Posted by Wicher 
Topic: Uit de memorie van toelichting wetsvoorstel NRF, pagina 17:
“Voor wat betreft het plaatsen van informatie op de eindapparatuur van de eindgebruiker wordt het bestaande optout regime vervangen door een optin regime. Dat betekent onder meer dat voor het plaatsen van een zogenoemde cookie vooraf toestemming aan de eindgebruiker moet worden gevraagd.”
Dat er een “bestaand” “opt-out regime” is voor cookies, is onzin. Er ís helemaal geen regime. Er is alleen techniek, en die techniek is zodanig dat een webbrowser expliciete actie moet ondernemen om de volgende keer het cookie mee te kunnen sturen. Sja, de meeste browsers doen dat in hun standaardconfiguratie klakkeloos. En in de meeste quiches in de koelvitrine van de supermarkt zit veel te veel zout.
Gelukkig kon ik dit en meer online uitleggen aan Economische Zaken, want er is een internetconsultatie voor dit wetsvoorstel. Dit was mijn uitleg:
Reactie op wetsvoorstel implementatie NRF
Geachte hr/mevr,
Ik ben consument, student Informatica, en weet een ding of drie over hoe http-cookiegerelateerde technieken samenhangen. Staat u mij toe u op de hoogte te brengen van deze zaken, en u zult inzien dat he huidige wetsvoorstel geen hout snijdt.
Hoe een webbrowser cookies dient af te handelen staat beschreven in RFC 2965, sectie 6.1, “User Agent Control”1. Zo’n RFC is vrij technisch (softwareontwikkelaars zijn de doelgroep), maar laat u niet afschrikken: in die RFC staan de meeste mechanismen
beschreven die een consument zou kunnen wensen op het gebied van cookiebeheer, en het staat ontwikkelaars vrij webbrowsers te maken die verder gaan dan deze aanbevelingen. In het bijzonder is er deze aanbeveling:
[...] notify the user when the user agent is about to send a cookie
to the origin server, to offer the option not to begin a session
Een consument die een standaardconforme webbrowser gebruikt, hééft deze optie dus al. Voor de browser Firefox is de documentatie over zulke functionaliteit gewoon online te vinden, op de website van de maker2, en via het helpmenu.
Het is niet zo dat een webserver een cookie op een webbrowsende computer pláátst; een webserver heeft helemaal geen mogelijkheden daartoe! Wat een webserver doet is vrágen aan de webbrowser of deze zo goed zou willen zijn om bijvoorbeeld bij een volgend contact het woord “hotseflotsie” of het nummer “673” mee te sturen. Of de webbrowser gehoor geeft aan dat verzoek ligt aan hoe deze ontworpen en geconfigureerd is. Welke webbrowser wordt gebruikt en hoe deze geconfigureerd is, zijn keuzes die bij de eindgebruiker – de consument – liggen.
Zo de overheid al moet ingrijpen, dan is het dáár: bij het begrip van de consument. Dat is analoog aan hoe dat op voedinggebied al gebeurt. We weten dat te veel zout slecht is voor de gezondheid. Maar in een kilozak zout uit de supermarkt gaat héél veel zout, en toch is het toegestaan zulks aan te bieden zonder de afnemer te laten expliciteren dat hij of zij bereid is het zout in te gaan nemen! Wat de afnemer met het zout doet is namelijk zijn/haar eigen verantwoordelijkheid.
Het is de taak van de Stichting Voedingscentrum Nederland om de consument te wijzen op de gevaren van teveel zout en zo te voorkomen dat hij of zij het kilopak in één avond helemaal opsnoept.
Cookies zijn een wezenlijk onderdeel van de gebruikerservaring. Het zal u misschien verbazen, maar op de overheidswebsite3 (van de Dienst Publiek en Communicatie) waar ik u deze boodschap achterlaat wordt mijn browser de volgende cookies aangeboden:
- “contrast” met als waarde “hoog”
- “fontsize” met als waarde “2”
- “ASP.NET_SessionId” met als waarde “u5ugib48komzsnzl4wravo45”4
Ik gebruik een degelijke browser en heb deze expliciet verzocht deze cookies op te slaan en mee te sturen met vervolgbezoeken. Er zijn altijd mechanismen geweest waarmee de gebruiker kan ingrijpen in het proces. De vraag die u websitebeheerders aan bezoekers wilt laten stellen, is dezelfde vraag die miljoenen webservers jarenlang en wereldwijd al miljarden keren aan miljoenen browsers hebben gesteld: “beste webbrowser, wil je de volgende keer merkteken zus-en-zo meesturen?”
Dat consumenten hier doorgaans (te) welwillend tegenover staan, of hun browsers configureren hier (te) welwillend tegenover te staan, is niet een probleem dat bij wet of middels méér techniek is op te lossen – het is er één van kennislacune. De consument is meer gebaat bij voorlichting, daarmee wordt hij geholpen in het maken van een geïnformeerde keuze voor een browser die tegemoetkomt aan zijn privacywensen.
Samenvattend, ten andermale, en hopelijk ten overvloede: een webserver kan via cookies geen informatie opvragen die deze webserver niet al eerder zélf aan de browser heeft gegeven. Ook kan een webserver geen cookies op een bezoekende computer opslaan, dat kan alleen de webbrowser doen, en die wordt nog altijd bestuurd door de gebruiker. Wat een supermarktbezoekende klant met een zak zout doet, is niet de zaak van een supermarktexploitant. Wat een websitebezoeker met een aangeboden cookie doet, is noch een zaak van de website-exploitant, noch een zaak van de overheid.
Hoogachtend, Wicher Minnaard.
1) http://www.faqs.org/rfcs/rfc2965.html
2) http://support.mozilla.com/en-US/kb/Cookies
3) http://www.internetconsultatie.nl/nrfimplementatie/reageren
4) Deze laatste waarde heb ik om privacyredenen iets anders weergegeven.
Tags: cookies, politiek —
Toch vreemd, die internetconsultatie. De overheid heeft toch zijn eigen adviseurs? Hoe is het dan mogelijk dat er iets dergelijks als wetsvoorstel komt?
Ik vind het wel naar dat er belastinggeld gaat naar besprekingen van onderwerpen door mensen die daar niet goed over opgeleid zijn (zo komt het bij mij over). Ik vind dat dat geld eerst en vooral besteed moet worden aan het bijspijkeren van ICT-kennis van huidige beleidsmakers zodat die niet alleen een beetje met een tekstverwerker van likmevestje kunnen prutsen, maar ècht weten waar ze over aan het lullen zijn.
Daarnaast zou het goed zijn om naast wiskunde en Nederlands het examen voor informatica een verplicht onderdeel te maken (dat ziet er namelijk best goed uit:
http://www.examenblad.nl/9336000/1/j9vvhinitagymgn_m7mvh57glrndzx7_n11vg41h1h4i9qe/vhkulss1w2xy/f=/bestand.pdf ). Misschien zouden we ook nooit meer lullige pdf-jes hoeven downloaden als onze overheid dit examen kan halen met een 9.
Wicher Reply:
May 13th, 2010 at 14:54
Dat van die cookies was maar een klein onderdeel van het wetsvoorstel. En ik heb het vermoeden dat er een mechanisme is waardoor beleidsmakers/managementechelons nooit het naadje van de kous weten. Dat vermoeden is:
Kortom, mijn stelling is dat rastechnici die niet alleen het naadje van de kous weten, maar ook weten van welk garen en met welke steek deze naad gemaakt is, wegens bovenstaand mechanisme doorgaans niet in beleidslagen voorkomen. Lastig dus, want hoe stuur je een team aan waarvan de leden veel meer kennis hebben dan jij? Meestal wordt er een ’senior developer’ aangesteld als projectmanager, en zo’n middle-man wil nog wel eens helpen.
Er is nog wel de situatie dat technici als carrière-move managementposities gaan innemen en niet meer ontwikkelen. Dat werkt dan voor even — totdat hun kennis verjaard is. Klassiek-Hebreeuws kun je leren en dan ben je klaar. IT is geen dode taal en als je niet aan het leren bent (door te *doen*) dan word je ingehaald door de werkelijkheid en door technici die wél aan het techniceren zijn.
Ik ben het met je eens dat er op de middelbare school meer aandacht moet zijn voor informatica. Dat moet niet gaan over hoe je een computer *gebruikt*, maar moet ingaan op wat het *is* – hoe je het gebruikt vloeit daar uit voort.
Met name moet er veel meer aandacht komen voor beveiligingsmodellen en privileges. Uit de praktijk:
Kan een website op mijn computer kijken? In welke mate wel en in welke mate niet? Kun je zelf bepalen hoe een website er voor jou uitziet, hoe, en waarom? Waarom kun je in Javascript geen cross-domain request doen? Hoe kon tot voor kort een website zien of je een bepaalde andere website had bezocht, en op welke manieren kon een browser dat verhinderen? Wat is een chain-of-trust en hoe werkt public-private key cryptografie? Welke gegevens kan iemand die mijn laptop jat bemachtigen, ik moet toch een wachtwoord geven om in te loggen? Wat is een cookie eigenlijk? Wat is het verschil tussen het Internet en het WWW? Welke aannames gelden niet meer in een vijandig netwerk? Welke informatie lek ik als ik een nieuwsbrief met gelinkte plaatjes bekijk? Waarom staan er op websites plaatjes van 1 pixel groot (antwoord: advertentiecookies)? Welke aannames gelden niet meer als de integriteit van je systeem gemankeerd is? Hoe kan je nou een virus krijgen van een PDF? Waarom zou je je wifi beveiligen (versleutelen met bv WPA) als al je computers een firewall draaien?
In het examenprogramma waar je naar linkt is er één zinnetje aan gewijd: “Tevens heeft hij zicht op aspecten van internetbeveiliging.”.
Datatoegankelijkheid, ook zoiets. Waarom is (voor informatiepublicatiedoeleinden) gewone HTML beter dan een op het web geposte PDF, en waarom is dat dan weer beter dan een Word-bestandje? Wat is een open (licentievrije!) standaard, waarom maak je niet alle websites in Flash, da’s toch veel leuker? Wat is copyright, hoe werkt het *precies*, wat is copyrightschending?
In het VK zijn ze er ook lekker mee bezig, en volgens deze post van een Brit staat zelfs in de EU-richtlijn, in paragraaf 66:
Oftewel en inderdaad: als je geen koekjes wil, maak je zulks toch gewoon kenbaar aan je browser.