Se eu largar os cookies com JavaScript, ele ainda estará em conformidade com a Lei de Cookies da UE ICO?

8

O desafio proposto a mim como criar um widget para aplicar em outros sites que torna um site compatível com a lei de cookies [1].

Posso fazer isso sem alterar o código do servidor?

Quero dizer, se houver código no lado do servidor que grava um cookie afiliado na resposta e meu widget JavaScript o excluir depois do evento window.load: o site ainda será compatível com a lei de cookies?

Em seguida, vem o Google Analytics e os botões de compartilhamento de cookies. Como eu impediria que esses scripts e iframes fossem executados em JavaScript?

[1] Gabinete do Comissário da Informação (OIC): nova lei de cookies da OIC

javascript cookies Fabio Milheiro
fonte
2
Você poderia explicar o que você presume cookie law?
precisa saber é o seguinte
Provavelmente falando sobre uma diretiva da UE (cuja identidade eu esqueço, e deve-se tomar cuidado, pois as diretivas são promulgadas pela incorporação na lei do estado membro e pode haver uma quantidade significativa de complexidade extra adicionada nessa fase).
Donal Fellows
1
Eu estou falando sobre este: programmers.stackexchange.com/questions/78176/…
Fabio Milheiro

Respostas:

1

Sua solução provavelmente acabaria sendo tratada como malware

A partir da sua descrição, parece que você deseja criar uma biblioteca JavaScript que um site possa incluir em suas páginas, garantindo a conformidade com a "lei dos cookies".

Vamos desviar dos problemas técnicos que envolvem a implementação real dessa lei no que diz respeito à localização do usuário, do cliente (sessão remota, alguém?), Do servidor e do proprietário do aplicativo Web em execução no servidor. E, vamos restringir ainda mais e considerar apenas a orientação do Reino Unido oferecida em torno da diretiva da UE.

No Gabinete do Comissário da Informação :

Cookies ou dispositivos similares não devem ser usados, a menos que o assinante ou usuário do equipamento terminal relevante:

(a) recebam informações claras e abrangentes sobre os objetivos do armazenamento ou acesso a essas informações; e

(b) tenha dado o seu consentimento.

Isso implica que seu widget terá que atuar como a câmara de compensação para esse consentimento do usuário. Se você não tiver controle sobre o código do servidor, seu software precisará bloquear os cookies que emanam do servidor até que esse consentimento seja obtido. Isso significa que seu software estará interferindo nas bibliotecas de terceiros (suas curtidas no Google Analytics e no Facebook, etc.).

Essa interferência, não importa quão bem-intencionada, é muito provável que prejudique a experiência do usuário e seja vista de maneira extremamente desfavorável pelos proprietários das bibliotecas de terceiros. Assim, será tratado como malware.

Eu pensaria novamente antes de seguir este caminho.

Gary Rowe
fonte
Obrigado @Gary Rowe. Concordo que não devemos ter um widget que simplesmente limpe tudo no navegador até que o usuário cumpra, mas isso me leva a um ponto. Carrego apenas os scripts que instalam os cookies no navegador depois que o usuário consentir. MAS, depois que o usuário aceitar, ele poderá remover o consentimento. O que acontece depois? O widget que eu criei remove alguns cookies do Google. Isso também se enquadra na categoria de malware?
Fabio Milheiro
1
@FabioMilheiro A dificuldade aqui é que você está escrevendo um software que está sabotando a operação de outra biblioteca de uma fonte respeitável (compare isso com o software antivírus, por exemplo). Esse é um problema sério com a implementação técnica da lei em vigor (quem determina o que é respeitável?). No entanto, sua solução de remover esses cookies após a remoção do consentimento é razoável, pois automatiza o que um usuário diligente faria manualmente.
Gary Rowe
[polêmica] Então, a sabotagem da "Lei dos Biscoitos" porque "interfere com as bibliotecas de terceiros" e "é muito provável que prejudique a experiência do usuário"? Isso significa que os cookies de terceiros configurados sem a permissão dos usuários são mais importantes do que seguir a lei? [/ polemic] Tecnicamente, a caixa de proteção do navegador permite excluir cookies do mesmo domínio de onde o js é carregado. Portanto, carregar este js de www.somedomain.comnão pode excluir cookies de facebookou google.
k3b
1

Um aspecto a ter em mente é que seu script poderá se tornar inútil se o servidor definir o sinalizador HttpOnly quando o cookie for criado.

http://en.wikipedia.org/wiki/HTTP_cookie#HttpOnly_cookie

Também pode haver problemas de origem do domínio para acessar / manipular cookies configurados de outros domínios devido à segurança (XSS). Eu não sou 100% nisso, pois raramente uso javascript quando se trata de cookies com o mesmo objetivo de minimizar a exposição ao XSS.

Embora o seu conceito pareça uma ótima idéia, sugiro que você analise esses possíveis problemas antes de investir muito do seu tempo nesse projeto.

chetpot
fonte
1
De nada, Fabio, a única coisa que consigo pensar que seria resistente a esses possíveis obstáculos seria uma extensão do navegador. Embora a partir de sua postagem original, parece que uma extensão do navegador pode anular o objetivo.
Chetpot 20/05