Apprendo oggi leggendo slashdot che il 25 maggio entrerà in vigore una
direttiva dell’EU che tra le altre cose regola l’utilizzo dei cookie. E’
stata pensata più che altro per impedire il tracciamento degli utenti a
scopo pubblicitario, ma di fatto ha ripercussioni un po’ ovunque, anche
sul classico Remember Me delle login. Vi do come riferimento http://www.carmelofontana.com/2011/02/come-cambia-la-disciplina-dei-cookies.html
che spiega molto bene di quel che si tratta.
Da quel che ho letto in giro difficilmente verrà fatta rispettare
subito, perché come hanno capito anche i legislatori ci sono non pochi
problemi tecnici ed organizzativi da risolvere, non ultimo quello che i
framework comunemente usati si basano su un uso alquanto libero dei
cookie e che andranno adeguate anche tutte le vecchie applicazioni già
in uso (qui potrebbe aprirsi un bel mercato, anche se immagino che tanti
nostri clienti preferiranno lasciar tempo al tempo).
Passo quindi a chiedervi quali potrebbero essere le ripercussioni sul
modo di progettare le applicazioni Rails. Inizio io con un esempio e due
considerazioni.
Esempio: rubyforum imposta due cookie agli utenti non loggati. Negli
header della risposta che si vedono con wget -S Rails - Ruby-Forum ci sono
e questo non sarebbe più permesso ai siti delle aziende EU.
Considerazioni:
Non si dovrebbe più assegnare dei cookie (cookie[:xyz] = …) a meno
di aver avuto l’ok esplicito dell’utente.
Si dovrebbe disabilitare qualsiasi session store fino all’ok
dell’utente, ma non mi pare che si possa disabilitarlo solo per certe
rotte. Quindi l’unica soluzione praticabile fin da ora mi pare che sia
confinare gli utenti su un sito statico fino al loro consenso all’uso
dei cookie, che sarà un link che porterà al sito dinamico. Ma come fare
a bloccare i bookmark a pagine generate da Rails? Inoltre questa sarebbe
la fine delle home page con contenuti dinamici: bisognerebbe
staticizzarle, generandole magari anche ogni minuto con un job in
background.
E temo che questo sia solo l’inizio. Chi vuol dare una mano a fare
l’elenco di quello che si dovrà cambiare nelle nostre applicazioni
quando verrà fatta rispettare la direttiva?
Se non altro il test di conformità sarà semplice: si apre firebug con
firecookie e se si vede apparire un cookie prima del consenso, allora si
saprà che non siamo a norma.
Delirante.
Io sono incorporato negli States, direi che me ne frego, o violo la
legge.
Fa molto piacere notare che non solo l’Europa e i vari stati componenti
falliscono sotto ogni punto di vista nella creazione di un ecosistema
fiscale startup-friendly, ma riescono anche a dare insperati vantaggi ai
paesi civili, in modo da rendere l’apertura di startup in Europa, come
dire … improbabile.
Pazienza.
Delirante.
Io sono incorporato negli States, direi che me ne frego, o violo la legge.
Stavo pensando la stessa cosa:-)
Fa molto piacere notare che non solo l’Europa e i vari stati componenti
falliscono sotto ogni punto di vista nella creazione di un ecosistema fiscale
startup-friendly, ma riescono anche a dare insperati vantaggi ai paesi civili, in
modo da rendere l’apertura di startup in Europa, come dire … improbabile.
Eh, ‘civile’… ognuno ha le sue cazzate, perche il mondo e pieno di
cretini, ovunque tu vada:-) Da bravo pessimista, potrei citare le
tante cose stupide di tutti i paesi che ho vissuto.
sono d’accordo, anche perche’ la direttiva EU si presta a molte
interpretazioni nelle leggi nazionali che la dovranno implementare,
tanto
che ad esempio pare che alcuni stati ritengano gia sufficiente la
normativa
attuale…
il testo della direttiva e’ il seguente:
Member States shall ensure that the storing of information, or the
gaining of access to information already stored, in the terminal
equipment
of a subscriber or user is only allowed on condition that the
subscriber or
user concerned has given his or her consent, having been provided with
clear
and comprehensive information, in accordance with Directive 95/46/EC,
inter
alia, about the purposes of the processing. This shall not prevent any
technical storage or access for the sole purpose of carrying out the
transmission of a communication over an electronic communications
network,
or as strictly necessary in order for the provider of an information
society
service explicitly requested by the subscriber or user to provide the
service.
L’ultima frase e’ importante, perche’ si presterebbe ad una
interpretazione
‘ragionevole’ (non si deve chiedere il permesso per cookie che sono necessari all’erogazione di un servizio richiesto dall’utente) ma
temo
che qui si vedranno all’opera le diverse sensibilita’ dei governi
nazionali
(e allora poveri noi…)
sembra anche a me, ma rimane non chiaro cosa si configura come richiesta:
quando si registra, mettendo la checkbox in pi, 99% si
quando si registra, considerando che stato richiesto un servizio 90% si
quando non si registra ma compie un’azione esplicita, e.g. se
permetti di creare dei doc online senza registrazione, quanto
esplicito?
quando non si registra, compie un’azione ma non chiaro quanto
esplicita (se manda un commento a un articolo, quanto esplicito?)
credo che lo spirito della direttiva fosse di costringere i siti a
rivelare se e quali meccanismi di terze parti utilizzino per il
tracking
degli utenti, quindi (in teoria) nessuno dei casi che citi sarebbe
dovuto
rientrare nei casi previsti, purche’ tutti quei cookie siano gestiti dal
servizio stesso a cui accedi. Purtroppo il condizionale e’ d’obbligo…
Interessante anche questo commento:
Luca
This forum is not affiliated to the Ruby language, Ruby on Rails framework, nor any Ruby applications discussed here.