Codeigniter ci_session cookie (проблема GDPR)

У меня есть сайт, написанный на CodeIgniter, который по умолчанию создает файл cookie ci_session при первом посещении сайта. Клиент просит привести сайт в соответствие с GDPR. Я не добавлял никаких файлов cookie или локального хранилища, кроме Google Analytics. Я добавляю кое-что в переменную сеанса php, но, по моему мнению, это не подпадает под действие GDPR.

Итак, в основном у меня есть следующие файлы cookie при загрузке сайта:

  • ci_session
  • файлы cookie Google Analytics

У меня уже есть идея, как бороться с куки-файлами Google Analytics, но ci_session меня сбивает. Насколько я понимаю, при загрузке первой страницы файлы cookie не разрешаются без согласия клиентов.

Мой вопрос: «Как лучше всего отключить cookie ci_session до того, как пользователь даст согласие?»

* Codeigniter версии 2.1.7


php session-cookies cookies codeigniter data-protection
person agapetos    schedule 06.03.2019    source источник
comment
вы автоматически загружаете библиотеку сеанса?   -  person sintakonte    schedule 06.03.2019
comment
Его нет в конфигурационном файле автозагрузки, но я загружаю его в конструктор библиотеки аутентификации, которая загружается автоматически. Я мог бы поставить туда чек и, если правда - загрузить библиотеку.   -  person agapetos    schedule 06.03.2019
comment
да - единственное, что я бы сделал, - это проверить, было ли дано согласие (как только пользователь это сделал - вы должны установить файл cookie и получить к нему доступ в своей библиотеке аутентификации - если он установлен - просто загрузите библиотеку сеанса)   -  person sintakonte    schedule 06.03.2019
comment
Но, не загружая библиотеку сеанса, я также не получу обработку сеанса на стороне сервера, что очень важно для сайта. Может быть, самому настроить сессионную библиотеку?   -  person agapetos    schedule 06.03.2019
comment
Я бы не стал возиться с библиотекой сеансов. Вместо этого настройте конструктор, чтобы не загружать библиотеку сеанса на целевой странице до тех пор, пока пользователь не даст согласия. Поскольку это целевая страница, загрузка библиотеки сеанса при первом посещении действительно не приносит особой пользы.   -  person Javier Larroulet    schedule 06.03.2019
comment
Это интернет-магазин, и я разработал его, чтобы можно было покупать товары прямо с целевой страницы (и он сохраняет некоторую важную информацию в сеансе на стороне сервера).   -  person agapetos    schedule 06.03.2019
comment
пока я не даю свое согласие - вы не должны хранить какие-либо вещи - поэтому библиотека сеанса должна быть устаревшей ... (не знаю, какие данные вы храните в сеансе, если пользователь неизвестен ...), я также Понятия не имею, каково ваше определение здесь - могу ли я покупать продукты (или хранить их в тележке), даже если я не дам своего согласия?   -  person sintakonte    schedule 06.03.2019
comment
Существует много дискуссий по поводу согласия на использование файлов cookie в соответствии с GDPR. Сеансовые файлы cookie CI хранят только внутренний идентификатор (не отслеживаемую информацию) на стороне пользователя и могут считаться необходимыми для функционирования сайта, поэтому несогласным пользователям следует запретить даже вход на сайт до тех пор, пока они не дадут согласие. Если вам нужно иметь возможность продавать прямо с целевой страницы, что требует загрузки библиотеки сеанса на целевой странице, вам следует настроить это (а не сам сеанс), чтобы позволить покупать только согласившимся пользователям.   -  person Javier Larroulet    schedule 06.03.2019
comment
Я подумал об использовании сеанса на стороне сервера для получения информации, согласился ли пользователь на использование файлов cookie / локального хранилища или нет. Мне не совсем понятно, как это должно быть реализовано. Я думал о кнопках да / нет, которые с помощью вызова ajax сохраняют решение в атрибуте сеанса на стороне сервера (а также в локальном хранилище). Есть ли способ лучше?   -  person agapetos    schedule 06.03.2019
comment
Мне не удалось увидеть использование файлов cookie для доступа к ним на стороне сервера до загрузки страницы. Постараюсь что чем.   -  person agapetos    schedule 06.03.2019

Ответы (1)


arrow_upward
2
arrow_downward

Как ни странно, GDPR ничего не говорит о файлах cookie, кроме упоминания в подробном описании (справочная информация, не закон), касающихся постоянных идентификаторов. Что применимо, так это Директива ЕС о конфиденциальности в электронном виде, которая в конечном итоге будет заменена Регламентом электронной конфиденциальности (ePR). Руководство ICO Великобритании по файлам cookie под ePD говорит:

Освобождение предоставляется, если:

файл cookie предназначен исключительно для передачи сообщения по сети электронной связи; или

файл cookie строго необходим для предоставления «услуги информационного общества» (например, услуги через Интернет), запрошенной подписчиком или пользователем. Обратите внимание, что выполнение их запроса должно быть важным - файлы cookie, которые полезны или удобны, но не являются необходимыми, или которые необходимы только для ваших собственных целей, по-прежнему будут требовать согласия.

Это означает, что вам вряд ли понадобится согласие на:

файлы cookie, используемые для запоминания товаров, которые пользователь желает купить, когда они добавляют товары в свою онлайн-корзину или переходят к оформлению заказа на веб-сайте покупок в Интернете;

сеансовые файлы cookie, обеспечивающие безопасность, необходимую для соблюдения требований безопасности к защите данных для онлайн-услуг, запрошенных пользователем, например, для онлайн-банкинга; или

файлы cookie для балансировки нагрузки, которые обеспечивают быструю и эффективную загрузку содержимого вашей страницы, распределяя рабочую нагрузку по нескольким компьютерам.

Обратите внимание, что Google Analytics не считается строго необходимым в соответствии с этим определением; дело не только в файлах cookie - предотвращение должно осуществляться отслеживанием без согласия, из которых файлы cookie являются лишь одним из средств реализации этого, а загрузка javascript из Google действительно отслеживает, даже если они это делают не установлены файлы cookie (которые можно настроить в GA).

Хотя файлы cookie вообще не должны устанавливаться при первом посещении, до появления любой возможности для согласия, файлы cookie первой стороны для аутентификации определенно квалифицируются как строго необходимые для технических целей и, следовательно, не требуют согласия в первое место. Сессионные файлы cookie (по определению) в любом случае удаляются, когда окно закрывается, но вы можете предотвратить даже это, установив также Clear-Site-Data header при выходе.

Что касается того, как CodeIgniter обрабатывает это, я бы сказал, что стоит сообщить об ошибке или избегать вызова чего-либо, что приведет к запуску сеанса до входа в систему.

person Synchro    schedule 06.03.2019