Hvad bliver det næste?

Det er jo en vanvittig lov. Ganske enkelt.

Frederik Grønholdt Petersen:

Det er jo en vanvittig lov. Ganske enkelt.

Det synes jeg nu ikke.

Da http protokollen er stateless og asynkron har man ikke en oplagt mulighed for at vide hvor en request kommer fra til en webserver. Man kan have en formodning, men man kan aldrig være helt sikker. Det betyder at man, hvis man skal give mulighed for eksempelvis at logge ind på et website er nødt til at gemme information om brugeren på brugerens egen maskine og lade maskinen sende denne information med hvert request. Ved at lade brugerens maskine sende unik information til webserveren gør at man kan genkende brugerens maskine.

Denne genkendelsens glæde er for tracking systemerne også stor, det betyder nemlig at den information de har gemt om din adfærd kan sælges eller bruges af tracking udbyderens egen organisation. Den kan nemlig "slå dig op i arkivet" næste gang du besøger dem eller en af deres affilierede og se hvad du skal præsenteres for, hvis de skal have mest ud af dit besøg. Dette tager din fri vilje fra dig, det betyder at du ikke kan besøge en affilierets website uden de på forhånd har bestemt hvad du skal præsenteres for.

Jeg er sikker på at de fleste gerne vil frabede sig dette scenarie:

Du går i netto til dagligt og handler ind, når du kommer ind i netto første gang sætter de et kamera i panden på dig som optager hvad du putter i indkøbsvognen. Det registrere at du køber discount mælk om mandagen, discount flåede tomater om tirsdagen osv. osv.

Nu er det sådan at Netto er ejet af Dansk super sjov A/S og Dansk super sjov A/S ejer også irma, så når du om lørdagen går i irma for at handle lidt lækkert ind fordi det nu er weekend ender du med at blive skuffet, for alle de lækre vare i irma er stillet ind på lageret da de så der kom en der de sidsta 5 dage har handlet discount, og derfor har de fyldt discount ind på hylderne til ære for dig. De kunne se det var dig fordi du stadig slæber rundt på kameraet du fik på da du gik i netto om mandagen.

Ja - et harmløst scenarie, men vel vel et skræk scenarie for de fleste. Hvis det nu var sådan at de fjernede kameraet når du gik ud af netto ville det ikke være et problem. De ville i netto have en masse information om en masse kunders adfærd og dette kunne de bruge til at ændre netto generelt, hvilket der jo ikke er noget galt i.

En anden ting er så privatlivets fred. Der findes andre metoder til at håndtere login scenarier, der ikke kræver brug af cookies. f.eks. via http authentication, eller mere simpelt,via headdere (cookies sendes f.eks. via headdere).

Et anden interessant spørgsmål i denne sammenhæng er: Hvis man på et site bruger analytics, er det så dette site der skal meddele indhente tilladelse til tracking via cookies eller er det google der en gang for alle skal indhente tilladelse til tracking.

Mvh Ken

kenhvm:

Den første side er den første side, Jeg skrev med vilje ikke forsiden. Du må indsætte et script der checker for cookies, enten serverside eller clientside på ALLE dine sider. Hvis der ikke findes nogen sættes en cookie der kun holder sessionen ud og først ved sidevisning nr. 2+ sætte alle de cookies du vil.

Så er vores problemet bare, at hverken vores kommende shops, eller nye sider bliver i WordPress :o)

En anden ting jeg har tænkt på er, hvis man bare har det som banner på siden, så er der sandsynligvis allerede smidt en masse cookies på pc'en, når de læser banneret.

Nå, men jeg tror jeg samler mine spørgsmål, og smider dem til It- og Telestyrelsen :o)

kenhvm:

Martin T:

Hvis man bare kigger paa ip, klientens port(I tilfaelde af nat) og useragent* kan man kende folk fra hinanden med rimelig sikkerhed. I hvertfald i danmark over en relativ kort tidsperiode(For eksempel en uge).

Sludder og vrøvl.Jeg tvivler på du kan få apache til at logge hvilken port der "konverteres" til, hvis du vil have den information skal du kigge i de rå ip-pakker, for øvrigt er det tilfældigt fra session til session hvilken port der bruges, det kan vist endda ændre sig på pakkens vej gennem routerne mellem brugeren og webserveren .Jeg ved ikke hvordan netudbyderne tildeler ip-numre hvis man har dynamisk ip fra sin udbyder, men jeg kan forestille mig at perioden ikke er på en uge, da udbyderen er den eneste der ikke kan afbryde perioden og de har ikke uendeligt mange offentlige ip-adresser at bruge af.

 

Jeg kunne så i øvrigt forestille mig at mange internet brugere i private hjem, med "fælles boligforenings internet" køre med private ip-adresser hos slutbrugeren. Igen skal du have fat i de rå ip-pakker og afkode din peer og selv da vil informationen være ubrugelig til andet end at afgøre første knude punkt på vej tilbage til brugere. Desuden sidder mange og surfer fra virksomhedder hvor de er gemt bag en router og hvor det er it-afdelingen der bestemmer hvordan din useragent præsentere sig.

I øvrigt vil din apache log ikke give problemer da det er adgang til oplysninger i slutbrugerens terminaludstyr der her lovgives om og ikke de oplysninger du selv måtte logge.

Det er korrekt at der er gjort mange krumspring for at udvikle en sikker metode til genkendelse af brugerne, men alle disse kræver at man gemmer information hos brugeren.

Mvh Ken.

De fleste danske internet udbyderer plejer at goere hvad de kan for at give folk samme ip addresse som de havde sidste gang(Typisk bundet til ethernet addressen, og normalt er der 1:1 mellem den interne og externe ip addresse*). Min ip har foreksempel ikke aendret sig de sidste 12 maaneder, saa hvis du vil tracke mig uden brug af  en cookie skal du bare kigge paa ip addressen. Og de fleste danske internet udbyderer til private goer vist det samme. (Det er rigtigt at virksomheder er noget lidt andet).

Men det er heldigvis lidt ligemeget da der var den detalje jeg havde overset med at det kun gaelder hvis man tracker ved at gemme data paa brugerens computer saa vores apache log er stadig lovlig :}.

Men det kunne vaere interesant at sammenligne tracking stats fra vores apache log med hvad google analytics giver for at se hvor stor forskellen er. Det maa blive en opgave til en soendag eftermidag.

ps: De bliver vel under alle omstaendigheder noed til at lave loven om naar vi skifter til IP6 hvor kunde faste ip ranges ser ud til at vaere normen.

*At koere n:1 nat for private brugerer hvor flere personer har samme externe ip addresse giver store problemer med en del software(Mest spil) at der vist ikke er nogle der goer det mere.  Det er et helvede i isp support.

Martin T:

*At koere n:1 nat for private brugerer hvor flere personer har samme externe ip addresse giver store problemer med en del software(Mest spil) at der vist ikke er nogle der goer det mere.  Det er et helvede i isp support.

Du bliver ved med at snakke NAT! NAT bruges typisk når du initiere en forbindelse den anden vej, altså hvis webserveren skal initiere en forbindelse gennem din router til din maskine der har en privat ip-adresse og ikke omvendt.

Mvh Ken

Så er der kommet lidt mere læsestof.

Det er så ikke kun mig, der synes at det virker som noget sjusk, der bare skal jappes igennem, fordi det skal det bare. Istedet for at sørge for at det er lidt mere gennemtænkt, og måske med en lidt længere frist. Artikel her.

Og så er der ganske få undtagelser, der i hvert fald kommer shopejere til gode (delvist). Artikel her.

Men det tyder på, at der kommer en del mere det næste stykke tid :o)