Ciao, io sto cercando informazioni su come quando e perché bisogna mostrare la notifica per l'utilizzo dei cookie.
Avevo iniziato il messaggio per rispondere e accodare domande ad un thread dove veniva chiesto se fosse necessario mostrare un avviso anche per l'utilizzo delle variabili di sessione (dato che ancora non avevo trovato questa discussione).
Per rendere ciò che è scritto sotto più comprensibile e per fare "punti della situazione" ho deciso di lasciare i 2 o 3 riferimenti che ci sono per le variabili di sessione, che comunque vanno a sottolineare quali sono i comportamenti potenzialmente pericolosi dei cookie e quindi capire se la normativa li gestisce...quindi anche per discutere un po' in merito a questa normativa.
Le variabili di sessione sono delle variabili che si trovano esclusivamente sul tuo server php, mentre i cookie sono dei file salvati sul computer o dispositivo dell'utente. L'utilizzo di cookie implica (o comunque in passato ha portato a) una serie di problematiche.
Esempi stupidi: sei in un internet cafè e ti autentichi in un sito, se vengono utilizzate le variabili di sessione, la sessione scade dopo un time-out o con la chiusura del browser e i tuoi dati non saranno più disponibili per altri utenti che avranno accesso alla stessa macchina. Se invece vengono utilizzati i cookie, ci saranno dei file disponibili per chi avrà un accesso fisico alla macchina (es.: il prossimo utente dell'internet cafè).
Tempo fa (anni fa), in un servizio delle Iene, ho visto che tramite sniffing si riuscivano a reperire credenziali di accesso per social network come Facebook e anche altri siti, durante l'autenticazione automatica tramite cookie...quando uscì il servizio il problema era già risolto, non so (e non mi interessa
) se risolsero criptando direttamente i cookie o tramite connessioni sicure (quindi criptando la connessione).
Per approfondire ho cercato qualche articolo su normative per i cookie su Google e Google News (perché leggendo, pare che siano in continua evoluzione...con punti forse in contraddizione...o che ridescrivono i comportamenti da intraprendere...e che in Italia questa legge sia stata adottata in ritardo...etc. etc.)
http://www.joomla.it/articoli-community-16-e-17-tab/5598-eu-cookie-law-cose-e-cosa-comporta.html
http://www.twobirds.com/it/news/articles/2014/italy/new-rules-of-the-garante-for-the-use-of-cookies
http://www.webnews.it/2014/06/04/cookies-profilazione-garante-privacy-consenso/
http://www.neting.it/blog/legge-europea-obbligo-di-segnalare-luso-dei-cookies.html
http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2142939
Purtroppo alcuni articoli sono solo una scopiazzatura di Wikipedia.
In alcuni vengono citati i cookie di sessione...penso facendo riferimento alle variabili di sessione (l'array $_SESSION in php)...ora, io non le ho mai considerate come dei cookie, anche perché mai prima di oggi le avevo viste descritte come parte della stessa "tecnologia" ma come due modi diversi per poter raggiungere (in alcuni casi) lo stesso obiettivo, data anche la natura più volatile delle variabili di sessione (dando per assunto che nulla vieta l'utilizzo di cookie e variabili di sessione insieme).
Pensavo che notificare l'utilizzo di cookie fosse per evitare problemi di sicurezza come quelli descritto sopra, ma pare non sia così...non so se perché questi problemi sono ormai gestiti dai browser o per noncuranza, comunque pare che la normativa miri a far notificare l'uso di cookie di terze parti come Google Analytics, Google+, Facebook, Twitter...o comunque siti che effettuano una sorta di tracking a scopo pubblicitario e quindi con qualche margine di lucro (suppongo).
http://www.joomla.it/articoli-community-16-e-17-tab/5598-eu-cookie-law-cose-e-cosa-comporta.html ha scritto:
Il vero obbiettivo della legge sono i cookie di terze parti (third party) che, essendo in spaventoso aumento, a livello di privacy e profilazione sono certamente dannosi (ma anche utili direi). Ognuno è libero di scegliere se volerli o no, indipendentemente dalla legge, attraverso le impostazioni del proprio browser. Per fare ciò andate nelle opzioni e cercate le impostazioni privacy per bloccare i cookie a seconda delle vostre preferenze (ogni browser è diverso, ma tutti i principali garantiscono questa possibilità, sono sicuro una semplice ricerca su Google sarà utile per risolvere).
Ok...dannosi perché (esempi):
- tramite pubblicità che visualizzi in altri siti, potresti avere feedback sulle tue ricerche e navigazioni precedenti, e quindi mostrare cose che si vorrebbero tenere nascoste (digressione: in un contesto attuale dove per il 90% degli utenti internet corrisponde a Facebook, politicanti e burocrati europei passano pomeriggi su siti di escort, accedendo al loro social network preferito trovano pubblicità per siti di incontri e simili, sgamati dalla moglie hanno sentito il bisogno di creare questa legge, che più di tanto non risolve...non ho mai sentito nessuno dire: "sai, ho letto il bannerino che informava dell'utilizzo di cookie, allora li ho disattivati dalle impostazioni del browser"...hauhauah)...scherzi a parte.
- se si soffre di "sindrome del complotto" potrebbe essere fastidioso sapere di essere tracciati mentre si naviga.
Utili perché:
- rassegnandosi al fatto di ricevere pubblicità durante la navigazione, preferirei riceverne di attinenti con i miei interessi piuttosto che annunci casuali (es.: passi un pomeriggio su siti di calcio-scommesse, riceverai annunci su quote, offerte e promozioni, piuttosto che su ricette di cucina o abbigliamento).
- l'utilizzo di cookie può ottimizzare la navigazione per quanto potrebbe riguardare le ricerche, anche se forse in questo caso si esce dal contesto dei cookie di terze parti.
La mia opinione:
Parafrasando Fight Club
"Siamo la canticchiante e danzante ... del mondo" quindi, nonostante non vada pazzo per l'utilizzo dei cookie da un punto di vista tecnico, dato che ritengo le variabili di sessione molto più snelle, penso che il loro corretto utilizzo porti solo a vantaggi per l'utente finale e gli unici problemi potrebbero essere legati solamente ad aspetti legati alla sicurezza.
Comunque, se ho frainteso o tralasciato qualcosa sull'utilità o dannosità dei cookie, fatemi sapere.
La mia situazione attuale:
Se posso ottenere lo stesso risultato sia con cookie che con le variabili di sessione, scelgo le seconde.
Dato che di solito sviluppo siti utilizzando Symfony, e questa volta ho deciso di rispettare in pieno la sua "filosofia", rimandando al framework tutte le scelte "sotto il cofano" e sono quindi venuto a conoscenza del fatto che sfrutta i cookie per le varie memorizzazioni di dati. Anche se non si tratta di cookie di terze parti, ho intenzione di utilizzare sicuramente Google Analytics, quindi penso di ricadere nella fascia di quelli che devono mostrare una notifica per l'utilizzo di cookie.
A prescindere dal fatto che la normativa possa essere giusta o sbagliata, c'è, e vorrei capire, come scritto in precedenza, come quando e perché notificare l'utilizzo di cookie.
Perché?
Da quello che ho letto, l'avviso deve essere mostrato solo se si utilizzano cookie di terze parti. È vero o devo avvisare anche quando il mio sito fa uso di cookie?
Come?
Finora ho usato termini come "avviso" "notifica", ma in alcuni articoli si parla di accettare o rifiutare l'utilizzo dei cookie. Prendendo spunto da Google, cito:
I cookie ci aiutano a fornire i nostri servizi. Utilizzando tali servizi, accetti l'utilizzo dei cookie da parte nostra.
È corretto notificare l'utilizzo di cookie e interpretare l'utilizzo dei servizi offerti dal mio sito come accettazione implicita oppure Google non è soggetto a questa normativa perché comunitaria (europea)?
L'eventuale testo per la notifica deve essere dettagliato come quello nel post precedente, oppure posso mostrare un'anteprima e rimandare al testo completo (come fa Google con il link "informazioni") ?
Quando?
Quando è più opportuno (o necessario) mostrare il disclaimer? Quando vengono utilizzati i cookie o appena si accede al sito?
Dato che la normativa è europea, cosa mi rende soggetto a questa legge? Un dominio registrato in Europa? Un server installato in Europa? Lo sviluppo che avviene in Europa? O è un "servizio" (quello della notifica) che devo fornire solo a utenti europei?
