消除 Cookie 横幅很难

Posted on 2024-01-13

应用程序监控公司 Sentry 最近写了一篇关于他们在其网站上删除 cookie 的经历,这使得他们能够放弃cookie 横幅。我很高兴他们写了这个!但这也说明了为什么许多网站都有 cookie 横幅,即使它们似乎没有做任何有风险的事情。

我很好奇他们的网站是否真的避免设置任何 cookie,并在启用第三方 cookie 的私人浏览窗口中访问它。当我浏览该网站时,我注意到设置了几个 cookie:

  • 加载changelog.getsentry.com我收到了第一方cookie _GRECAPTCHAph_phc_UlHlA3tIQlE89WRH9NSy0MzlOg1XYiUXnXiYjKBJ4OT_posthog_launchnotes_session ,以及recaptcha.net上的第三方cookie _GRECAPTCHA

  • 正在加载try.sentry-demo.com我收到了第一方sentrysidscsudo

  • 加载sentry.io/auth/login我收到了第一方cookie __stripe_mid__stripe_sidsessionsentry-sc ,以及m.stripe.network上的第三方cookie m

  • 正在加载docs.sentry.io/product/performance/performance-video我从player.vimeo.com收到了第三方 cookie __cf_bm

可能还有其他人;我没有进行任何详尽的搜索。

现在,哨兵确实说:

为澄清起见,Sentry 已删除除不需要网站访问者同意的基本 Cookie 之外的所有 Cookie。与您的法律团队合作,更好地了解您的哪些 Cookie 根据适用于您的法律符合基本 Cookie 的条件。

从删除 cookie 横幅的角度来看,这是正确的:您不需要完全停止使用 cookie,您只需要将 cookie 的使用限制在“为了提供明确要求的信息社会服务而绝对必要”的情况下。订户或用户”。例如,根据官方指南,有些事情可以包括在有人登录时设置 cookie、选择“深色模式”等设置或将商品添加到购物车中:如果没有用户的要求,您就无法执行用户要求的操作饼干。但即便如此,您也必须非常小心,不要超出此例外的狭窄范围:该指南阐明,您通常应该使用几个小时的过期时间,或者将 cookie 配置为在用户关闭浏览器时删除。

查看他们当前设置的 cookie,在我看来它们并不属于此例外:

  • 我不明白为什么变更日志页面需要设置 cookie。当我询问时,他们说这是一个已知问题,他们正在努力解决。

  • 虽然沙箱实现可能从根本上需要 cookie,因为它模拟的是您通常登录的复杂应用程序,但如果您首先加载沙箱,则所有这些都无法访问。它有一个模式对话框,要求您提供工作电子邮件地址,没有它,所有功能都无法工作。他们至少应该推迟设置 cookie,直到您提交表单:

    哨兵沙箱演示.png

  • 我不明白为什么登录页面需要设置任何 cookie:虽然如果用户实际登录,您确实需要设置 cookie,但我只是加载了该页面。当我询问时,他们提到了 CSRF 预防,但这有点奇怪。 CSRF 是一种攻击者站点指示浏览器向受害者站点提交表单的攻击。如果受害者网站没有采取措施对抗 CSRF,那么它就不会理解用户实际上并未发起此请求,攻击者可以利用这一点作为受害者采取行动。但是登录上的 CSRF 漏洞意味着攻击者已经成功对用户进行了网络钓鱼,此时他们已经可以代表用户启动他们希望执行的任何操作。

    即使需要这些 cookie 以我没有看到的方式防止 CSRF,我也不明白为什么您需要像sentry-sc这样具有一年有效期并且Same-Site=Lax选择加入的 cookie在第三方环境中共享。由于这些都没有使用Path将自身范围限定为登录表单,因此一旦您访问了该页面,您将在网站上任何位置的每个未来页面浏览中发送 cookie。

  • Vimeo 第三方 cookie __cf_bm更具争议性。它被记录为一个重要的 cookie,“它是 Cloudflare 机器人管理服务的一部分,有助于降低与垃圾邮件和机器人流量相关的风险。”我认为这是一个灰色地带:我找不到任何关于使用 cookie 检测机器人是否符合电子隐私豁免的明确官方指导。

总的来说,我对这里的哨兵非常同情。他们在使用 cookie 时非常小心,我认为他们拥有的 cookie 大部分都是非常合理的,不应该需要 cookie 横幅。另一方面,在我看来,作为一个外行,他们确实不遵守电子隐私指令。

我认为这很好地说明了为什么公司通常会选择坚持使用 cookie 横幅,尽管它们很烦人。热衷于技术的用户会说,只要你不做任何邪恶的事情,就不需要征得同意,但法规规定的例外情况确实非常狭窄,而且很容易出错。

(我希望看到这里的法规发生变化:没有理由单独在客户端上存储数据进行特殊处理。GDPR 中的一般保护为数据隐私提供了更加一致的方法,而且我不相信 e -隐私不再增加任何有用的东西。然后,当然,一项导致到处都有cookie横幅和其他同意墙的规定,人们大多在不阅读的情况下点击进入,显然效果不佳。)

评论通过: facebooklesswrongmastodon

原文: https://www.jefftk.com/p/eliminating-cookie-banners-is-hard