сайты, куки на которых заблокировать проще простого начинают штрафовать. А вот те же самые мессенджеры, которые привязываются к сим карте или какие-то другие приложения никто и не заморачивается хотя-бы обвинить.
Если вы считаете что какие-то мессенджеры нарушают GDPR, то в чём проблема? Возьмите и обвините. Чем больше людей пожалуется, тем быстрее за них возьмутся.
Если вы считаете что какие-то мессенджеры нарушают GDPR, то в чём проблема?Какое мне дело до GDPR?
Среднестатистический обыватель услышал последнее слово в фразе «Хакеры, крекеры, спамы, куки» и начинает истерить до визга. У меня к вам вопрос, а что, других технологии вас устраивают? Откуда к кукам такая нелюбовь? Тот же -3 кольцо будет пострашнее хоть тысячи кук, хоть миллиона, только о нём «правозащитники» почему-то упорно молчат. Неужели не слышали?
Какое мне дело до GDPR?
Ну вроде как бы статья про GDPR. Обсуждается вроде бы тоже GDPR. Регулирует "работу" с куки в данном контексте тоже GDPR.
И если вам нет до него никакого дела, то о чём ваш комментарий?
У меня к вам вопрос, а что, других технологии вас устраивают? Откуда к кукам такая нелюбовь?
Хм. А с чего вы решили что меня куки как технология не устраивают? Или что у меня к ним нелюбовь?
Ну вроде как бы статья про GDPR. Обсуждается вроде бы тоже GDPR. Регулирует «работу» с куки в данном контексте тоже GDPR.Мой вопрос касается того, каким образом «слуги народа» выбирали от чего нужно народ защищать и от чего не нужно. Почему одним вещам уделяют избыточное внимание, а про другие забывают. Не больше и не меньше.
И если вам нет до него никакого дела, то о чём ваш комментарий?
OAuth и прочее очень даже удобно, мне как пользователю не хотелось бы от этого отказываться.
Для OAuth не нужны куки. В конце концов, есть local storage, если уж хочется что-то хранить на стороне клиента.
Но она нужна, как минимум для того, чтобы понимать и вовремя реагировать на то, что именно не так с сервисом.
Поставьте Matomo — будет вам аналитика. Есть ещё куча инструментов (локально устанавливаемых) которые позволяют аналитику UX, тепловые карты и всё такое.
А различные библиотеки и прочая статика, хранящиеся где-то в облаках? Для ускорения работы сайтов проще их у себя не хранить.
Для этого не нужны куки и local storage — совсем, достаточно статику отдавать.
В конце концов, есть достаточно сайтов (коммерческих в том числе) где всё отлично работает без 3rd-party (в худшем случае cdn используется, но без кук) — это не так уж и сложно. Я сам занимался разработкой таких сайтов — обычно хватало одной куки (session id), изредка — ещё одной с preferences (чтобы не тягать с сервера при переходе со страницы на страницу), всё — вся аналитика отлично делалась по логам сервера.
Будь моя воля, я бы законодательно заставил всех владельцев сайтов следовать DNT — если стоит, значит выключить всё что не строго необходимо, без вопросов пользователю (так как он уже выразил свои предпочтения) — проблема с баннерами решилась бы сама собой. Не сайты должны задавать этот вопрос, а браузер — и автоматически «стучать» куда следует если сайт вдруг (несмотря на DNT) начал ставить что-то с известных трекеров и аналитики.
Причём тут это всё?
По факту порезаны возможности всяких рекламщиков и аналитик, и это прекрасно. Всё остальное практически не затронуто.
А различные библиотеки и прочая статика, хранящиеся где-то в облаках?
Статика тут ни при чём, ей не нужны куки!
И было бы неплохо, если считать закон — документацией, приводить рабочие примеры к этой документации.
Закон для защиты граждан от наглых интернет-бизнесменов. Бизнесменам рекомендация умерить аппетиты в плане слива информации левым конторам за деньги. И крутитесь как хотите, ваши проблемы авторов закона походу не волновали. Уйдёте с рынка — придут другие менее наглые и более разумные, народу станет только лучше в итоге. Если кто-то найдёт лазейку и в новой редакции закона — будет третья, четвёртая и т.д. которые эти лазейки закроют. А цель понятна — никакой юзер в здравом уме не согласится на "а давайте рекламщики за вами последят", если от этого можно отказаться без последствий (а закон запрещает делать за это последствия), так что по факту это запрет левых куков.
Никому она не нравится, но все так поняли прошлый вариант закона. Мол, тут куки, не хочешь — уходи.
В смысле "поняли"? То есть какой-нибудь Art.7 никто не читал?
И да. Сверху там английским по белому написано:
The EU general data protection regulation 2016/679 (GDPR) will take effect on 25 May 2018. Unfortunately, Brussels has not provided a clear overview of the 99 articles and 173 recitals. The PrivazyPlan® fills this gap (with a table of contents, cross-references, emphases, corrections and a dossier function). Data protection/Privacy/Privazy according to plan..
Так нельзя ли без шелухи спокойно описать, как должен быть соблюдён закон, и что именно проще всего сделать.
Простите, но то что вы скинули как-то похоже на консультант-плюс со ссылками на ссылки, причём платными.
Это тот самый GDPR o котором мы говорим. Первая ссылка, которая мне попалась. Не нравится найдите другую, там будет тоже самое.
И да. Сверху там английским по белому написано:
И что? У вас есть какие-то проблемы конкретно с пониманием того, почему "принуждение" к согласию использования куки не совместимо с этим параграфом?
Так нельзя ли без шелухи спокойно описать, как должен быть соблюдён закон, и что именно проще всего сделать.
А потом куча фирм будет возмущаться что "так неудобно/неправильно/глупо" и что они знают гораздо более простые варианты? Или потом технологии/тренды поменяются и "чёткое описание" будет вообще оторвано от реальности и мешать ещё больше?
Первая ссылка, которая мне попалась.
Вот вот. Ваша ссылка ведёт на какой-то коммерческий сайт.
Это тот самый GDPR o котором мы говорим.
Официальный только один — europa.eu, уж если и ссылаться, то лучше на него. А уже там europa.eu/european-union/abouteuropa/privacy-policy_en
Если вам так уже прямо нужно оффициальный источник, то вот вам EUR-Lex. Идёте там в CHAPTER II и Article 7. Что-то сильно изменилось?
Что вы хотите доказать и кому?
Я хочу вам обьяснить что если ваша "маленькая, но гордая авиакомпания" не смогла прочитать и понять что написано в этом параграфе, то уж извините, но она на мой взгляд виновата в этом сама. Точно так же как и все остальные кто "поняли как смогли".
В GPDR как бы есть не особо понятные моменты, но во первых этот пункт к ним точно не относится. А во вторых в случае со спорными моментами сразу никого не штрафуют. Во всяком случае мне такие случаи не известны.
P.S. В конце-концов если сам не можешь прочесть и понять, то есть адвокаты, которые специализируются на законах ЕС. Если на них нет денег, то в инете полно форумов и всяких best practice.
«Для вашего блага сделано.»
</нувызнаете>
В огнелисе установите аддон "I don't care about cookies". И ремайндеры о кукисах больше не побеспокоят
https://addons.mozilla.org/android/downloads/file/3422556/i_dont_care_about_cookies-3.0.5-an+fx.xpi?src=search
Первый штраф из-за cookies: авиакомпанию Vueling оштрафовали на 30'000 €