WebbanalysKeymetrics

Svenska bankers cookiehantering bristfällig

Banker borde ha en mycket hög nivå på hanteringen av cookies, men ingen av fyra ledande svenska banker har nått 100% även om Swedbank lyckats bäst i jämförelsen. Av banker borde man förvänta sig en bättre hantering av besökarnas integritet, speciellt med tanke på alla händelser sista året kopplat till internetsäkerhet och banker.

Cookiehanteringen bristfällig hos svenska banker

Trots att det är mycket enkelt att implementera en säker cookiehantering utan att data ur cookies delas mellan webbplatser förefaller det saknas incitament till att göra det trots att vi har PTS som skall bedriva tillsyn av såväl lagen om elektronisk kommunikation som postlagen, lagen om radio- och teleterminalutrustning och lagen om kvalificerade elektroniska signaturer.

PTS saknar en sekretesspolicy för sin egen cookie...Man kan nog vänta förgäves på att PTS skall se över detta, de saknar ju till och med själva en sekretesspolicy för sin egen cookie. De borde framstå som ett gott exempel men gör det inte, troligen just för att frågan on besökares integritet inte anses tillräckligt viktig.

Bankernas bristfälliga cookiehantering

Svenska banker har sedan länge haft en ytterst svag cookiehantering ofta med obefintlig P3P policy, vid besök till flertalet av dem kan man enkelt konstarera att datainsamling sker till delade servrar vilka sänder ut 3:e parts cookies.

Än mer märkligt blir det att konstatera att flertalet har en gemensam datainsamlingspunkt, men värre är det att cookie data från cookies satta i bankens domän vandrar över till anrop till en extern 3:e parts domän. Det som definitivt gör att en röd varningsflagga kommer upp är när cookie data passerar domängränsen när man utför transaktioner i säkert läge (https).

Att banker skulle vilja dela på en cookie är mycket förvånande men dessvärre en verklighet idag, det visar sig att 3 av 4 utav de ledande svenska bankerna idag delar på en gemensam 3:e parts cookie om man besöker samtliga 3. Kanske är det så att lika barn leka bäst, men att mötas av röda ögon (i.e. larm i MS IE säkerhetsrapport) är inte förtroendeingivande.

Undersökning av cookiehanteringen

En granskning av fyra ledande svenska banker gav ett entydigt svar, 75% saknar en P3P policy för de cookies de sänder ut under egen domän. Swedbank kom ut som den bank som förefaller ha bäst kontroll på cookiehantering, och skulle de bara få på plats en P3P policy så skulle de vara den enda bank av de fyra som har en korrekt cookiehantering.

SEB anger följande helt felaktiga information på sin webbplats:

"SEB använder för närvarande cookies (temporära) endast på sina internetkontor som en del av behörighetskontrollen för dessa sidor. Cookien försvinner efter avslutat besök."

En översyn är mycket aktuell i deras fall, för denna text är direkt felaktig och vilseledande.

Nordea anger följande i sin tur:

"I Nordea används cookies för att hjälpa oss att göra vår besökstatistik mer tillförlitlig och för att öka funktionaliteten för våra användare."

En besöksstatistik som måste använda javascript för att få en 1:a parts cookie på plats blir mindre tillförlitlig, dessutom om en 3:e parts domän används för datainsamlingen minskar tillförlitligheten på grund av anropsblockering.

Handelsbanken skriver kortfattat och en aning svårfunnet:

"För att hjälpa oss få mer tillförlitlig besöksstatistik använder vi också cookies."

Samma problematik som hos Nordea, och riktigt förvånande att den bank i Sverige som brukar framstå som försiktigast med att införa ny teknik har infört en så tveksam cookiehantering på sin webbplats.

Till sist Swedbank:

"Den andra typen av cookie lagras på din dator och finns kvar till nästa gång du loggar in från samma dator. Om vi skulle använda denna typ av cookie, informeras du om det i varje enskilt fall."

Nej, det sker inte alls. Men av de 4 bankerna så är Swedbank klart längst fram även om de har lite kvar att åtgärda. Dock finns det hopp, hos Handelsbanken finns en sida (Fakta om cookies) där det anges att "En webbplats kan bara läsa en cookie den själv skapat". Sant, men se då till att upphöra med att skicka cookie data från er egen domän över till en extern domän i utgående anrop!

Summering

Det är uppenbart att ett flertal bankers webbplatser har en otillräcklig nivå på cookiehantering, och att det dessutom används delade 3:e parts cookies (i.e. ful-cookies) på dem. Det är rimligt att anta att detta åtgärdas, för det finns inga argument som försvarar den nuvarande bristfälliga hanteringen.

Att den Svenska bank man använder inte har en bra cookiehantering skaver, hur är cookiehanteringen på din bank?

Extern länk:

How to Create and Publish Your Company's P3P Policy (in 6 Easy Steps)

---