Cookie-krisen

EU’s cookiedirektiv har spillet fallit. Fornylig skrev Computerworld at vi har brugt 3-6 millioner timer på at sidde og klikke på ok-knapper i cookie-popups. Det er jeg nu ikke helt sikker på – i de fleste tilfælde kan man blot ignorere dem. Men når det kommer til spørgsmålet om hvorvidt at systemet virker, er svaret et enstemmigt nej. Folk vænner sig blot til at trykke ok på knappen uden at læse betingelserne – eller installerer sågar et plug-in der blindt trykker ok til alle cookie-popups.

Nogle vil måske foreslå helt at eliminere cookies, en løsning der rammer helt ved siden af problemet, og EUs intentioner. Det handler ikke om cookies eller ej, direktivet vil have websites til at skilte med hvad de bruger cookies til, altså i bund og grund en up-front bekendtgørelse af den del af ens privatlivspolitik, der handler om cookies.

Ud over cookiedirektivet har EU også udgivet et databeskyttelsesdirektiv, der mere beskæftiger sig med information om formål, samtykke, sikkerhed og ansvarlighed omkring indsamlede data.

Hele diskussionen fik mig til at tænke tilbage på en teknologi jeg til tider er stødt på i Internet Explorer, men som er så glemt at det ikke engang har en dansk Wikipedia side; P3P.

P3P er en måde for websites at udstille en maskinlæsbar, formaliseret udgave af dets brug og indsamling af data – det kunne eksempelvis være “Vi bruger cookies for at kunne bevare tilstand, vi gemmer kun information i kort tid, og hvis vi bryder denne politik er vi erstatningspligtige”.

P3P blev dog aldrig den store succes, Eneste browser-implementationer er i Firefox, der havde det kortvarigt, og Internet Explorer, der har haft det siden version 6 udgivet i 2001.

Den begrænsede succes kan nok især tilskrives den brede kritik der har været af systemet – jeg vil prøve at adressere nogle af punkterne her:

P3P softwaren er for kompleks og det er for svært for en gennemsnitlig person at forstå.

Ja, det er ret komplekst – jeg tænker at browserne burde have en lille brugervenlig guide ved første afvikling, hvor man kan vælge, hvad ens privatlivsoplysninger må og ikke må bruges til. Mødes et site, der ikke overholder ens skræddersyede politik, kommer der en advarsel. Hermed elimineres tendensen til altid at trykke ok; spørgsmålet kommer kun sjældent.

P3P indikerer kun hensigt, der er ingen sanktioner.

Ikke anderledes end EU-direktiverne, men de er fulgt op af lovgivning, det kunne P3P vel også blive?

Indsamlede data har ikke nogen udløbsdato.

Nej, der er kun nogle indikationer for opbevaringstid – det kunne være en passende tilføjelse.

Ikke alle sites implementerer P3P.

Hønen og ægget – EU-mæssigt skal der vel bare et direktiv til? Lad brugeren vælge hvad der skal ske med sites der ikke implementerer P3P i start-up-guiden – skal cookies bare nægtes?

Fordi at P3P er så kompleks vil kun de største firmaer implementere det og dermed opnå data-monopol.

Det kan også løses med software – en guide til din webserver, du krydser af, hvad du bruger indsamlede oplysninger til, og den sætter serversoftwaren op. IBM havde en guidebaseret-generator engang mener jeg.

En del af kritikken er også relevant for cookiedirektivet – måske ikke lige den kritik der går på kompleksitet, cookiedirektivet er nemt at forstå – eller er det? Synes det er lidt sjovt at eucookiedirective.com ikke har en træls popup.

Jeg mener at EU skulle have ladet sig inspirere af P3P og implementeret en helt ny simpel maskinlæsbar protokol – eksempelvis blot et par metatags på den enkelte hjemmeside. Og så skulle der være startet simpelt, nogle få, åbne politikker bare for at få adoptionen i gang – endelig ikke en stor standardiseringskomité. For så at få det implementeret skulle der være lavet et plug-in til hver af de største browsere – med brugervenlig guide. For site-ejere er det bare et spørgsmål om et par metatags – sikkert lettere end at lave en popup.

Dernæst kan man tage den maskinlæsbare politik og generere en menneskelæsbar udgave (lade plug-in’et gøre det), det kunne man også med P3P – ikke noget revolutionerende.

Hvad ville du foretrække – en maskinel løsning med dertilhørende fare for kompleksitet eller en simpel popup med et par forklaringer i? Har du bud på andre løsninger?

20 comments for “Cookie-krisen

  1. God observation, det er endnu et eksempel på at almindelige brugere bliver spammet med dialogbokse som de har svært ved at forholde sig til, og derfor vænner sig til rygmarvs-reaktionen “klik OK” som giver så forfærdeligt mange problemer i andre sammenhænge. Det gælder efter min mening for alt i verden om at reducere mængden af disse popups, og cookie-problemet burde være simpelt nok til at man kunne definere en fælles, maskinel måde at forholde sig til det på. Men det er jo det sædvanlige problemer når vi blander teknik og lovgivning sammen, hvordan sikrer vi at teknikken udvikler sig i trit med lovgivningen?

    Lidt naivt og nok alt for datalogisk kunne man forestille sig at enhver kunne definere en ontologi for cookie-politik, når jeg en gang har forholdt mig til en given ontologi, husker min browser mine indstillinger. Hvert website bruger en URL til at angive deres ontologi, forhåbentligt har vi kun en, men det kan være vi ender med flere. Når jeg indenfor en given ontologi en gang har klikket “Ja, det er fint at websitet bruger cookies lokalt, lad være med at dele informationen med alle de onde reklamefirmaer” behøver jeg ikke gøre det mere. Fleksibelt, fremtidssikret, gode muligheder for maskinel automatisering, hvad kan gå galt? 🙂

    mvh Ulrik

    • Hej Ulrik,

      Tak. Ja ide med en ontologi er faktisk god – ved i hvertfald med mig selv at hvis der kommer en masse spørgsmål første gang browseren bliver startet så bliver de ignoreret, fordi at man typisk starter browseren som en del af en specifik arbejdsgang. Så hvis det medførte at man blot fik nogle få spørgsmål om en ny ontologi, som iøvrigt altid er nye og kunne suppleres med info, faq og måske et link til en diskussion om konsekvenser, så man kunne taget et velinformeret valg.

      Idéen med en URL har P3P også 🙂

  2. God observation, det er endnu et eksempel på at almindelige brugere bliver spammet med dialogbokse som de har svært ved at forholde sig til, og derfor vænner sig til rygmarvs-reaktionen “klik OK” som giver så forfærdeligt mange problemer i andre sammenhænge. Det gælder efter min mening for alt i verden om at reducere mængden af disse popups, og cookie-problemet burde være simpelt nok til at man kunne definere en fælles, maskinel måde at forholde sig til det på. Men det er jo det sædvanlige problemer når vi blander teknik og lovgivning sammen, hvordan sikrer vi at teknikken udvikler sig i trit med lovgivningen?

    Lidt naivt og nok alt for datalogisk kunne man forestille sig at enhver kunne definere en ontologi for cookie-politik, når jeg en gang har forholdt mig til en given ontologi, husker min browser mine indstillinger. Hvert website bruger en URL til at angive deres ontologi, forhåbentligt har vi kun en, men det kan være vi ender med flere. Når jeg indenfor en given ontologi en gang har klikket “Ja, det er fint at websitet bruger cookies lokalt, lad være med at dele informationen med alle de onde reklamefirmaer” behøver jeg ikke gøre det mere. Fleksibelt, fremtidssikret, gode muligheder for maskinel automatisering, hvad kan gå galt? 🙂

    mvh Ulrik

    • Hej Ulrik,

      Tak. Ja ide med en ontologi er faktisk god – ved i hvertfald med mig selv at hvis der kommer en masse spørgsmål første gang browseren bliver startet så bliver de ignoreret, fordi at man typisk starter browseren som en del af en specifik arbejdsgang. Så hvis det medførte at man blot fik nogle få spørgsmål om en ny ontologi, som iøvrigt altid er nye og kunne suppleres med info, faq og måske et link til en diskussion om konsekvenser, så man kunne taget et velinformeret valg.

      Idéen med en URL har P3P også 🙂

  3. Spændende indlæg. Hvis cookies havde været noget meget sjældent noget, så havde direktivet måske haft en effekt. Men i og med stort set hver eneste side på nettet bruger cookies, har det mere en effekt i stil med ‘riv indpakningspapiret af pakken så hurtigt som muligt, og smid det ned i affaldssækken’. Advarslerne bliver ikke skænket 3 sekunders tanke.

    Gad vide hvad designere og user interaction eksperter mon tænker om hele den sag? Et ekstra irritationsmoment på stort set alle ikke-trivielle sider. ØV!

    Så noget i stil med p3p/standardindstillinger, hvor man kan sige hvad man vil være med til lyder umiddelbart som en god ide. Hvordan man laver den slags så det er let for folk at forstå og de ikke bare slår det fra er en helt anden snak. I hvert fald ikke trivielt.

    Anyway, hvad med jer? Skal I ikke også spørge ind til cookies? Så vidt jeg kan se bruger I google analytics og jeg har pt. 4 cookies liggende fra qed.dk.

    Mvh Lars (der selv ikke har rene cookies i posen)

    Ps. Nu skal jeg vist snart have lavet en flattr account. Godt arbejde med qed.dk! 🙂

    • Hej Lars,

      Tak. Ja jeg ville elske at høre mere fra interactionseksperter – evt. nogen der har været med til at lave de løsninger der er der ude i dag. Helt enig i at det ikke er en let opgave – lidt anti-offentlig-it-projekt skulle man starte i det små og se om det virker. Evt. bare på nogle få offentlige sider, så man ikke udsætter hele det danske internet for irritation 🙂

      Ja, jeg tror ikke at jeg gider at have en popup – men vi bør nok få lavet et link til en privatlivspolitik. Hvis det er godt nok for eucookiedirective.com er det vel også godt nok for os.

      Den kunne fx. være lige som Amino.dk’s: http://www.amino.dk/content/cookies.aspx 🙂

  4. Spændende indlæg. Hvis cookies havde været noget meget sjældent noget, så havde direktivet måske haft en effekt. Men i og med stort set hver eneste side på nettet bruger cookies, har det mere en effekt i stil med ‘riv indpakningspapiret af pakken så hurtigt som muligt, og smid det ned i affaldssækken’. Advarslerne bliver ikke skænket 3 sekunders tanke.

    Gad vide hvad designere og user interaction eksperter mon tænker om hele den sag? Et ekstra irritationsmoment på stort set alle ikke-trivielle sider. ØV!

    Så noget i stil med p3p/standardindstillinger, hvor man kan sige hvad man vil være med til lyder umiddelbart som en god ide. Hvordan man laver den slags så det er let for folk at forstå og de ikke bare slår det fra er en helt anden snak. I hvert fald ikke trivielt.

    Anyway, hvad med jer? Skal I ikke også spørge ind til cookies? Så vidt jeg kan se bruger I google analytics og jeg har pt. 4 cookies liggende fra qed.dk.

    Mvh Lars (der selv ikke har rene cookies i posen)

    Ps. Nu skal jeg vist snart have lavet en flattr account. Godt arbejde med qed.dk! 🙂

    • Hej Lars,

      Tak. Ja jeg ville elske at høre mere fra interactionseksperter – evt. nogen der har været med til at lave de løsninger der er der ude i dag. Helt enig i at det ikke er en let opgave – lidt anti-offentlig-it-projekt skulle man starte i det små og se om det virker. Evt. bare på nogle få offentlige sider, så man ikke udsætter hele det danske internet for irritation 🙂

      Ja, jeg tror ikke at jeg gider at have en popup – men vi bør nok få lavet et link til en privatlivspolitik. Hvis det er godt nok for eucookiedirective.com er det vel også godt nok for os.

      Den kunne fx. være lige som Amino.dk’s: http://www.amino.dk/content/cookies.aspx 🙂

  5. Jeg synes specielt at det er ærgeligt at cookie-sagen ikke har fået webudviklere til at tænke nærmere over brugen af cookies.

    Alle bruger cookies, også uden at tænke over det. Så vidt jeg husker bruges der cookies af PHP til at huske på sessions id, hvilket betyder at så snart der skrives session_start() i koden, så bages en cookie hos brugeren.

    Cookies er smart for udviklere, men er de virkelig nødvendige? Hvis webudviklere brugte liiiiiidt mere krudt på at tænke sig om i stedet for blot at bruge sessions på må og få, så kunne vi måske nå længere?

    Resultatet er, som nævnt i indlægget, at alle har en cookie warning – og de dovne webudviklere har endda blot indsat en standard cookie-warning som kan indlæses dynamisk fra tredjepart.

    • Jeg ved så at det har fået nogen til at tænke over det; en af mine store arbejdsgivere har startet et større projekt med at kortlægge og begrunde alle cookies, netop for at kunne lave en ordentlig beskrivelse af deres politik.

      Men jeg er ikke sikker på at det er umagen værd at undgå cookies – de fleste sites har brug for noget tilstand .. hvad med cookie-popupen? Hvor skulle vi ellers registere at denne bruger har klikket ok? 🙂

      Lad os sige at du er en shop og at du vil lave en AB test om folk har større tendens til at købe dine varer hvis forsiden er lyserød første gang de besøger dit site – hvordan ville du lave det?

      Der er rigtig mange opgaver der bliver meget svære uden cookes og trivielle med.

      • Jeg kender ikke så meget til andre udviklingsmiljøer end PHP – og her har du mulighed for at slå cookies fra til opbevaring af sessions id. PHP vil så påklistre et sessions id til alle links.

        Det store spørgsmål er nærmere, har vi brug for at “tracke” brugeren? Analyse af brugsmønstre, søgeord, visning af sider m.m. KAN være nyttigt, men der er mange der ikke sammenkører disse information – hvis de da overhovedet gemmer oplysningerne!

        Det giver så en række andre udfordringer som man skal tage stilling til (f.eks. ajax kald eller andet javascript kode skal selv vidresende sessionsvariablen til serveren).

        Citat: “A disadvantage is that using PHP sessions without cookies is the fact that if you share a URL that has the PHP session ID appended to it with someone else, then they could potentially use the same exact session that you were using. It also opens you up to session hijacking – where a user’s session is deliberately stolen so that a hacker can impersonate you and do some damage. “

        • Hej Rasmus,

          Ja – samme “cookie less” system er tilgængelig i fx. ASP.NET. I nogen sammenhænge kunne det godt erstatte cookies.

          Et alternativ er også singlepage apps, hvor state bare kan ligge i variabler på klientsiden.

          Jeg er enig med dig i at vi som udviklere har et ansvar – og i nogen løsninger kan det da også godt være at det er umagen værd at undvære cookies.

  6. Jeg synes specielt at det er ærgeligt at cookie-sagen ikke har fået webudviklere til at tænke nærmere over brugen af cookies.

    Alle bruger cookies, også uden at tænke over det. Så vidt jeg husker bruges der cookies af PHP til at huske på sessions id, hvilket betyder at så snart der skrives session_start() i koden, så bages en cookie hos brugeren.

    Cookies er smart for udviklere, men er de virkelig nødvendige? Hvis webudviklere brugte liiiiiidt mere krudt på at tænke sig om i stedet for blot at bruge sessions på må og få, så kunne vi måske nå længere?

    Resultatet er, som nævnt i indlægget, at alle har en cookie warning – og de dovne webudviklere har endda blot indsat en standard cookie-warning som kan indlæses dynamisk fra tredjepart.

    • Jeg ved så at det har fået nogen til at tænke over det; en af mine store arbejdsgivere har startet et større projekt med at kortlægge og begrunde alle cookies, netop for at kunne lave en ordentlig beskrivelse af deres politik.

      Men jeg er ikke sikker på at det er umagen værd at undgå cookies – de fleste sites har brug for noget tilstand .. hvad med cookie-popupen? Hvor skulle vi ellers registere at denne bruger har klikket ok? 🙂

      Lad os sige at du er en shop og at du vil lave en AB test om folk har større tendens til at købe dine varer hvis forsiden er lyserød første gang de besøger dit site – hvordan ville du lave det?

      Der er rigtig mange opgaver der bliver meget svære uden cookes og trivielle med.

      • Jeg kender ikke så meget til andre udviklingsmiljøer end PHP – og her har du mulighed for at slå cookies fra til opbevaring af sessions id. PHP vil så påklistre et sessions id til alle links.

        Det store spørgsmål er nærmere, har vi brug for at “tracke” brugeren? Analyse af brugsmønstre, søgeord, visning af sider m.m. KAN være nyttigt, men der er mange der ikke sammenkører disse information – hvis de da overhovedet gemmer oplysningerne!

        Det giver så en række andre udfordringer som man skal tage stilling til (f.eks. ajax kald eller andet javascript kode skal selv vidresende sessionsvariablen til serveren).

        Citat: “A disadvantage is that using PHP sessions without cookies is the fact that if you share a URL that has the PHP session ID appended to it with someone else, then they could potentially use the same exact session that you were using. It also opens you up to session hijacking – where a user’s session is deliberately stolen so that a hacker can impersonate you and do some damage. “

        • Hej Rasmus,

          Ja – samme “cookie less” system er tilgængelig i fx. ASP.NET. I nogen sammenhænge kunne det godt erstatte cookies.

          Et alternativ er også singlepage apps, hvor state bare kan ligge i variabler på klientsiden.

          Jeg er enig med dig i at vi som udviklere har et ansvar – og i nogen løsninger kan det da også godt være at det er umagen værd at undvære cookies.

  7. Jeg vil lige addressere et par kommentarer fra andre sites:

    Jesper Lund på Twitter og version2:
    Tracking industrien har saboteret intentionen med cookie direktivet. Det vil de nok også gøre med P3P eller DNT.

    – Fint, jeg er ikke interesseret i hvem der har skylden, jeg tror at det skal være mere klart, specifikt og nemt før at du kan få en hel industri til at implemenetere det korrekt.

    Jesper Lund på Twitter:
    Prøv at se hvordan det er gået med at standardisere DNT i W3C

    – Ja, præcis derfor skulle P3P² ikke igennem en standardiseringskommite. Tænk et lille privacy toolkit med software, vejledninger og lov. Og så måske kun det mest presserende spørgsmål til at starte med fx; Sælger du mine oplysninger til 3. part.

    https://twitter.com/je5perl/status/429425306273734656
    http://www.version2.dk/artikel/bred-afvisning-cookieregler-et-flop-56048#comment-263532

  8. Jeg vil lige addressere et par kommentarer fra andre sites:

    Jesper Lund på Twitter og version2:
    Tracking industrien har saboteret intentionen med cookie direktivet. Det vil de nok også gøre med P3P eller DNT.

    – Fint, jeg er ikke interesseret i hvem der har skylden, jeg tror at det skal være mere klart, specifikt og nemt før at du kan få en hel industri til at implemenetere det korrekt.

    Jesper Lund på Twitter:
    Prøv at se hvordan det er gået med at standardisere DNT i W3C

    – Ja, præcis derfor skulle P3P² ikke igennem en standardiseringskommite. Tænk et lille privacy toolkit med software, vejledninger og lov. Og så måske kun det mest presserende spørgsmål til at starte med fx; Sælger du mine oplysninger til 3. part.

    https://twitter.com/je5perl/status/429425306273734656
    http://www.version2.dk/artikel/bred-afvisning-cookieregler-et-flop-56048#comment-263532

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *