Anti cookie lov: Politikere og branchefolk vrøvler om cookies!
Sjældent har jeg hørt så meget vrøvl, som jeg i de sidste par dage har skulle ligge øre til. Det er nu ikke så ualmindeligt, at politikerne vrøvler om Internet og andre tekniske ting, men det er satme skuffende at se, at så mange folk i Internet-branchen i forhold til den varslede anti cookie lov vrøvler stort set lige så meget.
I dette indlæg vil jeg se på nogle af de mest forvrøvlede ting der er sagt om cookies …
1. Cookies kan læses af andre sites, end dem der sætter dem
Der er øjensynligt en del, der tror, at en cookie der sættes på et site uden videre kan læses af et andet. Det kan den ikke! Som udgangspunkt kan almindelige cookies kun læses af det site der sætter dem. Site A kan, naturligvis, så sende denne information der gemmes i cookien videre til site B og andre, der kan knytte den sammen med deres informationer og dermed skabe en mere komplet profil. Men det problem har bare ikke noget direkte med cookies at gøre.
En af de udtalelse, der kom i dag understøtter denne vildfarelse. Således udtaler Anette Høyrup fra Forbrugerrådet til Comon, at: “… misbrugt cookies til at give en dyrere pris til kunder, der ikke forinden havde besøgt en prissammenligningstjeneste og altså kunne snydes til at betale en overpris i forhold til andre kunder.”
Hun vrøvler. Jeg kender ikke den konkrete sag, men jeg er 99% sikker på, at dise sites har benyttet sig af CSS-history til at tjekke om de besøgende har været på nogle bestemte sites tidligere. Det har i hvert fald ikke benyttet den cookie som disse prissammenligningstjenester sikkert har sat. For den kan de ikke læse. Og de kan de såvidt jeg forstår, fortsat bruge CSS-history under den varslede cookie lovgivning. Den vedrører nemlig ikke CSS-history.
2. Overvågning er knyttet til cookies
En anden udbredt misforståelse er, at overvågning er knyttet til cookies. Det er noget vrøvl. Cookies er blot en simpel måde, at bevare “state” i et ellers “stateless enviroment” (som Nettet som udgangspunkt jo er!) – og huske folk når de kommer igen.
Der er mange andre måder, som man kan bevare state. En af de mere udbredte er såkaldte session ID’s – en unik streng i URL’en, der følger brugeren gennem hele deres session. Den har bare en masse negative sideeffekter – f.eks. at den ødelægger de fleste SEO strategier. Så derfor bruger de færreste heldigvis den løsning i dag. Men måske vil vi komme til at se flere af dem nu, hvor politikerne har set sig sure på cookies.
En anden måde at bevare en eller anden form for “state” – og kunne genkende folk, er gennem “profiling”. Det er bare temmelig besværligt for de fleste sites at anvende, og det er ikke helt sikkert nok i forhold til f.eks. shopping.
Iøvrigt er der mange andre måder at overvåge Internetbrugerne på. En af de mere omfattende en service som den HitWise tilbyder. De tilbyder nogle sindssygt spændende rapporter, der bygger på logfiler fra ISP’erne. Her kan man så se hvilke andre sites brugerne har været på, hvad de søgte på for at finde konkurrenterne og meget mere guf. Og det kræver altså ingen cookies.
Iøvrigt registreres vi også mange andre steder – udenfor Nettet. Det sker f.eks. i supermarkeder, der (naturligvis) registrere vores køb og hvordan vi bevæger os rundt i butikken. På baggrund af dette kan de så justere butikkens indretning og varernes placering, så vi køber mere. Men det har jeg ikke hørt noget om, at politikerne vil forbyde eller kræve at hver enkelt kunde skal godkende.
3. Cookies teknologien er eksploderet!
I den mere underholdende del af argumenterne påstår Kresten Bay, kontorchef i IT- & Telestyrelsens IT-sikkerhedskontor, at “Teknologien har udviklet sig eksplosivt …”. Jeg kan ikke lige huske, hvornår cookies blev opfundet – de har vist været der så længe jeg kan huske. Det eneste der vist har udviklet sig eksplosivt er politikere og embedsmænds panikreaktioner på “IT-spøgelser”.
4. Cookies er mest til det onde
Der virker somom pressen og politikerne generelt set opfatter cookies mere som et onde end et gode. Men det er langt fra tilfældet! Det er helt fordrejet. Cookies er først og fremmest en simpel teknisk indretning der gavner brugerne.
Det er lidt ligesom med en hammer. Langt de fleste bruger den til at slå søm i og det er godt. Nogle ganske få bruger den til at slå andre i hovedet med. Det er ikke så godt. Men det betyder jo ikke at vi opsætter nogle fuldkommen sindssige restriktioner for ejerskab og handel med hammere.
Med cookie lovgivningen er det hammerne som man ulovliggører i stedet for de handlinger, som vi ikke ønsker folk skal foretage med deres hammer.
Udover de mere åbenlyse situationer som shopping, bruger logins osv., hvor de fleste godt kan se at cookies er nødvendige, eller det bedste, så er der også en række situationer, hvor en strammere cookie lov direkte vil kunne skade mennesker.
Et godt eksempel er debatter, hvor mange børn deltager. Sådanne debatter har desværre en tendens til at tiltrække pædofile. Alle seriøse debatter med børn forsøger naturligvis at holde den slags svin ude. Cookies er en af de metoder de bruger. Men de bruger også andre metoder – f.eks. de 8-10 andre former for mere eller mindre skjulte “cookies” man kan lave (f.eks. Flash cookies, HTML5, RGB values osv). Disse “lyssky” metoder er en af de bedst tekniske beskyttelser mod overgreb af vores børn i disse debatter. Men det skal så nu være ulovligt forstår jeg.
Spørgsmålet er så, hvor mange pædofile overgreb politikerne er pararte til at acceptere, som konsekvens af deres cookie-skræk? (hvis man nu skal sætte det lidt på spidsen).
René Madsen skriver
Loven er makværk
Der er tale om hurtige beslutninger og igangsætning af lovgivning for at opretholde de deadlines der foreligger fra EU.
Lovgivningen er ikke fulgt op af en fortolkning af lovgivningen, hvilket er normalt for lovgivning.
Her er der noget elastik, hvor de forskellige aktører, brancheorganisationer og lign. ønskes inddraget med løsningsmodeller.
Det offentlige som ligeledes anvender disse teknologier på offentlige websites, de er ikke kommet med en anvisning på hvorledes de vil tackle den kommende lovgivning, dette kunne være interessant.
Bekendtgørelsens § 3 har følgende ordlyd.
Fysiske eller juridiske personer må ikke lagre oplysninger eller opnå adgang til oplysninger, der allerede er lagret, i en slutbrugers terminaludstyr eller lade en tredjepart lagre oplysninger eller opnåp adgang til oplysninger, hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldestgørende information om lagringen af eller adgangen til oplysningerne.
Dette betyder det ikke kun er cookies teknologi direktivet henviser til, men alle teknologier, der prøver at identificere brugeren ved at hente oplysninger fra den enkelte bruger.
Peter Lauge skriver
Jeg syntes at Esben her kommer med et rigtig godt forlag til en løsning:
http://goo.gl/Y0806
Martin skriver
Ang. punkt 4.
Det er jo lige præcis den løsning via har set med knivloven, hvor helt almindelig mennesker pludselig er blevet gjort kriminelle. Der findes altså eksempler på at politikerne “opsætter nogle fuldkommen sindssige restriktioner for ejerskab og handel med” knive.
Det synes jeg med al tydelighed viser, at hovsa-lovgivning er et populært redskab, om ikke til at skabe et bedre samfund, så i hvert fald til at tækkes visse dele af vælgerskaren med.
Andre eksempler er spærringen af Pirate Bay eller et kommende forbud mod prostitution: Man kriminaliserer mange almindelig mennesker i stedet for at tage fat på det egentlig problem. I dette tilfælde piratkopiering og menneskehandel.
Jeg har derfor ikke den store tiltro til, at politikerne vil sætte sig ind i sagerne omkring cookies. Det er trods alt meget nemmere bare at forbyde dem.
Rasmus Hjordt skriver
Der er desværre stadig mange politikere, der kun har et overfladisk kendskab til internettet og hvordan det fungerer. Derfor bliver megen lovgivning dikteret af lobbyister med særlige interesser – og embedsmænd, der lovgiver bare for at lovgive.
Mikael Andersen skriver
Relevant point med overvågningen i butikker. Det kunne være en god ide, at der blev vedtaget en lov, hvor borgerne skal have mulighed for at godkende, at man bliver overvåget af overvågningskameraer, af fotofælder, og fx når der er risiko for, at man bliver en del af motivet på et foto.
Eller også skal der måske bare indføres en lov, der forbyder embedsmænd at foretage sig noget som helst. Det vil trods alt give samfundet en større værdi, end når de fumler rundt.
Magnus B. skriver
Det virker som om at det er lobbyist arbejde fra folk i offline marketing branchen. De føler sig truet af online markedsføring hvor reklamerne er utrolig målrettede og utrolig målbare, modsat offline hvor man ofte skyder med spredehagl.
Nikolaj Mogensen skriver
Haha DeMib – du forstår at spille på følelserne 😉
Men når vi snakker politik så er det vel langt hen af vejen et spørgsmål om stemmer – og når folk simpelthen ikke forstår cookies så har vi balladen. Især når cookies bliver hæftet sammen med ord som overvågning og kontrol og der tror jeg du har en rigtig god pointe i at slev dem der interviewes som eksperter heller ikke kan skelne.
Det er der vi har sådan en som dig Mikkel – godt informativt indlæg 😎
Christian S skriver
Der er jo ingen tvivl om at 90% af alle cookies indeholder trojanske heste.
Min netbank blev hacket i fjor fordi EkstraBladet.dk lagde en cookie paa mit drev.
Og de cookies der er gemt på min HD er sjovt nok blevet fanget af min nabos trådløse forbindelse. Nu er han ogsaa blevet hacket!
Sidst jeg kiggende i min cookie mappe, blue screenede jeg for sindsygt. Bare ved at kigge i mappen kan man let opfange stress. Og alle ved jo, at stress leder til SARS.
Jeg tør næsten ikke gå ud mere. De der cookies er jo alle vegne.
Mvh
Christian
Kommunikation og Web-Jesper skriver
Loven er et informationspåbud og ikke et forbud mod cookies, som det udlægges i blog-indlægget (kan jeg sige bagklogt).
Her kan man se hvordan IT- og Telestyrelsen som udformer bekendtgørelsen selv fortolker loven i praksis. Nemlig, ved at lave en side på hjemmesiden der forklarer hvordan sitet bruger cookies:
http://www.itst.dk/om-styrelsen/om-itst.dk-1/brug-af-cookies
Fortolkningen synes at være endt med at man tydeligt skal gøre opmærksom på det, hvis man automatiseret lagrer og/eller henter data på brugerens computer. Man skal ikke fortælle præcist hvilke data man indsamler, men hvad data bruges til, og hvem der gives adgang til dem (eks. til markedsføringsformål via Google Adsense).
Påbuddet gælder ikke bare cookies, men en hvilken som helst data der lagres/hentes på et device, og inkluderer altså også de CSS history hacks og alle andre analyseværtkøjer som indsamler data fra en brugers device.
Lovgivningen undtager i øvrigt informationspligten ved teknisk brug af datalagring, som er nødvendig for at en service kan fungere. Man skal altså tilsyneladende ikke gøre opmærksom på at f.eks. en webshop bruger cookies til at huske indholdet af en indkøbskurv.
Set i lyset af at markedet lige nu eksploderer i myriader af devices, som per default sporer vores mindste bevægelser og handlinger, er det da stadig en dårlig idé, at stater, myndigheder og virksomheder pålægges at informere om automatiseret indsamling og brug af privatlivsinformationer?