应用程序监控公司 Sentry 最近写了一篇关于他们在其网站上删除 cookie 的经历,这使得他们能够放弃cookie 横幅。我很高兴他们写了这个!但这也说明了为什么许多网站都有 cookie 横幅,即使它们似乎没有做任何有风险的事情。
我很好奇他们的网站是否真的避免设置任何 cookie,并在启用第三方 cookie 的私人浏览窗口中访问它。当我浏览该网站时,我注意到设置了几个 cookie:
-
加载changelog.getsentry.com我收到了第一方cookie
_GRECAPTCHA
、ph_phc_UlHlA3tIQlE89WRH9NSy0MzlOg1XYiUXnXiYjKBJ4OT_posthog
和_launchnotes_session
,以及recaptcha.net
上的第三方cookie_GRECAPTCHA
。 -
正在加载try.sentry-demo.com我收到了第一方
sentrysid
、sc
和sudo
。 -
加载sentry.io/auth/login我收到了第一方cookie
__stripe_mid
、__stripe_sid
、session
和sentry-sc
,以及m.stripe.network
上的第三方cookiem
。 -
正在加载docs.sentry.io/product/performance/performance-video我从
player.vimeo.com
收到了第三方 cookie__cf_bm
。
可能还有其他人;我没有进行任何详尽的搜索。
现在,哨兵确实说:
为澄清起见,Sentry 已删除除不需要网站访问者同意的基本 Cookie 之外的所有 Cookie。与您的法律团队合作,更好地了解您的哪些 Cookie 根据适用于您的法律符合基本 Cookie 的条件。
从删除 cookie 横幅的角度来看,这是正确的:您不需要完全停止使用 cookie,您只需要将 cookie 的使用限制在“为了提供明确要求的信息社会服务而绝对必要”的情况下。订户或用户”。例如,根据官方指南,有些事情可以包括在有人登录时设置 cookie、选择“深色模式”等设置或将商品添加到购物车中:如果没有用户的要求,您就无法执行用户要求的操作饼干。但即便如此,您也必须非常小心,不要超出此例外的狭窄范围:该指南阐明,您通常应该使用几个小时的过期时间,或者将 cookie 配置为在用户关闭浏览器时删除。
查看他们当前设置的 cookie,在我看来它们并不属于此例外:
-
我不明白为什么变更日志页面需要设置 cookie。当我询问时,他们说这是一个已知问题,他们正在努力解决。
-
虽然沙箱实现可能从根本上需要 cookie,因为它模拟的是您通常登录的复杂应用程序,但如果您首先加载沙箱,则所有这些都无法访问。它有一个模式对话框,要求您提供工作电子邮件地址,没有它,所有功能都无法工作。他们至少应该推迟设置 cookie,直到您提交表单:
-
我不明白为什么登录页面需要设置任何 cookie:虽然如果用户实际登录,您确实需要设置 cookie,但我只是加载了该页面。当我询问时,他们提到了 CSRF 预防,但这有点奇怪。 CSRF 是一种攻击者站点指示浏览器向受害者站点提交表单的攻击。如果受害者网站没有采取措施对抗 CSRF,那么它就不会理解用户实际上并未发起此请求,攻击者可以利用这一点作为受害者采取行动。但是登录上的 CSRF 漏洞意味着攻击者已经成功对用户进行了网络钓鱼,此时他们已经可以代表用户启动他们希望执行的任何操作。
即使需要这些 cookie 以我没有看到的方式防止 CSRF,我也不明白为什么您需要像
sentry-sc
这样具有一年有效期并且Same-Site=Lax
选择加入的 cookie在第三方环境中共享。由于这些都没有使用Path
将自身范围限定为登录表单,因此一旦您访问了该页面,您将在网站上任何位置的每个未来页面浏览中发送 cookie。 -
Vimeo 第三方 cookie
__cf_bm
更具争议性。它被记录为一个重要的 cookie,“它是 Cloudflare 机器人管理服务的一部分,有助于降低与垃圾邮件和机器人流量相关的风险。”我认为这是一个灰色地带:我找不到任何关于使用 cookie 检测机器人是否符合电子隐私豁免的明确官方指导。
总的来说,我对这里的哨兵非常同情。他们在使用 cookie 时非常小心,我认为他们拥有的 cookie 大部分都是非常合理的,不应该需要 cookie 横幅。另一方面,在我看来,作为一个外行,他们确实不遵守电子隐私指令。
我认为这很好地说明了为什么公司通常会选择坚持使用 cookie 横幅,尽管它们很烦人。热衷于技术的用户会说,只要你不做任何邪恶的事情,就不需要征得同意,但法规规定的例外情况确实非常狭窄,而且很容易出错。
(我希望看到这里的法规发生变化:没有理由单独在客户端上存储数据进行特殊处理。GDPR 中的一般保护为数据隐私提供了更加一致的方法,而且我不相信 e -隐私不再增加任何有用的东西。然后,当然,一项导致到处都有cookie横幅和其他同意墙的规定,人们大多在不阅读的情况下点击进入,显然效果不佳。)
评论通过: facebook 、 lesswrong 、 mastodon
原文: https://www.jefftk.com/p/eliminating-cookie-banners-is-hard