it-swarm-eu.dev

Warum möchten Benutzer Cookies deaktivieren?

Ich habe gerade angefangen, eine neue Webanwendung zu erstellen. In der Dokumentation steht geschrieben, dass ich mich auf die Situation vorbereiten muss, in der Benutzer Cookies deaktiviert haben. Dies ist nicht das erste Mal, dass ich diesen Zustand lese. Kann mir jemand erklären, warum Benutzer Cookies in ihren Browsern deaktivieren möchten?

22
Krystian

Cookies waren in der Vergangenheit eine Quelle zahlreicher Sicherheits- und Datenschutzbedenken.

Mithilfe von Tracker-Cookies können Sie beispielsweise ermitteln, welche Websites Sie besucht haben und welche Aktivitäten Sie auf ihnen durchgeführt haben:

  1. Site A enthält versteckte iframe, die auf einen Tracker-Service verweisen.
  2. Der Tracker-Dienst gibt ein Cookie aus, das Sie identifiziert und Ihren Besuch protokolliert.
  3. Site B enthält dasselbe versteckte iframe.
  4. Der Tracker-Dienst erkennt Ihr Cookie und protokolliert auch diesen Besuch.
  5. Site A und Site B bezahlen den Tracker, um Informationen darüber zu erhalten, welche anderen Sites ihre Benutzer besucht haben.

Dies ist nur eine Anwendung. Es gibt andere Möglichkeiten, Tracker-Cookies zu verwenden, von denen einige alle möglichen bösen Angriffe wie Identitätsdiebstahl zulassen.

Ein weiteres Problem ist das Stehlen von Cookies, mit dem unsichere (d. H. Nicht-HTTPS) Sitzungen entführt werden können. Bei Verwendung eines Exploits (z. B. XSS) kann eine Seite möglicherweise die Cookies einer anderen Site an sich selbst zurücksenden, sodass ein Angreifer Ihre Sitzungs-ID stehlen kann. Das Deaktivieren von Cookies verhindert dies.

Aufgrund dieser Probleme deaktivieren Benutzer häufig Cookies oder blockieren sie auf bestimmten Websites, um die Privatsphäre und Sicherheit zu erhöhen.

27
Polynomial

Mit Tracking-Cookies können Werbetreibende Benutzer über verschiedene Websites und sogar über IP-Adressen hinweg verfolgen (z. B. für Laptop-Benutzer). Dies ist seit Ewigkeiten so (buchstäblich seit Beginn von Werbenetzwerken wie Google Adwords), aber in letzter Zeit haben die Medien die Öffentlichkeit gegen diese Cookies aufgehetzt und sie als Hauptursache für Datenschutzverletzungen beschuldigt. Es ist so weit gegangen, dass die EU etwas verabschiedet hat, das unnötige Cookies ohne Opt-In verbieten soll. Ironischerweise folgt auch die Website der niederländischen Regierung (hier trat das Gesetz vor einigen Monaten in Kraft) nicht dem Gesetz.

Diese Cookies sind teilweise eine Ursache für die Verletzung der Privatsphäre. Es macht es einfach, Sie zu verfolgen, aber es gibt viele andere Möglichkeiten , um einen Benutzer von einem anderen zu unterscheiden. Es gibt auch kaum einen Grund, diese Art von gezielter Werbung zu blockieren, sie schneidet in beide Richtungen, aber das ist ein anderes Thema und eine heiße Debatte.

Ohne Cookies können Sie einen Benutzer kaum angemeldet halten. Geben Sie den entsprechenden Fehler ein, wenn sich herausstellt, dass Cookies deaktiviert sind ("Sie können sich möglicherweise nicht anmelden, Cookies sind in Ihrem Browser deaktiviert, klicken Sie hier, um weitere Informationen zu erhalten."), Und ich denke, der Fall ist abgeschlossen. Die meisten anderen Websites wie Facebook und Twitter funktionieren auch ohne Cookies nicht.

21
Luc

Der häufigste Grund ist, dass sie es versehentlich getan haben und keine Ahnung haben, dass sie es getan haben (siehe Absatz 4 unten).

Der zweithäufigste Grund ist die Privatsphäre (Paranoia?). Einige Leute sind um jeden Preis Anti-Tracking. Ich neige dazu festzustellen, dass sie nicht wirklich verstehen, was Cookies in diesem Fall sind. Wahrscheinlicher denken sie nur, dass "Tracking schlecht ist" und schalten sie aus - ohne beispielsweise eine Ahnung zu haben, was der Unterschied zwischen Sitzungscookies, Cookies von Erst-/Drittanbietern usw. ist.

Noch wichtiger ist jedoch, dass es nicht realistisch ist, die Situation zu berücksichtigen, in der ein Benutzer Cookies auf anderen als äußerst einfachen Websites deaktiviert hat. Es ist nicht möglich, die Verwendung von Cookies (oder eines URL-basierten Äquivalents) in etwas anderem als einer einfachen Website mit sehr wenig Benutzerinteraktion zu vermeiden, außer Links zu statischen Inhalten zu folgen. Sie können Anmeldungen und Einkaufskörbe vergessen, da Sie zum Erstellen dieser mindestens eine Sitzung oder ein Cookie benötigen (und für die Sitzungsverfolgung ist ein Cookie oder eine entsprechende URL erforderlich).

In 12 Jahren als Website-Entwickler haben es die einzigen Personen, denen ich jemals begegnet bin und die Cookies deaktiviert haben, versehentlich gemacht. Ohne Ausnahmen, weil sie im Einstellungsbildschirm von waren Internet Explorer und dachte, dass es besser sein muss, diesen Sicherheits-/Datenschutzregler auf "Hoch" zu stellen als "Mittel". In allen Fällen haben sie es wieder auf mittel gestellt, nachdem ich darauf hingewiesen habe, welche Auswirkungen es hat und wie viele Websites es beschädigt. Oft hat der Benutzer einen zweiten Browser installiert, da er glaubt, dass sein ursprünglicher Browser "kaputt" ist, da keine Websites damit arbeiten. Daher halte ich es für wichtig, den Benutzern mitzuteilen, dass Cookies deaktiviert sind (unter Verwendung einer geeigneten Erkennungsmethode), wenn Sie eine Website mit hohem Datenverkehr haben.

Sie vermeiden die Verwendung von Cookies, indem Sie eine eindeutige ID in der URL speichern (.NET und andere Frameworks unterstützen dies nativ), aber ich glaube, dies verschiebt das Problem einfach auf die URL - und paranoide Benutzer werden möglicherweise durch eine URL abgeschreckt, die sie eindeutig verfolgt . Stellen Sie sicher, dass alle URL-IDs an die IP-Adresse des Benutzers gebunden sind, wenn Sie eine Homebrew-Methode entwickeln, mit der Sie dasselbe tun können. Wenn nicht, erstellen Sie eine äußerst einfache Methode für die Sitzungsentführung. Wenn ein Benutzer einfach einen Link sendet, erhält er den Sitzungsstatus des sendenden Benutzers.

Die überwiegende Mehrheit der großen Websites, für die ein Login oder eine Warenkorbfunktion erforderlich ist, benötigt Cookies, und ich halte es nicht für sinnvoll, dies zu umgehen. Sie sprechen wahrscheinlich von einem winzigen Bruchteil von 1% der Benutzer, bei denen Cookies deaktiviert sind. Ignorieren Sie Statistiken, die von automatischen Systemen wie WebTrends erstellt wurden, da diese Dinge wie Webcrawler und Bots enthalten, die keine Cookies unterstützen (und nicht müssen), da dies eine falsch hohe Anzeige der Anzahl der deaktivierten Benutzer ermöglicht Kekse. Sie sprechen sicherlich eher von 1 von 5000 als von 1 von 10 Benutzern, die Cookies deaktiviert haben und tatsächlich immer noch erwarten, dass Websites funktionieren :)

9
NickG

In der Dokumentation steht geschrieben, dass ich mich auf die Situation vorbereiten muss, in der Benutzer Cookies deaktiviert haben.

"Vorbereitet" zu sein ist nicht dasselbe wie ein voll funktionsfähiges Anmeldesystem zu erstellen, das ohne HTTP-Cookies funktioniert.

Benutzer können HTTP-Cookies deaktivieren, um zu vermeiden, dass sie "verfolgt" werden. In diesem Fall könnten Sie sich einen anderen Ansatz für die Sitzungsverwaltung vorstellen, z. B. eine geheime URL. Das Beibehalten der Sitzungs-ID in der URL hat einige Vorteile in Bezug auf Sicherheit und Benutzerfreundlichkeit, aber auch wirklich schwerwiegende Sicherheits- und Benutzerfreundlichkeitsprobleme und diese Nachricht ist es nicht diesen Ansatz empfehlen. Da die Frage nicht die Sicherheit betraf, die Sitzungs-ID in der URL zu behalten, möchte ich dieses (interessante) Problem hier nicht diskutieren.

Das Problem ist nicht nur ein technisches, sondern auch ein Akzeptanzproblem: Wenn der Benutzer Cookies freiwillig deaktiviert, kann man wetten, dass er nicht verfolgt werden möchte. Der Versuch, das Blockieren von Cookies (sogar "zu seinem eigenen Besten") zu umgehen , ist sehr wahrscheinlich um ihn zu verärgern.

Stattdessen können Sie Benutzern erklären, dass nur Sitzungscookies für die Sitzungsverwaltung in Ihrer Webanwendung benötigt werden und dass es möglich ist, alle Cookies automatisch zu löschen, wenn der Browser geschlossen wird.

6
curiousguy