-
cookieyes.com——一个致力于提供GDPR/CCPA同意解决方案的网站——毫无疑问有一个极好的、微创的cookie横幅。
-
《卫报》的cookie横幅更令人讨厌——它使用了更大胆的颜色,更冗长,并且在处理之前占用了大量的屏幕空间。
-
英国《泰晤士报》有一个特别令人讨厌的cookie横幅——在未被处理之前,它几乎会屏蔽所有网站内容。也没有“简单的拒绝”选项,只是点击一个X。
欧洲联盟的《一般资料保障规例》(GDP.)要求网站在放置cookie之前,必须征得访问者的同意。正如任何互联网用户现在所知道的,这意味着当第一次访问几乎任何网站时(或可能访问)都需要额外的步骤每一个时间,如果你选择不接受饼干。新提出的HTTP标准来自不关你的事和可持续计算实验室是否允许用户设置自己的隐私偏好一次,在浏览器本身内,并且浏览器与用户访问的任何网站无形地将这些偏好通信。
高级数据保护控制
所提出的标准使两种自动偏好传递方法能够直接与托管正在访问的网站的Web服务器进行通信的方法,以及与网站本身通信的另一种方式。
当ADPC.直接与Web服务器进行通信,它通过HTTP标题 - 将链路标头指向服务器上的JSON文件以及用户浏览器发出的ADPC报头。与网站本身通信时,该机制通过JavaScript-配置将作为对象传递给DOM接口,例如,navigator.dataProtectionControl.request(…).
在任何一种情况下,用户的隐私首选项都将传送到网站或服务器作为他们同意的请求标识符列表。此列表是在ADPC标题中发送的,以获取基于HTTP的方法,并作为JavaScript方法中DOM接口的最终返回值。
尽管这两种机制以相似的方式实现了相同的目标,但仍然有很多理由支持这两种机制。基于http的方法可能更有效——但它显然需要显式支持它的web服务器应用程序的新版本(或者至少在像Apache这样支持它们的服务器的情况下,需要新的可插入模块)。与此同时,基于JavaScript的机制不需要任何特殊的web服务器配置就可以工作——但是对于那些拒绝启用JavaScript的用户来说,它将无法工作。
同意请求资源
无论使用HTTP还是JavaScript机制,JSON文件都是ADPC网站的核心。同意文件看起来像这样:
{"consentRequests": {"cookies": "在您的设备上存储和/或访问cookies。","ads_profiling": "创建个性化的广告配置文件。"} }在基于HTTP的ADPC中,web服务器在响应HTTP GET时直接链接到同意文件:
http / 1.1 200确定链接:;rel =“同意请求”当Web浏览器检测到此链接时,它可以通过先前用户配置的设置响应或通过弹出对话框请求从用户请求答案(最有可能,从浏览器的锁定按钮生成一个)。一旦用户相应地设置了他们的偏好,浏览器在将来的HTTP GET请求上包含一个ADPC头:
获取/page.htm http / 1.1主机:网站.tld adpc:撤回= *,同意= cookie在上面的例子中,我们看到一个类似于网络防火墙的配置:以撤回= *,通过特定的接受覆盖饼干.因此,对于想要设置cookie并创建广告配置文件的我们的网站,Cookie请求被授予(允许存储,例如用户身份验证和个人设置),但拒绝广告配置文件。
ADPC方案的另一个好处是,用户可以使用自己的浏览器进行交互,在任何网站上都可以使用一致的UI。另一个好处是,用户可以在不需要cookie的情况下为一个网站设置持久的偏好——对于必须通过嵌入在网页中的横幅请求同意的网站来说,这是不可能的。
最后,cookie横幅可能经常根本不显示——在我们的测试中,流行的广告拦截插件阻止了许多cookie横幅的显示,包括但不限于《卫报》s。这种阻塞可能是由于由过于激进的块规则或故意最小化“点击疲劳”而导致的侧支损坏是由于抵消损坏。在任何一种情况下,他们都可以防止用户直接表达同意或拒绝与隐私相关的问题。
请求,而不是命令
需要注意的是,ADPC并不是一种强制执行用户隐私配置的机制——它只是一种要求用户遵守欧盟GDPR和其他地方类似隐私法律的常规方式。
从技术上讲,没有什么可以阻止一个假想的符合adpc的网站请求允许为用户创建一个广告资料,但是被拒绝了,然后还是创建了这个资料。但是合法的网站可以以一种更易于机器阅读、更一致、更不容易让用户感到疲劳的方式请求同意。
ADPC仍然帮助用户处理那些忽视用户偏好的可疑网站——在GDPR或其他诉讼事件中,用户的偏好更有可能被记录并从他们自己的系统中读取。如果用户通过cookie横幅拒绝接受任何cookie,他们表达的偏好将无法保存和记录-但ADPC偏好将被保存和记录。
即使用户与Cookie横幅交互接受cookie(但禁用广告分析),那么Cookie也更有可能被用户本身误解“清理”。“清洁”可以在寻求维护隐私甚至解决频繁访问的网站的问题。由于ADPC偏好仅适用于在隐私问题上表达或拒绝同意 - 以来,因此他们被摧毁的原因要少得多。
清单图像by.RDSMITH4 / WIKIMEDIA.
127读者评论
https://en.m.wikipedia.org/wiki/p3p. - 19年前
唯一对无摩擦技术解决方案感兴趣的网站可能是已经尝试简化选择尽可能简化的网站。换句话说:不多。
唯一对无摩擦技术解决方案感兴趣的网站可能是已经尝试简化选择尽可能简化的网站。换句话说:不多。
这一点。
已经有一个简单的解决方案了几乎和这个建议一样方便,那就是在横幅上放一个“不要跟踪我!”按钮。一些网站(数量少得令人沮丧)已经这样做了。我不确定前面的横幅是不是任何法律的要求。网站可以简单地将访客完全排除在cookie之外,直到他们选择使用某个需要的功能,并在这时询问。
令人讨厌的横幅是有大多数用户使用便捷的按钮,可以在一点击一下单击一下,让大多数用户使用便捷的按钮。
最后编辑chaos215bar22021年6月16日星期三晚上7:08
隐私需要形式化,就像计算机安全和密码学一样,还有可量化的保证和界限。所有这些半途而废的不明确措施都是在浪费每个人的时间。
Cookie独自同意已浪费了未销售量的人类(用户和网站开发人员)和机器时间。
唯一对无摩擦技术解决方案感兴趣的网站可能是已经尝试简化选择尽可能简化的网站。换句话说:不多。
这一点。
已经有一个简单的解决方案了几乎和这个建议一样方便,那就是在横幅上放一个“不要跟踪我!”按钮。一些网站(数量少得令人沮丧)已经这样做了。我不确定前面的横幅是不是任何法律的要求。网站可以简单地将访客完全排除在cookie之外,直到他们选择使用某个需要的功能,并在这时询问。
令人讨厌的横幅是有大多数用户使用便捷的按钮,可以在一点击一下单击一下,让大多数用户使用便捷的按钮。
网站内部跟踪并不是cookie存在的唯一原因。
除了这个原因,cookie还有一个完全正当的存在理由。
我喜欢这个解决方案的想法,但希望确保它运作良好,并提供比仅接受/拒绝更进一步的级别的选择。例如,我对网站本身的饼干完全没问题,但第三方饼干不太好。这个新的实施是否支持这一点?
我想象它可能是与实际上具有功能取消订阅的网站数量。
隐私需要形式化,就像计算机安全和密码学一样,还有可量化的保证和界限。所有这些半途而废的不明确措施都是在浪费每个人的时间。
Cookie独自同意已浪费了未销售量的人类(用户和网站开发人员)和机器时间。
说起来容易做起来难。
考虑密码学类比:只要有足够多的数字理论家,就有可能对各种密码学原语和算法的性质作出一些令人着迷的、非常有力的断言;但当要付诸实践时,事情很快就会变得混乱和模糊:
有两个用户混淆(例如人们会曾经要可靠地理解浏览器挂锁意味着您正在与持有相关私钥的人对话,而不是那些试图伪造私钥却无法访问该密钥的人;和什么?不押注于此);还有一个相当重要的应用领域,它实际上与隐私控制有很多共同之处:DRM。
DRM实现当然倾向于使用加密(以及哈希和签名,使其更难被篡改);但根本的斗争不是密码分析的问题;但客户端设备将服从谁的斗争。
同样,在某些特定情况下,“隐私”也会受到相对严格和强有力的编纂。人们可以非常精确地说明端到端加密协议和在传输中加密但使用供应商密钥的协议之间的区别);但是,要说出任何有用的东西(或甚至必须足够了解推理/去匿名化攻击,甚至知道什么是有用的或无用的),就更难了,因为你需要从大量的第三方计算机提供“隐私”的确切行为。
在DRM的情况下,说法始终只有一个傻瓜信任客户。出于隐私目的,只有吸盘信任服务器。
我一直想知道,因为内容提供商想要支付,而ISPS费用过多,因为它们提供了它们的生产成本,为什么内容提供商刚刚直接由ISPS付款?
这应该是这样,直到广告不吮吸。
ISP希望跟踪您在线生活的各个方面,并将信息销售给广告网络。
完全削减内容提供商。
跟踪使用。
观看广告干涸。
我注意到你不是ars的订户。
这应该是这样,直到广告不吮吸。
你真的想让你的ISP决定哪些网站可以生存,哪些不能?
最后编辑伊尔氏唱片于6月16日星期三7:42 PM
https://chrome.google.com/webstore/deta…lnja吗?hl = en
显然,这样的扩展和其他类似的扩展有其负面的隐私和安全影响,这是GDPR法在实践中可能产生反作用的另一种方式。不便会带来聪明的变通办法,结果可能和不便所要解决的情况一样糟糕甚至更糟。
我一直想知道,因为内容提供商想要支付,而ISPS费用过多,因为它们提供了它们的生产成本,为什么内容提供商刚刚直接由ISPS付款?
这应该是这样,直到广告不吮吸。
你想互联网变成一个更复杂的“优质”电话号码、优质短信的美妙世界;美元或WAP账单?
互联网肯定是一个糟糕的社区;但这是一个GRIMDARK的地方(如果你担心隐私,把承运人带负责展会有......某些明显的缺点)。
https://en.m.wikipedia.org/wiki/p3p. - 19年前
不同的是,19年前,这个星球上的每个网站都没有法定的版面来覆盖它的内容。我怀疑这个计划至少比之前的计划更有可能成功。
好像又多了一个非cookie数据点。还是我完全错过了?
*编辑*语法
最后编辑ukeandhike.2021年6月16日星期三晚上7:52
好像又多了一个非cookie数据点。还是我完全错过了?
*编辑*语法
你忽略了用户在其他情况下需要手动输入的相同信息(而且答案不必对每个网站都一样)。点击“不,去你的”和让你的浏览器为你发送它没有什么有效的区别,除了你不再需要自己去做(如果你一开始就拒绝所有的cookie,每次页面加载都是这样)。
好像又多了一个非cookie数据点。还是我完全错过了?
*编辑*语法
你忽略了用户在其他情况下需要手动输入的相同信息(而且答案不必对每个网站都一样)。点击“不,去你的”和让你的浏览器为你发送它没有什么有效的区别,除了你不再需要自己去做(如果你一开始就拒绝所有的cookie,每次页面加载都是这样)。
这是有意义的,所以除非我在给我提供选项的弹出窗口中为每个站点定制cookie设置,否则它将只是一个自动的中指,而不是我手动去做。就像你说的,人们有时已经在做定制选项了,所以这是没有意义的。谢谢!
跟踪使用。
观看广告干涸。
呵呵?这是一个严肃的想法吗?
如果我是慈善家百万富翁我想在互联网上发垃圾广告说"kind陌生人,你认为这应该是非法的,仅仅因为没人从中获利?
你为什么要创造一个微型管理的官僚主义噩梦,就像大多数奖励最多的利润动机基础?
跟踪使用。
观看广告干涸。
呵呵?这是一个严肃的想法吗?
如果我是慈善家百万富翁我想在互联网上发垃圾广告说"kind陌生人,你认为这应该是非法的,仅仅因为没人从中获利?
你为什么要创造一个微型管理的官僚主义噩梦,就像大多数奖励最多的利润动机基础?
还有政治广告,显然它们能让一些人赚很多钱,但严格来说它们不是销售广告,所以…
现在你只需点击“接受”到处都是。除了变得更糟之外,没有别的改变。
想象一下,每次你坐进你的车里,你都必须点击一个表示你接受你可能会爆胎的框。
编辑:我不确定人们是理解我的观点。我不喜欢跟踪。但是,在每个该死的网页上都会在每个该死的网页上都会让您单击“接受”不会进行狗屎。
最后编辑Xaxxon.2021年6月17日(周四)12:44
有很长一段时间,我已经在Firefox和Vivaldi中使用了扩展来管理我的cookie,两者都以相同的方式工作:扩展程序维护一个允许生活的cookie的白名单,并且在指定的情况下删除了那些未删除的cookie的白名单间隔。您通过单击分机的工具栏按钮并选择白名单(Domain.tld)或(* .domain.tld)来将东西添加到白名单中。或者您可以通过设置手动编辑白名单。
这样,我可以保持登录Ars,例如,同时也自动删除不想要的cookie,从imgur或你有什么(喜欢双击不会通过我的孔)。
这似乎是一种比不断纠缠用户更理智的方法。
但是,有一个问题:用户是白痴,他们可能不知道手动将谁列入白名单。例如,我的工作使用Ping SSO,所以我绝对需要他们的cookie。但我只是非常短暂地点击Ping,所以不会轻易通过点击扩展工具栏按钮来将它们列入白名单,我需要手动将其添加到扩展设置的白名单中。
我相信这个问题可以通过一点机器学习魔法或者仅仅是一个中央提供的白名单来解决(就像广告服务器列出uBlock使用的名单一样),但我还不够聪明,无法找出所有需要解决的细节。
或者我猜是TLDR:让浏览器像对待临时文件一样对待cookie,并定期删除它们。
隐私需要形式化,就像计算机安全和密码学一样,还有可量化的保证和界限。所有这些半途而废的不明确措施都是在浪费每个人的时间。
Cookie独自同意已浪费了未销售量的人类(用户和网站开发人员)和机器时间。
说起来容易做起来难。
考虑密码学类比:只要有足够多的数字理论家,就有可能对各种密码学原语和算法的性质作出一些令人着迷的、非常有力的断言;但当要付诸实践时,事情很快就会变得混乱和模糊:
有两个用户混淆(例如人们会曾经要可靠地理解浏览器挂锁意味着您正在与持有相关私钥的人对话,而不是那些试图伪造私钥却无法访问该密钥的人;和什么?不押注于此);还有一个相当重要的应用领域,它实际上与隐私控制有很多共同之处:DRM。
DRM实现当然倾向于使用加密(以及哈希和签名,使其更难被篡改);但根本的斗争不是密码分析的问题;但客户端设备将服从谁的斗争。
同样,在某些特定情况下,“隐私”也会受到相对严格和强有力的编纂。人们可以非常精确地说明端到端加密协议和在传输中加密但使用供应商密钥的协议之间的区别);但是,要说出任何有用的东西(或甚至必须足够了解推理/去匿名化攻击,甚至知道什么是有用的或无用的),就更难了,因为你需要从大量的第三方计算机提供“隐私”的确切行为。
在DRM的情况下,说法始终只有一个傻瓜信任客户。出于隐私目的,只有吸盘信任服务器。
用户体验始终存在,这超出了我们的目标。目标是看哪些目标需要优化。“隐私”到底是什么意思,因为从极端意义上说,它意味着你甚至不能登录车管所的网站。
至于用户数据是本地操作还是远程操作,只要有可证明的保证,就不会有傻瓜。
至于指标,它们可以是类似于基于数据能够识别个人的概率。然后是用户可以决定他们是否愿意这样做。
就我个人而言,我并不相信“不要使用我的数据,或者我不想被识别”。相反,我想要简单的一键控制,当我想要我的数据删除或身份更改为一个新的。
编辑:哈哈!Downvotes吗?Da fuq,人呢?好吧,也许这听起来有点像广告。它不是。
最后编辑肿瘤2021年6月17日周四上午8:18
有很长一段时间,我已经在Firefox和Vivaldi中使用了扩展来管理我的cookie,两者都以相同的方式工作:扩展程序维护一个允许生活的cookie的白名单,并且在指定的情况下删除了那些未删除的cookie的白名单间隔。您通过单击分机的工具栏按钮并选择白名单(Domain.tld)或(* .domain.tld)来将东西添加到白名单中。或者您可以通过设置手动编辑白名单。
这样,我可以保持登录Ars,例如,同时也自动删除不想要的cookie,从imgur或你有什么(喜欢双击不会通过我的孔)。
这似乎是一种比不断纠缠用户更理智的方法。
但是,有一个问题:用户是白痴,他们可能不知道手动将谁列入白名单。例如,我的工作使用Ping SSO,所以我绝对需要他们的cookie。但我只是非常短暂地点击Ping,所以不会轻易通过点击扩展工具栏按钮来将它们列入白名单,我需要手动将其添加到扩展设置的白名单中。
我相信这个问题可以通过一点机器学习魔法或者仅仅是一个中央提供的白名单来解决(就像广告服务器列出uBlock使用的名单一样),但我还不够聪明,无法找出所有需要解决的细节。
或者我猜是TLDR:让浏览器像对待临时文件一样对待cookie,并定期删除它们。
我过去经常乱用cookie管理器扩展。但最终,我发现每次关闭浏览器时,自动转储所有cookie通常更简单。
我也可能会在这期间扔掉几次饼干,如果是几个小时之后,或者只是在某个时候觉得合适。
欧盟对追踪和设备指纹的其他技术做了什么?
据我所知,除了作为指纹跟踪的额外数据之外,没有任何网站实际上会受到任何关注。
我也可能会在这期间扔掉几次饼干,如果是几个小时之后,或者只是在某个时候觉得合适。
或者你只能使用safari。它在七天后转储大多数cookie,如果两个网站试图访问相同的cookie ......他们得到自己的单独价值。
当前在测试版中的Safari版本进一步进一步,如果第三方服务器尝试设置cookie,它将被标记为跟踪器,并且将通过类似于Tor(Apple调用它“私有中继的东西路由到该服务器的所有流量“)。
关于他们怎么样?欧盟应该如何变化?
在欧盟,选择退出是默认的。网站不能跟踪你,除非你选择加入。这就是为什么有那么多网站骚扰你选择加入。
几年前,他们所做的就是将指纹识别定为非法,除非用户“知情、明确地同意”使用指纹识别。
现在你只需点击“接受”到处都是。除了变得更糟之外,没有别的改变。
想象一下,每次你坐进你的车里,你都必须点击一个表示你接受你可能会爆胎的框。
你的意思是像NAV警告我每次开始车都要接受?我不必想象。
只有在使用cookie识别和跟踪用户行为时才需要cookie横幅。
所以,是的,我们可以创建一个浏览器函数,以标准的方式显示cookie提示。这可以降低遵从性的障碍,因为网站只需声明他们的请求并让浏览器显示相关提示即可。另一方面,它不会阻止网站做自己的事情,所以横幅广告总是会出现。
网站可以选择不默认跟踪来消除前置横幅广告的需求,但这对“广告驱动”的网站来说可能有点过分。
是的,我也有类似的问题GPC去年提出的规范,现在这一点。
像所有网站一样,这个使用HTML和CSS。欧洲法律尚未要求我们向您通知您,但我们决定无论如何。
[关闭这个愚蠢的横幅很好] [愤怒地关闭这个愚蠢的横幅]
GDPR涵盖浏览器指纹识别。IP,安装软件,字体等的数据库是个人身份信息,并由GDPR覆盖。您需要用户的权限存储它,并且用户有权在任何点拒绝许可,并要求您删除所有个人身份信息(在您没有GDPR的欧盟中,您只需获得“我们正在挖掘你,你不能阻止我们”横幅,所以我明白为什么你觉得无能为力战斗它)
隐私需要形式化,就像计算机安全和密码学一样,还有可量化的保证和界限。所有这些半途而废的不明确措施都是在浪费每个人的时间。
Cookie独自同意已浪费了未销售量的人类(用户和网站开发人员)和机器时间。
没有必要废除。我们只需要添加一个条款,即拒绝所有跟踪应该像同意所有跟踪的最便捷方式一样简单。这样所有的暗纹都无效了。当同意一切只是一个简单的步骤时,我总是感到惊讶这将永远被铭记虽然痛苦地拒绝所有人似乎都需要每周重新确认。需要禁止胡说。
你必须登录或者创建一个帐户置评。