Varför är inte "kakor" "opt-in", och IT-säkerhet "opt-out", "by default"?

Rubriken förklarar de flesta av mina frågor i sammanhanget.
Jag förutsätter här att "kakor" är av ondo, spionerande och ej önskvärda samt att IT-säerhet är av godo, ej spionerande och av godo.

När det gäller "kakor", så tycks det finnas ca tre olika sorters hemsidor, där "kakorna" tenderar att dyka upp, läs: i princip alltid:

1. en sort, där det är jättesvårt och tidsödande att välja bort "kakorna", inte sällan generella hemsidor om t.ex. kalenderdagar, väder eller tfn, och där listan på "leverantörer" kan bestå av hundratals, okända företag, inte sällan tyska, som begär s.k. "legitimt intresse"
2. en sort, där det till synes enkelt går att välja "Neka alla"
3. en sort, inte sällan myndighetssidor, där det inte ges något alternativ förutom att godkänna "kakor"

.

Det påstås att "leverantörerna" är skyldiga att följa något EU-direktiv om "transparens" men det verkar vara att skylla på EU i fel sammanhang.

Några frågor:

• vem är ytterst ansvarig för "kak-systemet"?
• varför finns det?
• hänger det ihop med massövervakning och datalagring i allmänhet och i övrigt?
• går "kak-systemet" att få bort?

.

Det stämmer att cookies används för att kartlägga och samla data om dig, men tyvärr är de också nödvändiga för att nästan alla sidor ska fungera. Stänger du av cookies vilket du enkelt gör i webbläsaren kommer du inte kunna förbli inloggad på flertalet hemsidor.

Alternativ till cookies finns, som exempelvis Server-side sessions, JSON Web Tokens (JWT) och HTTP Basic/Digest Authentication, men i dagsläget kommer du behöva använda cookies om du vill att grundläggande funktioner på webben ska fungera smidigt.

Det du kan göra redan nu är att installera några extensions i din webbläsare. uBlock Origin och Privacy Badger för att nämna några.

1. Det finns verkligt nödvändiga cookies (vägrar uttrycket kakor), t.ex. för att hålla reda på om du är inloggad eller inte.
2. Du kan stänga av alla cookies i webbläsaren. Om du använder t.ex. Brave så kan du defaulta cookies av och medge undantag, alltså som ditt förslag.
3. Anledningen till att kommersiella aktörer gör det krångligt att neka cookies (på hemsidan) är givetvis att de förlorar pengar på att användare gör detta, då de tappar datainsamling. Denna har rent kommersiella syften och är inte något konspiratoriskt ondskefullt, men likväl otrevligt.
4. Ytterst är det lagstiftaren och domstolarna som avgör hur man måste göra med cookies. Från att ha varit helt oreglerat så finns det nu ganska strikta regler att förhålla sig till, även om jag tror att många aktörer ligger på fel sida lagen när de gör det krångligt att neka (ej strikt nödvändiga) cookies.

En server-side session förutsätter dock en liten (och "anonym") cookie på klientsidan för att servern ska kunna hålla reda på vilken klient som har vilken session.

Fullt möjligt. Är som sagt inte alls något expert på området.

JSON Web Tokens (JWT) har ju också sina svagheter. Som jag förstår det valideras tokenet på serversidan och en server/hemsida med onda intentioner skulle då kunna inkludera skadlig kod i den. Tokenet i sig är väl dessutom inte krypterat överhuvudtaget utan endast base64-kodat?

Så är det. Sen kan man fråga sig varför det från TS perspektiv är bättre att data lagras hos servern än hos klienten (förutom det faktum att cookie-informtionen skickas runt på nätverket medan sessions-id är ganska anonym). Däremot att enbart spara nödvändig information (om inloggning) på serversidan i en session är bra och nödvändigt.

JWT som du tar upp innebär att den nödvändiga informationen inte sparas i en cookie utan inryms plain text (men kodat till base64) i URL (alltså adressen i webläsaren). Jag vet inte om det är bättre säkerhetsmässigt. Känns snarast som ett sätt för servern att slippa behöva hålla reda på sessioner. Browsern kan inte heller blockera JWTs (om man inte blockerar JS och då är det knappt några hemsidor som fungera)

Var lite för snabb när jag tryckte på skicka-knappen, men du svarade ju ändå ganska bra på det jag lade till i efterhand =)

Cookies har varit en del av http sedan i alla fall -94 och blev en standard -97 (RFC 2109 in February 1997), det går att läsa om på IETF.

Anledningen att de finns var för att då, liksom nu, lösa ett problem. HTTP är från början (och nu) stateless, vilket innebär att varje anrop till webservern är unikt, webservern tar emot anropet, gör något med det och sedan är allt bortglömt igen. Nästa anrop från samma klient behandlas som ett helt nytt anrop från helt okänt ursprung

För att råda bot på detta problem behöver webläsaren skicka med något i anropet således. Detta något är cookies till exempel, för att upplysa webservern om att man varit där förut, samt vad för inställningar man har till exempel.

Nyare tekniker finns för autenticering i alla fall, till exempel JWT (json web tokens). Ett annat trick att ta till är att använda dolda fält för att skicka med data.

Så, dina konspirationsteorier om varför de finns eller vilket berättigande de har grundar sig helt enkelt i okunskap. Jag kan förstå att tredjepartscookies kan verka förvirrande, men det är en webserver som satt dem i din webläsare av en eller annan anledning, exempelvis för att hålla rätt på vilken reklam du sett på siter som ingår i samma reklamnätverk, alternativt för att spåra hur du använder en specifik site (google analytics).

I fallet när du shoppar på nätet däremot hade det blivit en rejält klumpig hantering om det inte fanns cookies. Hur ska webservern i sådana fall veta vad du hittills köpt och hur ska den kunna veta vem du är om du innan dess loggat in?

Det enkla svaret är att det kommer inte funka, alt så blir din upplevelse av shoppingen så horribel att den inte kommer gå att använda.

Lou Montulli


För att kunna knyta ihop flera sidladdningar i en session, och spara inställningar knutna till person.


Eh. Allt hänger ihop. Kakor kan användas för att identifiera dig, så ja, det är en användbar komponent i massövervakning.


Ptja. Ja. Men så länge du vill ha sessioner (inloggningar) och möjlighet till användarspecifik data (inställningar, state) så kommer vad du nu än ersätter det med lida av samma problematik.

Problemet är ju inte kakor i sig, utan att de missbrukas, med vilje, av de som driver websites. Att byta ut dem mot något annat lär knappast hjälpa, eftersom viljan att använda teknologin mot sina användare knappast lär försvinna av ett teknologibyte, och ersättningsteknologin troligen också kommer gå att missbruka på andra eller liknande sätt.

Vilket problem?
Vems problem?
Varför skrev du "var", snarare än är?
På vilket sätt är "allt bortglömt igen"?
"Kakor" har ju olika tidslängd.

I vems främsta intresse?

Vari ligger de av dig påstådda konspirationsteorierna?
Ingenting av vad du påstår motbevisar det, som inlägget handlar om.
Snarare bekräftar alla dina påståenden vad inlägget handlar om.
Fast du förstår inte det?

Så vari ligger det grundläggande problemet?
Bristande tillit människor emellan?
Bristande tillit mellan robot och människa?

Kakor används på ett otal sätt. Från starten var det mest för att få lite mer info om en sidas besökare och ev justera in sidan efter de krav som användarens browser hade. Ex språk, land och lite annat. numera så används kakor för att samla in allsköns information om användarna. information som sedan säljs vidare till giganterna på användardata ex google. Med tillräckligt med information så kan det räknas ut allt från vad du äter till vilket skithuspapper du använder, om flickvännen är gravid eller om du har en könssjukdom. opraktiskt taget ALLT om dig går att få fram via kaksystemet.

Etter värre är det med alla dessa "appar" som företagen vill att du skall använda istället för din browser. Varför vill de detta ? Jo deras egna app har inga skyddsmekanismer alls utan allt går att spara ner och använda/sälja. En browser har iaf vissa spärrar för att lämna ut info om dig men ett företags egna "app" har inga som helst spärrar och är oftast även väldigt osäkra för intrång och missanvändning.

Kör man en bra browser "strikt" så att den lämnar ut så lite info som möjligt om en så är det alltid att föredra. De flesta klickar snabb på "tillåt alla kakor" vilket är detsamma som aatt idiotförklara sig själv om och om igen.