WebbanalysKeymetrics

Vikten av säker cookiehantering

Cookies är mycket användbara för att både lagra information i men även för att säkerställa att webbstatistiken räkna rätt på antalet unika webbläsare som besöker en webbplats. Men det är viktigt att man som webbplatsägare har en säker hantering av cookies, utan detta och en tydlig förklaring på hur man skyddar besökarnas integritet blir cookies föremål för radering.

Markant ökning av cookies på Internet

Antalet cookies som sänds ut har på ett slag ökat markant på Internet, anledningen är introduktionen av gratisverktyget Google Analytics (GA) som nyligen introducerades. Alla de webbplatsägare som aktiverade GA på sina webbplatser har del i detta, i koden som GA använder finns en funktion som sänder ut en cookie. Denna cookie sänds ut som om det vore från webbplatsägarens server, men är inte det i verkligheten. Nedan följer en mer omfattande förklaring av de olika cookie typerna som klargör hur så kan ske.

Olika typer av cookies

Cookies är per definition en textfil som sparas i webbläsaren och som sänds till den direkt eller indirekt vid besök till en webbplats. Dessa cookies används som en förvaringsplats av olika typer av information, det kan vara t.ex. inloggningsuppgifter och personliga preferenser som alltid skall gälla vid besök till en webbplats. Beroende på hur och var cookies sänds ut så benämns de olika, och användning skiljer likaså men för webbstatistik är de centrala. Utan en permanent cookie för webbstatistik så kan inte korrekta beräkningar utföras, och denna artikel är fokuserad på just dessa cookies för webbstatist.

1:a parts cookies (e.g. första parts cookie)

En första parts cookie (eng. FPC) är en cookie som sänds ut från den webbplatsserver på vilken webbplatsen som besöks är driftsatt på. En sådan cookie sänds ut vid ett första besök till webbplatsen efter det att en HTML (eller liknande) sida sänts ut, och innehåller i enklaste fall uppgifter om det IP nummer som anropade webbplatsen samt ett slumpnummer som gör kombinationen IP nummer och slumpnummer unikt. Mer än så krävs det inte av en cookie för att användas i webbstatistiksammanhang.

Genom att antingen via webbläsarens funktionalitet öppna upp cookien eller filhanteraren finna cookiefilen kan man se vad som döljer sig i den (här kan du hämta cookieläsaren Karen's Cookie Viewer gratis). I loggfilen ser man det data som ett loggfilsbaserat webbststatistikverktyg använder och som finns lagrat i cookien. Denna webbplats sänder ut cookies, och det första värdet är innehållet i den cookie som webbservern sänder ut. Det andra värdet är en cookie som används för att kontrollera om JavaScript är aktivt, och en 3:e parts cookie (mer om det längre ned). Ser du inte ett värde efter ett semikolon nedan så blockeras cookies från 3:e part i din webbläsare, cookies som du serveras från denna webbplats syns nedan:

3:e parts cookies

En tredje parts cookie sänds ut från en annan domän än den du besöker, och är ofta utsänd från en leverantör av innehåll, reklam eller dylikt. Den kan vara avsedd för webbstatistik men lika gärna som förvaringsplats av information om vilka annonser du sett eller dylikt. Annonsföretag och andra 3:e parts leverantörer som tar besökarens integritet på allvar ser till att ha en s.k. kompakt säkerhetspolicy aktiverad, genom att gå in i MS IE och välja “visa | sekretessrapport” så ser du vilka cookies som mottagits. Klicka på namnet till en sådan cookie och välj “sammanfattning”. Där dyker det upp information om hur webbplatsen hanterar besökarens integritet men även vad besöksdata används till.

3:e parts doldisen “ful-cookie”

En viss avart av 3:e parts cookie är de som delas av olika webbplatser där den som insamlar trafikdata från deltagande webbplatser kan sammanställa information om hur besökare rör sig över olika webbplatser. Liknande ger genom samkörning en inträngande mängd information om ett stort antal besökare, och detta utan att besökarna har en aning om att så sker.

Säkra upp din cookiehantering

Falska 1:a parts cookies

Om då cookies sänds ut från 1:a part eller 3:e part, vad är då en falsk 1:a parts cookie? För att särskilja riktiga 1:a parts cookies från de flska 1:a parts cookies måste man undersöka varifrån dessa kommer. De flesta lösningar för webbstatistik som t.ex. Google Analytics använder sig av falska 1:a parts cookies för att skapa cookies under den aktuella webbplatsens domän.

Hur enkelt det är kan du se genom att när du kommit så långt i denna text så har redan JavaScript på denna sida (faktiskt raderna innan denna text) skjutit iväg en cookie till din webbläsare som om den sänts ut från servern, och infogat en text i denna. Utan att du visste om det! Datafältet i denna flaska 1:a parts cookie innehåller inte något annat än en liten hälsning:

Däri ligger faran med dessa falska 1:a parts cookies, de kan innehålla mycket information som hämtas från din webbläsare (men även andra datakällor) och utan en tydlig redogörelse av den som skapat koden (och bakat in den i en JS fil) har varken du som besökare eller webbplatsägaren någon möjlighet att kontrollera den. Kombinerat med krypterade textsträngar kan de innehålla annan information som i fel händer kan användas för syften som går bortom det behov som webbstatistik har. I exemplet på denna sida så ser du all kod som krävs, och det är inte mycket.

Cookieförklaring

Varje webbplatsägare bör genom att tydligt ange vad cookies används till på webbplatsen, men även genom undvika dessa falska 1:a parts cookies, tydligt klargöra för sina besökare att man respekterar deras integritet. Genom att öppet redovisa vad de cookies som erhålls vid ett besök innehåller får besökaren själv avgöra vilka som skall accepteras. Genom en tydlig cookie förklaring följer man per automatik gällande lagstiftning, och bidrar till att minska cookie radering och en avog inställning till dessa. En säker cookiehantering ger trovärdighet!

Besökare som är måna om sin integritet bör ställa in sin webbläsare på en mellanhög inställning under “internet altenativ | sekretess” i MS IE, denna inställning kräver då att de 3:e parts cookies som inkommer har en kompakt sekretesspolicy. Men det hjälper inte mot dessa falska 1:a parts cookies som smiter förbi. Tyvärr så har inte Firefox i skrivande stund en speciellt användbar inställning för liknande åtgärder, men vi kan nog förvänta oss det i kommande versioner.

Viktigt är också att säkerställa att det insamlade besöksdatat tillhör dig som webbplatsägare och inte kommer att delas med eller bearbetas av en för dig okänd 3:e part. Det står oftast begravt i det finstilta i avtalen hur detta insamlade data hanteras, och när du slutar att använda ett system skall leverantören förbinda sig att allt data som insamlats via din webbplats raderas.

Extern länk:

The Cookie Central

---