Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 65 reacties
Submitter: thvd

Websites hoeven niet elke keer expliciet toestemming te vragen om een cookie te plaatsen, maar kunnen volstaan door naar browserinstellingen te kijken. Dat heeft het Nederlandse kabinet vrijdag besloten in de Ministerraad.

Cookie monsterDaarmee is het kabinet teruggekomen op een eerder voornemen om websites te verplichten elke keer toestemming te vragen om een cookie te mogen plaatsen. De internetbranche reageerde fel op het voorstel van minister Van der Hoeven, omdat het hinderlijk zou zijn als de internetgebruiker elke keer toestemming zou moeten geven. Veel websites maken gebruik van cookies voor sessies of om instellingen op te slaan.

De Ministerraad is nu akkoord gegaan met een afgezwakte versie van het voorstel: niet langer hoeft de website toestemming te vragen, maar de website mag afleiden uit de instellingen van de browser dat de gebruiker akkoord is met het plaatsen van cookies. "Deze bepaling is zo uitgewerkt dat als het internetbedrijf de gebruiker goed heeft geïnformeerd, de toestemming van de gebruiker kan blijken uit de instellingen van het programma waarmee de gebruiker het internet op gaat. Hiermee is een en ander werkbaar voor internetbedrijven, maar wordt recht gedaan aan het goed informeren van de consument over zijn privacy."

De bepaling over cookies is onderdeel van een wijziging in de Telecommunicatiewet. Daarin staat onder meer dat providers klanten moeten informeren als privé-gegevens op straat zijn komen te liggen. Ook moeten zij het melden als zij bepaalde diensten op hun netwerk afsluiten, bijvoorbeeld omdat er veel druk ligt op het netwerk en andere diensten voorrang zouden moeten krijgen. Daarnaast krijgen doven en slechthorenden het recht om via een gebarentolk of teksttelefoon met een bank of met de overheid te kunnen communiceren.

De nieuwe regels moeten in 2011 ingaan en zijn gemaakt om te voldoen aan Europese regelgeving. Het wetsvoorstel moet voor goedkeuring nog wel langs de Raad van State. Het is onduidelijk hoe minister Van der Hoeven de wet heeft geformuleerd: de exacte tekst is nog niet gepubliceerd.

Moderatie-faq Wijzig weergave

Reacties (65)

Cookies zijn zo'n fundamenteel onderdeel van ons internet, ze worden gebruikt om sessies te bewaren, persoonlijke instellingen op te slaan, en soms ook voor authenticatie. Elke cookie trusten zou ontzettend veel tijd kosten, en voor de beginnende gebruiker totaal onoverzichtelijk worden. Bij ons tweakers gaan de rode vlaggen wel omhoog als we een cookie van DoubleClick zien, maar normale gebruikers zullen hem waarschijnlijk gewoon accepteren uit angst om iets fout te doen.

Een cookiewetgeving is een erg goed plan, maar niet op deze manier.

Also, voor de mensen die alle cookies zat zijn: TACO is een hele leuke firefox plugin die tracking cookies blokt. Helaas wel gebundeld met een of andere privacytool tegenwoordig, dus probeer een oude versie te vinden.

Also 2: weer een geniaal plaatje zoals altijd.
Beef Taco
This add-on is a fork of the original TACO v2.0, which went commercial in v3.0 and no longer suited my needs. Please consider both versions before selecting one, as TACO 3.0 has many more features.
Dankjewel, die fork kende ik nog niet. Highly recommended.
Nou dat is ook overdreven hoor... Tweakers mag van mij een cookie plaatsen, andere sites waar ik op inlog ook, sites waar ik een shopping cart heb ook, maar dan heb je misschien wat, 1 of 2% van alle cookies gehad? De overgrote meerderheid van alle cookies bieden geen voordeel voor de eindgebruiker, dus een systeem waarbij je per site even toestemming moet geven of die site cookies mag gebruiken lijkt me helemaal zo erg niet.
Oftwel, de bescherming is er alleen voor de mensen die weten hoe ze zich moeten beschermen. :(
En de mensen die er geen bal om geven zijn het zelf schuld! Als er geen APK keuring zou zijn, zouden er honderden, sorrie, tienduizenenden (letterlijke) koekblikken rondrijden! Dus als je er zelf niets aan doet: eigen schuld. Zo ingewikkeld is het niet om je even 10 min te interesseren in cookies!
Als er geen APK keuring zou zijn, zouden er honderden, sorrie, tienduizenenden (letterlijke) koekblikken rondrijden! Dus als je er zelf niets aan doet: eigen schuld.
Ha, weer een autovergelijking :+
Als de koekblikeigenaren hooguit tegen een paal of een monument zouden kunnen rijden was het niet erg. Graag zelfs. Maar die apk-loze eigenaren met brakke remmen kunnen ook mij van mijn fiets rijden of een groepje scholieren.
De vraag is eerder wat is het definitie van een "Cookie". Iedereen op de planeet die engels kent weet dat het iets eetbaars is.

Wat is het link tussen een echte "Cookie" en die voor een brouwerser?
Zolang je hier geen degelijk antwoord op kan krijgen zal men alleen maar denken dat het een belachelijke benaming is welke bedacht is door een klein kind. En helaas hebben ze volledig gelijk. En dan gaan vragen aan die mensen of ze de tijd willen steken in kinderachtige onzin?

Zij willen gewoon informatie opzoeken op het internet en niet lastig gevallen worden met nerd benamingen wat kant noch wal slaat.

[edit]
Ik zelf zou meer iets willen zien als "WPC" Web Page Configuration. Dan hoef je niet eens uit te leggen wat het doet maar is het in 1 oog opslag duidelijk voor de gemiddelde mens waar het voor is.

[Reactie gewijzigd door Caelestis op 4 juli 2010 11:18]

Als je op de fiets het verkeer in gaat, moet je enigszins de verkeersregels kennen om veilig bezig te zijn. Net zo goed moet je als je het internet op gaat weten wat de gevaren zijn. Als je daar geen tijd/zin voor hebt, dan heb je altijd nog de optie om al je privacy instellingen van je browser en firewall+virusscanner op strict te zetten. Als je zelfs dat niet kan dan hoor je niet te internetten.

[Reactie gewijzigd door stefanos1990 op 3 juli 2010 15:15]

"niet langer hoeft de website toestemming te vragen, maar de website mag afleiden uit de instellingen van de browser dat de gebruiker akkoord is met het plaatsen van cookies. "


Kneuzen in de politiek, niet de website maar de browser bepaald of een cookie geplaatst mag worden, wordt echt eens tijd dat er mensen met IT kennis in de kamer komen.
Ik ben wel voorstander van default cookies weigeren in alle browsers. 99% van de cookie-data is overbodig. Laat de servers maar wat meer werk doen ipv bezoekers te spammen met ongevraagde bestanden.

Volgens mij is het alleen maar handig voor verbindingen die vaak een ander ip krijgen en dan alleen op websites die geen gebruik maken van een gebruikersregistratie. Dan heb je niks om de gebruiker te identificeren.
Maar waarschijnlijk wil die gebruiker dat dan ook dus waarom niet gewoon zijn gang laten gaan?
Je vergeet alleen de zeeŽn van computers achter een NAT, die dus samen een IP delen. Als de server je puur op IP-adres zouden moeten identificeren dan zou straks ineens je buurman op school of je collega met jouw account op tweakers zitten te posten (bv).
Hoezo met jou account? Hoe komt ie aan je wachtwoord? Als een gebruiker met zijn account is ingelogd heb je zijn ip niet meer nodig. Je weet al wie het is en kunt eventueel zijn persoonlijke instellingen uit je database halen.

Daar ligt het probleem met die cookies. Puur commerciele belangen. Er moeten gegevens over mensen verzameld kunnen worden zonder dat ze inloggen en zich ervan bewust zijn.
Sorry, maar je hebt werkelijk geen idee waar je over praat. Hoe denk jij dat een website weet dat jij ingelogd bent? Juist... cookies! Er blijft geen verbinding openstaan tussen website en bezoeker waardoor je 'weet' wie die bezoeker is. Een cookie wordt gebruikt om dat gebrek op te vangen.

[Reactie gewijzigd door brama op 3 juli 2010 13:51]

Omdat ik mezelf heb ingelogd? Of kunnen ze dat niet onthouden? Mijn browser wel in ieder geval. Ok, als ik die opnieuw opstart moet ie weer opnieuw mijn username/wachtwoord versturen, maar dat is toch geen probleem? Of gaat het er alleen maar om dat ene klikje op Login over te slaan?
Nee, dat kan je browser dus niet. Probeer het maar, stel je browser in om helemaal geen cookies te accepteren, wis vervolgens je tweakers.net cookie en probeer in te loggen. Lukt je niet. Je krijgt geen foutmelding maar zodra je weg navigeert van het "je bent ingelogd" scherm ben je weer uitgelogd.
We kunnen ook je password elke keer in een hidden field stoppen, lekker makkelijk voor sniffers aangezien veel logins niet via https lopen :)
Als je je cookies verwijdert, ben je automatisch weer uitgelogd. Cookies zijn juist nodig voor het inloggen op websites e.d.
Als een gebruiker met zijn account is ingelogd heb je zijn ip niet meer nodig.
oh, en als de gebruiker zich vervolgens ernstig gaat misdragen en de data in de database vals is, of de account is gekraakt door iemand dan de echte eigenaar? Dan wil je aan de hand van het IP toch echt kunnen traceren wie het is.

voor abuse zaken zeer boeiend.
Cookies heb je nodig voor (fatsoenlijke) gebruikersregistratie. Dus je zou bijvoorbeeld ook niet meer in kunnen inloggen in tweakers. Dus nee, 99% van de cookie-data is niet overbodig. Log maar eens in om wat websites waarbij je bent geregistreerd, gooi al je cookies weg: en overal ben je uitgelogd.

Natuurlijk worden cookies ook gebruikt voor trackingdata (ads enzovoorts). Maar cookies zijn alleen niet meer de enige bron van tracking. Er zijn bijvoorbeeld ook sites (zoals Facebook, weet niet of ze dit nog steeds doen) een hele bult persoonlijke informatie in de url inbakken. Vervolgens word deze data dus naar de ads 'verstuurd' als de referer op het moment dat je ad word opgevraagd. Maar er zijn nog veel meer van dat soort technieken.
Het lijkt alsof ze nodig zijn omdat het een ingeburgerde standaard is en de meeste websites er op dit moment gebruik van maken.
Maar het zou ook anders kunnen. Zoals ik hierboven al zei: Als je zonodig wil weten wie de bezoeker van je site is kun je hem gewoon laten inloggen en zelf info bijhouden over je gebruikers, waaronder ook de informatie over of hij is ingelogd, hoe lang hij inactief is en wanneer hij automatisch wordt uitgelogd.
Als je dat niet doet wil je eigen cpu-cycles sparen of informatie over bezoekers verzamelen zonder dat ze het merken.

[Reactie gewijzigd door blorf op 3 juli 2010 13:42]

Waar jij het over hebt zijn sessies (waarvan tweakers.net ook gebruikt maakt). Sessies werken dan vervolgens weer door serverside informatie te combineren met cookies. Je hebt namelijk nog steeds een soort van identificatie nodig om te weten wie een bepaalde inkomende verbinding is. IP identificatie is om diverse redenen erg onverstandig om te gebruiken.

[Reactie gewijzigd door Scorpion1984 op 3 juli 2010 13:46]

En zoals boven vergeet je ergens dat een site dat bijhoudt middels cookies. Zonder cookies kun je niet zeker weten wie de pagina bezoekt, dat is nou juist het hele eieren eten!
Dat is inderdaad *wel* zinnig. Vaststellen waarvoor je cookies mag gebruiken (en naast cookies ook andere informatie die je browser meestuurt). Zo kun je er wel vanuit gaan dat als iemand inlogt, dat die geen bezwaar heeft tegen een cookie dat enkel gebruikt wordt om bij te houden dat je ingelogd bent. Voor alle andere vormen van informatiewinnig is dat inderdaad niet zo voor de hand liggend, en daar zou je wel voor gewaarschuwd mogen worden.

Het probleem met het voorstel is ook niet dat de gedachte erachte slecht is (niet zomaar informatie verzamelen zonder dat de gebruiker hiervan bewust is), maar dat de implementatie ervan nergens op slaat. Dit door een gebrekkige technische kennis.

In principe zou de standaardinstelling van een browser moeten zijn dat je alleen gevraagd wordt om toestemming voor een cookie als het voor iets anders gebruikt wordt dan ingelogd te blijven op een website (waarbij 'ingelogd blijven' betekent dat je eerst expliciet met een naam/wachtwoord (oid) moet inloggen). Verder zou er een categorisering moeten zijn die aangeeft waarvoor zo'n cookie dan gebruikt wordt, zodat je met 1 oogopslag meteen ziet of het gebruikt wordt om data te verzamelen voor advertentiedoeleinden of iets dergelijks.
Dan zullen daar wel goeie implementaties voor gevonden moeten worden. Dat een website dat maar moet gaan vragen aan een browser, klinkt mij bijvoorbeeld iets te simpel te omzeilen.

Jou voorstel: je kan niet weten of dat een user inlogd of gewoon een formulier heeft verstuurd, dus dan weet je nog niks. Het probleem met die categorisering is dat iemand het moet gaan categoriseren, en met de hand door een organisatie laten doen is natuurlijk niet werkbaar.
Het idee is natuurlijk dat websites die zich niet aan de regels houden op de vingers getikt worden. Technisch valt het inderdaad niet af te dwingen als de site niet meewerkt. Nou kan je niet elke website dwingen zich hieraan te houden (e.g. sites uit vage landen), dus zou je met certificering kunnen werken zodat je sites zonder certificaat standaard toegang tot cookies kunt weigeren. Bonafide sites zullen dan vanzelf wel mee gaan doen. Als zoiets er van komt, dan moet het wel zo breed mogelijk, anders gaat elk land/regio een eigen systeem verzinnen.

Categoriseren: Ook hier is de aanbieder verplicht zelf een categorie te kiezen (uit een klein fixed lijstje categorieen), en wordt je hard afgestrafd als je hiermee sjoemelt.
En jij bepaald dat dat voor iedereen onzin is, dat je ingelogd blijft na het sluiten van je browser? Daarnaast weet ik niet wat dat te maken heeft met wel of niet cookies.

Daarnaast is de regel maken dat cookies alleen mogen gezet worden als iemand is ingelogd lastig te controleren, en je gaat ook gebruiksgemak wegslopen: zoals het gebruiksgemak dat wel al je gebruikersnaam is ingevuld, en diverse andere implementaties. Cookies zijn nou eenmaal voor heel veel dingen handig of onvermijdelijk (met de huidige mogelijkheden op het web).
eeuwig jammer dit besluit.

Het enig dat er nu verandert is dat je dus niet met flash toch een cookie mag zetten als de gebruiker in zijn browser heeft aagegeven geen cookie te willen.

En misschien dat website bouwers een rekening gaan houden met het feit dat niet idereen een cookie accepteert en op zijn minste proberen hun bouwsels zo maken dat het ook zonder cookie kan werken.
In eigenlijk elke browser kan je cookies volledig blokkeren of gedeeltelijk blokkeren.

Daarnaast kom je niet zomaar om cookies heen bij het bouwen van een website, zowieso niet als je wilt dat iemand kan inloggen op je website. (tweakers.net heeft ook gewoon cookies nodig).
Cookies voor inloggen zijn helemaal niet nodig, zie cookieless session. Al jarenlang mogelijk in de betere webframeworks.
Cookieless sessions hebben zijn grote nadelen. In plaats van een cookie te zetten, plak je de een identificatie string achter de URL (veredeld cookie), dus als je terugkomt op een website kun je je sessie al weer kwijt zijn binnen een browser sessie. Daarnaast zal de gemiddelde gebruiker zijn sessie meesturen als ze een link doorsturen, wat natuurlijk niet wenselijk is. Daar zijn natuurlijk wel weer beveiligingen voor mogelijk, maar een echte vervanging voor cookies is het zowieso niet. (Cookies kunnen natuurlijk ook gejat worden, maar die worden tenminste niet per ongeluk verzonden, of via de referer).

Een andere mogelijkheid is http authenticatie gebruiken, maar heel erg gebruiksvriendelijk is dat ook niet.

Daarnaast kan je beide niet gebruiken om een gebruiker wat hulpmiddelen te geven (zoals de ingevulde username).
Mja. Op zich zou ik er niets op tegen gehad hebben dat er de *optie* was om bij elke cookie informatie mee te geven waarvoor deze gebruikt wordt. Dat zouden ze dan in het venster waar de lijst van cookies staat kunnen gebruiken om meer informatie aan de gebruiker te geven. Alleen is dat dan weer een extra overhead aan het dataverkeer, wat we het liefst toch altijd zo beperkt mogelijk willen houden. Zo iets verplichten was sowieso al onzin, maar als er vanuit weet ik veel welke hoek dit idee naar voren zou geschoven worden, dan zou ik het wel willen ondersteunen.

Telkens als er hier artikels over komen, doet me dat denken aan de text-based browser Lynx die ik af en toe eens gebruik om te zien hoe een site er zou uitzien voor een systeem dat enkel tekst kan weergeven: daar wordt er namelijk bij elke cookie gevraagd of je die wil accepteren of niet.

EDIT: typo fixed

[Reactie gewijzigd door Glodenox op 3 juli 2010 14:33]

Volgens mij is dat een bug. Ik herinner me dat ie in het begin "allow all cookies?" vraagt en daar vervolgens niks mee doet en telkens opnieuw toestemming blijft vragen. Misschien iets met bestandspermissies ofzo?
Allereerst wil ik bij dezen aangeven dat ik weinig bekend ben met de technieken achter cookies en servers, maar na het bovenstaande gelezen te hebben (IP-identification en de nadelen hiervan, (de shoppinglist van je huisgenoot te zien krijgen)) kreeg ik een idee. En het is precies dat.. een ID, een ID die automatisch wordt aangevraagd/toegewezen bij de installatie van je browser.

Is het niet mogelijk om server-side een log bij te houden met EN je IP-adres EN een browser-id? Op die manier worden gegevens centraal (lees: bij de bezochte sites, die toch al je IP loggen) gekoppeld en is het niet afhankelijk van de instellingen van de gebruiker.

Dan ben je toch volledig van het probleem van de cookies af? Als je dan als user anoniem wilt surfen, hoef je alleen maar uit te vinken dat je browser-ID meegezonden wordt en klaar. Plus, als overheid kun je aangeven dat de logs die op de servers staan 256 bit AES (o.i.d.) versleuteld moeten zijn, waardoor de veiligheid wordt gegarandeerd, plus, wanneer websites geblack-list zijn kun je automatisch het meezenden blokkeren, tenzij de gebruiker specifiek aan heeft gegeven (per site en dan met meerdere vensters waarin uitleg wordt gegeven over de gevolgen en gevaren) dat dit wel mag. Eenzelfde techniek zou kunnen worden gebruikt bij grey-of unlisted sites.

Dat lijkt me voor de gebruiker een relatief veilige techniek, alhoewel ik me wel voor kan stellen dat dit een behoorlijke (extra) belasting op de servers op kan leveren en dat niet iedere website-bouwer hierop zit te wachten, maar ik kan me zomaar voorstellen dat je een, voor de gemiddelde gebruiker, veiliger internet krijgt op deze manier.

Natuurlijk dient er bijzonder goed toezicht gehouden te worden op de gegevens van de websites, dus wat dat betreft is het een privacy-risico, maar dat geldt natuurlijk ook voor reeds bestaande databases met bijvoorbeeld klantgegevens. Deze op dezelfde manier beheren zou natuurlijk een must zijn. (en daarmee doel ik niet op: verkopen o.i.d. )

Wat vinden jullie? Of zie ik iets over het hoofd, behalve toezicht, privacy-risico's en server-capaciteit?
In principe zou zulk een ID gewoon met een HTTP header kunnen meegestuurd worden zonder enig probleem. Het is echter extreem eenvoudig om het browser-id van een gebruiker te ontdekken (aangezien het toch bij elke visit naar die site gestuurd wordt) en daarna kan een andere gebruiker hetzelfde browser-id beginnen misbruiken, met alle gevolgen van dien. Het blacklist systeem zou dan beter een whitelist systeem worden (standaard is alles slecht), maar dan nog denk ik dat het systeem iets te zwak gaat uitvallen mocht het in de praktijk omgezet worden.

Als je de browser een apart browser-id laat genereren voor elke site, dan zit je al een stuk veiliger, maar dan kom je eigenlijk gewoon in de buurt van het huidige systeem met cookies, alleen gaat dan de browser en niet de server het id gaan genereren. En mocht je toch eenzelfde id overal gaan gebruiken, dan zie ik het al snel gebeuren dat bepaalde sites hun informatie gaan delen en dan kunnen ze je mooi identificeren met dat browser-id.

Trouwens, over identificeren gesproken, dit kan eigenlijk al redelijk goed als je Javascript hebt aanstaan voor alle sites en een ietwat unieke opzet van browser hebt: https://panopticlick.eff.org/ Voor mij geeft dit: JavaScript af (mijn standaard): 268,106 browsers zijn aan mij gelijk. JavaScript aan: uniek tussen de 1,072,428 geteste browsers... Nu weet ik alleen niet hoe efficiŽnt dit kan, want die site is redelijk traag en geeft daardoor geen duidelijk beeld van de snelheid.
Dus voor ons ontwikkelaars veranderd er wezenlijk niets? Er wordt nu toch ook al naar de instellingen van de browser "geluisterd"?
Dus eigenlijk is er niets veranderd?
Als je geen cookies wil hebben dan zorgt je browser er voor dat je die niet meer krijgt of dat je een melding krijgt dat deze geplaatst wordt. Een website kan dan wel of geen cookie plaatsen.
Jammerlijk dat ze niet iets gedaan hebben aan foreign cookies die niet bij de URI horen die je bezoekt maar ingelinkt worden met plaatjes of advertenties van een extern domein.
Dus een heleboel ophef over niets achteraf?

En het afleiden van de browser instellingen voor wel of niet opslaan van cookies, dat is toch niets nieuws, of mis ik nu iets?

Nu kan ik van een kant wel begrijpen dat ze zoiets als dit wilden invoeren, sommige mensen zijn echt complete digibeten en geven hun wachtwoorden zo'n beetje als erom gevraagd word. Zou het niet handiger zijn om voor die mensen een soort online cursus te bedenken, om ze correct te informeren?

Wat betreft de regering: laat er alstublieft een minister van IT komen die ook daadwerkelijk geschoold is in dat onderwerp. Want wat we nu hebben, allemaal kamerleden die dingen zoals "gegevens worden als cookies opgeslagen" en dan meteen roepen dat privacy in het geding is (want natuurlijk heerlijk hypocriet is in de huidige samenleving, maar dat terzijde) en verder geen idee hebben wat het inhoudt of wat er dan wel mee te doen is.

Een verkwisting van tijd en geld is dit geweest, met als uitkomst dat we weer terug bij af zijn.
En tegen de tijd dat alle cookiewetgeving rond is, dan staat html 5 client-side storage voor de deur... ik snap niet dat ze wetten willen maken over specifieke technologieŽn; ze moeten wetten maken mbt het idee, bijvoorbeeld dat je geen informatie mag opslaan die de gebruiker kan identificeren zonder toestemming, en/of die data niet voor andere doeleinden dan noodzakelijk voor het functioneren van de site mag gebruiken.

[Reactie gewijzigd door Zoijar op 3 juli 2010 13:48]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True