Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Kontrowersje wokół zapisywania cookies
Z tekstu dowiesz się:
- Czym są cookies zwane też ciasteczkami?
- Do czego stosuje się cookies?
- Jakie niejasności i kontrowersje powodują nowe zmiany w prawie telekomunikacyjnym.
- Jak z nowym prawem radzą sobie wybrane popularne portale.
- Która przeglądarka internetowa już od wielu lat wspiera wymogi nowej legislacji…
Wstęp
22 marca 2013r. weszła w życie aktualizacja ustawy o prawie telekomunikacyjnym. Wprowadza ona m.in. pewne wymogi obejmujące:
przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta.
Przede wszystkim chodzi tu o tzw. cookies/ciastka, ale nie tylko. Zanim jednak skupimy się na szczegółach nowelizacji, przyjrzymy się najpierw pewnemu kontrowersyjnemu mechanizmowi.
Czym są cookies?
Wbrew temu, co myśli i pisze znaczna liczba osób – nie są to wcale pliki wysyłane przez przeglądarki internetowe i przechowywane na komputerze użytkownika. Tak może i było kiedyś – obecnie są to po prostu pewne niewielkie informacje wysyłane przez portale (aplikacje webowe) i automatycznie zapisywane w mechanizmach naszej przeglądarki. Zobaczmy, gdzie dokładnie w popularnych przeglądarkach zapisywane są informacje o cookies:
- Przeglądarka Firefox przechowuje cookiesy we wbudowanej bazie danych – SQLite.
- W Chrome – bazę również w formacie SQLite możemy znaleźć tutaj: C:\Users\nazwa_mojego_usersa\AppData\Local\Google\Chrome\User Data\Default\Cookies.
- Spośród popularnych przeglądarek tylko Internet Explorer przechowuje cookies w postaci zwykłych plików tekstowych.
- Z kolei Opera posiada swój format przechowywania cookies i jest to plik cookies4.dat.
Warto też wiedzieć, że informacje zapisane w cookies są w automatyczny sposób wysyłane przez przeglądarki internetowe do aplikacji / portali, które wcześniej te ciastka ustawiły. Mechanizm ten działa również po restarcie przeglądarki.
1. Jak naprawdę wyglądają te ciasteczka?
Oto fragment komunikacji z serwera do naszej przeglądarki podczas ustawiania cookies – po wejściu np. na gmaila:
Set-Cookie: GoogleAccountsLocale_session=pl; Secure Set-Cookie: GAPS=1:toEZ32pVxGQSduz-wdTWY2PYPtDxqA:PkoJytbwoKP_37qC;Path=/;Expires=Mon, 23-Mar-2015 08:18:19 GMT;Secure;HttpOnly Set-Cookie: GALX=AM5B51_4dNg;Path=/;Secure
Mamy tutaj ustawione trzy ciasteczka, np. w pierwszej linijce: GoogleAccountsLocale_session to nazwa ciastka a pl to jego wartość.
Podobnie w drugim przypadku, gdzie ciastko nazywa się GAPS, a jego wartość to 1:toEZ32pVxGQSduz-wdTWY2PYPtDxqA:PkoJytbwoKP_37qC
Pozostałe informacje – jak np. Path, Secure, HttpOnly – to parametry ciastek.
2. Do czego służą cookies?
Zastosowań jest wiele, ale najczęściej chodzi o rozpoznawanie w aplikacji webowej konkretnego użytkownika.
Na przykład jeśli logujemy się do bankowości elektronicznej, to po poprawnym zalogowaniu serwer ustawi nam w przeglądarce tzw. cookie sesyjne („pamiętające” naszą zalogowaną sesję). Dzięki temu przy dalszym korzystaniu z bankowości nie musimy już ponownie logować się na każdej stronie (bankowość rozpoznaje nas dzięki wcześniej ustawionym cookie). Podobnie sprawa wygląda np. przy logowaniu do gmaila.
Innym dość wygodnym zastosowaniem ciastka jest dostosowanie wyglądu portalu pod własne potrzeby. Chcemy mieć w eksponowanym miejscu portalu box informujący o nowościach technologicznych zamiast plotek z życia gwiazd – bardzo proszę. Informacja o naszych preferencjach będzie zapisana w ciastku.
Analogicznie „rozpoznawać” nas mogą serwisy serwujące reklamy – najpierw zapisują cookie w naszej przeglądarce, później w pewien sposób mogą śledzić nasze zachowania (przeglądarka przy kolejnych odwiedzinach automatycznie wysyła ciastko, co umożliwia śledzenie użytkownika).
Co wprowadza nowelizacja Ustawy Prawo Telekomunikacyjne – kilka kontrowersji
Samą ustawę można pobrać np. tutaj. Interesujący z naszego punktu widzenia jest artykuł 173. (który wszedł w życie 22.03.2013 r.):
Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.
Czy powinniśmy zatem informować użytkownika naszego portalu o każdej próbie ustawienia cookie?
Co więcej zauważmy, że w ustępie pierwszym wskazane jest „Przechowywanie informacji”. Nie ma tu wprost mowy o ciasteczkach (które jak najbardziej są informacją). Poza ciastkami portale mogą zapisać w naszych przeglądarkach i inne „informacje” – np. zapisane w cache obrazki, pliki styli, pliki javascript itd.
Czy zatem, jeśli nasza aplikacja nie wysyła cookies, powinniśmy i wtedy informować, że cache’ujemy dane po stronie internauty w celu zwiększenia wydajności portalu?
Nieco kontrowersyjny może okazać się też punkt 3) – czy zapisanie cookies w wewnętrznej bazie sqllite w Firefox czy Chrome nie powoduje zmiany jego konfiguracji…?
Kolejny punkt artykułu 173. przynosi nieco ulgi:
Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
Uff, możemy wyrazić zgodę na przechowywanie informacji przez ustawienia swojej przeglądarki.
Ręka w górę kto wie, gdzie można zmienić ustawienia cache’owania poszczególnych zawartości w przeglądarkach. ;)
Ręka w górę, kto wyraża na co dzień zgodę przez… ustawienia przeglądarki.
Dalej, mamy ciekawe wyłączenie:
Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:
1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
[…]
Co to za enigmatyczny „komunikat”…? Bo jak rozumiem publiczna sieć telekomunikacyjna to np. Internet.
Jak widać w artykule 173. mamy co najmniej kilka niejasności…
Przykłady implementacji nowelizacji prawa telekomunikacyjnego
Zobaczmy, jak z nowymi wymogami radzą sobie popularne portale. Jako ciekawostkę dodam, że portale te, aby zapamiętać fakt, że już zaserwowały nam komunikat o ciastkach… stosują mechanizm ciastek. :-)
1. Gazeta.pl
Tu widzimy dość ciekawe określenie „program do obsługi internetu”… (jak rozumiem chodzi o przeglądarkę internetową). Czy czeka nas teraz zalew nowomowy?
2. Onet.pl
Informacja jest bardziej zwięzła i chyba lepiej ustrukturyzowana. Ale dlaczego w dalszym opisie nie ma nigdzie informacji o przeglądarkach mobilnych (tablety, smartfony)? Wskazanie na pierwszym miejscu wykorzystania cookie jako czynnika optymalizującego szybkość działania portalu to chyba też pewna przesada…
3. Wp.pl
Tu przynajmniej dość szybko pojawia się prawdopodobnie główny cel wysyłania cookies: reklamy.
4. Interia.pl
Komunikat jest dyskretnie umieszczony w pływającej stopce (brawo za pomysł, ale czy prawnicy będą usatysfakcjonowani…?). Z kolei komunikat nie wyświetla się w serwisie mobilnym Interii.
5. Google.pl
Google jak najbardziej ustawia cookie, ale żadnego podejrzanego komunikatu po wejściu na główną stronę wyszukiwarki nie widać. ;)
Set-Cookie: PREF=ID=be24afaca87b69d6:FF=0:TM=1364030099:LM=1364030099:S=pk4IXTEXZg8cPgch; expires=Mon, 23-Mar-2015 09:14:59 GMT; path=/; domain=.google.pl
6. Filmweb.pl
Komunikat pojawia się, ale… dopiero po obejrzeniu przysłaniającej cały ekran przeglądarki reklamy (oczywiście, gdy oglądamy reklamę – cookie już mamy ustawione…).
Ciekawostka
Uwaga, istnieje co najmniej jedna przeglądarka, która wydaje się być od wielu lat dostosowana do nowej legislacji… to przeglądarka lynx działająca tylko w trybie tekstowym. :-)
Zawsze ten uciążliwy komunikat z lynxa (patrz poniżej) bardziej przeszkadzał, niż pomagał, a tu proszę – przyda się, jak znalazł:
A tak wygląda strona główna google w lynx:
Zapraszamy do dyskusji na ten temat / przysyłania nam „ciekawych” i „nowatorskich” komunikatów, informujących o konieczności akceptacji cookies…
–michal.sajdak<at>sekurak.pl
elinks lepszy ;-)
@frk: links to już zaawansowana sprawa – z tego co pamiętam ma nawet obsługę ramek ;)
a swoją drogą czy też denerwuje tymi komunikatami o akceptacji cookiesów?
Polecam Web Cookies Scanner, dzięki któremu w prosty sposób możemy sprawdzić poczynania danej strony internetowej w zakresie użycia ciasteczek: http://webcookies.info/
„Ustawa” – słowo klucz. Urzędnicy, przepisy, regulacje. Zaczyna się proces biurokratyzacji internetu, niestety.
Do tego dochodzi pomieszany pseudotechnicznourzędasowy bełkot („telekomunikacyjnym urządzeniu końcowym abonenta” – WTF ? :O ) i mamy kolejnego biurokratycznego potworka.
Skończy się to jak zwykle, jak w przypadku każdej innej kwestii, w której urzędaski maczają swoje paluchy – nawet prosta strona-wizytówka www będzie wymagać wizyt w iluś tam urzędach, papierków, zaświadczeń (że spełnia, że zgodna z unijnymi dyrektywami, że VAT od cookies zapłacony, że druczek WWW-37 wypełniony itp. itd.), pieczątek, numerów ewidencyjnych i tym podobnych bzdur.
Ten przepis o cookies to tylko początek.
Ale obym się mylił, czego życzę sobie i wszystkim internautom.
Kolejny bubel prawny. Jak ktoś nie chce cookies to je sobie blokuje w przeglądarce, usuwa przy wyłączaniu czy bóg wie co jeszcze.
No ale tu mamy kolejny przykład jak państwo chce myśleć za obywatela… Rozumiem, że nie każdy musi od urodzenia musi ogarniać Internety ale skoro poświęcił kilka lat na naukę czytania i pisania to może sobie przyswoić równie podstawową w dzisiejszych czasach umiejętność obsługi internetu.
Tu nie chodzi o cookies. Tu chodzi o informacje służące do profilowania, a nie o wszystkie cookies jakie się napatoczą. Żadna przeglądarka nie umożliwia takiego selektywnego blokowania cookies, bo nie da się w ogólności automatycznie stwierdzić, które cookie służą do śledzenia (w celu profilowania), a które nie.
Nawiązując luźno do pewnej hipokryzyjnej wypowiedzi:
Tylko ludzie, którzy nie potrafią korzystać z komputera, mogą przepchnąć nowelizację nakazującą stronom internetowym witać internautów banner’em ostrzegającym o cookies.
Na przeciętnym mordoliteracie te komunikaty nie wywrą żadnego wrażenia, a co najwyżej wywołają konsternację.
Świadomemu internaucie, który usuwa historię przeglądarki, te komunikaty jedynie uprzykrzą przeglądanie stron.
Zamieszanie z cookies zaczęło się parę lat temu w UK, myślałem wtedy naiwnie, że ten idiotyzm nigdy nie wejdzie w życie, ale Związek Socjalistycznych Republik Europejskich szybko radzi sobie z wprowadzaniem kretyńskich regulacji, które niczego nie wnoszą.
@Average Joe Dokładnie.Na szczęście jest AdBlock dzięki któremu można usunąć te przeszkadzające w przeglądaniu stron komunikaty.
@daniel
Używam AdBlock’a, mam w nim zasubskrybowane (i polecam) listy filtrów: EasyList, AdblockList.org (EasyListPL), EasyPrivacy, Fanboy’s Adblock List, Fanboy’s Polish, Fanboy’s Tracking List, Fanboy’s Enhanced Tracking List – zapewne część z nich się dubluje. Mam zahaczone zezwolenie na reklamy „nieinwazyjne”.
Jeśli istnieje jakaś subskrypcja filtrująca te komunikaty o cookies, to jestem zainteresowany, bo ręczne dodawanie filtru dla każdej nowo odwiedzonej strony wygodą dorównywałoby zwyczajnemu zamykaniu/ignorowaniu tych komunikatów.
Powinien teraz zostać utworzony globalny znacznik do adBlocka oznaczający takie komunikaty żeby ludzie sobie mogli go zablokować i mieć spokój
a już niedługo fala pozwów do właścicieli stron, że nie ma komunikatu na stronie. kolejne kancelarie będą szantażować.
kasa i wszystko wiadome.
„2. Co czego służą Cookies?” Chyba Do czego służą miało być :)
Dzięki. Poprawione :)
A tak swoją drogą orientujecie się czy firmy tworzące strony internetowe zamieszczając kod analityczny google, lub remarketingowy również od google musi na stronie zamieszczać takową informację? Czy już google powinno się tym zająć?
Myślę że tak na prawdę to … nie wiadomo. Sama ustawa wprowadza bardzo wiele niejasności nawet w „zwykłych” przypadkach.
W ramach Świątecznej rozrywki proponuję zobaczyć jak z obowiązku informowania o ciasteczkach wywiązuje się……. administracja rządowa i samorządowa.
Jak na razie tylko MSW i MAiC informują o ciastkach. Przypomnę, że dyrektywa unijna istnieje od 2009 i był czas na przygotowanie.
@Mateusz, a to ciekawostka :)
BTW: „Strona Ministerstwa Spraw Wewnętrznych używa plików cookies, aby ułatwić Tobie korzystanie z serwisu oraz do celów statystycznych. Jeśli nie blokujesz tych plików”.
Ja naprawdę nie wiem skąd wszyscy wzięli te „pliki cookies”. Chyba w żadnej definicji cookies nie definiuje się ich jako „pliki” (bo nie są plikami…). Nowatorska inaczej jest tutaj nawet nie tyle sama Ustawa (bo nie widziałem tam ani słowa o ciastkach – są tylko pewne „informacje”), co informacje na portalach, które bezmyślnie kopiują tekst o „plikach” cookie ;) Ślepcy prowadzą ślepców? ;-)
@sekurak
Jakby czytać tę ustawę literalnie (a chyba tak powinno się czytać akty prawne) to nawet zwykła strona internetowa „wypełnia znamiona” bycia „informacją” przesyłaną do abonenta lub użytkownika końcowego (o czym było wspomniane w artykule). Zatem konieczna jest jego zgoda na ten „komunikat”? LOL
Zakładanie, że jak ktoś wpisze w przeglądarce adres strony to od razu się zgadza na jej umieszczenie w swoim urządzeniu jest niezgodne z prawem (bo jest to tzw. dorozumiane – a tak jest źle) tak samo jak w przypadku cookies.
Ile osób wie, że „wchodzenie” na stronę internetową to nic innego jak pobieranie i przetwarzanie na swoim komputerze pliku tekstowego? Pewnie Ci, dla których stworzono przepis „cukierniczy” nie są tego świadomi. Oczywiście nie należy ich potępiać ale zaczynamy popadać w jakąś paranoję legislacyjną.
@Mateusz
No może samo odwiedzanie strony można by jeszcze jakoś obronić – bo zapisywane tylko w nieulotnej pamięci, itd.
Gorzej z cache, bo zapis przez przeglądarkę np. jpgów ze strony jako cache ewidentnie wypełnia zapisy Ustawy :-)
-ms
ostatnio około 100 takich komunikatów na różnych stronach montowałem… ;/