Krusedulle Pod

EU er tilsyneladende på vej med et direktiv der skal indskærpe en allerede ulovlig, og aldeles udbredt praksis; Anvendelse af cookies til at følge brugeradfærd på tværs af websites. Det nævner bl.a. DR, Mikkel deMib Svendsen og Newz.dk.

DR:

Det nye direktiv fra EU betyder, at forbrugere ikke bare skal have mulighed for at nægte cookies, men decideret skal give samtykke til cookies.

Dette er dumt, og selvom hensigten om at fastholde brugerens privatliv er fin i sig selv, peger det på vanvittig ringe rådgivning til disse lovgivere - det typiske billede er vist at man vil skylle barnet ud med badevandet.

Lad os kort se på hvordan websites fungerer:

- Du besøger mit website - det betyder at du henter åbner et dokument på min webserver. Dermed ved jeg dette: En bruger der anvender adressen X har hentet dokument Y på min webside.

- Du klikker på et link for at hente en ny side på mit website - det betyder at du henter et andet dokument på min webserver. Igen ved jeg at en bruger der anvender adressen X har hentet dokument Z på min webside.

Jeg kan ikke konkludere at det er den samme bruger der har besøgt min side, fordi:

• adressen X kan sagtens være skiftet ud mellem de to besøg eller
• adressen X kan være delt af samtlige medarbejdere i samme virksomhed, som alle anvender samme adresse

Men hov? Hvorfor skal jeg også kunne konkludere at du er den samme bruger, som henter 2 sider hos mig? Det skal jeg selvfølgelig fordi du ikke har lyst til aktivt at identificere dig, hver gang du skal hente en ny side. Det vil være irriterende at skulle indtaste brugernavn og password hver gang du skal hente en side.

Af samme årsag opfandt man nogle små tekstfiler og kaldte dem cookies. En cookie er et lille stykke tekst, som min server kan gemme i din browser - i praksis sker det på 99% af alle websites:

Når du henter en side fra serveren, spørger min server din browser: "Har du en cookie fra mig?" Hvis det er dit første besøg på mit website, vil din browser sige "Nej", og min server vil producere en tilfældig nøgle og bede din browser gemme den i en cookie. Når du henter de efterfølgende sider, vil din browser kunne svare "Ja" og sende nøglen til min server. Min server siger derefter: "Ah - du er bruger A - dig kender jeg godt, så du må gerne se den side du beder om" eller "Jeg kan se at du ikke er logget på endnu, log lige på så du kan få adgang til den side du beder om at se".

Det er bl.a. også den måde din netbank ved hvem du er, og dermed hvilke konti du må se og betale regninger fra. Nogle cookies bliver slettet efter et fastsat tidsrum, nogle når du lukker browseren. Andre igen "overlever" gennem længere tid, og disse giver bl.a. mulighed for at dit brugernavn allerede er udfyldt næste gang du skal bruge din webmail. Cookies er desuden knyttet til din identitet, så hvis i er flere personer der bruger samme computer skal i logge på med hver Jeres brugernavn for at være sikre på ikke at komme til at dele cookies.

En lille twist er, at alle websider kan vise indhold fra andre servere, og dermed kan de andre servere også få lov at skrive en cookie. Et eksempel: Jeg spørger ejeren af server B om jeg må vise hans billede på min webside, og får ja. Fra min hjemmeside angiver jeg altså en reference til billedet på server B. Når du henter siden fra min server, ser du altså indholdet fra min side, og billedet fra server B - og dermed har server B også mulighed for at bede din browser oprette en cookie for server B. Du besøger altså en webside, men får to cookies - en fra mig og en fra server B. Når det kommer til cookies er din browser ligeglad med om du henter dokumenter, billeder, lyd eller andet fra en server - cookies kan følges med alle slags filer en server kan sende til din browser.

Nogle - bl.a. EU og tilsyneladende også DR (at dømme ud fra artiklens overskrift) - kalder dette overvågning. Hvorfor gør de det?

Lad os sige at du ligeledes sætter et website op, og ligeledes bruger billedet fra server B på din forside. Så for brugere der besøger min server og din server en cookie fra dig og fra mig. Men de har også en cookie fra Server B - og desuden kan server B nu "overvåge" hvilke brugere der besøger både din og min webside.

Denne viden kan, i større skala, være penge værd fordi viden om vores færden kan tolkes som et billede af vores interesser og dermed bruges til at vælge hvilke reklamer vi skal præsenteres for - eller i eksemplet fra DR - hvad en vare skal koste.

Teknologien der åbner for misbrug, er altså den samme teknologi som efterhånden er blevet en solid del af rygraden i vores oplevelse af brugervenlige websites.

Man kan argumentere for at sådan har det altid været, det fungere på fine markedsvilkår, så lad os ikke røre ved det.

Man kan argumentere for at det er noget uvæsen, som skal være ulovligt, koste hvad det vil (og det er man altså i gang med nu).

Problemet kogt ned til essensen er: Brugerne ved (for manges vedkommende) ikke at dette er muligt og praktiseres. Og de ved ikke hvordan de skal beskytte sig imod det og bevidstgøre sig om hvem der ved hvad om dem. For i teorien kan alle selv tilpasse deres browser, så den ikke vil fortælle server B om hvad du foretager dig på min server - eller du kan bede den spørge dig hver gang den skal til at gøre det. Jeg gjorde det selv en gang, men blev meget hurtigt træt af det.

Man vælger at løse dette problem ved at indføre en lov der i bedste fald ikke kan håndhæves og i værste fald kommer til at kræve financiering og etableringen og uddannelse af en ny politistyrke der kan håndhæve den. I praksis ligger løsningen nok et sted derimellem.

Jeg bryder mig ikke om at man lovgiver for at beskytte folk mod deres uvidenhed, fordi man selv ved bedre, men foretrækker at uddanne dem.

Et kompromis kunne gå på at browseres standardindstilling skulle kræve bekræftelse når en tredjeparts website ønsker at skrive en cookie - en feature der selvfølgelig skal kunne slås fra når man bliver træt af den (og det gør man). En endnu bedre løsning kunne gå på at man beslutter at uddanne brugerne - det kan umuligt være dyrere end at skulle håndhæve det nuværende direktiv.

Twitter: #cookielaw