Direttiva EU sui cookie

Apprendo oggi leggendo slashdot che il 25 maggio entrerà in vigore una
direttiva dell’EU che tra le altre cose regola l’utilizzo dei cookie. E’
stata pensata più che altro per impedire il tracciamento degli utenti a
scopo pubblicitario, ma di fatto ha ripercussioni un po’ ovunque, anche
sul classico Remember Me delle login. Vi do come riferimento
http://www.carmelofontana.com/2011/02/come-cambia-la-disciplina-dei-cookies.html
che spiega molto bene di quel che si tratta.

Da quel che ho letto in giro difficilmente verrà fatta rispettare
subito, perché come hanno capito anche i legislatori ci sono non pochi
problemi tecnici ed organizzativi da risolvere, non ultimo quello che i
framework comunemente usati si basano su un uso alquanto libero dei
cookie e che andranno adeguate anche tutte le vecchie applicazioni già
in uso (qui potrebbe aprirsi un bel mercato, anche se immagino che tanti
nostri clienti preferiranno lasciar tempo al tempo).

Passo quindi a chiedervi quali potrebbero essere le ripercussioni sul
modo di progettare le applicazioni Rails. Inizio io con un esempio e due
considerazioni.

Esempio: rubyforum imposta due cookie agli utenti non loggati. Negli
header della risposta che si vedono con wget -S
http://www.ruby-forum.com/forum/rails ci sono

Set-Cookie: return_to=%2Fforum%2Frails; path=/
Set-Cookie: _ruby-forum.com_session=; path=/; expires=Sun,
20-Mar-2011 09:26:17 GMT; HttpOnly

e questo non sarebbe più permesso ai siti delle aziende EU.

Considerazioni:

  1. Non si dovrebbe più assegnare dei cookie (cookie[:xyz] = …) a meno
    di aver avuto l’ok esplicito dell’utente.

  2. Si dovrebbe disabilitare qualsiasi session store fino all’ok
    dell’utente, ma non mi pare che si possa disabilitarlo solo per certe
    rotte. Quindi l’unica soluzione praticabile fin da ora mi pare che sia
    confinare gli utenti su un sito statico fino al loro consenso all’uso
    dei cookie, che sarà un link che porterà al sito dinamico. Ma come fare
    a bloccare i bookmark a pagine generate da Rails? Inoltre questa sarebbe
    la fine delle home page con contenuti dinamici: bisognerebbe
    staticizzarle, generandole magari anche ogni minuto con un job in
    background.

E temo che questo sia solo l’inizio. Chi vuol dare una mano a fare
l’elenco di quello che si dovrà cambiare nelle nostre applicazioni
quando verrà fatta rispettare la direttiva?

Se non altro il test di conformità sarà semplice: si apre firebug con
firecookie e se si vede apparire un cookie prima del consenso, allora si
saprà che non siamo a norma.

Paolo

On Mar 10, 2011, at 10:36 AM, Paolo M. wrote:

CUT

Delirante.
Io sono incorporato negli States, direi che me ne frego, o violo la
legge.
Fa molto piacere notare che non solo l’Europa e i vari stati componenti
falliscono sotto ogni punto di vista nella creazione di un ecosistema
fiscale startup-friendly, ma riescono anche a dare insperati vantaggi ai
paesi civili, in modo da rendere l’apertura di startup in Europa, come
dire … improbabile.
Pazienza.

ngw


[ 926381, 23200231779, 1299022, 1045307475 ].collect { |a| a.to_s( 36 )
}.join( " " )
Nicholas W. (ngw)
[email protected]
http://www.nofeed.org

CUT

Delirante.
Io sono incorporato negli States, direi che me ne frego, o violo la legge.

Stavo pensando la stessa cosa:-)

Fa molto piacere notare che non solo l’Europa e i vari stati componenti
falliscono sotto ogni punto di vista nella creazione di un ecosistema fiscale
startup-friendly, ma riescono anche a dare insperati vantaggi ai paesi civili, in
modo da rendere l’apertura di startup in Europa, come dire … improbabile.

Eh, ‘civile’… ognuno ha le sue cazzate, percheil mondo e pieno di
cretini, ovunque tu vada:-) Da bravo pessimista, potrei citare le
tante cose stupide di tutti i paesi che ho vissuto.


David N. Welton

http://www.welton.it/davidw/

http://www.dedasys.com/

2011/3/10 Nicholas W. [email protected]

On Mar 10, 2011, at 10:36 AM, Paolo M. wrote:

CUT

Delirante.

sono d’accordo, anche perche’ la direttiva EU si presta a molte
interpretazioni nelle leggi nazionali che la dovranno implementare,
tanto
che ad esempio pare che alcuni stati ritengano gia sufficiente la
normativa
attuale…

il testo della direttiva e’ il seguente:

  1. Member States shall ensure that the storing of information, or the
    gaining of access to information already stored, in the terminal
    equipment
    of a subscriber or user is only allowed on condition that the
    subscriber or
    user concerned has given his or her consent, having been provided with
    clear
    and comprehensive information, in accordance with Directive 95/46/EC,
    inter
    alia, about the purposes of the processing. This shall not prevent any
    technical storage or access for the sole purpose of carrying out the
    transmission of a communication over an electronic communications
    network,
    or as strictly necessary in order for the provider of an information
    society
    service explicitly requested by the subscriber or user to provide the
    service
    .

L’ultima frase e’ importante, perche’ si presterebbe ad una
interpretazione
‘ragionevole’ (non si deve chiedere il permesso per cookie che sono
necessari all’erogazione di un servizio richiesto dall’utente) ma
temo
che qui si vedranno all’opera le diverse sensibilita’ dei governi
nazionali
(e allora poveri noi…)

Luca

On Thu, Mar 10, 2011 at 10:52 AM, Luca M.
[email protected] wrote:

che qui si vedranno all’opera le diverse sensibilita’ dei governi nazionali
(e allora poveri noi…)

sembra anche a me, ma rimane non chiaro cosa si configura come
richiesta:

  • quando si registra, mettendo la checkbox in pi, 99% si
  • quando si registra, considerando che stato richiesto un servizio 90%
    si
  • quando non si registra ma compie un’azione esplicita, e.g. se
    permetti di creare dei doc online senza registrazione, quanto
    esplicito?
  • quando non si registra, compie un’azione ma non chiaro quanto
    esplicita (se manda un commento a un articolo, quanto esplicito?)


blog en: http://www.riffraff.info
blog it: http://riffraff.blogsome.com
work: http://cascaad.com

In ogni caso la “direttiva” deve essere recepita dal legislatore
nazionale… quindi: staremo a vedere.

Il 10 marzo 2011 12:10, Luca M. [email protected] ha
scritto:

Luca


Ml mailing list
[email protected]
http://lists.ruby-it.org/mailman/listinfo/ml


Carlo P.
email: [email protected]
twitter: @carlopecchia

2011/3/10 gabriele renzi [email protected]

sembra anche a me, ma rimane non chiaro cosa si configura come richiesta:

  • quando si registra, mettendo la checkbox in pi, 99% si
  • quando si registra, considerando che stato richiesto un servizio 90% si
  • quando non si registra ma compie un’azione esplicita, e.g. se
    permetti di creare dei doc online senza registrazione, quanto
    esplicito?
  • quando non si registra, compie un’azione ma non chiaro quanto
    esplicita (se manda un commento a un articolo, quanto esplicito?)

credo che lo spirito della direttiva fosse di costringere i siti a
rivelare se e quali meccanismi di terze parti utilizzino per il
tracking
degli utenti, quindi (in teoria) nessuno dei casi che citi sarebbe
dovuto
rientrare nei casi previsti, purche’ tutti quei cookie siano gestiti dal
servizio stesso a cui accedi. Purtroppo il condizionale e’ d’obbligo…

Interessante anche questo commento:
http://eu.techcrunch.com/2011/03/09/stupid-eu-cookie-law-will-hand-the-advantage-to-the-us-kill-our-startups-stone-dead/#comment-162920924

Luca

This forum is not affiliated to the Ruby language, Ruby on Rails framework, nor any Ruby applications discussed here.

| Privacy Policy | Terms of Service | Remote Ruby Jobs