Cookie muur mag wel uit voor oa wallabag.it

Dat is geen bug, dus iets voor ons productteam ->Mooie Features

hans3702 schreef op woensdag 24 oktober 2018 @ 20:53:
Whats in a name, als iets eerst wel werkte en na een update / aanpassing niet meer, zou ik het zeker geen "Mooie Features" willen noemen, maar een DIKKE VETTE BUG
Maar als het onder Mooie Featurer eerder opgelost is vind ik het prima

Het gedrag is 'as intended'. Bij de invoering van de AVG hebben we onze cookiemuur voor de hele EU 'aangezet' in plaats van alleen voor bezoekers vanuit Nederland en daarom heb je daar nu waarschijnlijk last van.

We kunnen bepaalde partijen op basis van bijvoorbeeld combinaties van useragent/bepaalde http headers/ip-adressen uitsluiten van de cookiemuur, maar of we dat voor deze partijen willen doen is een beslissing die door ons productteam genomen moet worden. Het is dus maar de vraag of we die moeite wel willen doen.

[Voor 3% gewijzigd door crisp op 25-10-2018 11:15]

Misschien vragen aan je contentverzamelaar om hier iets op te vinden? Hoe is Tweakers in godsnaam verantwoordelijk voor het feit dat jouw 3rd party site er niet mee werkt?

hans3702 schreef op donderdag 25 oktober 2018 @ 13:21:
Een 3rd party als google krijgt wel toegang tot tweakers en een wallibag in frankrijk niet?
[...]

Ja, voor google hebben we herkenning ingebouwd, maar het is praktisch onmogelijk om dat voor alle mogelijke bots en spiders te doen (voor zover ze al exclusief herkenbaar zijn ten opzichte van gewone bezoekers).

Er zijn hier ook geen standaarden of iets dergelijks voor, en een mogelijke 'workaround' geven wij liever ook niet publiekelijk vrij omdat het dan vrij snel in allerlei extensies wordt opgenomen waarmee gebruikers voor zichzelf de cookiemuur kunnen omzeilen en wij mogelijk niet meer aan onze wettelijke verplichting voldoen (het informeren van gebruikers en expliciete toestemming verkrijgen voor het gebruik van o.a. cookies).

Ja, de cookiemuur is vervelend, maar voorlopig moeten we het ermee doen en kunnen gebruikers daar last van hebben...

hans3702 schreef op donderdag 25 oktober 2018 @ 14:20:
Voor het productteam, mogelijk zijn er aan de hand van de logboeken voor zover die met de AVG nog gebruikt mogen worden mogelijkheden om spiders te herkennen aan gedrag in de tijd van AI toch een prima opdracht voor een stagiaire :-)

Dat is helaas onbegonnen werk. Er komen letterlijk honderden, zoniet duizenden, spiders elke dag langs. Veel daarvan komen van buiten Europa en krijgen de cookiewall daardoor sowieso niet. Maar veel van die spiders willen we eigenlijk helemaal niet toestaan (ze zijn lang niet allemaal in het belang van onszelf of van onze bezoekers of maken niet duidelijk wat ze uberhaupt doen), waarbij de cookiewall dus eigenlijk juist handig is

En anders een vrijgave verzoek formulier of contact gegevens waar ik wallibag naar kan verwijzen opdat het voor iedereen op de bedoelde wijze werkt, de cookie muur. Ik denk wel dat het laatste bericht aangeeft dat de wettelijke verlichting boven alles gaat.

We zijn best bereid meer uitzonderingen in te bouwen, maar dat moet natuurlijk wel voldoende meerwaarde geven ivt de benodigde inspanning en daadwerkelijk concreet herkenbaar zijn. Ik kende tot dit topic Wallabag niet eens. Ik kan me trouwens voorstellen dat Wallabag dezelfde gedachte aanhoudt en dat daardoor de kans dat ze bij 'elke' website zo'n formulier willen invullen klein is.

Wat helpt om onze inspanning te beperken is ze toe te laten, is deze dingen weten:
- Welke useragent gebruiken ze
Wallabag en onenote komen bijvoorbeeld niet voor in de afgelopen 30 dagen gebruikte useragents...
- Vanaf welke ip-ranges kunnen we ze verwachten

Als je echter voor google de deur open zet blijf ik wel vinden dat je ook voor MS de deur open moet zetten en dan bedoel ik voor Onenote. In deze is tweakers denk ik de kleine partij en is bij MS aankloppen voor mij geen zinnige actie.
Aangezien het programma onenote gratis is te gebruiken op windows 10 en op een smartphone zou dat voor het productteam niet heel moelijk moeten zijn om de juiste parameters uit een log te vissen en voor dit product de site weer toegankelijk te maken.

Google en Bing (en nog diverse anderen) zijn open gezet. Maar het is best veel werk om elke applicatie die mogelijk zoiets wil doen te installeren (en vaak moet je dan ook nog eerst e.o.a. account maken), uit te zoeken hoe de betreffende handeling werkt en daarna te doen wat jij allemaal beschrijft.

Dus laten we het vooral omkeren, want we hebben heel veel gebruikers die dergelijke tools vaak gebruiken. Zij (en nu dus jij) kunnen daar dus prima mee helpen
De snelste manier om de useragent duidelijk te maken is door een unieke url te gebruiken. Je kan een willekeurige url van Tweakers pakken en daar met ? iets achter plakken. Dus https://tweakers.net/?ditIsEenTestVoorDeTweakersCrawler.

Het is dan wel handig als je die url vervolgens niet zodanig deelt dat tientallen mensen 'm gebruiken

Overigens moet het dan alsnog voldoende herkenbaar blijken en natuurlijk ook wel een beetje een veelgebruikte partij zijn. We willen niet honderden uitzonderingen voor allerlei obscure partijen die 1 request per week doen

Ik heb even de requests van Wallabag getest. Die doen een aantal zaken fout:
- Zeggen dat ze een echte browser zijn (Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.874.92 Safari/535.2)
- Zeggen dat ze een heeeeel erg oude browser zijn (Chrome/15...)
- Geven een fake referer mee (http://www.google.co.uk/url?sa=t&source=web&cd=1)

Ik wil prima een whitelist entry voor ze maken, maar dan moeten ze gewoon een fatsoenlijke useragent gebruiken (en het liefst ook niet de referer faken)

Dat ip van Onenote gaat helaas weer niet gepaard met een useragent en dan zouden we heel (die NL) Azure moeten whitelisten, hoewel ze blijkbaar phantomjs gebruiken om de aanvullende data op te vragen...

hans3702 schreef op zaterdag 27 oktober 2018 @ 18:04:
[...]


Ik moest even opzoeken wat phantomjs is ( Wikipedia: PhantomJS )
Ik mis je punt dan een beetje mbt een useragent als PhantomJS is a scripted, headless browser used for automating web page interaction. Als dit herkenbaar voor je is vanuit de headers dan lijkt het mij duidelijk dat een ondoordringbare cookie muur hiervoor niet noodzakelijk is, en ik hoop dat de wet dat ook niet verplicht.

Dan heb je niet goed naar de logs gekeken

De eerste request die ze doen is met een useragent-loze browser. Dus een die we niet betrouwbaar kunnen onderscheiden van 'de rest'. Daarna halen ze de resources (js, css, etc) op met phantomjs.
Maar die eerste request krijgt uiteraard de cookiewall, niet die resources.

Als het allemaal phantomjs was, dan was het inderdaad makkelijk geweest.

Even zijdelings op inhakend, is dit ook de reden waarom Whatsapp nooit een mooie preview geeft van een Tweakers link, zoals wel bij het merendeel van andere sites gebeurt? Of is dat een ander fenomeen waarom dat niet werkt.

hans3702 schreef op zondag 28 oktober 2018 @ 09:00:
[...]


Dan heb je mijn PM niet geheel gelezen

x.y.x.81 is het ip van de 4G verbinding van mijn telefoon

daarna neemt 52.166.195.221 het over en dit is een MS IP wat in NL zit dus loopt het tegen de cookie muur op.

in de log met 52.166.195.221 zie ik overal phantomjs staan

Maar het kan natuurlijk dat die eerste log regel al niet door de muur heen komt, via onenote en wel via de brouwser dit is een log naar mijn website die geen cookie muur heeft op niveau van Tweakers

Het is een beetje vreemde logoutput, maar je allerlaatste regel is de 'echte' request naar die test-pagina, de rest is het opvragen van allerlei resources. En bij die ene request heeft ie geen useragent. Waarom het deze volgorde krijgt bij jou weet ik niet, maar ik vermoed dat ze ofwel een 'blob html' doorsturen (dus van jouw client naar onenote) of eerst met e.o.a. robot de 'blob html' ophalen (maar dan dus zonder useragent) en daarna die pagina proberen te renderen (wellicht om er meer info uit te halen of om er een screenshot van te maken) met phantomjs.

hans3702 schreef op zondag 28 oktober 2018 @ 09:32:
Wat zijn de mogelijkheden om dit te Fixen?

Je kan bij wallabag toch ook credentials ingeven voor sites die dergelijke restricties opgeven? Of werkt dat bij ons ook niet?

hans3702 schreef op zondag 28 oktober 2018 @ 09:49:
Merk nu dat als je inlogt je de cookiewall niet met een OK hoeft toe te staan, maar mogelijk doet dat de login button al voor je.

Niet echt, we bewaren de toestemming op account-niveau. Dus je kan er altijd voorbij door in te loggen als je al een keer toesteming had gegeven.

Als je op GitHub door de issues en feautures loopt zie je dat dit een bekend probleem is. Zie bijv. https://github.com/wallabag/wallabag/issues/3656 . Echt niet alleen de persgroep hoor .

Er zijn al issues uit 2016 met een cookie-wall probleem.

De echte oplossing moet vanuit wallabag komen lijkt me....anders zit je zo voor meerdere sites te morren.

MsG schreef op zondag 28 oktober 2018 @ 08:58:
Even zijdelings op inhakend, is dit ook de reden waarom Whatsapp nooit een mooie preview geeft van een Tweakers link, zoals wel bij het merendeel van andere sites gebeurt? Of is dat een ander fenomeen waarom dat niet werkt.

Goede vraag, noch de titel noch de content wordt van Tweakers opgehaald; die lijkt ie idd niet te vinden.
Was mij ook al eens opgevallen maar boeide te weinig.

Ik zie dat WhatsApp wel netjes een useragent meegeeft. Inclusief versie.
(Dat mag van mij dan wel weer wat algemener. )
Zo is het bij mij op de iOS beta (draai nu huidige release candidate) als volgt:

[28/Oct/2018:12:45:57 +0100] "GET / HTTP/1.1" 200 376 "-" "WhatsApp/2.18.101 i"

(die "i" weet ik niet of dat standaard is of tikfoutje in de laatste user-agent van deze beta )

Daar loopt al een draadje over zie ik net (al heel erg lang )
JossiEnd in "Thumbnail en titel van artikel bij delen via WhatsApp"

De UA van de Desktop app is ietsjes anders, maar verschilt niet veel. Toch werkt het daar wel.

[28/Oct/2018:12:54:59 +0100] "GET / HTTP/1.1" 200 376 "-" "WhatsApp/0.3.1242 N"

Zal wel niet aan de User-Agent liggen dan en dus mogelijk niet aan die cookie-muur...
Verkeerd gekeken. Daar werkt het ook niet! Zowel WhatsApp Desktop (UA staat hierboven) als Web (heeft UA van je telefoon.) heeft hetzelfde probleem. Dan ligt het mogelijk wél aan de cookie-wall. Zou wel fijn zijn als dat bevestigd kan worden, dan weten we of het in dit topic thuishoort of elders, nu er toch gekeken wordt naar 't hele zaakje Of misschien kunnen we sowieso beter in dat topic van JossiEnd daar dan verder vragen over stellen, al is dat topic al behoorlijk oud dus gok dat het geen prioriteit heeft of er een reden is dat het niet aangepast is.

[Voor 63% gewijzigd door WhatsappHack op 28-10-2018 13:00]

De discussie over WhatssApp kan inderdaad beter in Thumbnail en titel van artikel bij delen via WhatsApp

Als het een cookie-wall issue is dan is die user-agent daar in ieder geval nuttige informatie

hans3702 schreef op zondag 28 oktober 2018 @ 13:21:
[...]

Conclusie
Ik denk dat deze info dus hier zeker op zijn plek is dat dus naast Wallabag en Onenote ook WhatsApp vastloopt op de Cookiemuur en dat dus zowel juist als onjuist gebruik van de user-agent hier geen verschil in maakt.

Dat maakt wel verschil, ware het niet dat we (ook nog) geen specifieke uitzondering voor WhatsApp hebben ingesteld

hans3702 schreef op zondag 28 oktober 2018 @ 14:51:
[...]

Laat ik nu denken dat het: 'gedrag is 'as intended' was.

Hoe groot moet je zijn wil de deur voor je opgezet worden
[...]

Geen idee, uiteindelijk is dat aan ons productteam om te beslissen... Ondertussen vind ik je cynische ondertoon eerlijk gezegd wel wat aanmatigend waardoor ik eigenlijk weinig zin heb om hier zelf nog energie in te stoppen..

hans3702 schreef op zondag 28 oktober 2018 @ 13:21:
Conclusie
Ik denk dat deze info dus hier zeker op zijn plek is dat dus naast Wallabag en Onenote ook WhatsApp vastloopt op de Cookiemuur en dat dus zowel juist als onjuist gebruik van de user-agent hier geen verschil in maakt.

Het maakt wel verschil, voor WhatsApp is het eenvoudig om een uitzondering op de cookiewall te maken.

Dat dit nog niet gebeurd is, is een ander verhaal.

hans3702 schreef op zondag 28 oktober 2018 @ 14:51:
Hoe groot moet je zijn wil de deur voor je opgezet worden?

Ongeacht de grootte moet er ook aan gedacht zijn en moet het technisch praktisch uitvoerbaar zijn. Onenote en wallbag voldoen niet aan die laatste. Whatsapp blijkbaar wel, maar daar was vooralsnog niet aan gedacht.

hans3702 schreef op zondag 28 oktober 2018 @ 22:38:
Voor Wallabag denk ik dat ik overstap naar selfhosting via https://yunohost.org/ dan kan ik zelf een UA instellen. wie weet kom ik er dan doorheen als ik daar "WhatsApp" invul :-) Krijg niet de indruk dat jullie de IP adressen van een ISP in Frankrijk gaan vrijstellen van de Cookiewall

Sterker nog: als je alleen wat IP-adressen zou doorgeven dan moet zwart-wit de wetgeving bekeken de cookiewall vooral intact blijven. Als bekend is dat er 1 gebruiker is van jouw dienst, is alles herleidbaar tot jou als persoon, zijn er dus persoonsgegevens, maar is er nog geen akkoord op plaatsen van cookies.

Hopelijk kan iemand nog uitleggen waarom de cookiewall van de persgroep op zo dicht zit dat deze genoemde en mogelijk andere sites/diensten er niet doorheen komen en bij andere cookiemuren wel.

Ik ben maar een simpele vrijwilliger en heb geen zicht op de beslissingen 'op kantoor', maar het lijkt me heel simpel: AVG en vooral Telecommunicatiewet art.11 (ePrivacy voorstel). Bij gebruikers geen niet technisch noodzakelijke cookies plaatsen zonder toestemming. Uitzondering bij diensten die 'niet een gebruiker zijn' klinkt valide, maar anders moet de webserver weten dat er toestemming is voordat cookies worden geplaatst. En 'dus' voordat er content wordt getoond.

Als er partijen zijn die wetgeving negeren en cookies gewoon plaatsen, dan is dat negeren misschien vanuit commercieel oogpunt of hopende dat er 'simpelweg' geen capaciteit is om te handhaven (hoge boetes maar lage pakkans). Maar ja...

Wetgeving: leuker kunnen ze het niet maken, lastiger wel Dat mensen die al lang een keer akkoord hebben gegeven alsnog er last van hebben, zuigt. Maar daarvoor moet je niet een ontwikkelaar hier aanspreken. Als je algemene discussie wilt over juridische vs praktische zaken rond cookies en het ePrivacy wetsvoorstel / de AVG, dan zou ik suggereren in Privacy & Beveiliging te kijken / daar een topic te openen zodat de devvers / het productteam hier kunnen focussen op kijken of/hoe een en ander technisch is te regelen om overlast waar mogelijk te minimaliseren.

Ook dank aan de andere die met info en aanvullingen het tot een waardevol draadje hebben gemaakt, deze personen hebben dan ook een +1 thumb up van mij ontvangen.

hans3702 schreef op zondag 28 oktober 2018 @ 22:38:
Voor Wallabag denk ik dat ik overstap naar selfhosting via https://yunohost.org/ dan kan ik zelf een UA instellen. wie weet kom ik er dan doorheen als ik daar "WhatsApp" invul :-) Krijg niet de indruk dat jullie de IP adressen van een ISP in Frankrijk gaan vrijstellen van de Cookiewall

Van wat ik uit de code kon afleiden voldoet de standaard useragent (die van Guzzle) die ze in hun open source versie gebruiken al... Dus als je ziet dat jouw versie toch zo'n rare oude "nep echte" useragent krijgt, dan kan je kijken of je dat kan aanpassen.

Hopelijk kan iemand nog uitleggen waarom de cookiewall van de persgroep op zo dicht zit dat deze genoemde en mogelijk andere sites/diensten er niet doorheen komen en bij andere cookiemuren wel.

Dat zal in veel gevallen van de implementatie afhangen. De Persgroep is onlangs tot de conclusie gekomen dat de cookiewall voor heel Europa moet gelden, ipv alleen Nederland. Als de anderen alleen nog Nederland oid doen, dan zal dat allicht minder problemen geven omdat veel van dergelijke diensten buiten Nederland gehost zijn (zoals de Duitse en Ierse Amazon AWS-omgevingen).

Verder zijn er een paar die het stiekem met Javascript oplossen, waardoor het technisch eigenlijk onjuist is (kans is groot dat je al cookies hebt gestuurd dan), maar in dit specifieke scenario wel beter opgelost wordt.
Verder zijn er wat 'off the shelve' proxies/services hiervoor die vast wat actiever achter whitelisting aanzitten, maar wat als groot nadeel heeft dat je dan afhankelijk wordt van zo'n service (voor iedere nieuwe bezoeker moet je dan eerst aan zo'n service vragen of de gebruiker het al goedgekeurd heeft).

Ik heb overigens PhantomJS en Whatsapp toegevoegd (zal waarsch. niet helpen voor OneNote), wat volgende week dinsdag met de release meegaat.

[Voor 3% gewijzigd door ACM op 29-10-2018 10:41]

hans3702 schreef op maandag 29 oktober 2018 @ 11:38:
Wat zou kunnen, zit ik mij nu te bedenken, is dat als de cookie muur van Tweakers de tittle en meta desc. van de pagina waar de trigger vandaan komt zou overnemen dat dan een groot deel nadelen van deze muur al veel dragelijker zijn

Hmm. Lijkt me inderdaad een mooie oplossing voor alles dat niet in de whitelist kan (en scheelt misschien zelfs verzoeken in de whitelist te komen, dat de "content" https://tweakimg.net/g/cookies/backdrop.jpg blijft lijkt me niet zo belangrijk voor iets als de WA-links).

(@Devvers: handig als zoiets in een los MF-topic wordt geopperd?)

F_J_K schreef op maandag 29 oktober 2018 @ 12:46:
[...]

(@Devvers: handig als zoiets in een los MF-topic wordt geopperd?)

Je zou dat kunnen opperen, maar met de huidige setup van onze cookiewall is dat technisch een nogal lastige exercitie, dus ik acht de kans klein dat we een dergelijke feature zullen overwegen. De vraag is ook nog wat de ePrivacy verordening uiteindelijk voor de cookiewall zal gaan betekenen.

hans3702 schreef op dinsdag 6 november 2018 @ 14:59:
TZT nog een keer de OG tags in de pagina's opnemen zou leuk zijn
https://stackoverflow.com...or-whatsapp-link-sharing/

Welke og-tags mis je specifiek?

Want als je naar de bron kijkt, zie je o.a. bij je .plan-link gewoon og-tags staan, die hebben we al jaren.

Van je eigen stackoverflow-link: "Image(JPG or PNG) of size less than 300KB and minimum dimension of 300 x 200 pixel is advised"

Die maat hebben we niet, dus onze afbeeldingen zullen vaak wel genegeerd worden. Overigens pakken we al de wat grotere afbeeldingen van bijvoorbeeld een review-aankondiging als we die hebben, maar we hebben vooralsnog geen systeem (of plannen) om speciaal voor social media aparte afbeeldingen toe te voegen aan artikelen die we verder zelf niet gebruiken.

[Voor 39% gewijzigd door ACM op 07-11-2018 08:25]