Domanda:
Il pulsante "Accetta cookie" in un sito Web può essere dannoso?
0_o
2018-10-16 17:02:13 UTC
view on stackexchange narkive permalink

Non ricordo quando questo pulsante "accetta / cancella cookie" ha iniziato ad essere utilizzato nei siti web. Perché insistono per convincere gli utenti a fare clic su questo pulsante?

Può danneggiare il PC dell'utente o raccogliere dati privati ​​e sensibili? La ragione principale di ciò è "Per una migliore esperienza di navigazione sul sito web".

È possibile usarlo come un trucco per un possibile hack? Anche la mia conoscenza dei cookie e dell'hacking web non è abbastanza buona.

Esattamente quanto qualsiasi altro pulsante, come il pulsante "accedi" o il pulsante "visualizza immagini di gatti".
@immibis Non la penso così.Per esempio.faresti clic su un pulsante di "accesso" su un sito Web di cui non ti fidi?
Esattamente quanto qualsiasi altro pulsante, ** ma con l'eccezionale proprietà che è molto più probabile che venga cliccato dall'utente senza ulteriori riflessioni **.
Possibile duplicato di [I moduli di consenso dei cookie dell'UE sono sicuri?] (Https://security.stackexchange.com/questions/192943/are-eu-cookie-consent-forms-safe)
Il GDPR è stato implementato il 25 maggio 2018, quindi è praticamente esattamente quando è iniziata la notifica / consenso sui cookie.
@caw Non so voi ma clicco sui collegamenti senza pensarci troppo tutto il tempo.
@immibis Potremmo essere diversi in questo senso.Tuttavia, quegli avvisi sui cookie ti hanno addestrato a fare clic quasi automaticamente e istantaneamente quando c'è qualcosa sulla pagina che assomiglia a tale avviso.Cosa potrebbe causare un clic del genere che semplicemente visitando quella pagina in primo luogo non potrebbe?Bene, andare a schermo intero e aprire i popup, principalmente.Certo, i rischi e l'impatto non sono troppo alti e non finisce il gioco quando fai semplicemente clic su un tale pulsante.Sarebbe una grave vulnerabilità nei browser.
Ti manca un'idea cruciale in materia di sicurezza ponendo questa domanda.Ogni singola vulnerabilità possibile - _sarà_ sfruttata.Se è possibile per un sito Web progettare un pulsante in cui fare clic su di esso è vulnerabile, è ridicolo.Potrebbero semplicemente farti fare clic su _qualsiasi_ pulsante per creare la stessa vulnerabilità: cosa hanno a che fare le parole intorno al pulsante con il pulsante?Inoltre, qualunque codice venga eseguito quando si fa clic sul pulsante, potrebbe essere eseguito prima di fare clic sul pulsante!Se _qualsiasi_ sito web può scaricare i tuoi dati personali, i tuoi dati andranno persi _immediatamente_.
I browser sono tutti progettati per incapsulare i siti Web in modo che non possano interferire tra loro e non possano accedere al computer su cui vengono eseguiti.L'unica cosa che i siti Web possono toccare sono i file all'interno del sito Web stesso (per scaricare immagini, codice, ecc.) E i file pubblici (file CSS, ecc.) Di altri siti Web.Se avessi il sospetto che un sito web potesse fare di più, non avresti nemmeno dovuto aprire il browser per porre questa domanda in primo luogo, senza prima utilizzare un computer usa e getta.
Allo stesso modo, se qualcuno dice "Sono stato violato semplicemente facendo clic su questo collegamento nella mia email", allora non sta dicendo la verità o può riscattare $ 10k + segnalando il bug a Google (altamente improbabile).Devono aver digitato in qualche modo la password in una casella da qualche parte nel sito web.Fare clic non è mai pericoloso, proprio come il download di file da Internet non è mai pericoloso (e solo eseguirli è pericoloso).
Usa [UBlock Origin] (https://addons.mozilla.org/en-us/firefox/addon/ublock-origin) e avrai meno preoccupazioni per il monitoraggio dei cookie.Inoltre, imposta il tuo browser per eliminare i cookie quando lo chiudi.
"A better experience" = "annunci mirati" = "stiamo cercando di prendere * i tuoi * soldi".Considero i cookie dannosi proprio per questo motivo;quando tutto questo è diventato un problema nell'UE, la risposta è stata, ora devi fare clic su questo pulsante per accettare i cookie per utilizzare quel sito web.E se volessi utilizzare il sito web * senza * accettare i cookie?Il mio browser (Firefox) aveva un'opzione di eliminazione di tutti i cookie all'uscita, ma è stata rimossa;ora eseguo ogni settimana un breve script che cancella il database dei cookie.Funziona come un fascino.
@Jennifer, grazie per aver notato che Firefox ha rimosso quell'opzione!
"La ragione per questo principalmente è" Per una migliore esperienza di navigazione sul sito web "." In realtà è perché se non lo fanno, saranno banditi dal GDPR.
Cinque risposte:
#1
+118
A. Hersean
2018-10-16 17:22:23 UTC
view on stackexchange narkive permalink

Tecnicamente, i browser non devono porre una domanda all'utente per utilizzare i cookie. Inoltre, non sono tecnicamente vincolati alla risposta data dall'utente.

Legalmente, questa è un'altra questione. Nell'Unione Europea, i siti web sono ora tenuti a chiedere il consenso dell'utente prima di utilizzare i cookie di tracciamento o altri mezzi per raccogliere dati personali sull'utente. Tuttavia, non è necessario richiedere il consenso dell'utente per utilizzare i cookie necessari per fornire il proprio servizio (come i cookie di sessione). Pertanto, se i siti Web chiedono di consentire i cookie, è per raccogliere legalmente dati personali sull'utente. Questi dati possono essere considerati privati ​​o sensibili, a seconda dell'apprezzamento degli utenti.

La formulazione "Per una migliore esperienza di navigazione" di solito significa "In ordina che ti forniamo pubblicità mirata, che ci farà guadagnare più soldi per creare contenuti migliori ". oppure "Per consentirci di fornirti pubblicità mirata, avrai (in teoria) pubblicità meno irrilevanti".

Un sito web dannoso potrebbe non onorare i propri obblighi legali. Potrebbero chiedere il consenso e non onorare la risposta, oppure potrebbero rinunciare a porre la domanda in primo luogo.

Per ulteriori informazioni sulla legge: GDPR su Wikipedia

Quindi dobbiamo fidarci, e se non accettiamo ancora possono fare quello che vogliono.Grazie per la risposta btw.
@AidenStewart Se questo è un problema, dovresti esaminare le impostazioni di sicurezza del browser e i componenti aggiuntivi per bloccare i cookie di terze parti, in particolare i tracker noti.
`La formulazione" Per una migliore esperienza di navigazione "di solito significa [annunci migliori]` beh, può anche essere una legittima esperienza migliore.Varie piccole cose possono essere conservate nei biscotti.Ad esempio, se vai su un sito meteo e inserisci le tue posizioni, queste potrebbero essere salvate e quindi recuperate da un cookie, quindi anche se non hai un account, le tue posizioni più frequenti verranno preservate.Altre impostazioni e dati potrebbero anche essere conservati per consentire all'utente di lavorare meno, quindi ottenere una migliore esperienza.È vero, molte volte viene utilizzato per la pubblicità, ma non è l'unico utilizzo per i cookie.
@vlaz Ecco perché uso la parola "solitamente", che significa "la maggior parte delle volte".Ciò implica che a volte i cookie vengono utilizzati per altri scopi.Potrei espandere la mia risposta se pensi che sarebbe un'aggiunta utile.
Si noti che le domande sui cookie sono iniziate con la direttiva UE di maggio 2011, non dal GDPR che è di maggio 2018. La prima riguarda i cookie, la seconda si occupa di tutti i dati (es. Trasferire le informazioni sul tuo acquisto a una terza parte che lo faràcostruire un profilo su di te ... anche se i cookie non vengono utilizzati).
@ Ángel Hai ragione.Tuttavia, per quanto ne so, la conformità al GDPR implica la conformità alla precedente Direttiva UE sui cookie (e altre leggi nazionali).Quindi la legge da considerare per un nuovo arrivato sulla questione è il GDPR.
@A.Hersean Volevo solo chiarire questo punto.A parte quella parte alla fine, mi piace e ho votato positivamente la tua risposta.
@ Ángel A meno che non ci sia stato qualche ritardo nell'attuazione della direttiva del maggio 2011 (personalmente non la conosco, quindi non posso parlare del suo contenuto), sospetto che fosse di portata molto più limitata.Sebbene molti siti Web abbiano menzionato i cookie nei loro piè di pagina o termini di servizio tra il 2011 e il 2018, di certo non ho osservato gli odiosi banner che richiedono il consenso a cui si fa riferimento in questa domanda prima dell'implementazione del GDPR.
@vlaz Non penso che tu abbia ragione, perché non hanno bisogno del permesso se hanno bisogno del cookie per fornirti un servizio.La legge è, per quanto ne so, formulata solo in modo che non sia necessario il permesso per tutto ciò che è effettivamente nell'interesse dell'utente.Se chiedono il permesso, significa automaticamente che vogliono fare cose che un tribunale non necessariamente concorderebbe è necessario per migliorare l'esperienza dell'utente (che fa parte del servizio).
I requisiti sui cookie derivano dal regolamento sulla privacy e sulle comunicazioni elettroniche (PECR) e non dal GDPR.Il PECR è stato aggiornato quando è entrato in vigore il GDPR ma è separato.https://en.wikipedia.org/wiki/Privacy_and_Electronic_Communications_Directive_2002
@ Ángel La direttiva del 2011 non riguarda solo i cookie.Riguarda ** qualsiasi ** forma di tracciamento, non solo soluzioni basate sui cookie.Citando da [europa.eu] (http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_2) si dice * è necessario chiedere agli utenti se accettano la maggior parte dei cookie ** e tecnologie simili** (es. web beacon, Flash cookie, ecc.) prima che il sito inizi a utilizzarli. *
@IllusiveBrian l'ha inchiodato![NoScript] (https://noscript.net) ** un plugin per Firefox ** e anche [Adblock Plus] (https://adblockplus.org) sono le migliori soluzioni, punto.A volte devi "addestrare" NoScript per consentire JavaScript su alcuni siti web (soprattutto all'inizio);ma questo è uno dei motivi per cui è una soluzione di sicurezza così eccezionale.
Sebbene il requisito possa tecnicamente provenire dal 2011, il GDPR sembra aver aumentato la consapevolezza della maggior parte delle aziende dei propri requisiti a causa della sovrapposizione.Ecco perché tutti questi suggerimenti sono appena iniziati quest'anno.
Vorrei solo aggiungere che "Per una migliore esperienza di navigazione" può anche fare riferimento all'attivazione di alcune funzionalità dell'app.Ad esempio, un negozio può utilizzare la tua posizione attuale (approssimativa) per mostrarti se il prodotto che stai guardando è disponibile per il tuo negozio fisico locale.Non sono solo annunci.
Penso che il vero problema sia che gli utenti facciano clic automaticamente sui pulsanti di conferma su qualsiasi sito che atterrano perché il pulsante si trova praticamente su ogni sito e facendo clic su di esso è diventato il comportamento naturale e previsto.
#2
+79
Dmitry Grigoryev
2018-10-16 18:52:30 UTC
view on stackexchange narkive permalink

Un sito web dannoso potrebbe danneggiarti senza che tu debba fare clic su nulla. Tuttavia, il fatto che l'utente abbia fatto clic su un elemento della pagina semplifica l'attività: ad esempio, la maggior parte dei browser bloccherebbe automaticamente i popup non richiesti (che possono ad esempio indurre gli utenti a installare malware), ma consentirebbero un popup in risposta a un clic.

E sì, secondo me, un pulsante standardizzato su cui agli utenti viene insegnato a fare clic più volte senza pensarci due volte aumenta il rischio.

`` E sì, secondo me, un pulsante standardizzato su cui agli utenti viene insegnato a fare clic più e più volte senza pensarci due volte aumenta il rischio. Simile a un antivirus che segnala molti falsi positivi che l'utente è condizionato a ignorare o, ad esempio, L'UAC continua a infastidirti per privilegi elevati, quindi gli utenti lo concedono semplicemente a tutto.
Questo è il motivo per cui non faccio clic su * nessuno dei due * pulsanti a meno che non mi fidi del sito.
L'altro giorno mi sono imbattuto in un sito Web in cui c'era un pulsante per abilitare le notifiche push disposte nel formato che ti aspetteresti di trovare un pulsante di consenso sui cookie.Ovviamente l'ho cliccato.Il condizionamento funziona.
@Will Questo però non abiliterebbe le notifiche push.Chiedono nel loro formato in modo che possano continuare a chiederlo più volte.Se hanno mostrato la finestra di dialogo reale (mostrata dal browser, il sito Web non può modificarla), non potrebbero chiedere nuovamente l'autorizzazione se la rifiuti.Quindi, facendo clic sul pulsante "falso" dovrebbe essere visualizzata la finestra di dialogo del browser reale che richiede l'autorizzazione.
#3
+12
schroeder
2018-10-16 17:18:41 UTC
view on stackexchange narkive permalink

Con le recenti normative sulla privacy dei dati, i siti web chiedono il permesso esplicito agli utenti di raccogliere le loro informazioni dai cookie.

I cookie non danneggiano i PC. I dati raccolti dai cookie potrebbero essere usati in modi che agli utenti non piacciono (viene in mente Cambridge Analytica). Chi è interessato a una navigazione più privata e più anonima vorrebbe rifiutare i cookie (ma tendono a farlo comunque con i plug-in del browser).

Un sito web dannoso potrebbe utilizzare un pulsante sul sito per fare cose dannose ? Sì. Ma questo è vero per qualsiasi collegamento su qualsiasi sito Web, quindi questo pulsante non aumenta il rischio.

Quindi, se esploriamo centinaia di siti Web ogni giorno, come possiamo essere sicuri di mantenere i nostri cookie al sicuro?Perché fondamentalmente stiamo concedendo loro l'accesso alle nostre informazioni.
Non mantieni i cookie al sicuro.Consenti o meno il loro utilizzo.I cookie sono un mezzo per i siti Web per memorizzare i dati sul browser Web dell'utente, in un modo che persisterà durante i riavvii e attraverso i siti Web che utilizzano gli stessi servizi di tracciamento (come il provider di pubblicità oi pulsanti "Mi piace" di Facebook).
Solo per espandere ulteriormente, se qualcuno volesse essere dannoso con i cookie.Possono farlo semplicemente tramite javascript quando viene caricata una pagina, o anche la risposta http iniziale che ricevi dal loro server prima che qualcosa venga caricato nel browser.Non è necessario che un utente faccia clic su nulla.
@AidenStewart È possibile accedere a un cookie solo dallo stesso dominio / sito Web, quindi non è necessario fare nulla per "tenerli al sicuro".Evil.com non può ottenere il tuo cookie da Example.com
"Ma questo è vero per qualsiasi collegamento su qualsiasi sito web" no, non lo è.fare clic su qualsiasi altro collegamento è facoltativo in quanto farei clic su di esso solo se promette qualcosa a cui sono interessato, cioè, se voglio interagire con il sito Web effettivo, dopo aver convinto me stesso che questo sito è di cui mi posso fidare(perché offre qualcosa che mi interessa).la domanda sui cookie viene "prima" che inizi a interagire con il contenuto, spesso oscurando parte del sito, a volte persino bloccando il sito.il che significa che sono costretto a premerlo prima di avere la possibilità di guardare il sito effettivo e decidere se voglio fidarmi di esso.
@eMBee non è nemmeno universalmente vero.Molti siti funzionano senza fare clic sul pulsante dei cookie e i siti dannosi possono impostare aree selezionabili senza alcun collegamento o pulsante distinguibile
e poiché ogni altro sito Web ora ha un tale prompt, sto sviluppando l'abitudine di premere questo pulsante senza pensarci troppo, solo per far sparire la domanda.per qualsiasi altro collegamento tale abitudine non si applica e qualsiasi collegamento di questo tipo sarebbe considerato con maggiore controllo.
@eMBee fare clic sui collegamenti senza pensare è un rischio consistente che non cambia in questo scenario, indipendentemente dalle nuove finalità
siti possono impostare aree cliccabili, ma non farò clic su di esse, a meno che non abbia una buona ragione per farlo.ma normalmente non lo faccio.il pulsante cookie aggiunge un'area su cui ora faccio clic per impostazione predefinita senza pensarci.nessun altro clic su qualsiasi sito web è così.
#4
+7
allo
2018-10-18 14:20:16 UTC
view on stackexchange narkive permalink

Sì, ma non più di qualsiasi altro pulsante o collegamento.

La preoccupazione principale è il clickjacking. Qualcuno che sa esattamente dove si farà clic può provare a spostare un altro target di clic in questa posizione nel momento in cui si fa clic, quindi è possibile fare clic su "elimina il mio account" su un altro sito aperto in un iframe.

Inoltre, i clic a volte sbloccano più autorizzazioni, ad es tutti i browser moderni non consentono i popup, tranne che hai fatto clic su qualcosa per aprire il popup. Quindi a volte i siti ti porteranno a fare clic su qualcosa, in modo che possano aprire un nuovo popup / scheda.

Questo ovviamente si applica a qualsiasi pulsante in un sito web, quindi il pulsante "accetta cookie" non è peggiore di un pulsante "fai clic qui per accedere al sito Web".

#5
  0
Goufalite
2018-10-17 11:40:33 UTC
view on stackexchange narkive permalink

Dannoso come cosa? Usurpazione dell'identità?

Qualche tempo fa su Facebook, le sequenze temporali di diversi amici mostravano alcuni link suggestivi / clickbait a video con una falsa miniatura di youtube. Quando hai cliccato su di esso, è apparso un popup che chiedeva se l'utente fosse umano facendo clic su un singolo pulsante .

Facendo clic sul pulsante silenziosamente piaciuto o condiviso un contenuto su Facebook (perché eri ancora loggato) che lo ha pubblicato sulla tua timeline.

Come altri dicono: puoi nascondere qualsiasi cosa dietro qualsiasi link e l'unica cosa che ti permette di fare clic è la fiducia.

  • Quando arrivi su quel tipo di sito, controlla gli annunci (annunci incorporati ovunque o contatore di blocco degli annunci che esplode). Se sono troppe, lascia”.
  • Google veloce le informazioni fornite nel titolo di un link invece di fare clic su di esso. Potresti trovare un video di Youtube più sicuro.
  • Lo vuoi davvero vedere? Fai clic con il pulsante destro del mouse e apri in una finestra privata.
  • Impara a rilevare i clickbait e spargi la voce ai tuoi amici per non cadere in quella trappola.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...