Si elimino las cookies con JavaScript, ¿seguirá cumpliendo con la Ley de cookies de la UE ICO?

8

El desafío que me propusieron fue crear un widget para aplicar en otros sitios que haga que un sitio web cumpla con la ley de cookies [1].

¿Puedo hacer esto sin cambiar el código del servidor?

Quiero decir, si hay un código en el lado del servidor que escribe una cookie de afiliado en la respuesta y mi widget de JavaScript lo elimina después del evento window.load: ¿el sitio seguirá cumpliendo con la ley de cookies?

Luego viene las cookies de Google Analytics y compartir botones. ¿Cómo evitaría que esos scripts e iframes se ejecuten en JavaScript?

[1] La Oficina del Comisionado de Información (ICO): Nueva Ley de Cookies de ICO

javascript cookies Fabio Milheiro
fuente
2
¿Podría explicar por qué presume cookie law?
bbaja42
Probablemente hablando de una directiva de la UE (cuya identidad olvido, y se debe tener cuidado ya que las directivas se promulgan mediante la incorporación a la ley de los estados miembros y puede haber una cantidad significativa de complejidad adicional agregada en esa etapa).
Donal Fellows
1
Estoy hablando de este: programmers.stackexchange.com/questions/78176/…
Fabio Milheiro

Respuestas:

1

Su solución probablemente terminaría siendo tratada como malware

Según su descripción, parece que desea crear una biblioteca de JavaScript que un sitio web puede incluir en sus páginas que garantice su cumplimiento con la "ley de cookies".

Dejemos de lado los problemas técnicos que rodean la implementación real de esta ley cuando se trata de la ubicación del usuario, el cliente (¿una sesión remota?), El servidor y el propietario de la aplicación web que se ejecuta en el servidor. Y, limitemos aún más y solo consideremos la orientación del Reino Unido ofrecida en torno a la directiva de la UE.

De la Oficina del Comisionado de Información :

Las cookies o dispositivos similares no deben usarse a menos que el suscriptor o usuario del equipo terminal correspondiente:

(a) se le proporciona información clara y completa sobre los propósitos del almacenamiento o acceso a esa información; y

(b) ha dado su consentimiento.

Esto implica que su widget tendrá que actuar como cámara de compensación para este consentimiento del usuario. Si no tiene control sobre el código del servidor, entonces su software tendrá que bloquear las cookies que emanan del servidor hasta que se obtenga dicho consentimiento. Esto significa que su software estará interfiriendo con bibliotecas de terceros (sus Me gusta de Google Analytics y Facebook, etc.).

Tal interferencia, sin importar cuán bien intencionada sea, probablemente degradará la experiencia del usuario y será considerada extremadamente desfavorable por los propietarios de las bibliotecas de terceros. Por lo tanto, será tratado como malware.

Pensaría de nuevo antes de seguir este camino.

Gary Rowe
fuente
Gracias @Gary Rowe. Estoy de acuerdo en que no deberíamos tener un widget que simplemente borre todo en el navegador hasta que el usuario lo cumpla, pero eso me lleva a un punto. Solo cargo los scripts que instalarán cookies en el navegador después de que el usuario haya dado su consentimiento. PERO después de que el usuario acepta, él / ella puede eliminar el consentimiento. ¿Qué pasa entonces? El widget que creé elimina algunas cookies de google. ¿Caería esto también en la categoría de malware?
Fabio Milheiro
1
@FabioMilheiro La dificultad aquí es que está escribiendo software que está saboteando el funcionamiento de otra biblioteca de una fuente confiable (contraste esto con el software antivirus, por ejemplo). Este es un problema grave con la implementación técnica de la ley en su estado actual (¿quién determina qué es de buena reputación?). Sin embargo, su solución de eliminar esas cookies después de eliminar el consentimiento es razonable porque automatiza lo que un usuario diligente haría manualmente.
Gary Rowe
[polemic] Entonces, ¿el sabotaje de la "Ley de cookies" está "interfiriendo con bibliotecas de terceros" y "es muy probable que degrade la experiencia del usuario"? ¿Significa esto que las cookies de terceros establecidas sin el permiso de los usuarios son más importantes que seguir la ley? [/ polemic] Técnicamente, el entorno limitado del navegador solo permite eliminar cookies del mismo dominio desde el que se carga el js. Por lo tanto, cargar este js desde www.somedomain.comno puede eliminar las cookies de facebooko google.
k3b
1

Una cosa a tener en cuenta es que su script puede volverse inútil si el servidor establece el indicador HttpOnly cuando se crea la cookie.

http://en.wikipedia.org/wiki/HTTP_cookie#HttpOnly_cookie

También puede haber problemas de origen de dominio para acceder / manipular cookies establecidas desde otros dominios debido a la seguridad (XSS). No estoy al 100% en esto, ya que rara vez uso JavaScript cuando se trata de cookies con el mismo propósito de minimizar la exposición a XSS.

Si bien su concepto parece una gran idea, le sugiero que analice estos posibles problemas antes de invertir demasiado tiempo en este proyecto.

chetpot
fuente
1
De nada Fabio, lo único en lo que puedo pensar que sería resistente a estos posibles obstáculos sería una extensión del navegador. Aunque desde su publicación original, parece que una extensión del navegador podría vencer el propósito.
Chetpot