Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 317 reacties, 32.090 views •

Minister van der Hoeven van Economische Zaken wil websites vanaf 2011 verplichten om bezoekers toestemming te vragen voor het plaatsen van cookies. Het is nog niet bekend hoe dit technisch moet worden gerealiseerd.

Het plan is onderdeel van de nationale uitwerking van regels die eind vorig jaar door de Europese Unie werden geïntroduceerd. Van der Hoeven wil de Nederlandse wetgeving op verschillende punten aanpassen, om zo de privacy van internetgebruikers beter te beschermen.

De meest ingrijpende maatregel heeft betrekking op het opslaan van cookies. Momenteel gebruiken veruit de meeste websites cookies om gegevens over bezoekers op te slaan. In veel gevallen gebeurt dit zonder dat de gebruiker daarvan op de hoogte is. Van der Hoeven noemt het in een gesprek met BNR Nieuwsradio 'absoluut noodzakelijk' dat websites in de toekomst eerst uitleggen waarvoor de cookies worden gebruikt en daarna de gebruiker om toestemming vragen om de cookies op te slaan.

Hoe dit in de praktijk wordt toegepast is nog niet duidelijk. Volgens een woordvoerder van het Ministerie van Economische Zaken is het voorstel, dat in de zomer van 2011 wet moet worden, nog in de consultatiefase. Er lopen op dit moment gesprekken met verschillende marktpartijen. Of de verantwoordelijkheid alleen bij de websites komt te liggen of dat browserontwikkelaars ook maatregelen moeten nemen, is nog niet bekend. Ook op de vraag of websites zonder toestemming een cookie mogen plaatsen voor het inloggen van gebruikers, kon men nog geen duidelijk antwoord geven. Wel benadrukt het Ministerie dat de regeling in principe voor alle cookies moet opgaan. De Opta, die erop moet toezien dat sites zich aan de regels houden, zegt ook nog niet de weten hoe de wet in de praktijk moet werken.

Als de maatregel werkelijkheid wordt, heeft dit een flinke impact op bedrijven die zich met online-advertenties bezighouden. Ook zal het bijhouden van gedetailleerde bezoekersstatistieken alleen nog goed mogelijk zijn als gebruikers daarvoor expliciet toestemming geven.

Naast de richtlijnen omtrent cookies, komt er ook nieuwe regelgeving voor de omgang met persoonsgegevens. Internetproviders moeten in de toekomst garanderen dat alleen gemachtigd personeel toegang tot beveiligde persoonsgegevens heeft. Daarbij moet duidelijker worden aangegeven hoe met de gegevens wordt omgegaan. In het verlengde hiervan komt er een meldplicht die inhoudt dat internetproviders klanten op de hoogte moeten stellen als gegevens uitlekken.

Reacties (317)

Reactiefilter:-13170312+1228+216+31
Moderatie-faq Wijzig weergave
1 2 3 ... 10
Toch is het ergens hypocriet wat hier gebeurt, aan de ene kant wil de overheid ons beschermen zodat we niet te veel van onze privacy weggeven, en kwaadwillenden het lastiger gemaakt wordt (nouja lastiger, ze zullen moeite moeten doen iets nieuws te verzinnen) ons te bestelen van persoonlijke informatie.

Aan de andere kant doen ze dit! Speciale camera's op invalswegen
De camera's kunnen de herkende kentekens vergelijken met een database waarin een lijst verdachte kentekens is opgenomen. Hoewel het systeem ook kan worden ingezet om onder andere flitspalen te vervangen of om de lading van vrachtwagens te controleren, wil de gouverneur van Limburg Herman Reynders de 'slimme' camera's vooral inzetten voor criminaliteitsbestrijding
Ook wordt er geklaagd over het aftappen van internetgesprekken en hoe dat wel niet door de hedendaagse technologien op internet bemoeilijkt wordt.

En nu gaan ze zich druk maken om cookies 8)7
Van der Hoeven noemt het in een gesprek met BNR Nieuwsradio 'absoluut noodzakelijk' dat websites in de toekomst eerst uitleggen waarvoor de cookies worden gebruikt en daarna de gebruiker om toestemming vragen om de cookies op te slaan
Lees wikipedia:
Cookies kunnen gebruikt worden voor
  • het onthouden van loginnaam of instellingen
  • het vergaren van surfinformatie (profiling)
  • het koppelen van een browser aan tijdelijke variabelen op de server (session cookie)
dan zijn we er toch mooi klaar mee?

Wat ik wil aangeven, is dat er links (niet politiek links) bescherming naar de burgers toe gewaarborgd moet worden, aldus de overheid, en rechts (niet politiek rechts) drukt de overheid zelf systemen erdoorheen die weliswaar niet in strijd met de privacy zijn maar wel het randje opzoeken van wat wettelijk mag en wordt gestuit op veel verzet vanuit de samenleving, denk aan:
  • OV Chipkaart
  • EPD
  • De camera's op invalswegen
  • Rekening rijden met het welbekende kastje

[Reactie gewijzigd door loewie1984 op 21 april 2010 13:43]

drukt de overheid zelf systemen erdoorheen die weliswaar niet in strijd met de privacy zijn
Daar ben ik 't mee oneens. Veel van die nieuwerwetse systemen zijn wel degelijk in strijd met de privacy. Het punt is: dat privacy-niveau brokkelt af, men went daar vervolgens aan, en vervolgens is 't gewoon status quo geworden dat men minder privacy heeft én dat men dat tegelijkertijd niet meer doorheeft c.q. men zich er niet (meer) druk om maakt.
Heel simpel.

Wij hebben invloed op de overheid, wij bepalen wie in de gemeenteraden en de 1e en 2e kamer terecht komen. Daarbij is de overheid een, grotendeels, transparant en controleerbaar orgaan. Oa. door de wet van openheid van openbaar bestuur.

Een bedrijf is oncontroleerbaar voor ons, wij weten niet wat er met de data gebeurd en vaak weten we niet eens dat we in de gaten worden gehouden. Daarbij is de overheid er in basis voor 'ons' en een bedrijf wil alleen winst maken.

IMHO 2 grote verschillen waardoor er een verschil mag zijn tussen overheid en de berdijven. Ik ben het wel met je eens dat de overheid wel te simpel onze data vergaard, tegenwoordig. Een EPD en een OV-chipkaart gaan wel erg makkelijk om met mijn data.
Wat is onze regering toch weer begaan met ons. Zie ze eens stelling nemen om onze privacy te beschermen. Dat bedrijven allerlei informatie verzamelen via de OV-chipkaart is geen enkel probleem. Dat via de spionagekastjes voor het rekeningrijden allerlei gegevens zouden worden bijgehouden dat was ook geen probleem. Maar die gevaarlijke websites met die cookies, die moeten worden aangepakt.
Inderdaad ze zijn echt lekker bezig ze willen ons beschermen maar daarnaast doen ze wel dit soort dingen. :?
1. wil je het cookie opslaan?
2. -> nee
3. *klik* (muis klik op link of zoiets)
4. Ga naar 1.

Gaat leuk worden dan :P

Of wil je een cookie opslaan dat je over deze 'persoon' geen cookies mag opslaan? dat heb je dan juist al gedaan :P
De browser zal de keuze dan moeten onthouden...

Dit slaat gewoon nergens op... het is al zo lastig om een gebruiker betrouwbaar te identificeren. Zonder betrouwbare cookies is het praktisch onmogelijk.
Ik snap zelf ook niet zo erg waarom sit een issue is.

Als ik de Hema binnen loop wordt ik ook niet geinformeerd dat ik op de camara gezet wordt en wat er met de beelden gedaan wordt en dat eerst op een knop moet drukken voordat de deur open gaat.

Als ik vervolgens afreken (met plastic) dan wordt ik ook niet geinformeerd dat deze gegevens bewaard worden en wat er mee gedaan wordt.

Waarom zou dat met een website wel moeten? X-Domain cookies, daar ben ik wel tegen en die moeten verboden worden. Maar cookies voor een website eerst accepteren, nee... dat wordt voor sommige systemen erg lastig.
En wordt er natuurlijk even gemakkelijk vergeten dat iedereen dan flash cookies gaat neerzetten, want over flash cookies wordt niet gesproken.

Overigens, met IP6 op komst zal het natuurlijk weer wat gemakkelijker worden om iedereen te tracen.

[Reactie gewijzigd door 282252 op 21 april 2010 15:00]

X-Domain cookies, daar ben ik wel tegen en die moeten verboden worden
En hoe zit het dan met die betaalgegevens in de fysieke winkel? Als je daar je pas doorheen haalt wordt er ook verbinding gemaakt met een bank en/of tussenpersoon welke ook informatie verzameld, dat mag wel dan zonder problemen?

Of het beveiligingsbedrijf welke die camera's in beheer heeft voor de Hema?
Allereerst kan geconstateerd worden dat cookies inderdaad allerlei gegevens over het gedrag van gebruikers op websites vastlegbaar maken. De consument beseft in de praktijk waarschijnlijk niet op welke wijze dit gebeurd en hoe verregaand de vastlegging is.

Daartegenover staat dat het vastleggen van het gedrag binnen een commerciële omgeving (denk bijvoorbeeld aan de Albert Heijn) heel gebruikelijk is. Ook hier beseft de consument niet op welke wijze bijvoorbeeld via de bonuskaart gedrag wordt vastgelegd. Zoals bij zoveel zaken maakt het Internet het tracken van gebruikers gemakkelijker en goedkoper.

Het is de vraag of dit slecht is voor de gebruiker. Het doel van het tracken is immers veelal om de gebruiker een meer toegesneden commerciëel aanbod te kunnen doen.

In de praktijk is het echter veelal zo dat cookies niet worden gebruikt om individuele gebruikers te tracken maar om gedragspatronen van grote groepe gebruikers te kunnen analyseren. In dit opzicht is de privacy niet of in ieder geval veel minder in het geding.

Het staat de gebruiker ook vrij om het opslaan van cookies uit te zetten. Dit is een standaardmogelijkheid van elke browser.

De reden dat deze functie echter niet standaard aanstaat (zoals bijvoorbeeld wel met een zogenaamde popupblocker) is dat cookies veel meer dan alleen gebruikers tracking mogelijk maken. Ook andere functies zoals "onthoud mijn wachtwoord" worden mogelijk gemaakt met cookies. Diverse websites werken zelfs niet eens goed zonder dat cookies kunnen worden opgeslagen.

En dit is misschien wel de belangrijkste redenen waarom dit voorstel niet deugd. Het gevolg ervan zal zijn dat gebruikers met disruptieve meldingen (de: gaat u akkoord met melding of wij leggen uw gegevens vast melding) worden geconfronteerd waarop de gebruiker in principe altijd "Ja" zal moeten klikken om door te gaan. Dit zal nog hinderlijker zijn dan de advertentie popup die over de content heen valt.

En het staat vast dat het Internet niet alleen uit de Europese Unie bestaat. Andere delen van de wereld waar de regelgeving niet van toepassing is kunnen gewoon doorgaan zoals voorheen. En juist dáár zullen dan de kwaadwillenden naartoe verhuizen. Buiten het bereik van de wetgeving van de Europese Unie waar zij nu wél binnen vallen.
Ik snap wat het idee is hier en ik denk dat ik begrjip waarom dit wordt voorgesteld.

Wat ik niet snap is waarom er niet eens eerst goed wordt nagedacht en met techneuten wordt gesproken alvorens technische maatregelen te nemen of voor te stellen.

Een cookie is een bestandje op de harddisk van de gebruiker (of soms in het geheugen als het een sessie-cookie betreft). In dit bestandje staan doorgaans sessie-id's en eventueel extra instellingen / voorkeuren. Dit maakt het leven van de gebruiker makkelijker en is onderdeel van het webbrowsen. Zonder deze techniek is veel niet meer mogelijk zoals bijvoorbeeld "ingelogd blijven" etc.

Omdat het onderdeel is van het webbrowsen kun je het niet zomaar gaan verbieden. Je kunt ook moeilijk de gebruiker vragen om het te bepalen, want de meeste gebruikers weten niet wat het is, waar het voor gebruikt wordt en of dat goed is of niet. Je moet niet de gebruikers steeds "zelf laten bepalen", we weten allemaal wat UAC in windows voor gemopper met zich mee bracht. Ik hoor diverse mensen in mijn omgeving nog roepen "kan dat ook uit?".

Dit gebruik van cookies is volgens mij het probleem helemaal niet. Het probleem zit hem in de advertentie netwerken en statistieken sites. Dat kunnen we echter op dezelfde manier als virussen aanpakken. Gewoon een grote database waarin wordt bijgehouden wat de desbetreffende sites doen en de gebruiker de optie geven om al die sites toe te staan of te weren.

AdBlock gooit overigens het overgrote deel al weg wat cookies van ad-netwerken betreft.

Wet aanpassen om gebruikers te behoeden voor potentiele problemen is goed wat mij betreft. De wet aanpassen en gebruikers opzadelen met meer "keuze" in de vorm van een dialoogvenster met daarin ja of nee is niet goed wat mij betreft. Gebruikers hebben wel wat beters te doen dan de hele tijd aan te geven of iets wel of niet "mag".
Er lopen op dit moment gesprekken met verschillende marktpartijen. Of de verantwoordelijkheid alleen bij de websites komt te liggen of dat browserontwikkelaars ook maatregelen moeten nemen, is nog niet bekend.
Dit werkt natuurlijk weer niet heh, als het alleen bij de website komt te liggen dan gaat dit natuurlijk alleen maar op voor de Nederlandse websites wat tot de vraag leidt, wanneer is iets een Nederlandse website en bovendien hoe willen ze dan alle websites gaan controleren? Als er aan de client kant niks veranderd kunnen de websites, nog steeds ongewenst cookies opslaan zonder dat de gebruiker het door heeft.

Dus er moet hoe dan ook iets met de browserfabrikanten geregeld worden.
Prima, dan geen cookies toch. Dan sturen we alles lekker via de URL mee. En anders gebruiken we de ASP.NET manier om alles een POST-request te maken en op die manier een hidden veldje met sessie-informatie mee te sturen. Mocht dat ook lastig zijn dan stoppen we een klein stukje flash in onze pagina en slaan we zo het een en ander op. Mocht ook dat lastig zijn dan kunnen we altijd nog de storage van html5 gebruiken (dat zijn ook geen cookies).

Wat een non-oplossing. Er zijn daar duidelijk wat mensen die de plank weer behoorlijk mis slaan. Als iemand helemaal geen cookies wil dan is het in de meeste browsers goed mogelijk om heel precies te kiezen welke cookies doorgelaten moeten worden en welke niet (bijvoorbeeld alleen sessie cookies doorlaten om ingelogd te blijven op een site). Dus voor de mensen die het echt heel belangrijk vinden om niets aan (bijv) Google te laten weten is er al lang een oplossing en die gebruiken ze ook echt wel.

Daarbij moeten we bij dit soort dingen verschil maken tussen twee soorten. Ten eerste zijn er de cookies die nodig zijn om bij te houden wat de sessie van een gebruiker is. Dit zijn cookies die noodzakelijk zijn om de gebruiker bijvoorbeeld ingelogd te houden of om het mogelijk te maken een bestelling te doen op een website zonder eerst in te loggen. Dit soort cookies lijkt me persoonlijk zeer wenselijk.

Dan heb je nog het soort tracking cookies gebruikt door bijvoorbeeld Google om in de gaten te houden waar een gebruiker naartoe gaat en wat ie allemaal doet. Over de wenselijkheid van dat soort cookies zou je een discussie kunnen houden. Maar het domweg bij elke cookie vragen om toestemming is ondoordacht en een zeer ineffectieve maatregel, ik zie overal de userscripts en firefox plugins al weer aankomen die dat soort vragen gaan omzeilen.
Dan sturen we alles lekker via de URL mee
OK, ik heb ID 1 en jij ID 2 op www.ikwileten.nl. ik ga naar www.ikwileten.nl/?id=2 en jij eet schapenkots voor diner :)
En anders gebruiken we de ASP.NET manier om alles een POST-request te maken en op die manier een hidden veldje met sessie-informatie mee te sturen.
Right, Firebug, ooit van gehoord? misschien dit artikel maar eens lezen.
websites in de toekomst eerst uitleggen waarvoor de cookies worden gebruikt en daarna de gebruiker om toestemming vragen om de cookies op te slaan.
En hoe moet ik (als website operator) weten dat een gebruiker geen toestemming gegeven heeft? Moet ik dan bij elke pagina de melding tonen dat de website een cookie wil gebruiken?

Ik ben helemaal voor een extra HTTP header zoals:
X-Cookie-Info: http://example.org/cookies.html
Als je dan met je browser op de site komt waarvoor jij (in je browser) nog geen toestemming gegeven voor hebt (wat al jaren kan), dat de browser dan die pagina kan laten zien bij de prompt om een cookie te accepteren.
Een zelfde soort header zou ik ook graag willen zien voor andere technologien, zoals HTML5 local storage, en geolocation. Voordat ik een site toestemming geef wil ik graag weten waarvoor ik echt toestemming geeft.

Maar dit voorstel van van der Hoeven is weer een mooi voorbeeld van de volledige onkunde van de overheid omtrent technologie.

[Reactie gewijzigd door elmuerte op 21 april 2010 13:36]

Euh... misschien zie ik het verkeerd, maar hiervoor is toch al een technische oplossing voorhanden? Zijn we allemaal P3P vergeten?
Ik kan me niet herinneren er ooit van de hebben gehoord... en gezien onderstaande is 't wellicht ook niet vreemd dat de meesten 't vergeten zijn:
http://en.wikipedia.org/wiki/P3P#Criticisms

P3P has been known to undermine public confidence by collecting enormous amounts of information that can be used against its user.

The basic idea of privacy protection can be misleading to the visitors on the site. For example, people think that their privacy is actually being protected, but it is not

Another main concern is that the data that is collected does not have an expiration date. People who buy something on the internet will have that information saved for an infinite amount of time, whether it will be recorded for a year or ten. This problem has led people to question where their information is being distributed to and for how long third parties will have access to their information. The idea that people’s personal information can be distributed to other people for an indeterminate amount of time makes people very uncomfortable.

Chris Hoofnagle works for EPIC and he argues that P3P fails to inform its users that it’s a way to avoid government regulation. He says, “We know as a fact that Microsoft is using P3P as a tool to stop federal privacy legislation. They’ll deny it, but I’ve been to meetings where I’ve seen it happen.

Critics of P3P also argue that non-compliant sites are excluded.

Opera:
There have been some issues with how well P3P will protect privacy, and for that reason we have decided to wait until these are resolved.
Kritiek of niet, P3P wordt volgens mij door alle moderne browsers ondersteund. Het achterliggende idee vind ik prima werken, en bovenstaande kritiek zou je prima kunnen oplossen met een aanpassing. Verbaast me dat niemand op tweakers hiermee komt. Al mijn websites maken gebruik van P3P, tot grote tevredenheid.
Ja :) Tot ie ja zegt en dan kan je een cookie op slaan zodat je het niet meer hoeft te vragen :P
Maar als die nee zegt kun je dat niet in een cookie opslaan. En moet je dat dus feitelijk elke pagina vragen.

Lijkt me redelijk technisch onmogelijk.

[Reactie gewijzigd door Bosmonster op 21 april 2010 13:53]

Je zou heel simpel pas een cookie kunnen opslaan als de gebruiker dat heeft aangegeven toe te staan. Tot die tijd gebruik je gewoon geen cookies.

Gewoon een vinkje er achter waarmee de gebruiker kan aangeven zijn gebruikersnaam in een cookie op te slaan, en totdat de gebruiker dat aanvinkt, gewoon geen cookie maken.

Cookies zijn technisch zelden echt nodig, zeker niet voor dingen als inloggen of navigatie. Het is nog altijd de regel dat je als webbouwer nog mag vertrouwen op cookies. (staat in elk boek over webdesign)
Als je een bezoeker zijn highscore van de vorige keer wil laten zien, ja, dan kom je er misschien niet onderuit, maar hoe nodig is dat?
"Cookies zijn technisch zelden echt nodig"

dat dacht ik niet.

Inloggen op websites gebruiken nagenoeg altijd cookies, het zijn echter wel session cookies, dus ze blijven enkel gedurende sessie op de PC.
Maar wil je de functie 'ingelogd blijven' gebruiken dan heb je uiteraard wel al cookies nodig die op de pc blijven staan. En er zijn gerust wel een aantal goede redenen om cookies te gebruiken, vb. taalkeuze etc.
Ik herinner mij dat in de jaren 90 van het internet (tussen 90 en 94) er helemaal geen cookies waren en het surfen net zo goed ging, dus ze zijn niet nodig, zo simpel is het. EN hetzelde geldt eigenlijk voor het http://www, dat ging in die tijd ook met http://342...... dus technisch is het helemaal niet nodig, net zoals DNS :)
Dat is het zelfde om te zeggen dat een brief typen in wp5.1 net zo goed gaat als in Word 2007 8)7
Zeg, doe eens niet zo brutaal. De beste man (excuseert u mij als u een vrouw bent, Ahalon1951) is de 60 nader dan de 20, dus hij werkt vast het liefst met een typemachine.
De websites uit de begin jaren 90 waren ook heel andere websites dan dat je tegenwoordig heb!
Computers hebben we ook helemaal niet nodig. We kunnen gewoon gewassen gaan verbouwen en op herten gaan jagen. 8)7
Taalkeuze is dan weer een slecht voorbeeld voor het gebruiken van een cookie. Je kunt namelijk uit de headers die je van de browser krijgt, afleiden welke taal de gebruiken wil hebben. Hier is de header "Accept-Language" voor. Voor uitzonderingen hoef je geen cookies te gebruiken, maar dan zit je eigenlijk iedere keer een hidden-form veld mee te sturen dat de gebruiker identificeert. Wat in principe niet veel verschilt met een sessie-cookie.
Owja en hoe willen we dat standaard doen dan ? altijd POST variabelen meesturen...

Wanneer gaan alle browsers dat ondersteunen en hoe dwingen we de hele wereld om die nieuwe variant te gaan gebruiken....

Niet echt praktisch......

Ik browse het liefst met me taal instellingen op het Engels en dan mag je best een lange of oneindige cookie gezet worden om die paar sites die ik in NL wil zien dan te onthouden.

Nee dan kunnen we met andere browser-storage mogelijkheden gaan werken, maar dan verschuift het probleem alleen maar van cookies naar flash-storage of client site webstorage technieken.

Waar natuurlijk niemand op zit te wachten is 1000x op een dag 'toestemming' te geven.

Mensen kijken ook al nooit meer naar die SSL foutmeldingen omdat ze het (a) niet begrijpen en (b) ze tevaak voorkomen, dus geen functie meer hebben.
soms wil ik meerdere talen, klein voorbeeldje google;
zoek voorkeuren EN+NL graag
max aantal hits op 1 pagina
in nieuw tabblad openen.
En nee dat wil ik niet elek sessie herhalen.

trouwens ik doe het nu al via FireFox. Elke eerst cookie wordt gevraagd of het mag. ik zeg nee of soms ook eens ja. FF houd dat lekker bij.
dus het kan simpel en gemakkelijk via de browser. lijkt mij de beste keuze.
Van Web programmeurs zou ik het toch niet laten afhangen.
1. nauwelijks te controleren.
2. sites door dummies weten meestal niet waar de klok hangt.
3. denk je echt dat een tracking cookie zelf om toestemming zal vragen ?
Kortom, hou het buiten de sites en in de browser.
Een session cookie is een HTTP header die je browser onthoudt tot hij gesloten wordt.

Het lijkt me meer dat de minister de normale cookies wil viseren. Technisch gezien wordt zo'n session cookie soms ook wel opgeslagen (implementatie van browser, na crash bv).

Ik denk dat die minister niet goed op de hoogte is over cookies.
in FF heb ik de keuze om cookies te aanvaarden tot ze verlopen of voor deze sessie.
Een sessie cookie bestaat heus wel hoor.
OOk IE heeft deze optie om cookies enkel voor de duur van de sessies op te slaan.
Inloggen op websites gebruiken nagenoeg altijd cookies, het zijn echter wel session cookies, dus ze blijven enkel gedurende sessie op de PC.
Het lijkt me dat inloggen een goed voorbeeld is waar je (impliciet) toestemming geeft om een cookie te gebruiken.
Cookies zijn technisch zelden echt nodig
Dan mag je me toch eens uitleggen hoe ik er voor kan zorgen dat een gebruiker zijn persoonlijke instellingen behoudt als hij de browser afsluit en weer opstart en verder gaat op onze website als ik niet op z'n minst een sessie ID in een cookie mag wegschrijven.
Instellingen in de URL stoppen kan ik niet want die ben je meteen kwijt als de browser sluit. Het inlogmechanisme hiervoor gebruiken is geen optie want er zijn bedrijfsaccounts met meerdere gebruikers. Differentieren op IP adres is geen optie, zeker niet zolang IPv4 nog dominant is...

(Achtergrond: Website voor het vertalen van woorden. Instellingen als bron- en doeltaal, actieve woordenboeken, weergavemodus, gedrag van hyperlinks. Gebruikers loggen in met naam en wachtwoord maar die is niet voor iedere gebruiker uniek want er zijn ook bedrijfswijde naam-wachtwoordcombinaties. Instellingen worden op meerdere manieren opgeslagen zodat er een fallback is als een gebruiker aanlogt zonder sessie ID, bijvoorbeeld op een 'nieuwe' computer)
Hij zegt dat het zelden nodig is, en sluit dus niet uit dat het in jouw geval wel zo is.
Het woord 'zelden' verraadt dat hij geen verstand van zaken heeft. Verschrikkelijk veel websites gebruiken cookies, maar dat heb je nu niet altijd door. Echter, als je cookies uitzet kom je er pas achter dat je instellingen, loginsessies etc. opeens verdwenen zullen zijn.
Of default geen cookie opslaan en een duidelijk zichtbare optie om cookies aan te zetten (met uitleg-link naar consequenties) op de pagina's laten zien. Wat hierbij ook kan is pas om de cookie-toestemming vragen wanneer dringend nodig (bij inloggen of wijzigen voorkeuren op een site bijvoorbeeld).
Onderscheid maken op de gebruiker (en daarmee de keuze voor al dan niet cookies) dmv IP wordt dan weer onpraktisch, totdat echt iedereen een unieke heeft (IPv6).
Dan moet je hopen dat een IP adres ook echt persoonsgebonden is. Anders is het nog niet veilig.
Dat er met IPv6 theoretisch voldoende IP-adressen zijn om ieder individu zijn eigen te geven, betekend niet dat dat ook de praktijk wordt.
Er zullen situaties blijven waarbij hele bedrijven en universiteiten naar buiten connecten via eenzelfde IP, als is het maar die van de firewall.
De oplossing is voor websites heel eenvoudig. De bezoeker moet eerst de algemene voorwaarden accepteren, die o.a. behelst dat je cookies accepteert.

Ga je niet akkoord, dan kom je ook niet de website.

Wat ik ook nog wel zie gebeuren is dat er een instantie die fungeert als een keurmerk. Daarmee hoef je maar 1 keer de voorwaarden te accepteren, waarna elke website die het betreffende keurmerk heeft cookies mag gebruiken. Krijg je een soort collectief.
interessant punt, dat van IPv6.

Dat zou namelijk de hele opt-in cookie regels van NL weer overbodig maken. Je kan dan immers de gebruikers compleet tracken zonder cookies te gebruiken.

Maarja, IPv6 zal nog wel even duren...
Dan ga je er wel van uit dat het een fixed IP-adres is, wat niet perse zo hoeft te zijn...
Dan maak je dus een database met IP-adres en nog wat andere gegevens, zodat je alsnog iemand kan tracken. Een voorbeeld: klik. Cookies zijn daar dus allang niet meer voor nodig; ze zijn echter wel handig voor de correcte werking van webpagina's: ik moet er niet aan denken dat alles in sessieinformatie opgeslagen wordt en dus na elke browserafsluiting verdwenen is... Daarbij komt nog: je moet dus weer je sessie ID mee gaan geven, want die mag niet in een cookie...

[Reactie gewijzigd door Xirt op 21 april 2010 19:00]

IPv6: Iedereen krijgt vooralsnog een /48 of zo. Daar heb je ruimte genoeg om niet herkend te worden. Tenzij je natuurlijk zo onhandig bent om je computer een vast ip adres te geven. ;-)
Dat maakt toch niks uit :)
Zolang je maar een uniek (deel van een) ip aan een user kan koppelen.
"Maar als die nee zegt kun je dat niet in een cookie opslaan. En moet je dat dus feitelijk elke pagina vragen."

Nee tuurlijk niet, maar wel elke keer dat je op dezelfde site terug komt. Als ik dat mijn klanten zou aandoen zullen ze me dat niet erg in dank afnemen. En is de voor Nederlandse sites of voor alle sites die zich op Nederland richten? Nederland heeft sommige regels voor het ene en sommige voor het andere.
En hoe moet de website weten dat het een gebruiker al heeft gevraagd? Het bron IP-adres van de HTTP-request is niet voldoende (denk aan NAT, proxies ed).

Veel frameworks hebben geen ondersteuning voor sessiontracking dmv URL-rewriting.

[Reactie gewijzigd door Remus op 21 april 2010 14:46]

Veel frameworks hebben geen ondersteuning voor sessiontracking dmv URL-rewriting.
En wiens probleem is dat? Dat is een gebrek van het framework, dat wil niet zeggen dat de wetgever daar rekening mee moet houden. De programmeur kiest een framework, blijkbaar kiest hij een onvolledig framework.

Overigens ben ik van mening dat de overheid hier te ver gaat, ik kan zelf prima cookies weigeren, dat kun je kinderachtig eenvoudig instellen in je browser. Ook het toestaan is dan zo geregeld, stelt niks voor.
Sorry maar dat vindt ik wel een raar argument.

Wil je zeggen dat het normaal moet worden dat we URL's gaan vervuilen met allerlij stomme rare extra get informatie alleen omdat we geen cookies mogen gebruiken ?

En dit informatie ben je de volgende keer weer kwijt... want dan is die lelijke SESSIONID weg of vervallen op de server. Dus even snel (zonder ingelogd te hoeven zijn) de default theme instellingen van je favoriete forum opslaan is er dan ook niet meer bij.
kun je kinderachtig eenvoudig instellen in je browser

zijn mensen die dat niet kunnen dus , simpel de overheid die een regel

voor hun plaatst
SessieID's in URL ben ik sowieso niet blij mee...
Je kan toch ook een cookie opslaan dat er geen cookies meer op mogen worden geslagen... dat zal toch wel mogen :+

Sowieso een rare regel. Ik begrijp best de bezwaren tegen third-party cookies, maar de rest is echt onzin. Bovendien vind ik niet dat een 'overheid' zich hiermee bezig zou moeten houden. Als mensen hier behoefte aan hebben, kunnen ze dat in browsers prima 'aanzetten' (vragen voor opslaan cookie). Eventueel browser verplicht stellen waarbij dat de default setting is! Dat lost een hoop problemen op.
Ik denk inderdaad persoonlijk dat de overheid weer eens aan onnodige betutteling doet. Als je veel gewone (niet tweakers oplettende) mensen spreekt, zullen zij niet eens weten wat het is een cookie. Vaak heb je inderdaad niet eens door dat ze worden geïnstalleerd. Het is inderdaad wel handig als ze je ervoor waarschuwen, maar zoals ieder slim persoon kan weten is dit vrijwel onmogelijk. Hoe willen ze dat regelen voor de miljarden websites die er zijn.

Ze zouden beter in kunnen bouwen met als standaard inderdaad dat het aan is een cookie bericht. Maar dat je het ook af kan zetten. Ook zou het beter zijn gewoon campagnes te doen ipv een wet ervan te maken. Hoe willen ze dit controleren, en wat als websites zich er niet aan houden. Hoe wil Europa bepalen wat een website in Rusland e.d. doet.
Inderdaad. Cookies zijn heel handig. Als ze nu standaard zouden verbieden third-party cookies te instaleren was het wat logischer geweest
Ik vind cookies van reclame bedrijven helemaal niet handig maar inbreukmakend op de privacy.
Nee Bo-oz... Want het punt is dat de meeste gebruikers helemaal niks van cookies weten. En dan ook echt niks.
Dat krijg je als je 't aan de markt overlaat (zelfregulatie): ongevraagde privacy-aantastende spionage bestandjes waar ook nog eens security-problemen mee bekend zijn.
Dus als een gebruiker niet weet wat een cookie is, dan is de vraag ook redelijk niets-zeggend voor diezelfde mensen. Hoe kunnen ze dan per website een bewuste keuze maken?? :?
door uitleg (kan misleiden) wat er nu wordt opgeslagen en/of gedaan met die info
En die uitleg kan je dus ook eenmalig geven bij het opstarten van de browser (voor de eerste keer). Dan kan de gebruiker instellen wat zijn voorkeur is en is het hele probleem opgelost. Het voorgestelde plan is gewoonweg belachelijk en laat weer eens zien dat de 'planners' van onze samenleving geen verstand van zaken hebben als het om ICT gaat.
misschien niet, maar wat ze wel willen, is "onze" privacy bewaken dat door cookie-verzamelaars/verspreiders verkwanselt wordt.

Zo zie je maar weer dat zelfregulering een wassen neus is, aangezien men bij dat soort bedrijven winst boven privacy stellen...
Je kunt via post request van elke link nog wat wat fliffen. Of anders kun je het in de session data opslaan. Alhoewel, sessies worden vaak gedaan door een unieke code in een cookie op te slaan :/
Dit is zeker niet technisch onmogelijk:
Op elke pagina kijk je na of de cookie bestaat, bestaat deze: toon de pagina waar deze naartoe ging. Bestaat deze niet: toon een pagina waarop de gebruiker toestemming zal geven, bij toestemming: toon de site, geen toestemming, toon terug dezelfde "cookie-pagina".
Dit klein scriptje maak je eenmalig en include je.
Dus zeker niet technisch onmogelijk, maar maakt het surfen zeer onaangenaam.
Sessie's of ip's in een database zetten met ja en nee (A)
License agreement
Om u toegang te verschaffen tot deze comment moet u deze licentie overeenkomst accepteren.

1.1. We behouden ons het recht voor cookies op te slaan op uw computer.
1.2. We houden van bureaucratisch geneuzel.
1.3. Wilt u geen cookies ontvangen klik dan op het kruisje rechtsboven in het beeld, links voor mac gebruikers.
...
Ik weiger Ik accepteer
OT: Dit is natuurlijk waanzin het bovenstaand is natuurlijk een beetje een flauwe karikatuur maar dit is straks echt noodzakelijk.. In plaats van postbus 51 een paar ton te geven en hun een spot te laten maken om mensen bewust te maken van cookies en de browser instellingen die erbij horen... Wel even klikken op de weiger en accepteer link he.. :+

[Reactie gewijzigd door Incr.Badeend op 21 april 2010 14:46]

Ah jah, de bureaucratie omzeilen doe je zo.... :P
Dit is zo bullshit, ik als webdeveloper zie het nooit gebeuren dat werkelijk alle of de meeste websites dit gaan doen.
1. 90% van het "normale" volk heeft geen flauw idee wat cookies/sessies zijn.
2. Ik zou me behoorlijk ergeren moest ik op elke site met een login form / andere toepassingen die cookies gebruiken elke keer moet toestaan dat ze cookies mogen opslaan.
3. Gaat ook nog eens de site minder professioneel maken, design verpesten door een lelijke waarschuwing van cookies..
Ik spreek me niet uit vóór of tegen cookies, maar jouw argumenten zijn gewoon stierenpoep.

Als 90 procent geen flauw idee heeft, dan heeft 10 procent dat wel. Wie geeft de webdeveloper het recht om voor die 10 procent te beslissen? Of hang je soms het standpunt aan dat iedereen die jouw beslissing niet waardeert maar van het internet af moet blijven ?

Niemand weet hoet de regeling eruit gaat zien, maar jij weet al dat het voor iedere bezoek aan de site moet vragen. Hoe kom jij aan die wijsheid ? Schrijf jij soms het onderzoeksrapport voor Mw v/d Hoeven ?

Inloggen, toestemming vragen, nee dat doen professionele bedrijven niet. Want dat gaat ten koste van het design. Je kan uiteraard niet opteren voor een design waarschuwing.
Ik spreek me ook niet uit vóór of tegen cookies. Maar jouw argument kun je natuurlijk ook omdraaien. Want wie geeft de overheid het recht om voor die 90 procent te beslissen? Want zover ik weet is dit geen maatschappelijk probleem. En als dat zo was dan hadden browser bouwers allang gereageerd op die vraag. Ze zijn namelijk zwaar aan het concurreren op het gebied van veiligheid en gebruiksvriendelijkheid.

Dit komt bij mij over als overheids bemoeienis en de klok hebben horen luiden maar niet weten waar de klepel hangt. Ik zou zeggen hou het bij belangrijke maatschappelijke problemen.
Privacy IS een belangrijk maatschappelijk probleem
Als iemand zijn privacy zo belangrijk vind, dan stelt hij z'n browser toch gewoon in dat hij geen cookies accepteert. Een optie die in praktisch alle browsers zit. Ik zie trouwens niet hoe je dan nog normaal kan internetten, maar voorruit.

Praktisch iedere site gebruikt cookies. Ik denk niet dat mensen nou nog echt gaan kijken waarom een site z'n cookies gebruikt. Iedereen accepteert die cookies gewoon direct en kijkt er niet eens naar. Net zoals veel mensen al hebben gezegd, 90% van de internetters heeft geen idee wat een cookie is dus die kan daar ook geen goed oordeel over geven of een site wel/niet een cookie zou moeten gebruiken.

[Reactie gewijzigd door blizzeye op 21 april 2010 16:38]

Want zover ik weet is dit geen maatschappelijk probleem.
Toch wel, want het is een privacy-issue. En in dit geval eentje waar dus 98% geen weet van heeft (omdat bijna niemand weet wat cookies uberhaupt zijn).
Ze zijn namelijk zwaar aan het concurreren op het gebied van veiligheid
Laat dat 'zwaar' maar weg - zo is mij nog geen enkele browser bekend die bijv. dat lek van dat je kan zien welke URL's je bezocht hebt, heeft aangepakt. Daardoor heb ik gewoon weinig vertrouwen in de browser-bouwers.
Veiligheid is dus helemaal geen topprioriteit bij de browser-bouwers. Pas als 't grote publiek erover zou klagen, doen ze er wat aan.
Je moet 't meer zoeken in marktaandeel en evt. bijbehorende (reclame-)inkomsten.
Je moet je bronnen beter checken: Gecko en Webkit pakken allebei het privacyprobleem rondom :visited aan.

Het echte probleem is dat :visited gewoon een goed uitgespecte goed gevolgde en universeel geaccepteerde W3C-standaard is.... die destijds even niet zo goed is overdacht in combinatie met wat Javascript. Wat Gecko en Webkit nu allebei gaan doen is bewust de standaarden breken om deze mogelijkheid tot een bruteforce attack af te stoppen, waarbij het merendeel van de discussie zich heeft gecentreerd of een redelijk niet boeiende aanvalsmogelijkheid belangrijk genoeg is om de standaarden volledig te breken.
Ook jij moet je bronnen beter checken. Gecko en Webkit handelen nog altijd in lijn met de standaarden:
Note. It is possible for style sheet authors to abuse the :link and :visited pseudo-classes to determine which sites a user has visited without the user's consent.

UAs may therefore treat all links as unvisited links, or implement other measures to preserve the user's privacy while rendering visited and unvisited links differently
Bron: http://www.w3.org/TR/CSS2/selector.html#link-pseudo-classes

dat dikgedrukte stuk is dus precies wat die browsers nu doen
De webdesigner heeft het recht niet om voor die 10 procent te beslissen. Iedereen kan nu al cookies globaal uitzetten (of per domein) in alle browsers.

De 10 procent die weet wat cookies zijn zal die instelling ook wel vinden in zijn/haar browser.

Ontopic: Veel sites gebruiken cookies om sessie te tracken van users. Ben benieuwd of al die sites nu toestemming zullen moeten vragen. In sommige frameworks (Ruby on Rails bvb) wordt voor elke bezoeker standaard een sessie bijgehouden dmv een cookie.

[Reactie gewijzigd door AndrewF op 21 april 2010 14:02]

Of hang je soms het standpunt aan dat iedereen die jouw beslissing niet waardeert maar van het internet af moet blijven ?
Ik steun dit standpunt! :+

Mensen maken tegenwoordig eerst van hun neus zonder te weten waarover het gaat. Zijn er cookies 'ohnee mijn privacy', zijn er geen cookies 'waarom gaat mijn gebruiksgemak naar beneden'. FFS, go back to your typewriter.

Het probleem zijn de cookies niet, het probleem zijn de bedrijven erachter. Dààr moet men reglementering en bestraffing voor maken. Maar bedrijven die er een loopje mee nemen en hun bedrijf op een wazige manier opstellen (met subbedrijven in het buitenland ed) worden toch niet veroordeeld dus enige resultaat is dat elke normale webdesigner zich in nog net iets meer bochten kan wringen om tot zijn uitermate simpel doel te komen.

Schrijf jij soms het onderzoeksrapport voor Mw v/d Hoeven ?
Hadden ze de andere artikels ook gelezen hadden ze gevonden dat er een opt-out mogelijkheid bestaat en dergelijke reglementering dus al bij voorbaat zinloos is:
Verder vrezen zij dat consumenten zouden uitwijken naar niet-Europese websites om het 'cookieverbod' te ontlopen.

Ze had dus inderdaad beter ergens een forumtopic geopend en ervaren gebruikers hun mening gevraagd ipv xx.xxx euro overheidsbudget uit te spenderen.
Mensen maken zich tegenwoordig helemaal niet druk over privacy. En de overheid is daar mede veroorzaker van (OV Chip, EPD, gegevensoverdracht naar Amerika). De keren dat de overheid zich daar dan wel druk over maakt juich ik dan ook toe. En ik ben ook van mening dat de overheid ook niet populaire maatregelen mag nemen als het gaat om bewustwording (voeding/levensgewoonte voorlichting) of ongewenst gedrag (o.a. te hard rijden).

De opmerking over het schrijven van het rapport slaat op "Hoe dit in de praktijk wordt toegepast is nog niet duidelijk ......... nog in de consultatiefase". Vreemd dat men wel anti-spam wetgeving prachtig vindt, ondanks dat men daar ook uit kan wijken naar andere landen, en dat men bij andere maatregelen de mogelijkheid tot uitwijken als excuus wil gebruiken om dan maar niets te doen. M.i. moet men ergens beginnen en als de bedrijven dan inderdaad uitwijken, dan kan men desnoods aanvullende wetgeving verzinnen. Of zoiets ook internationaal aan proberen te pakken. Dus om het voorstel meteen maar af te schieten, nee daar zie ik geen reden toe. Laat het eerst maar eens zien.

Ik ben het met je eens dat de bedrijven het probleem veroorzaken. En dat men simpel kan uitwijken. Maar om dat als argument te gebruiken om dan maar niets te doen. Dat het in een bepaald aantal gevallen nuttig is, daar ben ik het ook mee eens. Maar niet iedere jan-doedel met een website hoeft van mij het recht te hebben om persoonlijke gegevens te verzamelen. Ik ben niet tegen cookies, maar de huidige browserinstellingen zijn mij te algemeen. Ik zie meer in een systeem waar ik aan kan geven dat van site ik geen cookie tolereer en bij site b dit wel accepteer. En dan mag mijn browser wel iedere keer als ik een site bezoek een vraag van de website beantwoorden met "Ja/Nee/Vraag de gebruiker maar" al naar gelang mijn voorkeur voor het bedrijf.
Dit lijkt mij ook de oplossing. In de praktijk zijn de meeste sites waar je de cookies echt nodig hebt sites die je vaak bezoekt, dus als bij die sites je dan aangeeft dat je ze wel wil accepteren en bij sites waar je ze niet nodig hebt ze niet accepteert. Opzich moet de melding die je dan krijgt eerder de voorkeur geven aan "nee" dan aan "ja" om te voorkomen dat er misbruik van wordt gemaakt en we in de toekomst weer met strengere wetgeving te maken krijgen. Het lijkt mij ook beter om de verantwoordelijkheid van het implementeren bij de browserbouwer te leggen. Dit om te voorkomen dat er continu gecontroleerd moet worden op deze wetgeving.
@Het.Draakje: jouw tegen argumenten zijn nog slechter!
Als 90 procent geen flauw idee heeft, dan heeft 10 procent dat wel. Wie geeft de webdeveloper het recht om voor die 10 procent te beslissen?
Het gaat er helemaal niet over of een developer nu wel of niet het recht heeft of de bezoekers van een website wel of niet een cookie moeten accepteren. Dat wordt ook helemaal niet vermeld in het artikel. Het gaat er om dat een website de gebruiker eerst moet vragen om toestemming voordat er cookies geplaatst mogen worden.
Niemand weet hoet de regeling eruit gaat zien, maar jij weet al dat het voor iedere bezoek aan de site moet vragen. Hoe kom jij aan die wijsheid ?
Dat staat letterlijk in het artikel: "websites in de toekomst eerst uitleggen waarvoor de cookies worden gebruikt en daarna de gebruiker om toestemming vragen om de cookies op te slaan."
Inloggen, toestemming vragen, nee dat doen professionele bedrijven niet. Want dat gaat ten koste van het design. Je kan uiteraard niet opteren voor een design waarschuwing.
Wat is dit nu weer voor gebral? Als deze regeling er komt ben je verplicht om toestemming te vragen, en dat geldt dus ook voor 'particuliere' websites. Overigens had Paradox het niet eens over bedrijven maar over het (professionele) niveau van het uiterlijk/werking van een website, die dus omlaag gaat als je de gebruiker moet gaan lastig vallen met vragen/uitleg over cookies waar meer dan 90% van je bezoekers niet in is geinteresseerd!!
Het gaat er om dat een website de gebruiker eerst moet vragen om toestemming.
Wat dus in tegenstelling is tot de huidige situatie dat de developer ervan uitgaat dat hij wel een cookie mag plaatsen.

Dat staat letterlijk in het artikel: websites moeten uitleggen
Hoe dit in de praktijk wordt toegepast is nog niet duidelijk. Daarvoor is men nu juist de consultatiefase gestart. Er zijn andere opties mogelijk. Ik zie nog niet staan dat het bij ieder bezoek getoond moet worden. Het zou best kunnen zijn dat mijn browser zelf bij moet houden of een bepaalde site een cookie mag gebruiken of niet.

Wat is dit nu weer voor gebral?
Opmerking "Gaat ook nog eens de site minder professioneel maken, design verpesten door een lelijke waarschuwing van cookies."
Mijn (inderdaad sarcastische) opmerking dat een waarschuwing in het geheel geen design hoeft te verpesten, lijkt me (afgezien van het sarcasme) niet geheel misplaatst.
jouw argumenten zijn gewoon stierenpoep. Als 90 procent geen flauw idee heeft, dan heeft 10 procent dat wel
Van de 10 procent die het weet, slechts 0,01% geen cookies zou willen. De rest vind het prima, want die weet dat cookies nodig zijn voor sessies en alles wat een website interactief maakt.
Het probleem is dat de politici die zich hier tegenaan gaan bemoeien bij de 90% hoort. En waarschijnlijk zelfs bij de 10% van die 90% die niet eens een computer zelf kan aanzetten.
first party cookies misschien, die 3rd partie cookies die je via de banners krijgt mogen van mij weg. (ja ik weet hoe je dat moet uitschakelen)
Maar dan nog zijn er genoeg sites waarvan ik zelfs geen first party cookies wil ontvangen
Volgens mij is hier het hele punt gewoon dat we met legacy technology zijn blijven zitten.

Cookies zijn evil... en dat is al jaar en dag zo.
Maar ze zijn ook nodig, omdat er nou eenmaal geen ander systeem is (wat overal en altijd werkt) die het voor je kan oplossen.

Het is niet veel verschillend van het SPAM probleem.

Ook daar zitten we met iets wat nu technologisch op de juiste plek (de email servers) lastig is op te lossen. En ook daar is zo'n bestuurlijke oplossing zoals nu voor cookies wordt voorgesteld onmogelijk.

Immers je kan moeilijk verwachten dat de ontvanger van een email, expliciet (wettelijk verplicht) de verzender toestemming moet geven om email te mogen versturen naar hem/haar. Hoe weet je dan ooit dat iemand een email naar je wilt sturen ? (want de email sturen mag in eerste instantie al niet)
Geinig zo'n discussie... Tweakers vallen meestal over elkaar heen op het moment dat ze vermoeden dat hun privacy in het geding is. Wordt er iets aan gedaan (een poging - zeker niet de perfecte oplossing!) is het weer niet goed?!?

Zie daar de spagaat waar de wetgevende macht zich nu in bevindt. Niet alleen op het gebied van privacy wetgeving, maar ook bij het downloaden van auteurs-rechtelijk beschermd materiaal voelen we allemaal wel aan dat er iets moet gebeuren, maar eigenlijk is elke stap net niet de juiste oplossing...

Het vooraf moeten vragen van toestemming voor het plaatsen van een cookie zal de privacy niet veel helpen, en zal het de webdevelopers een stuk lastiger maken, maar wat moeten we dan?
Ophouden met belachelijke voorstellen te komen en zichzelf gewoon verdiepen in de materie.

Wat denk je dat dat kost? Al die ambtenaren en politici die lopen te vergaderen over dit onderwerp, en allerlei externe onderzoekbureautjes inschakelen (die ook zeker niet goedkoop zijn) omdat ze zelf geen verantwoording durven te nemen ... Maar ja, je moet wel werk hebben, eh? Dan verzin je toch gewoon werk?

Tegen de tijd dat alles uitgediscussieerd is over dit onderwerp, en de conclusie is gekomen dat het technisch (en met name praktisch) gewoon niet haalbaar is, zijn we behoorlijk wat euries en tijd verder en is er nog niks gebeurd. Dit alles had dan kunnen worden verkomen als de beste man er zelf gewoon verstand van zou hebben. (OV-kaart RFID debacle iemand?)

Als je nog eens afvraagt waar je belastingcenten heen gaat, nou, naar dit soort ongein.

Ik claim het zeker niet beter te weten, want ik zou hier ook niet zo snel een oplossing voor hebben, maar iedere randdebiel (maar onze eigen overheid niet) kan concluderen dat DIT niet gaat werken.
Onafhankelijke computer wetenschappers en experts op het gebied van internet & maatschappij in een denktank zetten. Dus niet politici die de klok maar niet de klepel weten te vinden de wetgeving laten maken. Als je het mij vraag wordt de digitale cultuur enorm onderschat door de politiek.

Overigens vindt ik de discussie over hoe de commercie de overheid beïnvloed belangrijker dan dat privacy verhaal.
Het achterliggende idee is natuurlijk dat je gewoon helemaal geen cookies meer moet gebruiken. Sla sessiegegevens op in een serversessie, in de database (als je bent ingelogd), of creeer in Javascript een GUID bij binnenkomst en knal je klikpad e.d. samen met dat nummer weg in de database.
Ok, het is om (dit is precies waarom de cookie is uitgevonden, denk aan winkelmandjes e.d.), maar we weten allemaal dat trackers als Google Analytics cookies masaal misbruiken om users te tracken, ook over meerdere sessies heen. Dat moet stoppen.
In dit licht is de HTML5 Web Storage nog niet zo verkeerd: veel uitgebreider dan de cookie (cookie = max 4kb) en het sluiten van de tab/browsers dumpt meteen de hele inhoud, heerlijk. Krijg je ook niet meer die 'Amazon voorvallen', waarbij je op een openbare PC ineens het account van een vorige user kunt openen (of iig de wensenlijst in kunt zien).
En hoe weet de server welke sessie bij welke browser hoort? Oh ja ... cookies.
Gewoon de sessieid als parameter bij elke link meesturen.

<a href="pagina.php?sessionid=xxxx"></a>
En hoe hou je dan precies bij of je nog wel verbinding hebt met de juiste gebruiker?
Als iemand die link aan iemand anders geeft bijvoorbeeld?

En je weet, een IP kan mid-session veranderen.
Dat kun je ook doen met een cookie hoor ;)
Als een gebruiker een andere gebruiker een cookie geeft (ervan uitgegaan dat de zowel de software op de PC als de website up-to-date beveiligd is) is dat natuurlijk héél iets anders dan dat gebruikers gewoon wat links uitwisselen om elkaar op wat informatie te wijzen. In dat laatste geval verwacht je niet opeens in de sessie van de ander te zitten, terwijl dat in het andere geval vrijwel zeker de bedoeling is.
Inderdaad, dat zou dus nog veel meer privacy/security problemen zou veroorzaken, want Jantje MSN't eventjes een link naar een leuke pagina die hij op Facebook aan het bekijken is naar Pietje en ineens is Pietje op Facebook ingelogd als Jantje (session hijacking dus).

Of het nou via een cookie of een ander mechanisme is, uiteindelijk zal de browser van de gebruiker toch echt op de een of andere manier een ID moeten kunnen bijhouden dat meegestuurd wordt naar de server. En dus het liefst op een manier waarbij de gebruiker dit ID niet per ongelijk kan weggeven aan iemand anders. Een taak die session cookies op dit moment prima kunnen vervullen, dus het is echt onzin om dat ineens te gaan veranderen, en zeker niet op deze manier.
Dit gebeurd inderdaad, tenzij die website het IP tracked en die sessie dan direct dropt
True, je zou het nog op kunnen lossen met een ajax-achtige verbinding (beetje zoals de chatapplicatie op Hyves of MySpace werkt), maar dat zuigt je servercapaciteit weer leeg.
Eigenlijk gebruiken we cookies voor zaken die eigenlijk nooit de bedoeling zijn geweest, misschien moeten we daar eerst een over nadenken. Ik denk dat het zo verkeerd nog niet is als gegeven over sessies heen tillen ineens niet meer zou kunnen. Voorkomt een hoop privacy ellende (trackers, winkelmandjes die open blijven staan e.d.).
Inderdaad, 90% weet van niets en 99% zit er niet op te wachten hiermee lastig gevallen te worden.

Beter zou het zijn restricties op te leggen aan wat met zo'n cookie te doen: geldigheidsduur en welke info erin staat.

Dan kan de developer gewoon zorgen dat'ie zich aan redelijke privacy wetgeving houdt terwijl de gebruiker alleen in uitzonderingsgevallen toestemming moet verlenen.
... en welke info erin staat.
Symmetrisch encryptie-algoritme er overheen, knappe jongen die kan bewijzen dat er privacy-gevoelige dingen in die cookie staan. ;)
uberhaupt heb je aan een nummer in een cookie natuurlijk wel genoeg, de rest kan dan in je eigen database, waar ik het als site eigenaar uberhaupt liever heb dan op een users compu.
Klopt helemaal. Enige oplossing is dat, als mensen niet willen dat hun gegevens in cookies of waar dan ook in staan, dan moeten ze die gegevens in eerste instantie helemaal niet opgeven.
Wat is die man zijn ip, dan stel ik voor dat alle webdevelopers voor dit ip alvast zo'n "accepteer cookie"-popup bouwen!

Dan merkt hij wel hoe irritant dit is.
Die "man" heet Maria van der Hoeven..
Die "man" heet Maria van der Hoeven..
De vraag was 'Wat is die man zijn IP' , niet zijn naam

Ik wil geen cookies, ook geen cookie dat bijhoudt dat ik geen cookie wil. Bewaar dat maar in je eigen administratie.
krijgen we ook weer de nodige popups van je security die gaan vragen of de popup voor de cookie vraag wel mag pop-uppen.
Ik ben het echt volkomen met je eens. Als ik aan een willekeurig iemand vraag wat een cookie is, zegt diegene hoogstwaarschijnlijk, al lachend: "Echt geen flauw idee". Ik ben bang dat dit alleen maar voor meer verwarring zorgt voor de gemiddelde internetgebruiker.

Je kunt toch ook gewoon in je browser cookies uitschakelen zodat je er geen last meer van hebt? Dit bewijst maar weer eens dat de overheid zich niet met het internet moet gaan bemoeien als ze er zelf te weinig vanaf weten.

[Reactie gewijzigd door SpaceK33z op 21 april 2010 15:38]

eerder: 'stukje gebakken deeg' of misschien nog 'een LG telefoon'
Maar dit voorstel van van der Hoeven is weer een mooi voorbeeld van de volledige onkunde van de overheid omtrent technologie.

Tja, of de technologie is te ver doorgeslagen of omslachtig geworden.. Het principe van wat ze willen is helemaal niet slecht..
Misschien moet je ook de politiek in gaan... je opmerkingen zijn al van het goede niveau.

Het concept en de technologie achter cookies is vrij simpel en bestaat al sinds 1994 (Netscape 1.0). Dus je daar achter verschuilen (of als verklaring aanvoeren voor deze ideeen) is echt onzin. Maria en haar "experts" hebben duidelijk geen flauw idee wat cookies precies zijn en waarvoor ze allemaal gebruikt worden. Maar ze hebben gehoord dat er ook persoonsgegevens in opgeslagen kunnen worden en nu lopen ze allerlei privacy onzin uit te kramen.

En wat is nou precies het probleem dat ze probeert aan te kaarten? Dat in een klein bestandje op je eigen computer persoonsgegevens worden opgeslagen die je zelf op de betreffende site hebt ingevoerd en alleen weer kunnen worden benaderd door die site op het moment dat je er zelf voor kiest om weer naar die site toe te gaan. Lijkt me een erg klein risico omdat:

- de gegevens op je eigen computer staan waar alleen jij bij kunt (toch?!?)
- de andere partij de gegevens dus alleen kan benaderen als jij daarbij helpt
- je de gegevens toch al een keer gepost hebt (en dus toevertrouwd hebt aan die partij)

Die laatste lijkt me de meest essentiele. Je hebt je gegevens al een keer naar hun server toegestuurd dus als een partij die gegevens echt zo nodig wil bewaren (eventueel voor slechte doeleinden) dan gaan ze echt niet vertrouwen op cookies hoor. Nee, dan kom je netjes in hun database terecht, zodat zij je gegevens hebben en er altijd bijkunnen zonder dat jij daar als eindgebruiker achter kunt komen (wat met cookies dus wel transparant is). Dus wat ga je daar aan doen mevrouw van den Hoeven? Dat is namelijk nog oncontroleerbaarder dan het verbod om ongemerkt cookies op te slaan.

Dus het principe wat ze wil is WEL slecht. Zij denkt dat je door het verbieden van cookies je persoonsgegevens beter beschermt terwijl dit dus klinkklare onzin is. Je gegevens staan namelijk allang in de database bij www.hackmesweet.org. Cookies zijn gewoon een gemaksmiddel waardoor sites een bepaalde service kunnen verlenen (en dynamisch/stateful) kunnen zijn maar vormen dus geen gevaar voor de privacy.

Mensen moeten gewoon wakker worden en beter nadenken over waar ze hun persoonsgegevens achter laten omdat als je iets eenmaal invult, het "nooit" meer verdwijnt. En laat die mensen dan ook niet in de waan dat het wel veilig is als er geen cookies worden opgeslagen.

Daarnaast is het technologisch natuurlijk ook totaal onhaalbaar. Geen enkele Web 2.0 site zal meer werken dus niemand wil dit. En wij zijn wij als klein kikkerlandje om internationale sites dit op te gaan leggen? Of af te gaan dwinger dat iedereen een speciale NL versie van zijn browser gaat maken om bij elke cookie een pop-up te tonen (de gedachte alleen maakt me al gek!).

Nee Maria... roep volgende keer eerste eens de hulp in van echte experts voordat je weer zulke ideeen uit gaat lopen kramen.

edit: typo

[Reactie gewijzigd door sys64738 op 22 april 2010 08:45]

Het probleem is inderdaad weer eens overduidelijk de overheid heeft totaal geen verstand van technologie en maakt beslissingen op basis van totale onkunde in plaats van eerst deskundige te raadplegen over de mogelijkheden van hun voorstellen.

Het eerste probleem dat ik zie is dat dit alleen de commerciële sites gaat raken, alle andere sites zullen dit gewoon negeren en er mee weg komen, omdat niemand instaat is al deze sites altijd maar te controleren. Daar naast zullen sites die deze cookies voor minder nette doeleinden gebruiken er al helemaal geen boodschap aan hebben dat de Nederlandse overheid besloten heeft dat...
Met andere worden anders dan de multinationals flink op kosten jagen bereik je helemaal niets met dit soort wetgeving. Natuurlijk kun je proberen om de browser makers van de wereld te verplichten om voor de Nederlandse browsers altijd een popup te tonen als er een cookie wordt aangeboden maar naast het feit dat ook zij zich hier weinig van aan zullen trekken wat houd een Nederlander tegen een browser met een anderstalige interface te gebruiken?

Daar naast is het in heel erg veel moderne frameworks net zo makkelijk om de gegevens van een bezoeker bij te houden op de server, het enige verschil is dat je als je het zelfde IP weer ziet niet zeker weet of het de zelfde gebruiker is maar tracking is nog steeds best goed mogelijk omdat er maar weinig van IP gewisseld wordt in een wereld waar steeds meer mensen 24 uur per dag 7 dagen per week een internet verbinding hebben, ook als de computer niet aanstaat blijft de modem vaak gewoon aanstaan ;)

De maatregel van uit de EU slaat al helemaal nergens op de implementatie in Nederland nog even minder, het is een niet te voorkomen iets dat alleen door middel van een aanpassing in de standaard veranderd kan worden en waar welke nationale wetgeving of zelfs Europese wetgeving ook maar enig effect op zal hebben.
Een typisch geval van 'schoenmaker hou je bij je leest'! Wat een onzin zeg.... Dan breekt dus 99% van de websites want helemaal niets werkt meer zonder cookies / sessies. Precies wat eimuerte schrijft: hoe moet je dat dan controleren? Zonder een sessie kan je niet onthouden dat iemand zijn voorkeur heeft aangegeven, en zonder cookies geen sessies. Kip en ei iemand? (oke oke, met een GET parameter doorgeven kom je ook een eind, maar dan gaan we wel terug naar de steentijd...)
Sorry hoor maar de politiek moet zich niet met dingen bemoeien waarvan zij geen verstand van heeft.

Cookies moeten transparant zijn voor de gebruiker, als een digibeet leest dat er "iets" wordt opgeslagen op zijn computer duwt hij toch direct op NEE.
op dit moment zijn cookies helemaal niet transparant, bijna niemand weet of er cookies worden geplaatst en wat daarmee dan gebeurt.
En wat is het probleem als een digibeet ervoor kiest om geen cookie te accepteren? Lijkt me helemaal zijn recht, zelfs als hij niet begrijpt wat een cookie is.
Er wordt van alles lokaal opgeslagen, niet enkel cookies, maar ook temp afbeeldingen, html pages, etc. Enkel cookies onder toestemming laten vallen, verandert daar in zijn geheel niets aan.


Sowiezo is het gehele plan om dit bij de hoster neer te leggen waanzin, aangezien er tich sites in elkaar worden gedraaid door men welk evenveel benut heeft van wat een cookie is als de gemiddelde bezoeker, maar slechts luk-raak copy-paste.

Wil je wetgeving hebben, doe het dan op niveau van de browser. Je bent veel sneller klaar, er hoeft slechts 1 wijziging door gevoerd te worden en verder veranderd er weinig. In plaats van default cookies tot op zekere hoogte accepteren heb binnen Europa de regeling om cookies niet te accepteren by default, en enkel op acceptatie door de gebruiker; of accept from trusted sites; of accept always.

En trusted sites ligt bij de browser zelf, zie het een beetje als het systeem wat google gebruikt in chrome waarbij je een waarschuwing sowiezo al krijgt als je een pagina bezoekt dat het troep is waar je uit de buurt dient te blijven.

Maar dan alsnog, al worden de cookies niet opgeslagen, doet dat helemaal niets aan de rest van je cache.


Dan nog wat betreft gebruikers gegevens, tsja, garanderen; dan kunnen ze het web wel opdoeken want je kunt namelijk niets garanderen als je het publiekelijke toegang geeft. En bij lekken melden, haha. Dan ga je er dus vanuit dat een lek bij de 'webmaster' bekend is ;). Veel succes in deze tijd dat 90% van de webmasters zo goed als volkomen digibeet is. Buiten de (middel-)grote bedrijven om waar daadwerkelijk ICT personeel loopt zie ik hier bijzonder weinig van terecht komen.

Of gaat de overheid mensen aanstellen om deze zekerheid te 'garanderen' zover mogelijk? ;)
Toch is cache wel degelijk anders dan cookies. Met cookies sla je iets op, wat je vervolgens weer op kunt vragen (voor tracking etc). Cache zijn bestanden die de browser opslaat, en kunnen (zo ver ik weet) niet weer uitgelezen worden. Cache kan dus niet worden gebruikt voor identificatie, hence geen risico voor privacy schending.
Cache kan wel degelijk worden gebruikt voor identificatie. Zeker als je gebruik maakt van de wat geavanceerdere features van caching: conditional GET. Daarmee geef je een zogenaamde ETag mee aan een bestand wat wordt opgevraagd; het doel is om die ETag bij volgende requests door de browser mee te laten geven en zo te controleren of het bestand in de tussentijd gewijzigd is.

Er is echter niks wat jou tegenhoudt om in die ETag niet een unieke code te zetten. Toegegeven, het is niet fool-proof, want de meeste browsers geven geen ETag mee als je Ctrl+F5 of Ctrl+R doet, maar toch...
@ psychodude, woensdag 21 april 2010 14:00
Goed stukje,
Ter aanvulling:
LSO ... ook wel bekend als flash cookies... vallen die hier dan ook onder? Ik hoop het wel...
Het feit dat bijna niemand weet of er cookies worden geplaatst en dergelijke maakt ze juist transparant. Denk bijvoorbeeld aan een transparente proxy; de gebruiker merkt niet dat zijn requests door een proxy gaan.
Op zich is dat een hele goede houding voor een gebruiker. (Ik zou willen dat er meer waren die dat deden.)

Maar ik begrijp je probleem wel ;)

Het probleem is hier echter dat er 2 soorten cookies zijn:
  • Technisch noodzakelijke cookies (b.v. t.b.v. 'inloggen')
  • Cookies t.b.v. 'leuke' statistieken van de eigenaar van de website (b.v. bezoekersaantallen)
Het probleem is dat die laatste vaak op, of over, het randje van de privacy van de gebruiker heen gaan. Iets wat terecht onwenselijk geacht wordt.
Doordat de beide soorten niet van elkaar te scheiden zijn moeten de goede het blijkbaar weer onder de kwaden lijden, met als gevolg dat voor elke cookie toestemming gevraagd moet gaan worden.
Dat heeft op zijn beurt tot gevolg dat de gebruikers het al snel helemaal zat worden en "accept all cookies' in gaan stellen waardoor we weer terug bij af zijn.
Terug bij af zijn we niet. Het probleem is juist helemaal opgelost in deze situatie.

Probleemdefinitie (uitgebreid): Er worden ongevraagd cookies opgeslagen op de computer van de gebruiker.
Probleemdefinitie (kern): Er wordt iets niet gevraagd voordat het uitgevoerd wordt.
Oplossing: Vraag toestemming.

Als een gebruiker altijd op JA klikt dan is dat verder zijn probleem. Het probleem is opgelost.
Nee, want dan gaat men wel op zoek naar de cookies-instellingen - om gewoon maar alle cookies te accepteren. Dus er is dan helemaal niks opgelost.
Ik wil die gebruiker nog wel een keer zien. Alle gebruikers die ik ken klikken altijd op JA. De reden hiervoor is heel simpel "dan werkt het gewoon". Dat is hoe een gebruiker meestal denkt.
Inderdaad! Zo is er de laatste tijd een waarschuwing (een waarschuwing van IE, niet van de site zelf) hier op 't werk op een bepaalde site, waar je juist op 'Nee' moet klikken om de inhoud te kunnen weergeven. Tijden lang kon men niet met die website aan de slag... Totdat ik eens voorstelde de melding ook eens werkelijk te lezen, waardoor ze erachter kwamen dat je juist 'Nee' i.p.v. 'Ja' moet aanklikken om door te gaan.

[Reactie gewijzigd door kimborntobewild op 21 april 2010 15:37]

Als we dit naar de metafoor van de auto vertalen, dan moeten weggebruikers op elke snelweg met trajectcontrole eerst even langs de kant op een knopje drukken waarmee ze akkoord gaan dat hun gegevens (snelheid, kenteken, tijd) worden opgeslagen.

Ik zie ze al staan op de A4, A12, A16 etc...

Wellicht als je dat aan deze minister voorlegt dat ze dan snapt dat dit niet echt een werkbare situatie oplevert??
Als we dit naar de metafoor van de auto vertalen, dan moeten weggebruikers op elke snelweg met trajectcontrole eerst even langs de kant op een knopje drukken waarmee ze akkoord gaan dat hun gegevens (snelheid, kenteken, tijd) worden opgeslagen.
Een beetje het idee van tolpoortjes dus, en die bestaan al tijden.
De gemiddelde gebruiker drukt standaard op ja/ok, omdat ze al die waarschuwingen echt niet gaan lezen na de 10de keer.
1 2 3 ... 10

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True