(撤回= *同意= cookie)ftw -

一个新的HTTP规范建议消除令人讨厌的“饼干横幅”

显式隐私通信机制可以简化UI并限制用户疲劳。

欧盟一般数据保护条例(GDPR)要求网站在放置cookie之前,必须征得访问者的同意。正如任何互联网用户现在所知道的,这意味着当第一次访问几乎任何网站时(或可能访问)都需要额外的步骤每一个时间,如果你选择不接受饼干。新提出的HTTP标准来自管你什么事可持续计算实验室是否允许用户设置自己的隐私偏好一次让浏览器以不可见的方式与用户访问的任何网站交流这些首选项。

高级数据保护控制

提议的标准支持两种自动首选项交付的方法——一种是直接与被访问站点所在的web服务器通信,另一种是与网站本身通信。

什么时候ADPC.直接与Web服务器进行通信,它通过HTTP标题 - 将链路标头指向服务器上的JSON文件以及用户浏览器发出的ADPC报头。与网站本身通信时,该机制通过JavaScript-配置将作为对象传递给DOM接口,例如,Navigator.DataProtectionControl.Request(...)

在这两种情况下,用户的隐私偏好将作为他们同意的请求标识符列表传达给网站或服务器。这个列表在基于http的方法中以ADPC头发送,在JavaScript方法中作为DOM接口的最终返回值。

尽管这两种机制以相似的方式实现了相同的目标,但仍然有很多理由支持这两种机制。基于http的方法可能更有效——但它显然需要显式支持它的web服务器应用程序的新版本(或者至少在像Apache这样支持它们的服务器的情况下,需要新的可插入模块)。与此同时,基于JavaScript的机制不需要任何特殊的web服务器配置就可以工作——但是对于那些拒绝启用JavaScript的用户来说,它将无法工作。

同意请求资源

JSON文件位于网站的ADPC末端的核心,无论是使用HTTP或JavaScript机制到达它。该同意文件将看起来像这样:

{“同意语言”:{“cookies”:“存储和/或在设备上访问cookie。”,“ADS_ProfIning”:“创建个性化的广告配置文件。”}}

在基于HTTP的ADPC中,Web服务器直接链接到同意文件,以其对HTTP获取的响应:

http / 1.1 200确定链接:;rel =“同意请求”

当网页浏览器检测到这个链接时,它可以用先前用户配置的设置进行响应,或者通过弹出的对话框(很可能是由浏览器的锁定按钮产生的)向用户请求一个答案。一旦用户设置了相应的首选项,浏览器会在未来的HTTP GET请求中包含一个ADPC头:

GET /page.htm HTTP/1.1主机:网站。告诉ADPC: withdraw=*, consent=cookie

在上面的示例中,我们看到类似于网络防火墙在网络防火墙上看到的配置:默认拒绝取消= *,通过特定的接受覆盖饼干。因此,对于想要设置cookie并创建广告配置文件的我们的网站,Cookie请求被授予(允许存储,例如用户身份验证和个人设置),但拒绝广告配置文件。

ADPC方案的另一个好处是,用户可以使用自己的浏览器进行交互,在任何网站上都可以使用一致的UI。另一个好处是,用户可以在不需要cookie的情况下为一个网站设置持久的偏好——对于必须通过嵌入在网页中的横幅请求同意的网站来说,这是不可能的。

最后,Cookie横幅可能经常在我们的测试中显示,流行的广告阻止插件阻止了许多Cookie横幅的显示,包括但不限于《卫报》这种阻塞可能是由于过于激进的阻塞规则或故意试图减少“点击疲劳”所造成的附带损害。在任何一种情况下,它们都阻止用户直接表示同意或拒绝隐私相关问题。

请求,不是命令

重要的是要意识到ADPC不是执行用户隐私权的机制 - 它只是一种正常化的方式,要求遵守欧盟的GDPR和其他地方类似的隐私法。

无论如何,无论如何,没有任何假设的ADPC标准的网站要求为用户创建一个广告配置文件,然后拒绝,然后创建该配置文件。但是,合法的网站可以要求同意更加机器可读,一致,较少的用户疲劳方式。

ADPC仍然协助用户处理忽略其用户偏好的阴影网站 - 在GDPR或其他诉讼中,用户的首选项更有可能从自己的系统中记录和读取。如果用户拒绝通过cookie横幅接受任何cookie,则无法保存它们所表达的首选项,并记录 - 但是ADPC首选项将是。

即使用户与Cookie横幅交互接受cookie(但禁用广告分析),那么Cookie也更有可能被用户本身误解“清理”。“清洁”可以在寻求维护隐私甚至解决频繁访问的网站的问题。由于ADPC偏好仅适用于在隐私问题上表达或拒绝同意 - 以来,因此他们被摧毁的原因要少得多。

清单图像by.Rdsmith4 /维基

你必须评论。

渠道ARS Technica