Cookie verbod en CSRF tokens
zaterdag, juni 2nd, 2012Het cookie verbod dat het gebruik van cookies zonder dubbelzinnige toestemming aan banden legt is ingegaan. Zoals je misschien al gezien hebt, moet nu voor het plaatsen van een cookie toestemming gevraagd worden. Dit is goed als het om privacy van internetters gaat zodat adverteerde gedwongen worden niet meer standaard advertenties te personaliseren met cookies zonder toestemming. Aan de andere kant kan cookies ook essentieel zijn voor website functionaliteit en soms voor beveiliging op het web. Een punt waar cookies bijvoorbeeld nodig zijn is bij het onthouden van het winkel mandje in een webshop. Na het aannemen van deze wet zal het waarschijnlijk betekenen dat veel webwinkels je nu gaan verplichten om in te loggen om je winkelmandje te laten gebruiken. Er is immers een sessie cookie nodig om je te kunnen identificeren en je winkel mandje te kunnen onthouden. Aangemelde gebruikers hebben met het cookie gebruik ingestemd in de algemene voorwaarde bij het aanmelden. Soms kan het cookie verbod ook de beveiliging op het web treffen. Een punt waar gebruikers beveiliging gepakt kan worden is dat cookies niet meer als token gebruikt kunnen worden om cross site request forgery te voorkomen. Hoe dit werkt is dat een sessie cookie en een token verborgen in het formulier gezet worden om te controleren dat een bezoeker dit formulier echt bezocht heeft. Zonder cookie controle kan een verzoek van een andere kwaadaardige of gehackte website met sql injecties of XSS(ook slachtoffer) afkomen. Een oplossing om dit zonder cookies en tokons te doen is om ieder formulieren van een CAPTCHA te voorzien. Echter dit is niet mogelijk om dit voor alle formulieren te doen en erg gebruikers-onvriendelijk is. Een andere oplossing is de HTTP referrer/origin header controleren. Echter niet iedereen verstuurt graag een referrer HTTP header om privacy redenen. Dit is omdat een HTTP referrer aan een website vertelt vanaf welke website iemand een website bezocht wat niet altijd wenselijk is. Verder kan een adverteerder zonder cookies nog steeds bezoekers volgen met andere technieken zoals met de ETag HTTP header die gebruikt wordt voor caching. Dus denk niet dat de privacy is nu door een cookie verbod volledig veilig is geworden maar het is nu wel een stuk lastiger om privacy te schaden omdat het juridisch via cookies niet meer zonder toestemming mag.
update: cookies mogen wel wanneer het strikt noodzakelijk is voor een door een gebruiker gevraagde dienst.