Os desenvolvedores do banco de dados CovenantSQL
introduziram o utilitário de código aberto Cookie Scanner, que determina quais cookies os sites definiram e para qual finalidade.
Discutimos por que a ferramenta era necessária e como ela funciona.
/ Flickr / Yann Cœuru / CC BY / Foto alteradaO que a lei diz
O artigo 30 do Regulamento Geral de Proteção de Dados (GDPR) exige que sites que usam os dados pessoais dos usuários notifiquem estes últimos sobre a instalação de cookies e obtenham consentimento.
O uso de cookies na UE também é regulamentado por outra lei -
Diretiva ePrivacy , em vigor desde 2009 (este ano será substituída pelo mais rigoroso Regulamento de ePrivacy, sobre o qual falamos
em um dos materiais anteriores ). Também obriga os proprietários do site a notificar sobre o processamento de cookies.
Por violação dos requisitos do GDPR e da diretiva ePrivacy, o proprietário do recurso pode receber uma multa grande - até 20 milhões de euros ou 4% do faturamento anual da organização.
Qual a dificuldade
Apesar das penalidades, muitos sites definem os chamados cookies opcionais sem o consentimento do usuário.
Acredita-se que o recurso da Internet não seja necessário para obter o consentimento do usuário para definir cookies, se eles forem necessários para o correto funcionamento do site. No entanto, a redação da legislação é bastante vaga e nem sempre é clara quando esta regra é aplicável.
Com base nisso, surgem situações de conflito. Por exemplo, a editora francesa Editions Croque Futur definiu os visitantes dos cookies do site para campanhas de marketing. Os proprietários observaram que esses cookies garantem a lucratividade do site e, portanto, são vitais para a operação do serviço. Mas o regulador não concordou com seus argumentos e
aplicou uma multa à
empresa no valor de 25 mil euros.
Outro problema é que o GDPR
não exige a especificação e descrição de todos os cookies de terceiros no site, por exemplo, aqueles necessários para a operação de plug-ins de redes sociais. De acordo com os representantes da Comissão Britânica de Informação (Information Commissioner's Office) em seu guia (
PDF , p. 17), basta que uma empresa agrupe cookies de terceiros em categorias e explique sua finalidade.
O regulador italiano explica que essa é uma medida necessária, pois, caso contrário, os proprietários teriam que monitorar constantemente cookies de terceiros no site e monitorar sua finalidade, que pode mudar com o tempo. Essa tarefa é difícil de ser realizada, apenas porque os webmasters geralmente não têm contatos diretos com todas as organizações responsáveis pela configuração de cookies em seus sites.
Na prática, acontece que, quando você acessa o site, o navegador do usuário pode baixar cookies de terceiros, cujo objetivo é desconhecido com certeza.
/ Flickr / Benjamin Horn / CC BYComo resolver um problema
Para obter a lista completa de cookies definidos por um ou outro recurso (e ao mesmo tempo encontrar sites que violam os requisitos do GDPR), use o utilitário Scanner Scanner. A rede possui um número bastante grande de serviços semelhantes, mas muitos deles são pagos. O código do Scanner Scanner está aberto e fica
no repositório no GitHub .
O Scanner de Cookies analisa o status dos cookies e gera um relatório descrevendo suas tarefas. A ferramenta obtém informações sobre um recurso especializado da
cookiepedia e usa um banco de dados CQL para representá-lo. Agora ele contém informações sobre 10 mil cookies diferentes. Sobre como começar a trabalhar com um banco de dados CQL - no
guia de início rápido preparado pelos desenvolvedores do CovenantSQL.
O Scanner Scanner requer sistema operacional MacOS / Linux e navegador Chrome. Como alternativa, você pode consultar a versão sem cabeça, usada para testar o código e o layout. Ele não renderiza o conteúdo na tela, por isso trabalha mais rápido e consome menos memória.
Uma propriedade importante é a capacidade de instalar em um servidor Linux simples - basta colocar o pacote e o navegador funcionará imediatamente.
Para executar o headless-chrome no contêiner, você precisa executar o comando:
$ docker container run -d -p 9222:9222 zenika/alpine-chrome --no-sandbox \ --remote-debugging-address=0.0.0.0 --remote-debugging-port=9222
A configuração do Scanner de Cookies é feita usando get:
$ go get github.com/CovenantSQL/CookieScanner
A ferramenta gera relatórios sobre cookies nos formatos PDF, JSON e HTML. A função analisador para saída de informações no formato PDF é semelhante a esta:
func outputAsPDF(remote *godet.RemoteDebugger, htmlFile string) (pdfBytes []byte, err error) { var tab *godet.Tab htmlFile, _ = filepath.Abs(htmlFile) fileLink := "file://" + htmlFile if tab, err = remote.NewTab(fileLink); err != nil { return } if err = remote.ActivateTab(tab); err != nil { return }
É assim que o relatório HTML é gerado usando o modo CLI:
$ CookieScanner cli \ --headless \ --classifier "covenantsql://050cdf3b860c699524bf6f6dce28c4f3e8282ac58b0e410eb340195c379adc3a?config=./config/config.yaml" \ --html cql.html covenantsql.io
Exemplos de relatórios que o programa pode gerar podem ser encontrados na
seção correspondente do repositório .
Há um mês, a Agência de Proteção de Dados da Holanda (AP)
anunciou que em um futuro próximo se envolverá ativamente na verificação de reclamações de usuários em sites que violam as regras de trabalho com cookies. Podemos assumir que haverá mais ferramentas (incluindo código aberto) para monitorar cookies. E eles serão usados por usuários e proprietários de sites para cumprir o GDPR e o Regulamento ePrivacy.
Nossos recursos e fontes adicionais:
O acordo por US $ 39 milhões: por que os criadores do DBMS de código aberto decidiram fazer desenvolvimento móvel
Dados pessoais: qual é a essência da lei?
Minimização de riscos: como não perder seus dados
Backup de arquivo: como se proteger contra perda de dados
Como trabalhamos: o resumo da 1cloud
Como a tecnologia da nuvem ajudou a identificar um buraco negro
Ataques potenciais ao HTTPS e maneiras de se proteger contra eles