Pourquoi les utilisateurs veulent désactiver les cookies?
Je viens de commencer à créer une nouvelle application web. Dans la documentation, il est écrit que je dois me préparer à la situation où les utilisateurs ont désactivé les cookies. Ce n'est pas la première fois que je lis cette condition. Quelqu'un peut-il m'expliquer pourquoi les utilisateurs souhaitent désactiver les cookies dans leur navigateur?
Historiquement, les cookies ont été à l'origine de nombreux problèmes de sécurité et de confidentialité.
Par exemple, les cookies de suivi peuvent être utilisés pour identifier les sites Web que vous avez visités et les activités que vous avez effectuées sur eux:
- Le site A inclut un
iframecaché qui pointe vers un service de suivi. - Le service de suivi émet un cookie qui vous identifie et enregistre votre visite.
- Le site B comprend le même
iframecaché. - Le service de suivi reconnaît votre cookie et les journaux qui le visitent également.
- Le site A et le site B paient le tracker pour obtenir des informations sur les autres sites visités par leurs utilisateurs.
Ce n'est qu'une application. Il existe d'autres façons d'utiliser les cookies de suivi, dont certaines autorisent toutes sortes d'attaques désagréables telles que le vol d'identité.
Un autre problème est le vol de cookies, qui peut être utilisé pour détourner des sessions non sécurisées (c'est-à-dire non HTTPS). En utilisant un exploit (par exemple XSS), une page peut réussir à renvoyer les cookies d'un autre site à elle-même, permettant à un attaquant de voler votre ID de session. La désactivation des cookies empêche cela.
En raison de ces problèmes, les utilisateurs désactivent souvent les cookies ou les bloquent sur certains sites pour une confidentialité et une sécurité accrues.
Avec les cookies de suivi, les annonceurs peuvent suivre les utilisateurs sur différents sites Web et même sur des adresses IP (par exemple pour les utilisateurs d'ordinateurs portables). Cela dure depuis toujours (littéralement depuis le début des réseaux publicitaires, comme Google Adwords), mais récemment, les médias ont incité le public contre ces cookies, les blâmant comme la cause première de la violation de la vie privée. C'est allé si loin que l'UE a adopté quelque chose qui est censé interdire les cookies inutiles sans opt-in. Ironiquement, le site Web du gouvernement néerlandais (ici la loi est entrée en vigueur il y a quelques mois) ne respecte pas non plus la loi.
Ces cookies sont en fait, en partie, une cause d'intrusion dans la vie privée. Cela vous facilite le suivi, mais il existe beaucoup d'autres façons pour différencier un utilisateur d'un autre. De plus, il n'y a pratiquement aucune raison de bloquer ce type de publicité ciblée, cela coupe dans les deux sens, mais c'est un autre sujet et un débat brûlant.
Sans cookies, vous pouvez difficilement garder un utilisateur connecté. Donnez l'erreur appropriée lorsque les cookies s'avèrent être désactivés ("Vous ne pouvez pas vous connecter, les cookies sont désactivés dans votre navigateur, cliquez ici pour plus d'informations."), Et je pense que l'affaire est close. La plupart des autres sites Web comme Facebook et Twitter ne fonctionneront pas non plus de toute façon.
La raison la plus courante est qu'ils l'ont fait accidentellement et n'ont aucune idée qu'ils l'ont fait (voir paragraphe 4 ci-dessous).
La deuxième raison la plus courante est la vie privée (paranoïa?). Certaines personnes sont anti-tracking à tout prix. J'ai tendance à trouver qu'ils ne comprennent pas vraiment ce que sont les cookies dans ce cas. Plus probablement, ils pensent simplement que "le suivi est mauvais" et les désactivent - sans avoir aucune idée par exemple, quelle est la différence entre les cookies de session, les cookies de première/troisième partie, etc.
Mais plus important encore, je ne pense pas qu'il soit réaliste de tenir compte de la situation où un utilisateur a désactivé les cookies sur tout sauf des sites Web extrêmement basiques. Il n'est pas possible d'éviter d'utiliser des cookies (ou un équivalent basé sur une URL) dans autre chose qu'un site Web de base avec très peu d'interaction utilisateur autre que suivre des liens vers du contenu statique. Vous pouvez oublier les connexions et les paniers d'achat, car pour les créer, vous avez besoin d'au moins une session ou d'un cookie (et le suivi de session nécessite un cookie ou une URL équivalente).
En 12 ans en tant que développeur de site Web, les seules personnes que j'ai rencontrées à avoir désactivé les cookies l'ont fait accidentellement. Sans aucune exception, c'est parce qu'ils ont été dans l'écran des paramètres de Internet Explorer et pensait que pousser ce curseur de sécurité/confidentialité à "High" devait être meilleur que "Medium". Dans tous les cas, ils l'ont ramené à moyen, une fois que j'ai souligné son effet et le nombre de sites Web qu'il casse. Souvent, l'utilisateur a installé un second navigateur, pensant que son navigateur d'origine est "cassé" car aucun site Web ne fonctionne avec. En tant que tel, je pense qu'il est important de dire aux utilisateurs qu'ils ont désactivé les cookies (en utilisant une méthode de détection appropriée) si vous avez un site à fort trafic.
Vous pouvez éviter d'utiliser des cookies en stockant un ID unique dans l'URL (.NET et d'autres frameworks le supportent nativement) mais je crois que cela déplace simplement le problème vers l'URL - et les utilisateurs paranoïaques peuvent être rebutés par une URL qui les suit clairement . Assurez-vous que si vous proposez une méthode homebrew pour faire la même chose, tous les ID URL sont liés à l'adresse IP des utilisateurs. Sinon, vous créerez une méthode extrêmement simple pour le détournement de session - en tant qu'utilisateur qui envoie simplement un lien, acquiert l'état de session de l'utilisateur expéditeur.
La grande majorité des principaux sites Web qui nécessitent une connexion ou qui ont une fonction de panier d'achat nécessitent des cookies pour fonctionner et je ne pense pas qu'il soit judicieux d'essayer de contourner ce problème. Vous parlez probablement d'une infime fraction de 1% des utilisateurs qui ont désactivé les cookies. Ignorez les statistiques produites à partir de systèmes automatiques tels que WebTrends, car elles incluront des éléments comme les robots d'indexation et les robots qui ne prennent pas (et n'ont pas besoin) de prendre en charge les cookies, car cela vous donnera une lecture faussement élevée du nombre d'utilisateurs qui ont désactivé biscuits. Vous parlez certainement plus comme 1 utilisateur sur 5000 plutôt que 1 utilisateur sur 10 qui a désactivé les cookies et s'attend en fait à ce que les sites Web fonctionnent :)
Dans la documentation, il est écrit que je dois me préparer à la situation où les utilisateurs ont désactivé les cookies.
Être "préparé" n'est pas la même chose que de créer un système de connexion entièrement fonctionnel qui fonctionne sans cookies HTTP.
Les utilisateurs peuvent désactiver les cookies HTTP pour éviter d'être "suivis"; dans ce cas, vous pourriez penser à utiliser une autre approche pour la gestion de session, comme utiliser une URL secrète. La conservation de l'ID de session dans l'URL présente certains avantages en termes de sécurité et d'utilisation, mais aussi de sérieux problèmes de sécurité et d'utilisation , et ce message n'est pas recommandant cette approche. Parce que la question ne concernait pas la sécurité du maintien de l'ID de session dans l'URL , je ne veux pas discuter de ce problème (intéressant) ici.
Le problème n'est pas seulement technique, c'est un problème d'acceptabilité: si l'utilisateur désactive volontairement les cookies, vous pouvez parier qu'il ne veut pas être suivi. Essayer de contourner le blocage des cookies (même "pour son bien") est très probable pour le contrarier.
Au lieu de cela, vous pouvez expliquer aux utilisateurs que seuls les cookies de session sont nécessaires pour la gestion de session dans votre application Web et qu'il est possible d'effacer automatiquement tous les cookies lorsque le navigateur est fermé.