Закриття сайтів через законодавство ЄС

22:42 29.05.2012

Як я писав раніше, в 2011 році в ЄС прийняли закон стосовно cookies, а в деяких країнах ЄС, зокрема в Великобританії, вступ в дію закону відсрочили на рік. І даний закон може призвести до штрафів власникам сайтів, що його не дотримуються, в тому числі це може призвести до закриття сайтів (якщо сума штрафу буде занадто велика для власника сайту, щоб продовжувати його роботу).

Розглянемо цей закон ЄС в контексті штрафів та закриття сайтів. Подібно до всіх тих випадків в законодавсті України, про які я неодноразово писав з 2008, що призводили до закриття сайтів. В останнє я писав про закриття сайтів через обшук податкової.

Цей закон називається EU Cookie Law. Ви можете ознайомитися з детальним поясненням всіх особливостей даного закону в статті Definitive guide to the Cookie Law, в тому числі методів, які власники сайтів можуть використати для дотримання чи не дотримання даного закону. На даний час сайти в Євросоюзі переважно не дотримуються даного закону, але враховуючи, що це діючий закон ЄС, всім сайтам, які підпадають під дію цього закону, бажано його дотримуватися.

З травня 2011 цей закон вніс такі зміни в законодавство про онлайн приватність в ЄС, що у відвідувачів сайтів повинні запитувати дозволу перед використанням кукісів (окрім визначених випадків, таких як форми логіна). Один рік був наданий (як мінімум в UK) для веб сайтів, щоб вони змінили методи своєї роботи відповідно до нового закону і з 26.05.2012 цей закон почав діяти в повну силу (в даному випадку в UK).

Це означає, що сайти, які не відповідають новому закону, можуть бути оштрафовані (на суму до 500000 євро). Як зазначається, зокрема на вищезгаданому сайті, цей закон стосується всіх сайтів направлених на аудиторію ЄС (і власники яких є зарєєстованими компаніями на території ЄС). Тобто не тільки сайти в країнах ЄС (для локальної аудиторії), але всі сайти для аудиторії ЄС.

Що це означає для веб сайтів.

Вони повинні змінити звичайний метод роботи з кукісами (який використовується з часу створення HTTP cookies), тобто “прихований метод”, і почати використовувати “голосний метод” - запитувати кожного користувача і відвідувача перед встанновлення кукісів.

Поточна ситуація.

Я бачив деякі сайти ЄС, включаючи вищезгадані сайти, які запитували перед встановленням кукісів, але небагато сайтів. Більшість сайтів ЄС, які я відвідав за останній рік, не робили цього, тому вони є не сумісними з EU Cookie Law.

Як я перевірив декілька популярних сайтів в ЄС напередодні 26.05.2012, ситуація з сумісністю до нового закону була наступна:

http://www.google.fr - не сумісний (приховано встановив два кукіси)

http://www.google.de - не сумісний (приховано встановив два кукіси)

http://fr.yahoo.com (редирект з yahoo.fr) - не сумісний (приховано встановив сім кукісів)

http://www.bing.com/?cc=fr (редирект з bing.fr) - не сумісний (приховано встановив одинадцять кукісів)

http://ec.europa.eu - на головній сторінці не встановлює кукіси, але після того, як я відвідав наступну сторінку, він встановив один кукі.

Аспект безпеки в даному законі.

Існує зв’язок між законом ЄС стосовно cookies та безпекою веб сайтів. Якщо сайт буде взломаний і кукіси будуть встановлені відвідувачам приховано (автоматично), то цей сайт може бути оштрафований - навіть якщо по замовчуванню цей сайт сумісний закону ЄС (запитує перед встанновленням кукісів).

Так що уразливості на будь-якому сайті (що підпадає під законодавство ЄС) можуть наразити його на штрафи в ЄС в зв’язу з цим законом. І це можуть бути як серйозні уразливості, що призводять до повної компрометаці сайта, так і Cross-Site Scripting (persistent XSS чи навіть reflected XSS) або HTTP Response Splitting уразливості. Тому що за допомогою XSS і HTTPRS уразливостей можна встановлювати кукіси - що робить ці сайти не відповідними до нового закону. Тому даний закон є гарною нагодою для власників веб сайтів для покращення їхньої безпеки.


3 відповідей на “Закриття сайтів через законодавство ЄС”

  1. MustLive каже:

    You can read this article on English in The Web Security Mailing List: Closing web sites due to legislation.

  2. Pavel каже:

    А якщо у мене google analytics на сайті ставить свої кукіси? Штрафувати будуть мене чи гугл?

  3. MustLive каже:

    Паша, відповідно до норм даного закону, описаних на сайті ICO та на вищезгаданому сайті з поясненнями Cookie Law, будь-які кукіси для статистики заборонені. Це відноситься до Google Analytics і будь-яких рахівників.

    По суті, подібні сервіси статистики, рекламні та інші “слідкуючі” сервіси й призвели до появи цього закону, і він призначений для протидії ризикам приватності при передачі даних стороннім сервісам. І штрафувати будуть саме власників сайтів, а не самі сервіси. Раз ти встановив “каунтер” (Гугла чи будь-який інший) на свій сайт, значить ти й несеш відповідальність.

    А якщо твій сайт взомали і встановили тобі такий рахівник, на що я звертав увагу в своїй статті, то тобі ще потрібно буде довести, що це не ти встановив, а хтось інший. Кожен власник сайта може “з’їхати на взлом”, тому дана комісія ЄС буде прискіпливо вивчати пояснення адмінів стосовно кукісів на їхніх сайтах. А як жодних пояснень немає, то і провина беззаперечна, тому й плати штраф.

    Але якщо твій сайт направлений не на аудиторію ЄС (це легко обходиться - зайде представник комісії на твій сайт і скаже, що він європеєць, а значить твій сайт розрахований на аудиторію ЄС) і ти не маєш зареєстрованого бізнесу в ЄС, наприклад, представництва своєї компанії, то і переживати нічого. Українцям слід більше переживати за власні закони і діяльність правоохоронних органів по закриттю сайтів - як то через обшук податкової чи по політичним мотивам.

Leave a Reply

You must be logged in to post a comment.