Webbanalys

Hemsidan
 

 
Vikten av säker cookiehantering
 
Cookies är mycket användbara för att både lagra information i men även för att säkerställa att webbstatistiken räkna rätt på antalet unika webbläsare som besöker en webbplats. Men det är viktigt att man som webbplatsägare har en säker hantering av cookies, utan detta och en tydlig förklaring på hur man skyddar besökarnas integritet blir cookies föremål för radering.
 
Våldsam ökning av cookies på Internet
Antalet cookies som sänds ut har på ett slag ökat våldsamt på Internet, anledningen är introduktionen av gratisverktyget Google Analytics (GA) som nyligen introducerades. Alla de webbplatsägare som aktiverade GA på sina webbplatser har del i detta, i koden som GA använder finns en funktion som sänder ut en cookie. Denna cookie sänds ut som om det vore från webbplatsägarens server, men är inte det i verkligheten. Nedan följer en mer omfattande förklaring av de olika cookie typerna som klargör hur så kan ske.
 
Olika typer av cookies
Cookies är per definition en textfil som sparas i webbläsaren och som sänds till den direkt eller indirekt vid besök till en webbplats. Dessa cookies används som en förvaringsplats av olika typer av information, det kan vara t.ex. inloggningsuppgifter och personliga preferenser som alltid skall gälla vid besök till en webbplats. Beroende på hur och var cookies sänds ut så benämns de olika, och användning skiljer likaså men för webbstatistik är de centrala. Utan en permanent cookie för webbstatistik så kan inte korrekta beräkningar utföras, och denna artikel är fokuserad på just dessa webbstatistikcookies.
 
1:a parts cookies (e.g. första parts cookie)
En första parts cookie (eng. FPC) är en cookie som sänds ut från den webbplatsserver på vilken webbplatsen som besöks är driftsatt på. En sådan cookie sänds ut vid ett första besök till webbplatsen efter det att en HTML (eller liknande) sida sänts ut, och innehåller i enklaste fall uppgifter om det IP nummer som anropade webbplatsen samt ett slumpnummer som gör kombinationen IP nummer och slumpnummer unikt. Mer än så krävs det inte av en cookie för att användas i webbstatistiksammanhang.
 
Genom att antingen via webbläsarens funktionalitet öppna upp cookien eller filhanteraren finna cookiefilen kan man se vad som döljer sig i den (här kan du hämta cookieläsaren Karen's Cookie Viewer gratis). I loggfilen ser man det data som ett loggfilsbaserat webbststatistikverktyg använder och som finns lagrat i cookien. Denna webbplats sänder ut cookies, och det första värdet är innehållet i den cookie som webbservern sänder ut. Det andra värdet är en cookie som används för att kontrollera om JavaScript är aktivt, och en 3:e parts cookie (mer om det längre ned). Ser du inte ett värde efter ett semikolon nedan så blockeras cookies från 3:e part i din webbläsare, cookies som du serveras från denna webbplats syns nedan:
 

3:e parts cookies
En tredje parts cookie sänds ut från en annan domän än den du besöker, och är ofta utsänd från en leverantör av innehåll, reklam eller dylikt. Den kan vara avsedd för webbstatistik men lika gärna som förvaringsplats av information om vilka annonser du sett eller dylikt.
 
Annonsföretag och andra 3:e parts leverantörer som tar besökarens integritet på allvar ser till att ha en s.k. kompakt säkerhetspolicy aktiverad, genom att gå in i MS IE och välja “visa | sekretessrapport” så ser du vilka cookies som mottagits. Klicka på namnet till en sådan cookie och välj “sammanfattning”. Där dyker det upp information om hur webbplatsen hanterar besökarens integritet men även vad besöksdata används till. Det finns mer att läsa om P3P hos W3C, se länk nedan. Tyvärr stöder inte Firefox P3P ännu, men det bör vara en tidsfråga rimligen.
 
3:e parts doldisen “ful-cookie”
En viss avart av 3:e parts cookie är de som delas av olika webbplatser där den som insamlar trafikdata från deltagande webbplatser kan sammanställa information om hur besökare rör sig över olika webbplatser. Liknande ger genom samkörning en inträngande mängd information om ett stort antal besökare, och detta utan att besökarna har en aning om att så sker. För att detta skall upphöra krävs att en myndighet som PTS agerar.
 
2:a parts cookies
Om då cookies sänds ut från 1:a part eller 3:e part, vad är då en 2:a parts cookie? För att särskilja riktiga 1:a parts cookies från cookies som förefaller att vara det men inte är det har jag namngivit de senare som 2:a parts cookies. Verktyg för webbstatistik som t.ex. Google Analytics använder sig av 2:a parts cookies för att skapa en skenbar 1:a parts cookie.
 
I praktiken sker det som så att på varje sida som levereras från en webbplats så medföljer ett JavaScript anrop som orsakar att en hämtning av en JS fil sker från en Google server. Den hämtade filen körs i webbläsaren och skapar en cookie som inte sänts från webbplatsen ifråga utan som resultat av koden körts. Eftersom webbplatsägaren inte har kontroll över denna kod så kan i princip vad som helst skjutas in i den, dessutom gäller det att webbplatsägaren uppmärksammar att cookies sänds ut underförespegling att tillhöra den egna domänen.
 
Enkelt att skapa 2:a parts cookies
Hur enkelt det är kan du se genom att när du kommit så långt i denna text så har redan JavaScript på denna sida (faktiskt raderna innan denna text) skjutit iväg en cookie till din webbläsare som om den sänts ut från servern, och infogat en text i denna. Utan att du visste om det! Data fältet i denna 2:a parts cookie innehåller inte något annat än en liten hälsning:
 

 
Däri ligger faran med dessa 2:a parts cookies, de kan innehålla mycket information som hämtas från din webbläsare (men även andra datakällor) och utan en tydlig redogörelse av den som skapat koden (och bakat in den i en JS fil) har varken du som besökare eller webbplatsägaren någon möjlighet att kontrollera den. Kombinerat med krypterade textsträngar kan de innehålla annan information som i fel händer kan användas för syften som går bortom det behov som webbstatistik har. I exemplet på denna sida så ser du all kod som krävs, och det är inte mycket.
 
Summering
Varje webbplatsägare bör genom att tydligt ange vad cookies används till på webbplatsen, men även genom undvika dessa 2:a parts cookies, tydligt klargöra för sina besökare att man respekterar deras integritet. Genom att öppet redovisa vad de cookies som erhålls vid ett besök innehåller får besökaren själv avgöra vilka som skall accepteras. Genom en tydlig cookie förklaring följer man per automatik gällande lagstiftning, och bidrar till att minska cookie radering och en avog inställning till dessa. En säker cookiehantering ger trovärdighet!
 
Besökare som är måna om sin integritet bör ställa in sin webbläsare på en mellanhög inställning under “internet altenativ | sekretess” i MS IE, denna inställning kräver då att de 3:e parts cookies som inkommer har en kompakt sekretesspolicy. Men det hjälper inte mot dessa 2:a parts cookies som smiter förbi.
 
Säkra upp din cookiehantering

 
Tyvärr så har inte Firefox i skrivande stund en speciellt användbar inställning för liknande åtgärder, men vi kan nog förvänta oss det i kommande versioner.
 
Viktigt är också att säkerställa att det insamlade besöksdatat tillhör dig som webbplatsägare och inte kommer att delas med eller bearbetas av en för dig okänd 3:e part. Det står oftast begravt i det finstilta i avtalen hur detta insamlade data hanteras, och när du slutar att använda ett system skall leverantören förbinda sig att allt data som insamlats via din webbplats raderas.
 

 
Länk till mer information:
Se upp för ful-cookies
The Cookie Concept
Platform for Privacy Preferences (P3P) Project
 
«««