Здравствуйте, Mr.Cat, Вы писали:
MC>Здравствуйте, Mamut, Вы писали: M>>Вот здесь кроется засада Кто и как будет проверять, нужны эти кукисы для функционала или не нужны? MC>Суд
А ведь еще вчера выражение "нотариально заверенные кукисы" вызывало бы улыбку
Здравствуйте, Mamut, Вы писали:
V>> Хороший и правильный закон, кстати. Сбор статистической информации о пользователях (а куки предлагают слишком богатые возможности, особенно, учитывая что браузеры регулярно отдают куки через домены, например, на поддомены одного домена) должен быть выключен по умолчанию и разрешен только в том случае, если пользователь разрешает делать это.
M>Теперь вопрос на засыпку: как ты предлагаешь делать логин на сайт без кукисов.
Все массово переходят на https Тут ещё можно подсуетиться и под шумок выписать каждому персональный постоянный сертификат — и никаких временных/одноразовых. Торжество демократии. Бурные, продолжительные аплодисменты.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
F>во1х, юзеры — слишком ленивые и глупые..
Сам такой. Я хоть и разработчик, но иногда и юзер.
F>во2х, о кукисах знают не так много народу.. и "производители" сайтов могут кукисы добавлять без ведома юзеров.. а производители браузеров могут этому потакать..
Да всем просто плевать и на это есть причины.
F>следовательно, имеет место быть промышленный сговор, от которого граждан надо защищать..
Надоели уже "умники", защищающие "тупых" граждан.
Здравствуйте, neFormal, Вы писали: F>точно, давайте разрешим вирусы, трояны, бот-сети.. "тупые" граждане пусть сами защищаются, как могут.. в итоге вирусописатели и производители антивирусов будут доить пользователей, как могут..
Трололо, это приведет всего лишь к легализации троянов и ботсетей (у каждой появится лицензионной соглашение и оферта на предоставление услуг, лол).
Все будет так же, как с мошенничеством вокруг платных sms.
Здравствуйте, Vamp, Вы писали:
RO>>Не надо решать технические проблемы административными методами и административные техническими. V>Я просто не считаю, что это техническая проблема. Я не хочу, чтобы меня трекали, и я не считаю, что ради отключения трекинга я должен облазить все меню. Более того, если некий сайт предлагает на куках одновременно авторизацию и треккинг, то нет способа отключить одно, оставив второе. А то, что ты говоришь — это все равно что сказать "не надо запрещать стрельбу по гражданам из пистолета. Пистолетный выстрел — это техническая проблема, каждый может надеть бронежилет, а кто не надел — тот сам себе кто-то там.".
Опять аналогии... Тогда уже скажи, что по улицам ходят злодеи и говорят гражданам: «Убейтесь, пожалуйста, об стенку методом Томми», и граждане так и поступают, и нужно принять закон, чтобы говорить так было нельзя.
V>А насчет того, что сет-куки нет в оригинальном RFC2109 — это ты глубоко неправ.
А я такого и не заявлял! Впрочем, если речь о RFC 2109, то он представляет собой Proposed Standard, и более того, заменен RFC 2965.
И вообще, опасность куков сильно преувеличена. Почему многие так боятся, что о них узнают то, что они не скрывают? Куки отвечают на вопрос: «Этот посетитель и тот — одно и то же лицо?» с вариантами ответа «Скорее всего да» и «Не знаю». Проблема из разряда «Мама, а меня посчитали!».
Итак, что именно они запрещают: передавать заголовок Set-Cookie или читать содержимое заголовка Cookie, посланное клиентом? Сервер ничего не сохраняет на компьютере пользователя и ничего не читает, это клиент сам делает, что хочет, с заголовком, полученным от сервера и посылает, что хочет, на сервер.
Контролировать, запретить, ограничить...
Надо просто разъяснять пользователям плюсы и минусы cookies, а они уже пусть выбирают продукты которые соответствуют их потребностям.
Здравствуйте, TimurSPB, Вы писали:
F>>а разработчиков надо контролировать.. TSP>Контролировать, запретить, ограничить... TSP>Надо просто разъяснять пользователям плюсы и минусы cookies, а они уже пусть выбирают продукты которые соответствуют их потребностям.
не выйдет..
во1х, юзеры — слишком ленивые и глупые.. 10% из них захотят что то настроить и 1% что то сделают с кукисами..
во2х, о кукисах знают не так много народу.. и "производители" сайтов могут кукисы добавлять без ведома юзеров.. а производители браузеров могут этому потакать..
следовательно, имеет место быть промышленный сговор, от которого граждан надо защищать..
Здравствуйте, TimurSPB, Вы писали:
F>>во1х, юзеры — слишком ленивые и глупые.. TSP>Сам такой. Я хоть и разработчик, но иногда и юзер.
а я такой.. ты так говоришь, как будто это что то плохое..
F>>во2х, о кукисах знают не так много народу.. и "производители" сайтов могут кукисы добавлять без ведома юзеров.. а производители браузеров могут этому потакать.. TSP>Да всем просто плевать и на это есть причины.
и причина эта — лень.. сейчас это вроде бы не вредно..
F>>следовательно, имеет место быть промышленный сговор, от которого граждан надо защищать.. TSP>Надоели уже "умники", защищающие "тупых" граждан.
точно, давайте разрешим вирусы, трояны, бот-сети.. "тупые" граждане пусть сами защищаются, как могут.. в итоге вирусописатели и производители антивирусов будут доить пользователей, как могут..
V> M>Вот в том-то и дело, что это — маразм V> Нет, это очень хороший и правильный закон.
В чем он хорош?
V> Конечно, его можно нарушить. Но если ты серьезная организация, типа гугла, то за его нарушения будут такие санкцции, что ого-го, так что никто не станет. А если ты — владелец левого сайта, то никому до тебя дела нет.
Ок. Предлагаю рассказать, как его
— применять в целом (реализация и т.п.)
— применять, например, для unified логинов
V> M>Сохранение состояния игры, unified login... При желании, все можно сюда подтянуть V> Суд на то и суд. Очевидно, что сделано это против вполне конкретных служб, и я всей душой за.
V> M>В чем он хорош? V> Тем, что ограничивает треккинг. Я не хочу, чтобы меня трекали все, кому не лень.
Ничего он не ограничивает.
V> M>- применять в целом (реализация и т.п.)
V> В смысле? Его применение есть принятие закона. Если обнаружится, что некий сайт его не выполняет — владельцу сайта, при возможности его обнаружения, выдвигается штраф. Так как в основном трекингом страдают серьезные организации с вполне реальным денежным присутствием, все это будет довольно эффективно.
Еще раз. Я помещаю сервер вне ЕС. Дальше что?
Принятие закона — это не есть реализация или применение закона. Более того, применение закона весьма и весьма затруднно в таком случае, потому что закон, судя по всему, состоит из взаимоискючающих параграфов.
V> M>- применять, например, для unified логинов V> Уже объяснил.
Не видел.
V> M>Против каких вполне конкретных служб? V> В основном, рекламный треккинг.
Чем рекламный трекинг отличается от unified login'а и что произойдет, когда он с таковым объединится или будет подаваться в его виде?
M>Еще раз. Я помещаю сервер вне ЕС. Дальше что?
Скорее всего, будет как с защитой конфиденциальности для резидентов EU — независимо от положения сервера, по факту того, что зашедший на сайт -резидент ЕС. Тот же Орбитц, например, предлагает поставить галочку, если ты гражданин EU и ведет себя с твоей конфиденциальной иноформацией в этом случае иначе.
Кроме того, все крупные компании, как я уже сказал, присутствуют в EU — гугль, амазон, микрософт, ебай. Они будут эти требования соблюдать, как миленькие. Ты пойми, это не против сайта Домашняя Страница Мамута сделано.
M>Принятие закона — это не есть реализация или применение закона. Более того, применение закона весьма и весьма затруднно в таком случае, потому что закон, судя по всему, состоит из взаимоискючающих параграфов.
Ты поинтересуся, как применяется закон о защите конфиденциальных данных.
M>Не видел.
Жаль.
M>Чем рекламный трекинг отличается от unified login'а и что произойдет, когда он с таковым объединится или будет подаваться в его виде?
Если ты не понимаешь, чем трекинг отличается от логина, то боюсь, ничего я тебе объяснить не сумею.
Здравствуйте, Mr.Cat, Вы писали:
F>>точно, давайте разрешим вирусы, трояны, бот-сети.. "тупые" граждане пусть сами защищаются, как могут.. в итоге вирусописатели и производители антивирусов будут доить пользователей, как могут.. MC>Трололо, это приведет всего лишь к легализации троянов и ботсетей (у каждой появится лицензионной соглашение и оферта на предоставление услуг, лол). MC>Все будет так же, как с мошенничеством вокруг платных sms.
да, но в начале будет просто эпичный срач (IRL тоже) на тему, что беспредел повсюду и власти ничего не хотят делать.. это реальность, а не известная книжка Пейсателя..
алсо, ты не против, если я подпишу тебя на полсотни спам-рассылок?. ты сможешь от них отписаться в любой момент, а по дефолту они будут приходить.. ну и регулярно буду подписывать на новые.. это же так прекрасно, когда ты можешь изъявить свою волю, что не хочешь их получать..
Здравствуйте, Vamp, Вы писали:
M>>- применять в целом (реализация и т.п.) V>В смысле? Его применение есть принятие закона. Если обнаружится, что некий сайт его не выполняет — владельцу сайта, при возможности его обнаружения, выдвигается штраф.
Как именно можно не выполнить требование «a cookie can be stored on a user’s computer, or accessed from that computer, only if the user „has given his or her consent, having been provided with clear and comprehensive information“»? Сайт ведь не делает store и, тем более, access! Он только говорит Set-Cookie: x=y, а пользователь как раз имеет полный контроль над тем, как интерпретировать этот заголовок и посылать ли, в свою очередь, заголовок Cookie на сервер.
Ты предлагаешь штрафовать разработчиков сайтов, которые передают заголовок Set-Cookie?
Здравствуйте, Pavel Dvorkin, Вы писали:
PD>Здравствуйте, wallaby, Вы писали:
PD>Прочитал эту дискуссию и возник у меня простой вопрос — а почему бы вместо всего этого не прописать в законе, какая информация может быть в кукисах или, наоборот, какую информацию там запрещено хранить ?
А это бессмысленно. Любую информацию можно сохранить на сервере, а в куку положить ID этой записи, будет безобидное на вид число.
Здравствуйте, Vamp, Вы писали:
V>Есть протокол, в нем оговорено, что делает браузер при обнаружении такого заголовка. Соответственно, инициатор записи — сайт, ему и отвечать.
Хорошая мысль.
Процитируй, пожалуйста, соответствующее место протокола.
Здравствуйте, Vamp, Вы писали:
RO>>Фух... пронесло... мои сайты никогда не используют заголовок Set-Cookie2:, поэтому можно не бояться праведного гнева со стороны ЕС! V>Если посмотреть предыдущее, то там про обычный сет-куки. Так что не пронесло. А у тебя что на куках сделано, собственно?
В RFC 2965 заголовок «Set-Cookie:» не упоминается ни единым словом. Куки вообще ничем не регламентированы, реализации просто основываются на той древней спецификации Netscape. Более того, сам протокол HTTP (RFC 2616) не очень-то и стандартизован — напомнить, что означает аббревиатура RFC?
Не надо решать технические проблемы административными методами и административные техническими. Клиенты сами решают, что им делать с Set-Cookie, и так было всегда. Не нравится — не сохраняй и не передавай обратно. Не умеешь — ССЗБ. Но запрещать пользоваться недодокументированным свойством недодокументированного протокола?! (Я понимаю, что применительно к HTTP это звучит забавно, но см. выше — с юридической точки зрения HTTP вообще не определен.)
А куки у меня реализуют то же, что у всех — аутентификацию и т. п. Еще при поиске по одному сайту критерии кладутся в кук, на основании которого вверху появляется полоска «Результат 2 из 42 по запросу „a = 1, b > 2“. [Предыдущий], [следующий]». И нет, совать это в URL я не намерен.
Хороший и правильный закон, кстати. Сбор статистической информации о пользователях (а куки предлагают слишком богатые возможности, особенно, учитывая что браузеры регулярно отдают куки через домены, например, на поддомены одного домена) должен быть выключен по умолчанию и разрешен только в том случае, если пользователь разрешает делать это.
V> Хороший и правильный закон, кстати. Сбор статистической информации о пользователях (а куки предлагают слишком богатые возможности, особенно, учитывая что браузеры регулярно отдают куки через домены, например, на поддомены одного домена) должен быть выключен по умолчанию и разрешен только в том случае, если пользователь разрешает делать это.
Теперь вопрос на засыпку: как ты предлагаешь делать логин на сайт без кукисов.
Здравствуйте, Mamut, Вы писали:
m>> M>Теперь вопрос на засыпку: как ты предлагаешь делать логин на сайт без кукисов.
m>> url rewriting
M>Ээээ. Чего-чего?
Здравствуйте, Mamut, Вы писали:
M>Теперь вопрос на засыпку: как ты предлагаешь делать логин на сайт без кукисов.
Куки для session-scope никто не запрещал. А для "remember password":
Here's what's coming. The now-finalised text says that a cookie can be stored on a user's computer, or accessed from that computer, only if the user "has given his or her consent, having been provided with clear and comprehensive information".
m> m>> M>Теперь вопрос на засыпку: как ты предлагаешь делать логин на сайт без кукисов. m> m>> url rewriting m> M>Ээээ. Чего-чего?
m> Никогда урл вида http://domain/...?...;jsessionid=35AF4B7... не встречали?
Встречал. И это — мегакостыль. В частности, невозможно реализовать «запомнить меня на этом компьютере» Не говоря уже о том, что это слегка усложняет разработку новых и делает невозможной (в случае запрещения кукисов) работу старых форм на сайтах.
C> M>Теперь вопрос на засыпку: как ты предлагаешь делать логин на сайт без кукисов.
C> Куки для session-scope никто не запрещал. А для "remember password": C>
C> Here's what's coming. The now-finalised text says that a cookie can be stored on a user's computer, or accessed from that computer, only if the user "has given his or her consent, having been provided with clear and comprehensive information".
То есть вместо безгиморного ползанья по сайтам мне придется бороться с аналогом вистовского UAC?
Здравствуйте, Mamut, Вы писали:
C>> Куки для session-scope никто не запрещал. А для "remember password": C>>
C>> Here's what's coming. The now-finalised text says that a cookie can be stored on a user's computer, or accessed from that computer, only if the user "has given his or her consent, having been provided with clear and comprehensive information".
M>То есть вместо безгиморного ползанья по сайтам мне придется бороться с аналогом вистовского UAC?
Для запоминания пароль просто достаточно поставить галочку "запомнить пароль". Всё.
C> M>То есть вместо безгиморного ползанья по сайтам мне придется бороться с аналогом вистовского UAC?
C> Для запоминания пароль просто достаточно поставить галочку "запомнить пароль". Всё.
Здравствуйте, Mamut, Вы писали:
C>> M>То есть вместо безгиморного ползанья по сайтам мне придется бороться с аналогом вистовского UAC? C>> Для запоминания пароль просто достаточно поставить галочку "запомнить пароль". Всё. M>Какую галочку, где?
1) Никто не запрещает использовать куки для сессий. Вообще.
2) Регулируются куки для долгого хранения. А там единственное что тебе нужно — это запоминание пароля/сессии на сайте. Это тоже разрешено с явного согласия.
C> C>> M>То есть вместо безгиморного ползанья по сайтам мне придется бороться с аналогом вистовского UAC?
C> C>> Для запоминания пароль просто достаточно поставить галочку "запомнить пароль". Всё.
C> M>Какую галочку, где?
C> 1) Никто не запрещает использовать куки для сессий. Вообще. C> 2) Регулируются куки для долгого хранения. А там единственное что тебе нужно — это запоминание пароля/сессии на сайте. Это тоже разрешено с явного согласия.
Какая, к черту сессия, если я могу вернутся на сайт через две недели? 0_о Например, я никогда не выхожу и гмыла, хоть и пользуюсь им один-два раза в месяц. Аналогично для толпы других сайтов (от википедии до rsdn'а).
Вот я и говорю, что в итоге вместо простого серфинга я получаю геморрой с UAC'ом.
Здравствуйте, Mamut, Вы писали:
C>> 2) Регулируются куки для долгого хранения. А там единственное что тебе нужно — это запоминание пароля/сессии на сайте. Это тоже разрешено с явного согласия. M>Какая, к черту сессия, если я могу вернутся на сайт через две недели? 0_о Например, я никогда не выхожу и гмыла, хоть и пользуюсь им один-два раза в месяц. Аналогично для толпы других сайтов (от википедии до rsdn'а).
Вот когда ты будешь в первый раз логиниться — поставишь галочку "Remember password" в форме логина. Всё.
M>Вот я и говорю, что в итоге вместо простого серфинга я получаю геморрой с UAC'ом.
Нет.
Здравствуйте, TimurSPB, Вы писали:
W>>Закон ещё не вступил в силу, но уже утверждён: W>>http://out-law.com/page-10510 TSP>Что то они сильно бюрократией увлеклись. Выбор надо оставлять пользователям и разработчикам.
вот пользователям выбор и оставляют..
а разработчиков надо контролировать..
C> C>> 2) Регулируются куки для долгого хранения. А там единственное что тебе нужно — это запоминание пароля/сессии на сайте. Это тоже разрешено с явного согласия.
C> M>Какая, к черту сессия, если я могу вернутся на сайт через две недели? 0_о Например, я никогда не выхожу и гмыла, хоть и пользуюсь им один-два раза в месяц. Аналогично для толпы других сайтов (от википедии до rsdn'а).
C> Вот когда ты будешь в первый раз логиниться — поставишь галочку "Remember password" в форме логина. Всё.
Что, все? Куку-то надо устанавливать. И устанавливать ей expiration date где-то далеко в будущем, что делает ее совсем не сессионной
C> M>Вот я и говорю, что в итоге вместо простого серфинга я получаю геморрой с UAC'ом. C> Нет.
Как это нет?
a cookie can be stored on a user's computer, or accessed from that computer, only if the user "has given his or her consent, having been provided with clear and comprehensive information".
M>Теперь вопрос на засыпку: как ты предлагаешь делать логин на сайт без кукисов.
Там написано, что если кукисы нужны для обеспечения функциональности, непосредственно запрошенной пользователем — логин на сайт, корзина покупателя, еще что-то в этом роде — то их можно посылать без дополнительного разрешения.
V> M>Теперь вопрос на засыпку: как ты предлагаешь делать логин на сайт без кукисов.
V> Там написано, что если кукисы нужны для обеспечения функциональности, непосредственно запрошенной пользователем — логин на сайт, корзина покупателя, еще что-то в этом роде — то их можно посылать без дополнительного разрешения.
Вот здесь кроется засада Кто и как будет проверять, нужны эти кукисы для функционала или не нужны?
Здравствуйте, Mamut, Вы писали:
C>> Вот когда ты будешь в первый раз логиниться — поставишь галочку "Remember password" в форме логина. Всё. M>Что, все? Куку-то надо устанавливать. И устанавливать ей expiration date где-то далеко в будущем, что делает ее совсем не сессионной
Ну так устанавливай. Какие проблемы-то? Всё что требуется для создателя сайта — это твоё информированое согласие (один раз).
C>> M>Вот я и говорю, что в итоге вместо простого серфинга я получаю геморрой с UAC'ом. C>> Нет. M>Как это нет? M>
M> a cookie can be stored on a user's computer, or accessed from that computer, only if the user "has given his or her consent, having been provided with clear and comprehensive information".
M>так ведь?
Ну вот рядом с "Remember Password" будет ссылка "Cookie Privacy Policy", вот и всё.
C> M>Что, все? Куку-то надо устанавливать. И устанавливать ей expiration date где-то далеко в будущем, что делает ее совсем не сессионной C> Ну так устанавливай. Какие проблемы-то? Всё что требуется для создателя сайта — это твоё информированое согласие (один раз).
То бишь UAC?
C> M>Как это нет? C> M>
C> M> a cookie can be stored on a user's computer, or accessed from that computer, only if the user "has given his or her consent, having been provided with clear and comprehensive information".
C> M>
C> M>так ведь?
C> Ну вот рядом с "Remember Password" будет ссылка "Cookie Privacy Policy", вот и всё.
V>> Приведи пример неочевидного. M>Куки, оставляемые играми на kongregate.com
Не знаю, что за сайт и что там за куки.
M>Куки, оставляемые трекерами (тем же google.com)
Очевидно. Вредные, для работы поисковой системы не нужные.
M>Он не являются жизненно необходимыми ля работы этих сайтов, но, в целом, он ничем не отличаются от кук, оставляемых RSDN'ом при логине
РСДН работает без кук. Логин есть явно запрошенное пользователем действие, которое в силу того, что запрошено явно, попадает под разрешение.
V> V>> Приведи пример неочевидного. V> M>Куки, оставляемые играми на kongregate.com V> Не знаю, что за сайт и что там за куки.
Сайт — флэш игры, которые сохраняют свое состояние в куках на пользователе
V> M>Куки, оставляемые трекерами (тем же google.com) V> Очевидно. Вредные, для работы поисковой системы не нужные.
Скажем, такой вариант:
Unified логин типа MS Passport/Google Accounts. Логин происходит н на гмыле, а на accounts, после чего пользователь перенаправляется на гмыл, где гмыл выставляет уже свою куку, идентифицирующую пользователя. Сам логин был не на гмыле, но гмыл куку выставляет
V> M>Он не являются жизненно необходимыми ля работы этих сайтов, но, в целом, он ничем не отличаются от кук, оставляемых RSDN'ом при логине
V> РСДН работает без кук. Логин есть явно запрошенное пользователем действие, которое в силу того, что запрошено явно, попадает под разрешение.
Запрошен явно логин, но не разрешение на запись/чтение кук
M>Сайт — флэш игры, которые сохраняют свое состояние в куках на пользователе
Вначале написать, что игры сохраняют свое состояние на компьютере пользователя, неработоспособны без этого, разрешает ли пользователь?
M>Скажем, такой вариант: M>Unified логин типа MS Passport/Google Accounts. Логин происходит н на гмыле, а на accounts, после чего пользователь перенаправляется на гмыл, где гмыл выставляет уже свою куку, идентифицирующую пользователя. Сам логин был не на гмыле, но гмыл куку выставляет M>Запрошен явно логин, но не разрешение на запись/чтение кук
В статье четко сказано — если кука необходима для запрошенной пользователем функциональности (как пример приведена корзина, логин — то же самое) — то ее можно совать без разрешения.
V> M>Сайт — флэш игры, которые сохраняют свое состояние в куках на пользователе V> Вначале написать, что игры сохраняют свое состояние на компьютере пользователя, неработоспособны без этого, разрешает ли пользователь?
Вот в том-то и дело, что это — маразм Это или надо встраивать в браузер, что даст нам вистовский UAC на каждом первом сайте (потому что способа отличить куки друг от руга невозможно) или вообще не принимать такого закона Потому что серверу достаточно оказаться вне ЕС и плевать все хотели на этот закон
V> M>Скажем, такой вариант: V> M>Unified логин типа MS Passport/Google Accounts. Логин происходит н на гмыле, а на accounts, после чего пользователь перенаправляется на гмыл, где гмыл выставляет уже свою куку, идентифицирующую пользователя. Сам логин был не на гмыле, но гмыл куку выставляет V> M>Запрошен явно логин, но не разрешение на запись/чтение кук
V> В статье четко сказано — если кука необходима для запрошенной пользователем функциональности (как пример приведена корзина, логин — то же самое) — то ее можно совать без разрешения.
Сохранение состояния игры, unified login... При желании, все можно сюда подтянуть
M>Вот в том-то и дело, что это — маразм
Нет, это очень хороший и правильный закон. Конечно, его можно нарушить. Но если ты серьезная организация, типа гугла, то за его нарушения будут такие санкцции, что ого-го, так что никто не станет. А если ты — владелец левого сайта, то никому до тебя дела нет.
M>Сохранение состояния игры, unified login... При желании, все можно сюда подтянуть
Суд на то и суд. Очевидно, что сделано это против вполне конкретных служб, и я всей душой за.
M>В чем он хорош?
Тем, что ограничивает треккинг. Я не хочу, чтобы меня трекали все, кому не лень.
M>- применять в целом (реализация и т.п.)
В смысле? Его применение есть принятие закона. Если обнаружится, что некий сайт его не выполняет — владельцу сайта, при возможности его обнаружения, выдвигается штраф. Так как в основном трекингом страдают серьезные организации с вполне реальным денежным присутствием, все это будет довольно эффективно.
M>- применять, например, для unified логинов
Уже объяснил.
M>Против каких вполне конкретных служб?
В основном, рекламный треккинг.
Здравствуйте, Mamut, Вы писали:
M>Встречал. И это — мегакостыль. В частности, невозможно реализовать «запомнить меня на этом компьютере» Не говоря уже о том, что это слегка усложняет разработку новых и делает невозможной (в случае запрещения кукисов) работу старых форм на сайтах.
Смотря на чем писать. Для АСП.НЕТ такой способ передачи сессионного ИД — одна из стандартных возможностей.
Хотя выглядит криво, конечно, и никакой url rewriting из этого Г конфетку не сделает.
Здравствуйте, Mamut, Вы писали:
M>Это или надо встраивать в браузер, что даст нам вистовский UAC на каждом первом сайте
Ну и нормально. Мне вот лисичка выдает страницу с предупреждением о неправильном SSL сертификате,
спрашивает, кстати, не хочу ли я запомнить пароль для этого сайта (уже много лет умеет),
гугл или антивирус предупреждают о небезопасных страницах
Выйдет, просто лень этим заниматься, бабло на это тратить и т.д.
F>во1х, юзеры — слишком ленивые и глупые..
Ну так и доколе мы будем поддерживать в них лень и тупость? Ты согласен, что население быдло? Ты хочешь, чтобы это так и оставалось? Вот типа таких как ты и угробили систему образования в России. И продолжают гробить. Следующее поколение не то, что про куки, а и вообще как срать ходить знать не будет.
F>во2х, о кукисах знают не так много народу..
Ну так надо разъяснять, надо проводить образовательные работы в этом направлении. Коммерчески это не выгодно, конечно, а посему никому и не нужно, но мне лично от этого противно и хотя бы в своём городе я попробую исправить эту ситуацию в будущем.
m> M>Это или надо встраивать в браузер, что даст нам вистовский UAC на каждом первом сайте m> Ну и нормально. Мне вот лисичка выдает страницу с предупреждением о неправильном SSL сертификате,
Таких сайтов далеко не так много, как сайтов, оставляющих куки.
m> спрашивает, кстати, не хочу ли я запомнить пароль для этого сайта (уже много лет умеет),
И, помнится, реализация этого жела хромала во всех известных браузерах с точки зрения той же безопасности.
m> гугл или антивирус предупреждают о небезопасных страницах
Таких сайтов далеко не так много, как сайтов, оставляющих куки.
m> M>Сайт — флэш игры, которые сохраняют свое состояние в куках на пользователе
m> Не, флеш сэйвы хранит в своем репозитории, в AppData есть папочка Macromedia. m> А сайту кука нужна только для аккаунта, данные об игроке на сервере.
Возможно Тогда все равно — чем это отличается от кук?
V> M>Еще раз. Я помещаю сервер вне ЕС. Дальше что? V> Скорее всего, будет как с защитой конфиденциальности для резидентов EU — независимо от положения сервера, по факту того, что зашедший на сайт -резидент ЕС. Тот же Орбитц, например, предлагает поставить галочку, если ты гражданин EU и ведет себя с твоей конфиденциальной иноформацией в этом случае иначе. V> Кроме того, все крупные компании, как я уже сказал, присутствуют в EU — гугль, амазон, микрософт, ебай. Они будут эти требования соблюдать, как миленькие. Ты пойми, это не против сайта Домашняя Страница Мамута сделано.
Вооще-то, оно селано против всех сайтов. И основная цель — рть бабло на пустом месте
V> M>Принятие закона — это не есть реализация или применение закона. Более того, применение закона весьма и весьма затруднно в таком случае, потому что закон, судя по всему, состоит из взаимоискючающих параграфов. V> Ты поинтересуся, как применяется закон о защите конфиденциальных данных.
Можешь ссылок накидать?
V> M>Чем рекламный трекинг отличается от unified login'а и что произойдет, когда он с таковым объединится или будет подаваться в его виде?
V> Если ты не понимаешь, чем трекинг отличается от логина, то боюсь, ничего я тебе объяснить не сумею.
Я понимаю, чем они отличаются. Ты мне лучше объясни, чем они отличаются в реализации и как ты собираешься доказывать, что они отличаются.
Прочитал эту дискуссию и возник у меня простой вопрос — а почему бы вместо всего этого не прописать в законе, какая информация может быть в кукисах или, наоборот, какую информацию там запрещено хранить ?
Здравствуйте, x64, Вы писали:
F>>не выйдет.. x64>Выйдет, просто лень этим заниматься, бабло на это тратить и т.д.
заставь бухгалтера выучить архитектуру ПК.. успехов на фронте..
F>>во1х, юзеры — слишком ленивые и глупые.. x64>Ну так и доколе мы будем поддерживать в них лень и тупость? Ты согласен, что население быдло? Ты хочешь, чтобы это так и оставалось? Вот типа таких как ты и угробили систему образования в России. И продолжают гробить. Следующее поколение не то, что про куки, а и вообще как срать ходить знать не будет.
таких, как ты, уже не исправить.. не в коня корм.. ждём следующего поколения..
F>>во2х, о кукисах знают не так много народу.. x64>Ну так надо разъяснять, надо проводить образовательные работы в этом направлении. Коммерчески это не выгодно, конечно, а посему никому и не нужно, но мне лично от этого противно и хотя бы в своём городе я попробую исправить эту ситуацию в будущем.
Здравствуйте, Roman Odaisky, Вы писали: RO>Как именно можно не выполнить требование «a cookie can be stored on a user’s computer, or accessed from that computer, only if the user „has given his or her consent, having been provided with clear and comprehensive information“»? Сайт ведь не делает store и, тем более, access! Он только говорит Set-Cookie: x=y, а пользователь как раз имеет полный контроль над тем, как интерпретировать этот заголовок и посылать ли, в свою очередь, заголовок Cookie на сервер.
Что какбы намекает, что браузеры будут подвергаться сертификации.
Здравствуйте, neFormal, Вы писали:
F> в итоге вирусописатели и производители антивирусов будут доить пользователей, как могут..
И это правильно — доить нужно, пока дойки доятся А то, понимаешь, станут все умными, перекроют все фаерволами злобными, да аккаунтами бесправными — попробуй выживи в такой конкуренции за ресурсы системные.
Здравствуйте, Mr.Cat, Вы писали:
RO>>Как именно можно не выполнить требование «a cookie can be stored on a user’s computer, or accessed from that computer, only if the user „has given his or her consent, having been provided with clear and comprehensive information“»? Сайт ведь не делает store и, тем более, access! Он только говорит Set-Cookie: x=y, а пользователь как раз имеет полный контроль над тем, как интерпретировать этот заголовок и посылать ли, в свою очередь, заголовок Cookie на сервер. MC>Что какбы намекает, что браузеры будут подвергаться сертификации.
вот тут-то всякая фигня на основе ФФ и пойдёт на север за пушниной. не иначе рука микрософта.
RO>Как именно можно не выполнить требование «a cookie can be stored on a user’s computer, or accessed from that computer, only if the user „has given his or her consent, having been provided with clear and comprehensive information“»? Сайт ведь не делает store и, тем более, access! Он только говорит Set-Cookie: x=y,
Чушь. С тем же успехом можно сказать, что браузер ничего не записывает — он только вызвает функцию ОС. И ОС тоже ничего не записывает — она посылает команду в контроллер винчестера. В конечном итоге ответственым за куку назначим магнитное поле?
Есть протокол, в нем оговорено, что делает браузер при обнаружении такого заголовка. Соответственно, инициатор записи — сайт, ему и отвечать.
Здравствуйте, Antikrot, Вы писали: A>вот тут-то всякая фигня на основе ФФ и пойдёт на север за пушниной. не иначе рука микрософта.
Сам ФФ никуда не денется. За ним Mozilla Foundation и, соответственно, Гугол. А вот как быть со всем остальным, начиная от Сurl и заканчивая каким-нибудь Conkeror — непонятно.
RO>Фух... пронесло... мои сайты никогда не используют заголовок Set-Cookie2:, поэтому можно не бояться праведного гнева со стороны ЕС!
Если посмотреть предыдущее, то там про обычный сет-куки. Так что не пронесло. А у тебя что на куках сделано, собственно?
RO>Не надо решать технические проблемы административными методами и административные техническими.
Я просто не считаю, что это техническая проблема. Я не хочу, чтобы меня трекали, и я не считаю, что ради отключения трекинга я должен облазить все меню. Более того, если некий сайт предлагает на куках одновременно авторизацию и треккинг, то нет способа отключить одно, оставив второе. А то, что ты говоришь — это все равно что сказать "не надо запрещать стрельбу по гражданам из пистолета. Пистолетный выстрел — это техническая проблема, каждый может надеть бронежилет, а кто не надел — тот сам себе кто-то там.".
А насчет того, что сет-куки нет в оригинальном RFC2109 — это ты глубоко неправ.
1. ABSTRACT This document specifies a way to create a stateful session with HTTP requests and responses. It describes two new headers, Cookie and Set-Cookie, which carry state information between participating origin servers and user agents. The method described here differs from Netscape's Cookie proposal, but it can interoperate with HTTP/1.0 user agents that use Netscape's method. (See the HISTORICAL section.)
Кто и как будет проверять, нужны эти кукисы для функционала или не нужны? 
