Topic: Bloccare TUTTI i cookies

[23Andrea]

Aprite la pagina di un qualsiasi sito per il quale NON sono state configurate eccezioni.
Cliccate sul pulsante (i) "Visualizza informazioni sul sito".
Sicurezza del sito > Ulteriori informazioni > Informazioni pagina > Permessi > Impostare cookie
Se c'è la spunta su "Utilizza predefiniti", nessuna delle tre opzioni "Consenti", "Consenti per la sessione", "Blocca" è selezionata.
Questo, per me significa:
- in assenza di una specifica impostazione (di consenso o di blocco) dell'utente,
- se il dominio non è compreso nell'elenco in uso del sistema antitracciamento,
può sempre memorizzare cookies.
Una gestione che pecca di presunzione.
Anche con le infinite risorse di Mozilla e di Google, come si può pretendere di censire in tempo reale, in una realtà multiforme e insidiosa come il web, tutti i nuovi domini che cercano a tradimento di installare cookies sul PC dei comuni mortali?
Mi auguro che questi signori sappiano quello che fanno.

[Underpass]

Qua entriamo però un po' nel "filosofico". Io mi ricordo quando Mozilla anni fa annunciò il blocco di default dei cookie di terze parti, ci fu una levata di scudi pazzesca

https://www.punto-informatico.it/mozilla-dice-stop-ai-cookies-indiscriminati/

e fu accusata di ostacolare un modello di business oramai consolidato.

Adesso forse ci riproverà Google: avrà successo?

https://www.punto-informatico.it/chrome-blocco-cookie-tracking-terze-parti/

[Winfox]

Anche con le infinite risorse di Mozilla e di Google

Ti assicuro che Mozilla non ha risorse infinite: anzi, i suoi maggiori introiti mi risulta che provengono da Google stessa.
Quella si che ha risorse pressoché infinite.

[deckard]

L'idea era venuta ad Apple e Mozilla aveva cercato di portarla avanti, lasciando però all'utenza il compito di attivare la policy, e consisteva nel fatto il browser avrebbe accettato cookie solo se provenienti dal sito attualmente visitato dall'utente (quelli di prima parte), mentre ai contenuti con una origine terza (siti web esterni a quello visitato) sarebbe stato concesso l’accesso ai cookie solo nel caso in cui l’origine avesse avuto almeno un cookie già impostato sulla macchina.
Io ritengo che il blocco dei cookie di terze parti dovrebbe essere attivo per condizione predefinita.
Con Self Destructing Cookies avevo impostato il blocco totale dei cookies e creato una preferenza in about:config affinché il componente aggiuntivo permettesse la creazione di eccezioni.
http://kb.mozillazine.org/Network.cookie.cookieBehavior (Io avevo scelto 2, il blocco totale dei Cookies, altri suggeriscono 1)
http://kb.mozillazine.org/Network.cookie.lifetimePolicy (Valore raccomandato: 2, il Cookie dura fino alla chiusura del browser)
http://kb.mozillazine.org/Network.cookie.thirdparty.sessionOnly (Valore raccomandato: true, i Cookie di terze parti durano fino alla fine della sessione, cioè fino alla chiusura del browser)

Mi rattrista vedere che quando l'idea è venuta a Mozilla c'è stata una levata di scudi e l'azienda fu accusata di ostacolare un modello di business oramai consolidato, mentre ora che è Google a proporla forse il destino e il tempo ci diranno che viene accettata (per quanto possa essere necessario dotarsi di un ettolitro di bicarbonato per poterla digerire)...

[Iceberg]

Una cosa è vietare i cookie di terze parti come impostazione predefinita. In questo caso posso esserci discussioni filosofiche.
Cosa ben diversa sono le impostazioni dell'utente. Se un utente vieta i cookie o vieta i cookie di terze parti, cambiando le impostazioni predefinite, le considerazioni filosofiche sul modello di business non possono applicarsi.
E se un utente vieta i cookie, o vieta i cookie di terze parti, è chiaro, dovrebbe essere molto chiaro, che se mette una eccezione, quell'eccezione deve valere solo per il dominio che scrive nella lista dei siti permessi e per nessuno dei siti correlati.

[23Andrea]

Qua entriamo però un po' nel "filosofico".
...

Caro Underpass, con tutto il rispetto, qui non si tratta di filosofia ma di chiarezza e di coerenza.
Se Mozilla decide di modificare il funzionamento dell'applicazione, padronissima di farlo: ma bisognerebbe che il nuovo sistema sia ALMENO altrettanto efficente di quello vecchio.
Se Mozilla decide di rendere configurabili opzioni altrimenti hard coded, benvenga: purchè la configurazione funzioni davvero.
Non mi sembra di chiedere troppo e non mi sembra di perdermi in considerazioni teoriche.

[deckard]

Egr. Dott. Ing. Cav. Gran Lup Mann. 23Andrea, io sono disposto a darti ragione da più punti di vista, ma dalle mie parti si suole dire che la ragione la si da ai matti e agli stolti... 
Allo stato attuale delle cose e facendo uso di versioni recenti di Firefox Quantum il miglior controllo sui Cookies di prima e di terza parte (con possibilità di scegliere impostazioni varie per quelli di prima e di terza parte e selettivamente per sito) è uMatrix e altri componenti aggiuntivi come Cookie AutoDelete e Cookie Quick Manager meritano che gli si dia una possibilità.
Poi son disposto ad ammettere che magari sarebbe preferibile avere una corretta gestione delle eccezioni senza l'uso di componenti aggiuntivi.
Cerco soltanto di proporre nel frattempo una soluzione che possa sperabilmente essere d'aiuto all'utenza.

[23Andrea]

...
Cerco soltanto di proporre nel frattempo una soluzione che possa sperabilmente essere d'aiuto all'utenza.

Un pensiero gentile, che apprezzo.
Ma ho seguito un'altra strada.
Visto che, per mia fortuna, i siti dove devo loggarmi sono ben pochi, faccio così:
1) inserisco l'eccezione di consenso per il sito che mi interessa,
2) navigo un po' a briglia sciolta,
3) controllo quali cookies "intrusi" si sono installati,
4) inserisco altrettante eccezioni di blocco per i cookies "intrusi".

E' un sistema artigianale che ha gravi limiti:
1) se bisogna farlo per decine di siti è troppo laborioso,
2) funziona "ex post facto", e sicuramente bisogna ripetere periodicamente il test.

Poi ci sono molti siti, come mozillaitalia.org, che fortunatamente non scaricano schifezza.
Ci sono siti che forniscono informative dettagliate sui cookies, dando la possibilità di scegliere quali installare.
Anche in internet c'è una minoranza di persone che inserisce il cervello quando lavora.
Per fortuna.

Il mio problema più grave è tim.it, che purtroppo è il sito del mio provider telefonico.
Ma è un caso patologico. O forse sarebbe meglio dire un "caso umano".
Con tutti i loro mezzi (e loro sicuramente ne hanno), bisogna ancora abilitare tls 1.0 per loggarsi.

[Underpass]

Con tutti i loro mezzi (e loro sicuramente ne hanno), bisogna ancora abilitare tls 1.0 per loggarsi.

Davvero? Io ci sono entrato ieri proprio senza abilitare TLS 1.0, o almeno Firefox mi ha fatto entrare normalmente. Adnkronos, invece, chiede esplicitamente di attivare TLS 1.1 e 1.2...

[Underpass]

Ciao, il bug è ancora aperto e vedo qualcuno interessarsene.

[deckard]

Con intervento di Flod.

Status: UNCONFIRMED → NEW
Ever confirmed: true

Il bug è stato riprodotto ed è stato confermato e mi sembra di capire che ci stiano lavorando.

[Iceberg]

Ci stanno lavorando ma il metodo mi sembra ridicolo oltre che inutilmente lento.

I need more info about how you reproduced this. I built a simple local web test on two different domains (1P doc with a 3P iframe both setting a cookie) with the 1P domain allowed to store, but blocking all other cookies. the 3P domain served iframe doesn't store anything unless I allow all cookies.

Assurdo.
I built a simple local web test
Ma vai in un qualsiasi sito fai due clic e ottieni la conferma! 
Virtuale del virtuale tutto è virtuale.
Nella simulazione l'aereo volava non capisco perché sia precipitato.

[Underpass]

Secondo me glielo si potrebbe dire proprio in questi termini.

[Inviato con Tapatalk]

[deckard]

[...Omissis...]
Virtuale del virtuale tutto è virtuale.
Nella simulazione l'aereo volava non capisco perché sia precipitato.

2b Vanità delle vanità, tutto è vanità.
3 Quale utilità ricava l'uomo da tutto l'affanno
per cui fatica sotto il sole?
4 Una generazione va, una generazione viene
ma la terra resta sempre la stessa.

the 3P domain served iframe doesn't store anything unless I allow all cookies.

L'iframe con un dominio servito da un dominio di terza parte non memorizza alcunché a meno che non si permettano tutti i cookie.

Il problema (nella vera e reale parte di Internet di tutti i giorni, ndr) è che se io concedo solo quelli di prima parte, quelli di terza parte dovrebbero rimanere esclusi... O io sono troppo devoto a Sangiovese o qualcosa non mi quadra...

[Iceberg]

Secondo me glielo si potrebbe dire proprio in questi termini.

[Inviato con Tapatalk]

Fatto. Ho descritto una prova concreta, utilizzando un vero sito come esempio.