Tweakers URL met directe acceptatie van cookies - Mooie features

dinsdag 26 mei 2015 19:36

Acties:

0 Henk 'm!

Topicstarter

Tweakers zit sinds een tijdje weer achter een cookiemuur. Daarover zijn inmiddels al diverse discussies gevoerd. Vaak gingen die fundamenteel over wel of geen noodzaak, soms enkel over ook hier weer een venster dat weggeklikt dient te worden. Mijn vraag/verzoek heeft enkel betrekking op dat laatste aspect:

Is er een directe URL (te maken), waarbij cookies door het invoeren van die URL meteen geaccepteerd worden? Opdat je dus niet telkens bij een 'schone' browser die cookie-melding weer opnieuw moet wegklikken.

Enkele voorbeelden:
Je komt direct (dus zonder eerst een cookie-melding te moeten wegklikken) op Fok bij het invoeren van http://frontpage.fok.nl/n...es=ACCEPTEER+ALLE+COOKIES
Je komt direct (dus zonder eerst een cookie-melding te moeten wegklikken) op Geenstijl bij het invoeren van http://kutcookiewet.nl/se...t=http://www.geenstijl.nl

Wellicht ten overvloede, ik weet dat cookies afzonderlijk al dan niet bewaard kunnen worden, en ben ook op de hoogte van dingen als CookiesOK.

De bedoeling is echter dat de 'oplossing' puur een URL is, die je onder je favorieten kunt zetten en die op verschillende systemen werkt.
Bestaat zoiets al (verborgen?) voor Tweakers.net (heb via de search niets kunnen vinden), en indien niet zou iets dergelijks dan geïmplementeerd kunnen worden?

donderdag 28 mei 2015 09:37

Acties:

0 Henk 'm!

ACM

Software Architect

Werkt hier

Dat is er op dit moment niet. We kunnen uiteraard kijken of zoiets te maken is.

Het heeft wel een groot nadeel op juridisch vlak; een dergelijke link maakt het heel makkelijk om via CSRF-aanvalsmethoden iemand anders geautomatiseerd toestemming te laten geven (vraag me niet waarom iemand dat zou willen, maar het wordt wel heel eenvoudig).

En dan heeft die bezoeker niet uitdrukkelijk zelf toestemming gegeven en mogen wij eigenlijk nog steeds geen cookies plaatsen; het wordt dan natuurlijk wel ingewikkeld met de bewijslast omdat volgens onze informatie er gewoon akkoord was gegeven en de browser van de gebruiker dat ook daadwerkelijk aan ons had doorgegeven... Maar het is bij CSRF-aanvallen niet zomaar de verantwoordelijkheid van het slachtoffer, vooral omdat wij het hadden kunnen voorkomen (zoals nu dus wel het geval is).

donderdag 28 mei 2015 14:11

Acties:

0 Henk 'm!

Beuzelarij

Topicstarter

Ik begrijp het punt, hoewel ik geen expert ben op CSRF-gebied noch jurist. Waar het klaarblijkelijk vooral op neerkomt is de juridische aansprakelijkheid als iemand op Tweakers terecht komt via een hyperlink waarmee onbedoeld direct cookies worden geaccepteerd. Begrijpelijk.

Wellicht is dat op de volgende manier te ondervangen:
Wanneer het voor Tweakers technisch mogelijk is om te zien of een URL direct is ingevoerd (al dan niet via Favorieten), of dat de URL vanaf een andere site gelinkt werd, kan daar onderscheid in worden gemaakt. Dan zou geïmplementeerd kunnen worden dat bijv. Tweakers.net?allowcookies=ACCEPTEER+ALLE+COOKIES enkel werkt bij direct zelf in de browser invoeren, en niet bij uitvoeren als hyperlink vanaf een andere site. In het laatste geval dan toch gewoon de standaard site tonen met cookie-scherm.

Bij de technische verplichting Tweakers.net?allowcookies=ACCEPTEER+ALLE+COOKIES zelf te moeten invoeren (waarbij in de URL acceptatie van cookies duidelijk tot uiting komt), is het ook juridisch volkomen duidelijk dat iemand daarmee doelbewust aangeeft cookies te accepteren, en dat niet per ongeluk doet via het aanklikken van een hyperlink.