Die Entwickler der CovenantSQL-Datenbank haben
das Open-Source-Dienstprogramm Cookie Scanner eingeführt, mit dem ermittelt wird, welche Cookies die Websites zu welchem Zweck setzen.
Wir diskutieren, warum das Tool benötigt wurde und wie es funktioniert.
/ Flickr / Yann Cœuru / CC BY / Foto geändertWas das Gesetz sagt
Gemäß Artikel 30 der Allgemeinen Datenschutzverordnung (DSGVO) müssen Websites, die die personenbezogenen Daten der Benutzer verwenden, diese über die Installation von Cookies informieren und ihre Zustimmung einholen.
Die Verwendung von Cookies in der EU ist auch durch ein anderes Gesetz geregelt - die seit 2009 geltende
Datenschutzrichtlinie für elektronische Kommunikation (in diesem Jahr wird sie durch die strengere Datenschutzrichtlinie für elektronische Kommunikation ersetzt, über die wir
in einem der vorherigen Materialien gesprochen haben ). Außerdem sind Websitebesitzer verpflichtet, über die Verarbeitung von Cookies zu informieren.
Bei Verstößen gegen die DSGVO-Anforderungen und die ePrivacy-Richtlinie kann der Eigentümer der Ressource eine hohe Geldstrafe erhalten - bis zu 20 Millionen Euro oder 4% des Jahresumsatzes der Organisation.
Was ist die Schwierigkeit
Trotz der Strafen setzen viele Websites sogenannte optionale Cookies ohne Zustimmung des Benutzers.
Es wird davon ausgegangen, dass die Internetressource nicht erforderlich ist, um die Zustimmung des Benutzers zum Setzen von Cookies einzuholen, wenn diese für das ordnungsgemäße Funktionieren der Website erforderlich sind. Der Wortlaut der Gesetzgebung ist jedoch eher vage und es ist nicht immer klar, wann diese Regel anwendbar ist.
Auf dieser Grundlage entstehen Konfliktsituationen. Beispielsweise hat der französische Verlag Editions Croque Futur Besucher auf die Website-Cookies für Marketingkampagnen gesetzt. Die Eigentümer stellten fest, dass diese Cookies die Rentabilität der Website sicherstellen und daher für den Betrieb des Dienstes von entscheidender Bedeutung sind. Die Aufsichtsbehörde stimmte ihren Argumenten jedoch nicht zu und
schrieb dem
Unternehmen eine Geldbuße in Höhe von 25.000 Euro.
Ein weiteres Problem besteht darin, dass die DSGVO
nicht alle Cookies von Drittanbietern auf der Website angeben und beschreiben muss, z. B. diejenigen, die für den Betrieb von Plugins für soziale Netzwerke benötigt werden. Laut den Vertretern der britischen Informationskommission (Information Commissioner's Office) in ihrem Leitfaden (
PDF , S. 17) reicht es für ein Unternehmen aus, Cookies von Drittanbietern in Kategorien zu gruppieren und ihren Zweck zu erläutern.
Die italienische Regulierungsbehörde erklärt, dass dies eine notwendige Maßnahme ist, da die Eigentümer sonst ständig Cookies von Drittanbietern auf der Website überwachen und ihren Zweck überwachen müssten, der sich im Laufe der Zeit ändern kann. Diese Aufgabe zu erfüllen ist schon deshalb schwierig, weil Webmaster häufig nicht direkte Kontakte zu allen Organisationen haben, die für das Setzen von Cookies auf ihrer Website verantwortlich sind.
In der Praxis stellt sich heraus, dass der Browser des Benutzers beim Aufrufen der Website Cookies von Drittanbietern herunterladen kann, deren Zweck mit Sicherheit unbekannt ist.
/ Flickr / Benjamin Horn / CC BYSo lösen Sie ein Problem
Verwenden Sie das Dienstprogramm Cookie Scanner, um die vollständige Liste der von der einen oder anderen Ressource gesetzten Cookies abzurufen (und gleichzeitig Websites zu finden, die gegen die GDPR-Anforderungen verstoßen). Das Netzwerk verfügt über eine relativ große Anzahl ähnlicher Dienste, von denen jedoch viele bezahlt werden. Der Cookie-Scanner-Code ist geöffnet und befindet sich
im Repository auf GitHub .
Der Cookie-Scanner analysiert den Status von Cookies und generiert einen Bericht, in dem ihre Aufgaben beschrieben werden. Das Tool verwendet Informationen zu einer speziellen
Cookiepedia- Ressource und verwendet eine CQL-Datenbank, um diese darzustellen. Jetzt enthält es Informationen über zehntausend verschiedene Cookies. Informationen zum Starten der Arbeit mit einer CQL-Datenbank finden Sie in
der von CovenantSQL-Entwicklern erstellten Kurzanleitung.
Für den Cookie-Scanner sind das MacOS / Linux-Betriebssystem und der Chrome-Browser erforderlich. Alternativ können Sie auf die Headless-Version verweisen, mit der Code und Layout getestet werden. Es werden keine Inhalte auf dem Bildschirm gerendert, daher arbeitet es schneller und verbraucht weniger Speicher.
Eine wichtige Eigenschaft ist die Möglichkeit, auf einem nackten Linux-Server zu installieren. Legen Sie einfach das Paket ein, und der Browser funktioniert sofort.
Um Headless-Chrome im Container auszuführen, müssen Sie den folgenden Befehl ausführen:
$ docker container run -d -p 9222:9222 zenika/alpine-chrome --no-sandbox \ --remote-debugging-address=0.0.0.0 --remote-debugging-port=9222
Das Einstellen des Cookie-Scanners erfolgt mit get:
$ go get github.com/CovenantSQL/CookieScanner
Das Tool generiert Berichte zu Cookies in den Formaten PDF, JSON und HTML. Die Parser-Funktion zum Ausgeben von Informationen im PDF-Format sieht folgendermaßen aus:
func outputAsPDF(remote *godet.RemoteDebugger, htmlFile string) (pdfBytes []byte, err error) { var tab *godet.Tab htmlFile, _ = filepath.Abs(htmlFile) fileLink := "file://" + htmlFile if tab, err = remote.NewTab(fileLink); err != nil { return } if err = remote.ActivateTab(tab); err != nil { return }
So wird der HTML-Bericht im CLI-Modus generiert:
$ CookieScanner cli \ --headless \ --classifier "covenantsql://050cdf3b860c699524bf6f6dce28c4f3e8282ac58b0e410eb340195c379adc3a?config=./config/config.yaml" \ --html cql.html covenantsql.io
Beispiele für Berichte, die das Programm generieren kann, finden Sie im
entsprechenden Abschnitt des Repositorys .
Vor einem Monat gab die niederländische Datenschutzbehörde (AP)
bekannt, dass sie in naher Zukunft aktiv Beschwerden von Nutzern auf Websites prüfen wird, die gegen die Regeln für die Arbeit mit Cookies verstoßen. Wir können davon ausgehen, dass es mehr Tools (einschließlich Open Source) zur Überwachung von Cookies geben wird. Und sie werden sowohl von Benutzern als auch von Website-Eigentümern verwendet, um die DSGVO und die ePrivacy-Verordnung einzuhalten.
Unsere zusätzlichen Ressourcen und Quellen:
Der Deal über 39 Millionen US-Dollar: Warum sich die Entwickler des Open-Source-DBMS für die mobile Entwicklung entschieden haben
Personenbezogene Daten: Was ist das Wesen des Gesetzes?
Risikominimierung: So verlieren Sie Ihre Daten nicht
Dateisicherung: So schützen Sie sich vor Datenverlust
Wie wir arbeiten: die 1cloud Digest
Wie die Cloud-Technologie dazu beigetragen hat, ein Schwarzes Loch zu erkennen
Mögliche Angriffe auf HTTPS und Möglichkeiten zum Schutz vor HTTPS