cookie

Et voilà, la CNIL veut obliger chaque site à prévenir (et demander l'accord) aux internautes avant d'enregistrer des cookies. C'est stupide.

Pourquoi ?

- les cookies sont inoffensifs et ne sont que des fichiers textes simples (pas de virus, pas de code exécutable, etc.).
- obliger chaque site à ouvrir un popup avant d'enregistrer des cookies serait un vaste bordel. Vous imaginez, cliquer sur un bouton à chaque fois ? En plus, vu qu'en fait quand vous visitez un site utilisant des services externes (voir un billet précédent), ce sont les cookies de chaque site externe qu'il faut accepter.
- comment on mémorise le choix du visiteur ? Réponse simple : avec un cookie bien-sûr, si la réponse est "oui j'accepte". Si c'est non, alors c'est impossible : pas de cookie = pas de sessions (il y a toujours un cookie de session) et donc le visiteur sera emmerdé par des popups à chaque visite.

Vous voyez le genre ?

Il n'y a pas de solution. Et il n'y a en fait pas de problème non plus : tous les navigateurs, sans exceptions proposent une options pour bloquer les cookies (Opera peut même bloquer les cookies sélectivement selon chaque site. Les autres aussi, j'imagine).
L'utilisateur a toujours la choix, quoi qu'il arrive, et depuis longtemps.

Donc à la limite qu'ils demandent qu'on place une énorme bannière fluo et clignotante « ce site utilise des cookies, soyez terrifiés », je vois pas de solutions.

Me concernant, j'ai déjà pris les devants dans ma page à propos depuis quelques semaines (soucis de transparence totale) : oui mon site utilise des cookies, mais je ne vous demande pas votre avis. Vous êtes assez grand pour désactiver ça si vous voulez, mais dans ce cas le formulaire ne marchera plus (à cause du captcha qui demande un session PHP, et donc un cookie de session) : je vois pas ce qu'il y a de mal à utiliser des cookies, après tout, ça fait partie intégrante du langage PHP et ça n'est pas dangereux.

Tout ce bordel à cause de quelques entreprises qui abusent des cookies (n'importe quel « chose » peut devenir dangereuse entre de mauvaise mains), mais également à cause de quelques gus en costard cravate totalement déconnectés de la réalité technique et qui pensent pouvoir tout régler avec une loi. Sh*t.

image de nettsu

14 commentaires

gravatar
qwerty a dit :

Puis-je récupéré ton texte à propos des cookies ? C'est très bien expliquer.

gravatar
Le Hollandais Volant a dit :


Puis-je récupéré ton texte à propos des cookies ? C'est très bien expliquer.



Le texte ? Mon billet ? Oui, il est sous licence libre « total ».

gravatar
flop25 a dit :

d'un point de vue technique on peut transmettre la session php par get ou post, mais en pratique ça m'a l'air tendu !
Il y est dit que
"Les moyens techniques permettant de satisfaire à ces obligations restent à déterminer. En effet, le texte précise seulement que l'accord « peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle »."
cela veut-il dire que le fait qu'on peut désactiver les cookies dans le navigateur suffit ?
bref encore une fois la CNIL vit chez les bisounours !

gravatar
qwerty a dit :

Non, la section sur "a propos de l'auteur" la section "vie privé"

gravatar
flop25 a dit :

d'ailleurs ce sujet , il manque le passage sur "conformément blbla vous disposez d'un droit de retrait de os données perso blabla" que le cnil oblige à mettre

gravatar
Le Hollandais Volant a dit :

@flop25 : on est pas chez les bisounours ici , mais avec eux :  :D
Plus sérieusement, il n'y a aucune donnée personnelle que je récolte (le pseudo c'est personnel ??). L'email, oui, mais je n'oblige personne à la mettre^^.

Non, je pense que je vais plutôt faire un truc dans le directe opposé : « en publiant un commentaire, vous concédez à l'auteur du site les droits de diffusion ou de retrait/non-retrait. Toutefois, vous en restez l'auteur. »

Mais pour le moment, le droit d'auteur sur mon blog est bien la dernière chose qui m'importe.
Sur mes tutoriels, pages cours, etc. un peu plus car j'y passe du temps que j'aime bien les backlinks aussi, mais en gros je m'en fou un peu…

@qwerty : ah, oui bien-sûr si tu veux.

gravatar
quaza a dit :

Encore un truc du genre ou un député a confondu avec www.mangerbouger.fr

gravatar
adren a dit :

Salut,

Le problème de ce décret est qu'il est non seulement inefficace pour les boites qui font un usage abusif des cookies :
- ils se feront héberger ailleurs ou ils délégueront le suivi à des sociétés spécialisées offshore (Kissmetric et autres)
- ils utiliseront d'autres techniques pour pister les visiteurs [1]
- ils prétexteront que c'est fait pour "faciliter la communication par voie électronique"

mais en plus cette loi va aussi avoir un effet inverse de celui escompté :
lorsqu'un site va mettre en place un tel avertissement, pour ne pas reposer la question à chaque visite il va devoir stocker l'info dans un cookie (un booléen donc pas utilisable dans un but de suivi). Et donc les internautes qui comme moi nettoient les cookies à chaque fermeture de leur navigateur, vont devoir se repayer le même avertissement à chaque fois. Un comble car pour ne pas être pénalisé, ça poussera ces derniers à finalement autoriser les cookies ou alors faire des cas particuliers sur les sites en question. Comme ça a été dit + haut : tous les navigateurs font déjà ça bien mieux avec un meilleur contrôle.


Enfin, peu de propriétaires de sites savent qu'ils donnent encore plus d'infos à des boites étrangères lorsqu'ils rajoutent des boutons "J'aime", "+1" ou les widgets "Add This"/"Share This". En effet ces mouchards sont bien plus intrusifs et ce sont les allemands [2] qui ont compris que c'était largement plus simple d'interdire ces pratiques plutôt que de créer encore une usine à gaz inapplicable qui a pour but de détourner la CNIL de sa vraie mission alors qu'elle n'a déjà pas les moyens de l'assurer correctement. Et c'est pas en lui mettant une mission comme celle là que les choses vont s'arranger, d'autant plus que dans les faits il est quasi impossible de vérifier que tous les sites l'ont bien mis en place.

Bref, une fois de plus je suis abasourdi par l'incompétence crasse de ceux qui font les lois en rapport avec les nouvelles technologies et je me demande auprès de qui ils vont chercher leurs idées.



[1] Les autres moyens techniques pour tracer le visiteur :
- LSO (Local Share Object) en Flash (des équivalents existent pour les technos Java/DOM Storage/PDF/ActiveX/iTunes/QuickTime/MS Word...) voir http://decloak.net/
- utilisation de l'entropie des infos que renvoient les navigateurs http://panopticlick.eff.org/ et http://ip-check.info/
- géolocalisation dans les navigateurs récents
- ETags (cf. affaire Kissmetric et ses "undeletable cookies")
- evercookie (bon, là c'est un mega cookie et une combinaison de plusieurs techniques en 1 seule API !)
- les codes HTTP et autres techniques ne nécessitant pas de javascript https://grepular.com/Abusing_HTTP_Status_Codes_to_Expose_Private_Information et http://www.making-the-web.com/misc/sites-you-visit/nojs/
- etc. (ad nauseam)

[2] http://www.zdnet.fr/actualites/facebook-un-land-allemand-interdit-le-bouton-j-aime-39763159.htm

gravatar
Cookie monster a dit :

La CNIL ne demande rien, elle ne fait que répéter les principes retenus dans une directive européenne, donc une règle qui s'applique dans toute l'Europe.

En plus ces dispositions ne s'appliquent pas à tous les cookies. Les cookies qui sont strictement nécessaires à un service demandé par l'utilisateur ne nécessitent pas de consentement. Il suffit d'aller lire la loi pour le vérifier. Donc certains cookies de session ou les cookies "panier de commande" sont notamment exclus de cette nécessité de consentement.

gravatar
Androc a dit :

@Cookie monster : j'allais répondre la même chose à ce propos de ce billet.

Ce n'est pas le tout de répéter ce que plein de blogs disent à propos d'une directive. Certes elle est un peu floue sur certains points mais il est tout de même très clairement stipulée que les cookies nécessaires (donc session, préférences de l'utilisateur, etc.) ne sont pas soumis à ce genre de directives.
Seuls les cookies "polluants" le sont. Certes il existe des options dans tous les navigateurs mais la majorité des gens l'ignorent.

gravatar
Hod a dit :

Rappelons qu'on cookie n'est pas aussi inoffensif que ça, surtout pour la vie privée.


Cookies normally do not compromise security, but there is a growing trend of malicious cookies. These types of cookies can be used to store and track your activity online. Cookies that watch your online activity are called malicious or tracking cookies. These are the bad cookies to watch for, because they track you and your surfing habits, over time, to build a profile of your interests. Once that profile contains enough information there is a good chance that your information can be sold to an advertising company who then uses this profile information to target you with interest specific adverts. Many antivirus programs today will flag suspicious spyware or adware cookies when scanning your system for viruses.


Source

Quand on veut, à juste titre, défendre la vie privée de l'internaute et de la sienne, faut le faire jusqu'au bout :p

gravatar
Le Hollandais Volant a dit :

@Hod : Ok, mais ça reste de simples fichiers de texte. Pas de virus, pas de troyens. C'est ça que je veux dire.
On entend parfois que ça le sont, alors que non, ils n'affectent pas la stabilité du système.

Après, ce sont les usages qui en sont faits…

gravatar
flop25 a dit :

@Le Hollandais Volant : écoute à Piwigo on a eut justement un de nos utilisateur qui a eut la cnil au téléphone : le script Piwigo ne requiert pas forcément l'email pour créer un compte ou publier un commentaire comme ici, mais la cnil dit qu'il faut quand même un tel message !

gravatar
Iste a dit :

Bah outre le fait que je ne trouve effectivement pas cette décision abusive grâce a la clause sur les cookies vitaux, je rajoute quelques points :

- 1 : j'ai effectivement envie de savoir ce que stocke les sites sur mon ordi en plus des trucs nécessaires, sans devoir fouiller les cookies apres chaque visites...

- 2 : "c'est que du texte" n'est pas un argument valable. Déja, ca prend de la place. Peu ok, mais c'est ma place. Ensuite, avec "que du texte" on peut tres bien forcer le navigateur a faire des choses. Une grande partie des failles s'exploitent avec "que tu texte". Enfin, je ne sais pas a quoi servent réellement ces cookies, et ca peut dont pour faire des choses sur lesquelles je ne suis pas d'accord.

- 3 : On peut tres bien s'en passer totalement.

- 4 : C'est un systeme qui commence a se faire beaucoup trop vieux et qui est utilisé pratiquement uniquement d'une manière dérivée : retenir la session.
Outre le fait que c'est une tres mauvaise manière de faire (les exemple de vol de sessions sont assez nombreux pour le démontrer), si ce n'est que pour faire cela, les navigateurs peuvent s'en charger et stocker les infos de sessions tous seuls.

En effet, je serait pour l'implémentation d'un systeme sécurisé entre les site et le navigateur pour enregistrer la session. Bien que je sache que ca ne pourra pas se faire comme ca du jour au lendemain, je préfère voir plus loin que de rester dans le passé.
L'utilisation ation d’alertes chiantes pour l'utilisateur poussera aussi les sites a évoluer.

Bref, "on est obligé sinon tous se casse" : Faux
"Les cookies sont pas méchants" : Faux
"On peut bloquer les cookies a la main" : Faux (enfin, c'est vrai mais c'est complexe et ca marchera pas aussi bien apres)

Cet article manque d'un certain sens d'observation et logique que j'ai pu voir ici, on dirait plutot une copie des articles a scandale des blog geek-grand-public :/

Merci quand même pour l'article et pour nous donner ton point de vue !

Les commentaires sont fermés pour cet article