Vlákno názorů k článku Od 1. ledna se změní pravidla pro cookies. Připravte si lišty, radí právnička od vajsmen - > Co vadí uživateli na tom, že má...

> Co vadí uživateli na tom, že má v URL,
> nebo dokonce v hlavičce POST identifikátor sezení

Z meho pohledu nejvetsi prohresek proti WWW - a jeho smyslu. Z me zkusenosti u takovych prisernosti prestane fungovat pulka veci v horni liste (prohlizece): Back (a multi-back), Forward (a multi-forward), Historie, Bookmarks/Favo­rites, znovu-otevreni panelu pri spusteni prohlizece, vetsinou i otevreni odkazů do novych panelů (či oken) a možná ještě něco dalšího.

7. 10. 2021, 01:58 editováno autorem komentáře

Ale dá se to rozdělit cestou GET vs. POST, případně stránky natolik personifikovat, že problém "různá url pro jeden obsah" reálně nenastane. (Do pouhých 4 znaků přidaných k URL lze vměstnat 2.5 milionu "dočasných ID", aniž by se výrazně zhoršila čitelnost.)
Nicméně souhlasím, že to je poněkud náročnější na implementaci a - řekněme - poněkud nepohodlné.

To URL je nepřehledné, když ho uložíte do záložek nebo někomu pošlete, bude se chovat divně (různá URL povedou na stejný obsah). A navíc když ho někomu pošlete, třeba jen jako referer, dostane se do vaší session – pokud neuběhla doba pro zneplatnění session.

Co vadí uživateli na tom, že má v URL, nebo dokonce v hlavičce POST identifikátor sezení?

Potřebuje-li služba informace a nedostane k nim povolení, pak logicky nemůže fungovat. To ale nebude moc častý případ, že ne?

GDPR platí pro jakékoliv zpracování uživatelských dat, tady nejde jen o cookies.

Njn ale jak bez cookies spárujete session s uživatelem? Jedině že mu to session ID budete tlačit do všech odkazů, což je ale UX + SEO katastrofa.

Není zakázáno používat cookies, jen je třeba souhlas s použitím cookies třetích stran. Tedy stránka může mít cookies, které potřebuje pro vlastní potřebu... pro ty nemusíte mít souhlas (např. onen nákupní košík v e-shopu, nebo pro uložení, že člověk nesouhlasil s marketingovými cookies :)) Obecně to, že uživatel nesouhlasil s marketingovými cookies by si naopak měla nějakou dobu pamatovat (alespoň měsíc až rok), ale GDPR neřeší příliš jak dlouho onen souhlas nebo nesouhlas platí, takže teoreticky není špatně, pokud se na to ptá každé otevření v prohlížeči.

Je ale omezené používání cookies třetích stran, které pomáhají sbírat informace o vás pro někoho dalšího.

Celé toto není domyšlené, protože ten sběr informací může probíhat i bez použití cookies, a tak ono zakázání cookies třetích stran nemusí pomoct. Na druhou stranu pokud se budeme řídit správně GDPR, protože ePrivacy není... tak to postihuje jakékoliv způsoby sběru dat a není tedy třeba řešit jen cookies.

Reálně to vše vždy probíhá za pomoci nějakého JS, na který se stránka odkazuje nebo, který obsahuje. Pokud tento JS nespustíte (protože s tím uživatel stránky nesouhlasil), omezíte i použití cookies třetích stran, popř. sběr jiným způsobem.

Určitý problém je v tom, že ne vždy víte, že něco takového ten skript sbírá, a že ta strana která, provádí ten sběr údajů už nemá od subjektu který sběr provádí souhlas a tak se na něj ptáte...

Tímhle (předáváním si ID "kolem dokola") se obchází "stateless" vlastnost HTTP protokolu. Je to trochu náročné na implementaci, ale v databázi můžete mít podstatně více údajů, než v cookies. Problémem je, že pokud se uživatel sám nepřihlásí, nevíte, kdo je.
Ale prodávat "zadem" údaje "třetí straně" pak jde celkem bez dozoru...

A co když se web bez cookies neobejde?
Snažím se to nahradit session proměnnými, to se nehlídá a do nějaké databáze si údaje taky můžu ukládat.