Комментарии 25
Проблема не только в куках. Например, в июне сканирование 7 тысяч доменов в зоне MT выявило 11% сайтов с «tracking without prior consent». При этом GDPR не является законом. Некоторые страны переняли регулы полностью, а другие имеют собственное законодательство по защите данных.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Вообще-то GDPR регулирует сбор и использование персональных данных, требование куки-баннера — это всего-лишь одно из его следствий, а не единственная цель.
Если кто-то использует browser/user fingerprinting, с куками или любым другим способом, при этом не спрашивая согласия и/или не ставя в известность — он всё равно нарушает закон.
Проблема, увы, в том что пассивный сбор информации, равно как и её использование, практически невозможно обнаружить — и чисто административно этого не решить, а чтобы решить технически — нужна поддержка browser (типа обезличенных хидеров и запреты на выдачу внутренних данных, типа внутреннего IP, версии и типа OS etc).
Идеальный browser — тот который не позволяет определить ничего кроме типа (тач или нет) и размера экрана, наличие кодеков для медиа-контента (без версий), уровень поддержки HTML, и, собственно, всё. Пока же js может получить чуть ли не список файлов на компе — увы, fingerprinting будет иметь место.
Если кто-то использует browser/user fingerprinting, с куками или любым другим способом, при этом не спрашивая согласия и/или не ставя в известность — он всё равно нарушает закон.
Проблема, увы, в том что пассивный сбор информации, равно как и её использование, практически невозможно обнаружить — и чисто административно этого не решить, а чтобы решить технически — нужна поддержка browser (типа обезличенных хидеров и запреты на выдачу внутренних данных, типа внутреннего IP, версии и типа OS etc).
Идеальный browser — тот который не позволяет определить ничего кроме типа (тач или нет) и размера экрана, наличие кодеков для медиа-контента (без версий), уровень поддержки HTML, и, собственно, всё. Пока же js может получить чуть ли не список файлов на компе — увы, fingerprinting будет иметь место.
Такой "идеальный браузер" существует — называется Linken Sphere. В нем есть возможность подмены почти всех данных для фингерпринтинга.
Только стоит он 100$ в месяц и используется кардерами..)
Я лично готов платить разумные деньги за браузер который действительно обеспечивает приватность, но вот этот Linken Sphere вызывает сомнения (цитата из FAQ):
Серьезно? Очень приватный браузер, однако — звонок домой каждые полчаса… Небось ещё и работать откажется, если не дозвонится (а поскольку делает он это через тор, всё ещё печальнее), и никаких гарантий что ничего «такого» не отправляет (неважно что написано в FAQ, проверить это очень сложно).
Я уже молчу про то что неизвестно кто стоит за ним, оплата только биткоинами и всё такое — не, спасибо, но это больше похоже на мышеловку. Компании или индивидуалам которые действительное делают стоящую вещь, не нарушающую законов, нет смысла быть анонимными, даже наоборот.
Чек лицензии мы проводим раз в полчаса + авторизация.
Серьезно? Очень приватный браузер, однако — звонок домой каждые полчаса… Небось ещё и работать откажется, если не дозвонится (а поскольку делает он это через тор, всё ещё печальнее), и никаких гарантий что ничего «такого» не отправляет (неважно что написано в FAQ, проверить это очень сложно).
Я уже молчу про то что неизвестно кто стоит за ним, оплата только биткоинами и всё такое — не, спасибо, но это больше похоже на мышеловку. Компании или индивидуалам которые действительное делают стоящую вещь, не нарушающую законов, нет смысла быть анонимными, даже наоборот.
Закон принят людьми, понимающими куда идёт мир. Вы думаете что там все ограничивается требованием согласия на куки, но это 5% от всех требований которые он налагает. Основная там часть — требования по хранению и обработке данных.
НЛО прилетело и опубликовало эту надпись здесь
Мне не совсем понятно почему владелец сайта должен отвечать за куки, которые ставит сторонний скрипт. Ведь с точки зрения разработчика подключается только JavaScript, а ставит он какие-то куки кто его знает. А если я, предположим, подключаю какую-то JS-библиотеку, которая на момент подключения её на сайт никакие куки не ставила, а потом вдруг — хопа — и стала ставить. И что мне, каждую минуту следить, что там ставит сторонний скрипт? А что, к примеру, делать с ресурсами (картинками, стилями и прочим), которые тянутся со стороннего ресурса? Они ведь тоже могут ставить куки. И что, за каждым изображением следить? А, если я ссылки на них ботом откуда-то получаю и их миллионы?
ч. 1 ст. 24 GDPR:
ч. 1 ст. 28 GDPR:
Т.е. если размещаете сторонний JavaScript и хотите совсем без риска, то лучше сразу смотреть, чтобы этот сторонний сервис имел «GDPR compliance».
Ну и все равно, если есть европейские посетители, то желательно периодически сайт перепроверять. На том же 2GDPR есть API для регулярных проверок, но, судя по всему, за него хотят денег.
А по поводу картинок и т.п. — тут все гораздо проще: нужно свое хранилище, в него тянуть, с него и отдавать.
… контролер обязан принять необходимые технические и организационные меры, чтобы гарантировать и быть в состоянии доказать, что обработка осуществляется в соответствии с настоящим Регламентом. При необходимости такие меры нужно пересматривать и обновлять.
ч. 1 ст. 28 GDPR:
В случае обработки от имени контролера, он должен привлекать операторов, которые предоставляют достаточные гарантии принятия необходимых технических и организационных мероприятий способом, позволяющим обеспечить соответствие обработки требованиям настоящего Регламента и защиту прав субъекта данных.
Т.е. если размещаете сторонний JavaScript и хотите совсем без риска, то лучше сразу смотреть, чтобы этот сторонний сервис имел «GDPR compliance».
Ну и все равно, если есть европейские посетители, то желательно периодически сайт перепроверять. На том же 2GDPR есть API для регулярных проверок, но, судя по всему, за него хотят денег.
А по поводу картинок и т.п. — тут все гораздо проще: нужно свое хранилище, в него тянуть, с него и отдавать.
НЛО прилетело и опубликовало эту надпись здесь
т.е. чтобы у них было написано «GDPR compliant»? А что там на самом деле никого не волнует?
ну я бы еще сделал скриншот или засейвил их страницу в вебархиве, а потом пусть это волнует проверяющих, если имело место мошенничество или вас ввели в заблуждение по «GDPR compliant». Думаю, что с большой долей вероятности претензий к моему сайту не будет.
А вообще так везде. Есть у тебя компания, оплатил тебе кто-то «сомнительный» за создание сайта. А его потом начали трясти, и трясут тебя заодно, т.к. деньги где-то там изначально оказались государственные. Но если ты ни при чем, а действительно просто создавал сайт, то все ок.
В общем, как ни крути, за контрагентами — глаз да глаз
Да, должен следить, и заботиться о том, чтобы не ставить всяких левых библиотек которые делают неясно что. Владелец сайта должен следить за безопасностью посетителей так же, как владелец оффлайнового магазина должен следить за безопасностью своих посетителй и следить чтобы им на голову не упал кирпич.
А есть какой-нибудь сервис(сайт), который мне при посещении показал бы всё, чем я свечу, фингерпринт, и подобное?
Именно ВСЕ — нет.
Просто посмотреть что видят сайты (И попробуют понять насколько уникальны):
amiunique.org
panopticlick.eff.org от EFF (нажать show full data)
whoer.net/ru#extended (просто показ что приходит и оценка анонимности, вместе с рекламой их VPN'а)
Уто увидел гугл (из всех доступных ему источников) и чем он может поделится в некоторых случаях — myactivity.google.com/myactivity (+настройки +информация откуда взялась информация)
Как выгрузить то что система считает 'твоим' (по сути — выполнение соответствующих пунктов GDPR но у гугла появилось раньше), процесс не мгновенный.
takeout.google.com/settings/takeout — Google
privacy.apple.com — Получение копии данных — Apple
Как выгрузить сразу все что гугл считает 'твоим' (
Просто посмотреть что видят сайты (И попробуют понять насколько уникальны):
amiunique.org
panopticlick.eff.org от EFF (нажать show full data)
whoer.net/ru#extended (просто показ что приходит и оценка анонимности, вместе с рекламой их VPN'а)
Уто увидел гугл (из всех доступных ему источников) и чем он может поделится в некоторых случаях — myactivity.google.com/myactivity (+настройки +информация откуда взялась информация)
Как выгрузить то что система считает 'твоим' (по сути — выполнение соответствующих пунктов GDPR но у гугла появилось раньше), процесс не мгновенный.
takeout.google.com/settings/takeout — Google
privacy.apple.com — Получение копии данных — Apple
Как выгрузить сразу все что гугл считает 'твоим' (
Весьма узкое понимание понятия "соблюдение GDPR".
- По определению нет возможности только глядя на фронт определить комплаенс. Например, если вы в логе сервера сохранили IP и URL то вы уже должны выполнять требования по хранению данных. Естественно, такое проверить никаким сервисом невозможно.
- Аналитика, ФБ и тд — они сами по себе compliant, поэтому их размещение законно без всяких предупреждений.
- Откуда взялось это название, куки-баннер, есть же название, принятое в индустрии — CMP, Consent Management Platform.
По определению нет возможности только глядя на фронт определить комплаенс. Например, если вы в логе сервера сохранили IP и URL то вы уже должны выполнять требования по хранению данных. Естественно, такое проверить никаким сервисом невозможно.
Это да, но этого и со стороны не видно. А значит вряд ли кто-то пожалуется, ибо жаловаться во внешним признакам не на что. Но про отслеживающие кукисы такого сказать нельзя.
Аналитика, ФБ и тд — они сами по себе compliant, поэтому их размещение законно без всяких предупреждений.
Определенно нет. Привел ссылку в статье, что Google пишет об ответственности владельцев сайтов за получение предварительного согласия по GDPR при использовании своих сервисов.
И при проверке на 2GDPR гугл аналитический кук отображается в пункте «Предварительное согласие для Cookies, не являющихся строго необходимыми». Пример
Откуда взялось это название, куки-баннер, есть же название, принятое в индустрии — CMP, Consent Management Platform.
Откуда взялось это название — CMP — в индустрии?
На сайте Еврокомиссии есть Cookie consent kit. А CMP там означает «The Citizenship and Migration Plan».
Вот так и я, взял и придумал Cookie-баннеры, имхо просто и сразу понятно
«Со стороны не видно» это не тот подход, которым пользуются европейские регуляторы. Я только заметил, что если у вас всё ок с куками, то это даже близко не значит «соблюдение GDPR». Корректнее было бы сказать «создаёт внешнюю видимость соблюдения».
support.google.com/analytics/answer/2700409 — вот тут Google приводит конкретный список продуктов, которые вы если включили на сайте, тогда вам нужно получать консент от пользователя. То есть, например, если у вас голый Google Analytics, без advertising features и др, то не требуется.
Термин «CMP» в рекламной индустри пришел прямиком от iab (и это не Israel Association of Baseball, а International Advertising Bureau) — advertisingconsent.eu/cmp-list
Но, в принципе, тут вопрос в том что законодатели называют всё по своему (например, «международная информационная сеть» а не «интернет»)
support.google.com/analytics/answer/2700409 — вот тут Google приводит конкретный список продуктов, которые вы если включили на сайте, тогда вам нужно получать консент от пользователя. То есть, например, если у вас голый Google Analytics, без advertising features и др, то не требуется.
Термин «CMP» в рекламной индустри пришел прямиком от iab (и это не Israel Association of Baseball, а International Advertising Bureau) — advertisingconsent.eu/cmp-list
Но, в принципе, тут вопрос в том что законодатели называют всё по своему (например, «международная информационная сеть» а не «интернет»)
«Со стороны не видно» это не тот подход, которым пользуются европейские регуляторыэто тот подход, которым может воспользоваться любой субъект — владелец персональных данных
support.google.com/analytics/answer/2700409 — вот тут Google приводит конкретный список продуктов, которые вы если включили на сайте, тогда вам нужно получать консент от пользователя. То есть, например, если у вас голый Google Analytics, без advertising features и др, то не требуется.вот тут точно стоит добавить «имхо». По ссылке пишут о возможности связки рекламы и Google Analytics и указывают на то, что нужно получить согласие и добавить ряд пунктов в политику конфиденциальности.
Это ж вовсе не значит, что во всех остальных случаях согласия не нужно.
Плюс отсюда же есть ссылка на страницу, где Гугл как бы недвусмысленно намекает:
Обратите внимание, что данные, не включенные Google в список информации, позволяющей идентифицировать личность, также могут считаться персональными в рамках GDPR.
Другими словами, Гугл себе решил так, а вы смотрите и соответствуйте GDPR сами.
Имхо, мнения о GDPR-совместимости Google преувеличены, и делается это только для того, чтобы ничего не делать, а всем дружно заявлять, что все в порядке.
Совершенно верно, так как есть ещё факторы вашего сайта, при которых какие-то данные, совмещённые с какими-то данными Google (например, glid), могут выдать личность посетителя. И, да, вы правы — Google предоставляет вам информацию, со своей стороны он хранит все данные как надо, а далее задача сайтовладельца позабоитться о пользователях со своей стороны.
Например, куки, подсчитывающие количество попыток ввода пароля;
И эти люди запрещают мне ковырять в носу учат меня безопасности… Хакер, конечно же, не умеет очищать куки в своем браузере, да… facepalm
Странно, но https://2gdpr.com/ не работает на моем сайте: https://board.asm32.info
Выдает :
Error
Wrong URL
Please try againНа google.com работает. :(
Adsense не работает без кук, пока не работает. В планах вроде вообще от них отказаться.
Насколько я понял законодательство других стран помимо ЕС не обязывает показывать куки-баннер
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Cookie-баннеры: как быстро проверить соблюдение GDPR