80% of Cookie Reject Buttons Don't Actually Work — Here's the Proof

Καθε banner cookies κανει την ιδια σιωπηρη υποσχεση: κλικ στο "Απορριψη" και η παρακολουθηση σταματα. Το banner εξαφανιζεται και περιηγεισαι ανενοχλητα. Αυτη ειναι η συμφωνια πανω στην οποια ειναι χτισμενο το μοντελο συγκαταθεσης -- η ιδεα οτι οι χρηστες εχουν μια ουσιαστικη, εφαρμοσιμη επιλογη.

Δοκιμασαμε αυτη την υποσχεση σε 28.891 ιστοσελιδες της ΕΕ. Στο 80,4% αυτων, η υποσχεση ειναι αθετημενη. Η παρακολουθηση συνεχιζεται αφου ο χρηστης κανει ρητα κλικ στην απορριψη. Τα cookies παραμενουν. Τα pixels διαφημισης συνεχιζουν να εκτελουνται. Και σε 1.642 ιστοσελιδες, cookies που η ενεργεια απορριψης αρχικα διεγραψε επανεμφανιζονται την επομενη φορα που φορτωνει η σελιδα -- ενα μοτιβο που ονομαζουμε consent respawn.

Αυτο δεν ειναι ενα οριακο ευρημα για μερικες λανθασμενα ρυθμισμενες ιστοσελιδες. Δειχνει προς ενα συστημικο προβλημα στον μηχανισμο που εκατονταδες εκατομμυρια κατοικοι της ΕΕ εμπιστευονται για τα δικαιωματα τους στην ιδιωτικοτητα.

Τι πρεπει να κανει η "Απορριψη" -- νομικα

Το νομικο πλαισιο ειναι σαφες. Συμφωνα με το αρθρο 5 παραγραφος 3 της Οδηγιας ePrivacy, η αποθηκευση η η προσβαση σε πληροφοριες στον τερματικο εξοπλισμο ενος χρηστη απαιτει προηγουμενη συγκαταθεση, με στενη εξαιρεση για cookies αυστηρα αναγκαια για μια υπηρεσια που ο χρηστης εχει ρητα ζητησει. Το αρθρο 7 παραγραφος 3 του GDPR προσθετει οτι η αναιρεση της συγκαταθεσης πρεπει να ειναι εξισου ευκολη με τη χορηγηση της, και ο υπευθυνος επεξεργασιας πρεπει να ενεργησει σχετικα με αυτη την αναιρεση.

Οι Κατευθυντηριες Γραμμες 05/2020 του EDPB σχετικα με τη συγκαταθεση βασει GDPR διευκρινιζουν τι σημαινει αυτο για τα κουμπια απορριψης: αν μια ιστοσελιδα προσφερει την επιλογη "Αποδοχη ολων", πρεπει επισης να προσφερει μια εξισου εμφανη και εξισου προσβασιμη επιλογη αρνησης. Και αυτη η αρνηση πρεπει να ειναι αποτελεσματικη -- πρεπει πραγματικα να αποτρεπει την επεξεργασια που η συγκαταθεση θα ειχε εξουσιοδοτησει.

Το CJEU ενισχυσε αυτο στην υποθεση Planet49 (C-673/17): η συγκαταθεση απαιτει σαφη θετικη ενεργεια, και τα προεπιλεγμενα πλαισια ελεγχου δεν αποτελουν εγκυρη συγκαταθεση. Το λογικο συμπερασμα ειναι οτι μια αρνηση -- μια ρητη αρνητικη ενεργεια -- πρεπει να γινεται σεβαστη εξισου οριστικα με μια αποδοχη. Αν το κλικ στο "Αποδοχη" ενεργοποιει την παρακολουθηση, το κλικ στο "Απορριψη" πρεπει να την απενεργοποιει. Οχι μερικως. Οχι προσωρινα. Πληρως και μονιμα.

Αυτο λεει ο νομος. Τα δεδομενα μας δειχνουν τι πραγματικα συμβαινει.

Πως δοκιμαζουμε τη ροη απορριψης

Η δοκιμη ροης απορριψης μας ειναι σχεδιασμενη να ειναι οσο πιο κοντα γινεται στην εμπειρια ενος πραγματικου ανθρωπινου χρηστη που κανει κλικ στην απορριψη, με την προσθηκη ολοκληρωμενης μετρησης. Ακολουθει η διαδικασια βημα προς βημα:

Βημα 1: Καθαρη συνεδρια περιηγησης. Ο σαρωτης εκκινει μια καθαρη παρουσια Chromium -- χωρις cookies, χωρις τοπικη αποθηκευση, χωρις αποθηκευμενους πορους, χωρις ιστορικο περιηγησης. Αυτος ειναι ενας γνησιος επισκεπτης πρωτης φορας χωρις προηγουμενη κατασταση συγκαταθεσης. Βημα 2: Πλοηγηση και καταγραφη καταστασης πριν τη συγκαταθεση. Ο σαρωτης φορτωνει τη διευθυνση URL στοχου και περιμενει τη σελιδα να σταθεροποιηθει. Πριν απο οποιαδηποτε αλληλεπιδραση, καταγραφει καθε cookie στο προγραμμα περιηγησης, καθε αιτημα δικτυου και καθε domain τριτου μερους που επικοινωνησε. Αυτο ειναι η αρχικη κατασταση πριν τη συγκαταθεση -- τι κανει η ιστοσελιδα πριν ο χρηστης εχει οποιαδηποτε ευκαιρια να κανει μια επιλογη. Βημα 3: Ανιχνευση του banner συγκαταθεσης. Χρησιμοποιωντας τη βιβλιοθηκη ανιχνευσης μας που καλυπτει 45 γνωστα CMP και γενικες ευρετικες μεθοδους, ο σαρωτης αναγνωριζει τον μηχανισμο συγκαταθεσης και εντοπιζει το κουμπι απορριψης. Αυτο το βημα χρησιμοποιει μια στρωματοποιημενη προσεγγιση: πρωτα ελεγχει για γνωστες υπογραφες script CMP και τις σχετιζομενες δομες DOM, στη συνεχεια επιστρεφει στη γενικη ανιχνευση στοιχειων σταθερης θεσης με κειμενο σχετικο με τη συγκαταθεση και ετικετες κουμπιων οπως "Reject All", "Decline", "Refuse" η αντιστοιχες μεταφρασεις. Βημα 4: Κλικ απορριψη. Ο σαρωτης κανει κλικ στο κουμπι απορριψης και περιμενει τη σελιδα να ηρεμησει. "Ηρεμησει" σημαινει αναμονη για ολοκληρωση εκκρεμων αιτηματων δικτυου, σταματημα μεταλλαξεων DOM και ολοκληρωση animations η μεταβασεων. Χρησιμοποιουμε γενναιοδωρα timeouts για αποφυγη ψευδων θετικων απο αργες υλοποιησεις CMP. Βημα 5: Στιγμιοτυπο μετα την απορριψη. Ο σαρωτης καταγραφει ξανα την πληρη κατασταση: ολα τα cookies, ολη τη δραστηριοτητα δικτυου, ολα τα domains τριτων μερων. Αυτο το στιγμιοτυπο συγκρινεται με την αρχικη κατασταση πριν τη συγκαταθεση για να καθοριστει τι αλλαξε. Βημα 6: Επαναφορτωση και ελεγχος για respawn. Ο σαρωτης επαναφορτωνει τη σελιδα και περιμενει να σταθεροποιηθει ξανα. Στη συνεχεια παιρνει ενα τελικο στιγμιοτυπο. Αυτο το βημα ειναι κρισιμο: αποκαλυπτει αν η ενεργεια απορριψης ειναι μονιμη (τηρειται στις επαναφορτωσεις σελιδων) η αν τα cookies και η παρακολουθηση επανενεργοποιουνται οταν η σελιδα φορτωνει εκ νεου. Αν cookies που αφαιρεθηκαν στο Βημα 5 επανεμφανιστουν στο Βημα 6, αυτο ειναι consent respawn.

Καθε βημα παραγει χρονοσημασμενα, αρχειακα αποδεικτικα: πληρεις καταλογους cookies με ονοματα, τιμες, domains, ημερομηνιες ληξης και σημαιες· πληρη αρχεια καταγραφης αιτηματων δικτυου με URLs, μεθοδους, κωδικους απαντησης και χρονισμο· και screenshots πληρους σελιδας. Αυτη η αλυσιδα αποδεικτικων επιτρεπει σε οποιοδηποτε μεμονωμενο ευρημα να επαληθευτει και να αμφισβητηθει.

Τα αποτελεσματα: 80,4% αποτυχια

Απο τις 28.891 ιστοσελιδες οπου ολοκληρωσαμε με επιτυχια την πληρη δοκιμη ροης απορριψης:

• 5.650 (19,6%) πετυχαν. Μετα το κλικ στην απορριψη, τα μη ουσιωδη cookies αφαιρεθηκαν, τα αιτηματα παρακολουθησης σταματησαν και η απορριψη παρεμεινε σταθερη στις επαναφορτωσεις σελιδων.
• 23.241 (80,4%) απετυχαν. Η παρακολουθηση συνεχιστηκε με καποια μορφη αφου ο χρηστης εκανε ρητα κλικ στην απορριψη.

Οι αποτυχιες δεν ειναι ομοιομορφες. Εμπιπτουν σε ξεχωριστες κατηγοριες που αλληλεπικαλυπτονται -- μια μεμονωμενη ιστοσελιδα μπορει να εμφανιζει πολλαπλους τροπους αποτυχιας ταυτοχρονα.

Επιμονα cookies: 10.848 ιστοσελιδες

Σε 10.848 ιστοσελιδες (37,5% των δοκιμασθεισων), μη ουσιωδη cookies παρεμειναν στο προγραμμα περιηγησης μετα την ολοκληρωση της ροης απορριψης. Αυτα ειναι cookies ταξινομημενα ως σχετικα με αναλυτικα, μαρκετινγκ η παρακολουθηση που θα επρεπε να ειχαν αφαιρεθει η να ειχε αποτραπει η τοποθετηση τους μετα απο μια ενεργεια απορριψης.

Τα πιο συνηθισμενα επιμονα cookies ανηκουν στο Google Analytics (`_ga`, `_gid`, `_gat`), Meta/Facebook (`_fbp`, `fr`) και διαφορες διαφημιστικες πλατφορμες. Σε πολλες περιπτωσεις, η CMP αφαιρει επιτυχως μερικα cookies αλλα αποτυγχανει να τα πιασει ολα -- υποδηλωνοντας ατελη ολοκληρωση μεταξυ της πλατφορμας διαχειρισης συγκαταθεσης και του πληρους καταλογου scripts τριτων μερων της ιστοσελιδας.

Η παρουσια αυτων των cookies μετα την απορριψη δεν ειναι απλως ενα αισθητικο προβλημα. Καθενα ειναι ενα μονιμο αναγνωριστικο που συνδεει την τρεχουσα συνεδρια του χρηστη με προηγουμενες και μελλοντικες επισκεψεις. Το cookie `_ga`, για παραδειγμα, ειναι ενα μοναδικο αναγνωριστικο πελατη που χρησιμοποιει το Google Analytics για να δημιουργησει ενα χρονικο προφιλ της συμπεριφορας του χρηστη σε ολες τις συνεδριες. Αν παραμενει μετα την απορριψη, η περιηγηση του χρηστη συνεχιζει να παρακολουθειται και να συσσωρευεται ανεξαρτητα απο τη ρητη αρνηση του.

Επιμονοι trackers: 14.547 ιστοσελιδες

Σε 14.547 ιστοσελιδες (50,3% των δοκιμασθεισων), υπηρεσιες παρακολουθησης παρεμειναν ενεργες μετα την απορριψη -- δηλαδη το προγραμμα περιηγησης συνεχισε να κανει αιτηματα σε γνωστα domains παρακολουθησης ακομα και μετα το κλικ του χρηστη στο κουμπι απορριψης.

Αυτος ειναι ενας διαφορετικος τροπος αποτυχιας απο την επιμονη cookies. Ενας tracker μπορει να ειναι ενεργος χωρις να τοποθετει cookie: αιτηματα pixel, κλησεις beacon και φορτωσεις script ολα μεταδιδουν πληροφοριες (τουλαχιστον τη διευθυνση IP του χρηστη, τη σελιδα παραπομπης και δεδομενα χρονισμου) σε διακομιστες τριτων μερων ανεξαρτητα απο το αν αποθηκευεται ενα cookie. Αυτο μερικες φορες ονομαζεται "cookieless tracking" και γινεται ολο και πιο συνηθισμενο καθως τα προγραμματα περιηγησης αυστηροποιουν τους περιορισμους στα cookies τριτων μερων.

Το χασμα μεταξυ του αριθμου cookies (10.848) και του αριθμου trackers (14.547) ειναι σημαντικο. Σημαινει οτι σε περιπου 3.700 ιστοσελιδες, η ενεργεια απορριψης καθαρισε επιτυχως τα cookies αλλα απετυχε να αποτρεψει τα αιτηματα παρακολουθησης απο το να συνεχιστουν. Η CMP χειριστηκε τον καθαρισμο cookies αλλα δεν μπλοκαρε τα scripts που δημιουργουν κινηση παρακολουθησης εξαρχης. Αυτο δειχνει ενα κοινο αρχιτεκτονικο προβλημα: η CMP ειναι ρυθμισμενη να διαχειριζεται cookies (να τα διαγραφει κατα την απορριψη, να τα αποτρεπει κατα τη φορτωση) αλλα οχι να διαχειριζεται την εκτελεση scripts.

Consent respawn: 1.642 ιστοσελιδες, 4.932 cookies

Το consent respawn ειναι το πιο ανησυχητικο μοτιβο που εντοπισαμε. Σε 1.642 ιστοσελιδες, cookies που αφαιρεθηκαν απο την ενεργεια απορριψης επανεμφανιστηκαν μετα την επαναφορτωση της σελιδας. Σε αυτες τις ιστοσελιδες, 4.932 μεμονωμενα cookies εμφανισαν αυτη τη συμπεριφορα respawn.

Το consent respawn δεν ειναι σφαλμα σε μια CMP η μια ρυθμιση. Ειναι ενα δομικο προβλημα στον τροπο που υλοποιειται η συγκαταθεση σε ολο το web stack.

Πως ενα cookie επιστρεφει μετα τη διαγραφη. Οταν ενας χρηστης κανει κλικ στην απορριψη, μια σωστα ρυθμισμενη CMP κανει δυο πραγματα: διαγραφει τα υπαρχοντα μη ουσιωδη cookies (θετοντας τη ληξη τους σε παρελθουσα ημερομηνια) και ενημερωνει μια εγγραφη συγκαταθεσης (συνηθως ενα cookie η μια καταχωρηση localStorage) που λεει στη λογικη αποκλεισμου της CMP να αποτρεψει τα μη ουσιωδη scripts απο το να εκτελεστουν σε μελλοντικες φορτωσεις σελιδων. Αν και τα δυο λειτουργουν, ο χρηστης ειναι καθαρος: κανενα cookie παρακολουθησης, κανενα script παρακολουθησης.

Το consent respawn συμβαινει οταν η διαγραφη πετυχαινει αλλα ο αποκλεισμος αποτυγχανει. Το πιο συνηθισμενο σεναριο:

1. Η CMP διαγραφει το cookie `_ga` οταν ο χρηστης κανει κλικ στην απορριψη.

2. Η CMP τοποθετει ενα cookie καταστασης συγκαταθεσης που καταγραφει οτι ο χρηστης αρνηθηκε τα αναλυτικα.

3. Στην επομενη φορτωση σελιδας, η CMP ελεγχει την κατασταση συγκαταθεσης της και γνωριζει οτι ο χρηστης αρνηθηκε.

4. Ομως: η ετικετα script του Google Analytics ειναι ενσωματωμενη απευθειας στο template της σελιδας (εκτος του tag manager) η φορτωνεται απο εναν κανονα tag manager που δεν ελεγχει την κατασταση συγκαταθεσης.

5. Το script GA φορτωνει, δεν βλεπει cookie `_ga` και δημιουργει ενα νεο.

6. Η αποφαση απορριψης του χρηστη εχει παρακαμφθει.

Παραλλαγες αυτου του μοτιβου περιλαμβανουν: scripts τριτων μερων που φορτωνονται μεσω hardcoded `