mboost-dp1

SXC - Daino_16

De offentlige institutioner opfylder ikke cookieloven

- Via Politiken - , redigeret af Net_Srak

I december sidste år trådte den nye lov om brugen af cookies i kraft. Loven kaldes også populært for cookieloven. Det betyder at forbrugeren skal godkende, at en hjemmeside må placere en cookie hos brugeren.

Se også: Ny cookielov er trådt i kraft

Halfdan Timm fra Byens Advokat har nu foretaget en undersøgelse af hjemmesider hos de offentlige institutioner, hvor han har tjekket om de opfylder den nye cookielov. Cookieloven har to krav, hvor det ene krav er informationskravet, der betyder at forbrugeren skal oplyses om at hjemmesiden bruger cookies. Det andet krav er acceptkravet, hvor forbrugeren skal have mulighed for at acceptere eller at slå brugen af cookies fra. Det skriver Politiken.


Ud af 19 ministerier er det kun 6 ministerier som opfylder informationskravet. Af acceptkravet er det kun Erhvervs- og Væksministeriet, som kun delvis opfylder kravet. Derudover opfylder hverken Folketinget, Kongehuset eller Politiet cookielovens krav. Halfdan Timm siger, at grunden til at Erhvervs- og Vækstministeret kun delvist opfylder acceptkravet skyldes, at ministeriet allerede placerer en cookie på brugerens computer for at kunne give brugeren mulighed for at acceptere cookies.

Halfdan Timm, Byens Advokat skrev:
For selv om Erhvervs- og Vækstministeret formelt beder brugeren om at acceptere cookies, FØR der placeres cookies på brugerens pc, modtager brugeren den skjulte programstump for at kunne acceptere betingelserne. Også selv om brugeren vælger ikke at acceptere cookies.

På Borger.dk er det ikke muligt at tilgå siden medmindre man accepterer brugen af cookies. Den løsning som Erhvervs- og Vækstministeret og Borger.dk har valgt, er ifølge Halfdan Timm det tætteste man kommer på at opfylde cookieloven.

Halfdan Timm er ked af, at cookies har fået en skurkerolle, og mener at internettet ikke kan hænge sammen uden cookies. Her bruger han en bilanalogi, hvor cookieloven sammenlignes med at skrue baghjulene af bilen for at forhindre den i at køre for hurtigt. I en netbutik ville det ifølge Halfdan Timm være umuligt at bibeholde sine varer i kurven frem til betalingssiden uden cookies.

Timm siger, at som cookieloven er formuleret, er det ikke praktisk muligt, at overholde loven, da en hjemmeside ellers skulle gemmes bag en login-side.

Halfdan Timm, Byens Advokater skrev:
Hvis man skulle overholde loven om cookies til punkt og prikke, skulle samtlige hjemmesider gemmes bag et personligt login med password. Og det ville gælde alle undersider på en hjemmeside også. En løsning, der både i forhold til søgemaskineoptimering og almindelig brugervenlighed ville være en sand katastrofe.





Gå til bund
Gravatar #1 - kasperd
24. aug. 2012 12:37
Loven er vel også mere eller mindre umulig at overholde. Hvor har de tænkt sig at man skal gemme oplysningerne om hvad brugeren har svaret, når de bliver spurgt om tilladelse til at gemme cookies?

Desuden skal man huske, at der kan være browsere som tillader cookies men ikke javascript. Man skal også overholde loven, når websitet bliver besøgt at sådan en bruger.

modtager brugeren den skjulte programstump for at kunne acceptere betingelserne
Dækker programstump over noget javascript eller en cookie? Uanset om der menes det ene eller det andet giver sætningen ikke mening.

En cookie er ikke et program, selvom meget af det man læser på Internettet antyder at det er.

Og hvis der snakkes om javascript, så er det jo ikke mere skjult end html koden. Specielt hvis det rent faktisk kommer frem og spørger brugeren om noget er det jo alt andet end skjult.

Hvis man skulle overholde loven om cookies til punkt og prikke, skulle samtlige hjemmesider gemmes bag et personligt login med password.
Har han så tænkt sig at bruge en cookie til at gemme oplysninger om at brugeren er logget ind? Eller har han tænkt sig at basere sig på HTTP authentication?
Gravatar #2 - HerrMansen
24. aug. 2012 12:38
Ja den lyder ikke helt gennemtænkt den cookielov. :/
Gravatar #3 - tentakkelmonster
24. aug. 2012 12:55
Problemet er vel primært cookies som bliver smidt på ét domain, men kan aflæses på et andet. - F.eks. at man besøger en webshop, og pludselig ved google og andre firmaer, at jeg har været dér. Nu er det længe siden, jeg har nisset med cookies på tværs af domainer, men det kræver vel noget scripting at sætte/aflæse cookies på tværs af domainer? Og det er vel dér det relle problem er?
Gravatar #4 - Montago.NET
24. aug. 2012 13:02
så hvidt jeg husker, skal man kun oplyse hvis man lægger tracking cookies på folks computere - dvs alle de cookies som Google bl.a. laver..

Hvis den offentlige instutution kun lægger login cookies behøver man ikke oplyse om det.
Gravatar #5 - ibyte_dk
24. aug. 2012 13:16
Montago (4) skrev:
så hvidt jeg husker, skal man kun oplyse hvis man lægger tracking cookies på folks computere - dvs alle de cookies som Google bl.a. laver..

Hvis den offentlige instutution kun lægger login cookies behøver man ikke oplyse om det.


Korrekt. Det er kun bestandige cookies der skal oplyses om. Session state cookies dør, når siden forlades eller ved timeout. De er ikke nødvendige at oplyse om.

Men det seneste er jo bare at sporingsfirmaerne bare bruger kombinationer af andre data, styrresystem, browser, MAC adresse osv. og derefter blot gemmer sporingsinformationerne i deres eget system i stedet for i cookies. Så loven har bare flyttet det ud af brugernes kontrol. Så principielt har man opnået stik det modsatte af det man ønskede.
Gravatar #6 - Montago.NET
24. aug. 2012 13:18
#5

https://panopticlick.eff.org/
Gravatar #7 - Jaqen
24. aug. 2012 13:19
#5 er der nogen lovgiver-citater/links til den udlægning? for så kan jeg jo blot droppe Google analytics, og sørge for at mine andre cookies, har en forholdsvis lav timeout (hvor går grænsen her? 1 time 1 døgn en uge?) og så er alt godt
Gravatar #8 - Montago.NET
24. aug. 2012 13:22
I en netbutik ville det ifølge Halfdan Timm være umuligt at bibeholde sine varer i kurven frem til betalingssiden uden cookies.


Querystring .. Frames... 1-page-Javascript ... rigeligt med muligheder for aldrig at bruge en eneste cookie

inden jeg fandt ud af at bruge cookies dengang i 90'erne lavede jeg et helt site hvor brugeren blev identificeret ved at medtage et ID i alle links på sitet... jeg droppede det ret hurtigt efter jeg fant ud af at lave Sessions i ASP (som jeg så senere fandt ud af brugte cookies)
Gravatar #9 - webwarp
24. aug. 2012 13:59
#8 det er bare så besværligt at bede brugeren om at kopiere hans url med get variabler for at tingene i hans indkøbskurv også er der næste gang han går ind på siden..

Jeg kan kun komme i tanke om borger.dk som aktivt går ind og spørger (og hvor man ikke bare kan trykke luk for at gå videre).. Hvordan man kan trække tilladelsen tilbage, som også er et krav, har jeg dog aldrig fået tilbudt nogen steder.. Synes det er noget af det mest tåbelige lovgivning, der endnu er lavet... personligt ignorer vi det fuldstændigt og har aldrig hørt en kunde ringe ind og brokke sig :p
Gravatar #10 - kasperd
24. aug. 2012 15:36
tentakkelmonster (3) skrev:
Nu er det længe siden, jeg har nisset med cookies på tværs af domainer, men det kræver vel noget scripting at sætte/aflæse cookies på tværs af domainer?
Nej, det kan sagtens gøres uden scripts. Når en cookie sættes angives der hvilket domæne den er til. Aflæsning af cookies er ikke noget, man behøver at gøre. Browseren sender automatisk alle cookies for domænet med hver request til serveren.

Derudover kan man bare generere en unik URL som peger på et andet domæne og ad den vej knytte cookies på forskellige domæner sammen.

Lovgivning som er umulig at overholde og umulig at håndhæve løser ikke nogen problemer. Det havde været smartere at først lave en løsning, som ville fungere for offentlige institutioner, før man begyndte at lovgive.
Gravatar #11 - El_Coyote
24. aug. 2012 16:27
#1
Det bliver vel bare sådan at hvis brugeren afviser cookeis, bliver de ikke lukket ind på sitet. Sådan foregår det i hvert fald på alle Games Workshop sider og det er midt sagt irriterende at man skal acceptere cookies HVER gang man går ind på en side.
Gravatar #12 - p1x3l
24. aug. 2012 17:12
#11 ye sjovt nok det cookie tildels er opfundet til ... at dmi gemmer man er fra fyn efter man har klikket det eller den gemmer man acceptere cookies men det ska man jo lige spørges om -.- idioti er idiotisk
Gravatar #13 - kasperd
24. aug. 2012 17:29
El_Coyote (11) skrev:
det er midt sagt irriterende at man skal acceptere cookies HVER gang man går ind på en side.
Det er også helt hen i vejret. Den opførsel jeg ville forvente fra et site, som overholder loven er følgende.

Når du kommer ind på en side kommer der en javascript popup, som spørger om tilladelse til at gemme cookies. Hvis du siger ja gemmer javascript koden en cookie, der husker på at du har givet lov. Efterfølgende vil du aldrig blive spurgt igen.

Hvis derimod du siger nej forsvinder dialogboksen uden at sætte en cookie. Du kan så følge et link, men den næste side vil se at du ingen cookie har og åbne en ny javascript popup, som spørger om tilladelse til at gemme en cookie.

Det ville resultere i at du ikke bliver spurgt blot hver gang du går ind på sitet, men for hver eneste side, du kigger på. Men dog kun så længe du siger nej. Så snart du har sagt ja blot en enkelt gang bliver du ikke spurgt igen.

Hvis man browser uden javascript vil man aldrig blive spurgt om lov til at sætte cookies, og hvis ikke man allerede fra tidligere har en cookie, der giver lov, så sættes der aldrig nogen cookies.

Det ville være en dybt tåbelig implementation, men det er så vidt jeg kan se det, som loven lægger op til.
Gravatar #14 - Mort
24. aug. 2012 17:50
Vi kan da sørme ikke tillade den slags tydeligvis kriminelle websider på internettet.

De omtalte websider må vi da straks have tilføjet DNS filteret, på lige fod med børneporno, MP3 sider, pirate bay og andre dybt ulovlige sider!
Gravatar #15 - lsv20
24. aug. 2012 18:01
Den mest elegante løsning jeg endnu har set er BBC's
http://www.bbc.co.uk

og graver man lidt dybere, ja så er der endnu flere valgmuligheder med cookies
http://www.bbc.co.uk/privacy/cookies/managing/cook...
Gravatar #16 - kasperd
24. aug. 2012 19:49
Mort (14) skrev:
De omtalte websider må vi da straks have tilføjet DNS filteret, på lige fod med børneporno, MP3 sider, pirate bay og andre dybt ulovlige sider!
Den eneste pointe jeg kan få øje på i den kommentar er hvor tåbeligt DNS censur er. Men i så fald er det jo off-topic for denne nyhed. Medmindre der er tale om en voldsomt subtil antydning af at cookieloven er lige så tåbelig som DNS censur.

lsv20 (15) skrev:
og graver man lidt dybere, ja så er der endnu flere valgmuligheder med cookies
Jeg prøvede at sætte indstillingerne til at kun gemme de absolut nødvendige cookies og ingen andre. Det resulterede i at der blev gemt 14 cookies med masser af hexadecimalt indkodede oplysninger, som jeg ikke har nogen anelse om, hvad de skal bruge til.
Gravatar #17 - Mort
24. aug. 2012 22:14
kasperd (16) skrev:
Den eneste pointe jeg kan få øje på i den kommentar er hvor tåbeligt DNS censur er. Men i så fald er det jo off-topic for denne nyhed. Medmindre der er tale om en voldsomt subtil antydning af at cookieloven er lige så tåbelig som DNS censur.


Pointen er at vores politikere vedtager IT love som de ikke har nogen anelse om hvad kommer til at betyde. Det forhindrer dem desværre ikke i at vedtage loven alligevel, hvilket som regel er til gene, irritation og økonomisk udgift for dem som derefter skal implementere lovens nye ord.

Jeg kan nævne af tåbeligheder:
Børnepornofilteret, som pludselig blev til generelt censur filter.

Logningsbekendtgørelsen, som koster store summer penge, men som ikke har dømt nogen endnu.

Cookie loven, som direkte modarbejder den måde websider fungerer på.

ACTA/SOPA, som heldigvis blev stoppet, efter flere politikere havde tilkendegivet at de havde støttet det.
Gravatar #18 - Mie
25. aug. 2012 07:08
Montago (4) skrev:
så hvidt jeg husker, skal man kun oplyse hvis man lægger tracking cookies på folks computere - dvs alle de cookies som Google bl.a. laver..

Hvis den offentlige instutution kun lægger login cookies behøver man ikke oplyse om det.


Det er desværre ikke rigtigt at du kun skal oplyse om og have accept til tracking cookies. Direktivet skelner ikke mellem session eller persistent cookies.
Det der er er undtaget lovgivningen er de cookies der bruges til hjemmesidens rent funktionelle del fx. en indkøbskurv.
Gravatar #19 - Mie
25. aug. 2012 07:10
lsv20 (15) skrev:
Den mest elegante løsning jeg endnu har set er BBC's
http://www.bbc.co.uk

og graver man lidt dybere, ja så er der endnu flere valgmuligheder med cookies
http://www.bbc.co.uk/privacy/cookies/managing/cook...


BBCs udgave er rigtig nok en af de bedre, men den kan ikke bruges i DK, da fortolkningen af direktivet er en lidt anden.
BBCs løsning er nemlig en opt out version, hvilket er OK i UK, men ikke i DK.
Gravatar #20 - kasperd
25. aug. 2012 07:55
Mort (17) skrev:
Jeg kan nævne af tåbeligheder:
Børnepornofilteret, som pludselig blev til generelt censur filter.
Filteret i sin oprindelige form er der ikke noget grundlag for i loven. Det er et frivilligt filter. Havde filteret i sin daværende form været et krav, ville det have været i strid med grundloven.

Hvor frivilligt det er kan diskuteres. Internetudbyderne var under pres fra politikkerne med trusler om et lovkrav, hvis de ikke selv gjorde noget. Og for kunderne er det heller ikke særligt frivilligt, da alle internetudbydere har et filter.

Internetudbyderne kunne bare have sagt nej, og derved gøre det til politikkernes problem at udtænke en lovgivning på området. Jeg tror ikke de kunne have gennemført en grundlovsændring for at genindføre censur.

At filtret efterfølgende blev brugt til andre formål har politikkerne vist ingen indflydelse haft på. Det er domstolene der har pålagt specifikke udbydere at blokere specifikke sites. Det er udbyderne, som har valgt, hvordan det blev gjort.
Gravatar #21 - Jonas_
25. aug. 2012 08:01
Jeg troede overskriften hentydede til at børnehaverne gir kager til børnene selvom de ikke må... Det var nok billedet der vildledte mig!! :-)
Gravatar #22 - Hekatombe
25. aug. 2012 14:52
kasperd (20) skrev:
Hvor frivilligt det er kan diskuteres. Internetudbyderne var under pres fra politikkerne med trusler om et lovkrav, hvis de ikke selv gjorde noget. Og for kunderne er det heller ikke særligt frivilligt, da alle internetudbydere har et filter.


Var der virkelig noget politisk pres? Jeg husker det sådan at der var et par politiker (en Soc.dem. og måske også en DF'er...?) der udtalte sig positivt om filteret EFTER at TDC havde indført det...

kasperd (20) skrev:
At filtret efterfølgende blev brugt til andre formål har politikkerne vist ingen indflydelse haft på. Det er domstolene der har pålagt specifikke udbydere at blokere specifikke sites. Det er udbyderne, som har valgt, hvordan det blev gjort.


At sige at politikerne ikke har nogen indflydelse på domstolene, passer ikke helt. Folketinget bestemmer lovene som domstolene dømmer efter.
Hvis domstolene kommer frem til en konklusion som politikerne er uenig i, så kan de ændre lovene.

Efter at børneporno filteret blev indført, har politikerne også lave love som kræver at internet udbydere blokkere sider, f.eks. blokkere de ulovlige (iht. dansk lov) spille-sider og ulovlig salg af medicin.
Gravatar #23 - kasperd
25. aug. 2012 21:59
Hekatombe (22) skrev:
Var der virkelig noget politisk pres? Jeg husker det sådan at der var et par politiker (en Soc.dem. og måske også en DF'er...?) der udtalte sig positivt om filteret EFTER at TDC havde indført det...
Det er efterhånden ved at være en del år siden. Jeg kan ikke påstå, at jeg husker alle detaljer i hændelsesforløbet.

Hekatombe (22) skrev:
Hvis domstolene kommer frem til en konklusion som politikerne er uenig i, så kan de ændre lovene.
Det er rigtig nok. Men skridtet til at udbrede filtret til andre områder var stadigvæk et der blev taget uden direkte indflydelse fra politikkerne. Det var ikke en følge af en lov som politikkerne vedtog til formålet. Men politikkerne kunne selvfølgelig have ændret lovgivningen, hvis de mente det var en uhensigtsmæssig udvikling.

Hekatombe (22) skrev:
Efter at børneporno filteret blev indført, har politikerne også lave love som kræver at internet udbydere blokkere sider, f.eks. blokkere de ulovlige (iht. dansk lov) spille-sider og ulovlig salg af medicin.
Den censur startede dog flere år før loven blev indført.
http://byggver5.inet.tele.dk/ skrev:
Københavns Byret har i dom af 2. december 2009 forpligtet TDC til at spærre for siden thermapower.com, da der på siden sælges og markedsføres et lægemiddel i strid med lægemiddelloven.
Gravatar #24 - Brugernavn
26. aug. 2012 11:10
kasperd (1) skrev:
Har han så tænkt sig at bruge en cookie til at gemme oplysninger om at brugeren er logget ind? Eller har han tænkt sig at basere sig på HTTP authentication?


Du kan simpet slå session ID i URL'en til på .Net sites. Det vil sige alle navigationer på .Net siden har session ID'et I URL'en. Det er den eneste måde, jeg lige kan se at gøre det på, men det er jo latterligt.
Gravatar #25 - kasperd
26. aug. 2012 20:09
Brugernavn (24) skrev:
det er jo latterligt.
Det er ikke noget at grine af. Det ville være et kæmpe sikkerhedshul, hvis man gemte den slags i URLen.
Gravatar #26 - Brugernavn
27. aug. 2012 11:41
kasperd (25) skrev:
Det ville være et kæmpe sikkerhedshul, hvis man gemte den slags i URLen.

Hvorfor?

Eksempel:
http://localhost/CharmpixV2/(wexkf1ywxjkgdjzjnsrcd...
Gravatar #27 - kasperd
27. aug. 2012 12:06
Brugernavn (26) skrev:
Hvorfor?
Man kan stjæle en session, hvis blot man har set URLen. Der er mange måder at finde ud af en URL, som tilgås af en bruger der er logget ind:
- Se hvad der står på deres skærm.
- Logfiler.
- Referer header på links til andre sites.

Ingen af de metoder ville kunne bruges, hvis der blev anvendt en cookie.

Det vil nok også gøre XSRF angreb nemmere, det er i hvert fald langt nemmere at lave XSRF angreb, hvis parametre overføres i en URL end hvis der bruges POST requests. Jeg gætter på der nok også er lignende problemer, hvis man bruger URLen i stedet for cookies.
Gravatar #28 - Brugernavn
27. aug. 2012 12:08
kasperd (27) skrev:
Brugernavn (26) skrev:
Hvorfor?
Man kan stjæle en session, hvis blot man har set URLen. Der er mange måder at finde ud af en URL, som tilgås af en bruger der er logget ind:
- Se hvad der står på deres skærm.
- Logfiler.
- Referer header på links til andre sites.


I denne sammenhæng ville det ikke være sikkert. Det er vi enige om. På interne sider derimod, er det ikke nær så stort et problem, og der skal en ret usædvanligt god hukommelse til at huske det ID, du ser i URL'en.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login