JavaScriptを使用してCookieをドロップした場合でも、EU ICO Cookie法に準拠していますか?


8

Cookie法[1]に準拠するWebサイトを作成する他のサイトに適用するウィジェットを作成するという課題が私に提案されました。

サーバーコードを変更せずにこれを実行できますか?

つまり、サーバー側にコードがあり、アフィリエイトCookieを応答に書き込み、JavaScriptウィジェットがwindow.loadイベントの後でそれを削除した場合、サイトは引き続きCookie法に準拠しますか?

次に、Google Analyticsと共有ボタンのCookieが表示されます。それらのスクリプトとiframeがJavaScriptで実行されないようにするにはどうすればよいですか?

[1]情報コミッショナーのオフィス(ICO):新しいICO Cookie法


2
あなたは何を推測しているのcookie lawですか?
bbaja42

おそらくEU指令について話している(そのアイデンティティは忘れており、指令は加盟国の法律への組み込みによって制定され、その段階でかなりの量の追加の複雑さが加わることがあるので注意が必要)。
ドナルフェロー

1
私はこの1つについて話している:programmers.stackexchange.com/questions/78176/...
ファビオMilheiro

回答:


1

あなたのソリューションはおそらくマルウェアとして扱われることになります

説明から、「Cookie法」の遵守を保証するWebサイトのページに含めることができるJavaScriptライブラリを作成したいようです。

ユーザー、クライアント(リモートセッションは誰か?)、サーバー、およびサーバー上で実行されているWebアプリケーションの所有者の場所に関して、この法律の実際の実装に関する技術的な問題を回避しましょう。そして、さらに制約して、EU指令に関連して提供される英国のガイダンスのみを検討してみましょう。

以下からの情報コミッショナーのオフィス

関連する端末機器のサブスクライバーまたはユーザーでない限り、Cookieまたは同様のデバイスを使用しないでください。

(a)その情報の保存またはアクセスの目的に関する明確で包括的な情報が提供されている。そして

(b)彼または彼女の同意を与えた。

これは、ウィジェットがこのユーザーの同意のための決済機関として機能する必要があることを意味します。サーバーコードを制御できない場合、ソフトウェアは、そのような同意が得られるまで、サーバーから発信されるCookieをブロックする必要があります。これは、ソフトウェアがサードパーティのライブラリ(Google AnalyticsやFacebookのいいねなど)を妨害することを意味します。

このような干渉は、どんなに意味のあるものであっても、ユーザーエクスペリエンスを低下させる可能性が非常に高く、サードパーティライブラリの所有者によって非常に不利に見られます。したがって、マルウェアとして扱われます。

この道を行く前にもう一度考えます。


@Gary Roweに感謝します。私は、ユーザーが同意するまでブラウザーのすべてを単純にクリアするウィジェットがあるべきではないことに同意します。ユーザーがCookieに同意した後、ブラウザにCookieをインストールするスクリプトのみをロードします。ただし、ユーザーが同意した後、ユーザーは同意を取り消すことができます。次に何が起こりますか?私が作成したウィジェットは、いくつかのグーグルクッキーを削除します。これもマルウェアの範疇に入りますか?
Fabio Milheiro、2012年

1
@FabioMilheiroここでの問題は、信頼できるソースから別のライブラリの操作を妨害するソフトウェアを作成していることです(これをウイルス対策ソフトウェアと比較してください)。これは、現状の法律の技術的導入に伴う深刻な問題です(誰が信頼できるかを決定するのは誰ですか?)。ただし、同意が削除された後にこれらのCookieを削除するというソリューションは、勤勉なユーザーが手動で行うことを自動化するため、妥当です。
Gary Rowe

[論争]「サードパーティのライブラリを妨害する」「ユーザーエクスペリエンスを低下させる可能性が非常に高い」という「Cookie法」による妨害行為はありますか?これは、ユーザーの許可なしに設定されたサードパーティのCookieが法律に従うよりも重要であることを意味しますか?[/ polemic]技術的には、ブラウザーのサンドボックスでは、jsのロード元と同じドメインからのCookieのみを削除できます。したがって、このjsをロードしてwww.somedomain.comも、facebookまたはからcookieを削除できませんgoogle
k3b 2015

1

覚えておくべきことの1つは、Cookieの作成時にサーバーがHttpOnlyフラグを設定すると、スクリプトが役に立たなくなる可能性があることです。

http://en.wikipedia.org/wiki/HTTP_cookie#HttpOnly_cookie

また、セキュリティ(XSS)が原因で、他のドメインから設定されたCookieにアクセス/操作する際にドメインの生成に関する問題が発生する場合もあります。XSSへの露出を最小限に抑えるという同じ目的でCookieに関してJavaScriptを使用することはめったにないので、私はこれを100%使用しているわけではありません。

あなたのコンセプトは素晴らしいアイデアのように聞こえますが、このプロジェクトに多くの時間を費やす前に、これらの考えられる問題をさらに調査することをお勧めします。


1
どうぞよろしくお願いします。これらの考えられる障害に抵抗できると私が考えることができる唯一のことは、ブラウザー拡張機能です。あなたの元の投稿からですが、ブラウザ拡張機能は目的を無効にする可能性があるようです。
chetpot
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.