cookies & privacy

[calcmore]

Buon giorno, sarò duro di orecchie ma io non ho ancora capito bene...

se nella progettazione di un sito ci sono solo quelli che vengono chiamati "cookie tecnici", cioè, in altre parole vengono usate (in alcune pagine) le sessioni PHP, che devo scriverci nel sito ?

una cosa tipo "questo sito usa cookie solo per scopi PURAMENTE TECNICI", poi ci metto un pulsante di avvenuta lettura ?

o forse il sito, una volta caricato, "acquista" altri cookies a mia insaputa ?

se si, come dovrei fare io per (eventualmente) bloccarli ? è poi, in tal caso, io cosa ne ho a che fare, se non sono stato io a "metterli" ?

grazie in anticipo e scusate il disturbo

[GraphOGLRisorse]

Salve,
deve semplicemente aggiungere nelle pagine del sito i codici che trova nel pannello di controllo (qui).

Cordiali saluti.

[frasidipace]

Attenzione però alle varie opzioni che hai all'interno del sito. Ad esempio dichiari in una pagina di catturare l'ip dell'utente collegato per il contatore di visite uniche. Questo non è un cookie tecnico, ma di misurazione traffico e l'utente deve poter decidere se accettarlo oppure no, perché l'ip è un dato sensibile.
Una volta configurata la policy su Iubenda, incollerai il codice generato, come ti è stto già indicato, per generare il banner.

Inoltre devi inserire sul footer i pulsanti per accedere alla cookie ed alla privacy policy in qualsiasi momento, e giacché ci sei, inserisci anche il pulsante per dare modo all'utente di modificare le impostazioni di tracciamento, obbligatorio dal prossimo 10 gennaio.

Hai anche un modulo commenti ed un modulo contatti. Anche questi vanno configurati.
Se con questi due moduli, catturi dati sensibili dell'utente (ad es. l'ip) devi inserire a piè del modulo checkbox da flaggare obbligatoriamente prima di inviare il commento, con opportuno testo e link alla privacy policy e devi memorizzare a DB data e ora di accettazione consenso, esportabili e inviabili all'utente che ne faccia richiesta.

Quanto indicato sopra è uno dei motivi per cui ti avevo consigliato di appoggiarti ad un CMS (es. Wordpress) che ha tutte queste configurazioni native.

Fai attenzione, infine, perché al momento il tuo sito non risponde ai requisiti sulla privacy.

Ciao

[calcmore]

grazie per le risposte !

appena posso...provo a sistemare (nei limiti delle mie possibilità)

[calcmore]

sarà una pessima idea NON usare un CMS ma per il momento preferirei così...

per il momento ho sistemato (modifiche non ancora on-line) con un messaggio tipo:

"vuoi autorizzare questo sito a memorizzare il TUO indirizzo IP, si, ok oppure assolutamente no ?"

tale messaggio apparirà appena entri nel sito per la prima volta (in una qualunque delle pagine e bloccando il contenuto della stessa)

poi le volte successive (a seconda della risposta) comparirà:

- "hai scelto di autorizzare la memorizzazione del tuo indirizzo IP (cambia)"
oppure
- "hai scelto di NON autorizzare la memorizzazione del tuo indirizzo IP (cambia)"

nelle pagine che non iniziano per "session_start()" (c'è ne sono parecchie) il sistema non funziona bene quindi (per il momento) ho messo un' ulteriore nota che dice:

"Avviso: se la domanda qui sopra ricompare sempre uguale significa che la pagina ha un problema e dovrai visitarla in un secondo momento...(dopo che avrò sistemato)"

se uno clicca "assolutamente NO" viene registrato l'IP per un solo giorno (la prima visita del giorno dopo il sistema autoancella la lista), cioè in altre parole ho lasciato attivo solo in contatore di visite uniche.

(ripeto, le modifiche non sono ancora on-line)

Domanda: ma mica andrà a finire che è problema pure il contatore di visite uniche ?

(per adesso questo è quanto sono riuscito a fare, che ne dite ?)

[darbula]

Se propaghi un cookie di sessione tra diverse pagine significa il login con l'intestazione SET-COOKIE e poi il cliente alla successiva richiesta invia l'intestazione COOKIE:. La controparte può anche significare se il mio id di sessione è valido non visualizzo la pagina di login ma faccio altro.
session_start() crea o recupera la sessione, vedi la definizione di propagare (in realtà dovresti decidere a priori fin quando un id di sessione è valido). Riferimento verifica temporale dal manuale https://www.php.net/manual/en/functi...enerate-id.php
Se oscuri l'ultimo ottetto o esadecimale (ipv 6) puoi anche non chiedere il consenso.
Senza consenso non puoi indicare dati personali (nick, mail, ip etc.)
Dunque rivedi la logica del tuo session_start() poiché non è corretta.

[frasidipace]

A mio avviso non è corretto il banner che hai realizzato.
Il visitatore deve essere avvisato che utilizzi cookie, deve avere la possibilità di personalizzare il tracciamento e deve avere la possibilità di leggere la tua cookie policy.
Come ho già indicato in precedenza, per il contatore devi indicare al visitatore il cookie di misurazione che lo stesso visitatore deve poter rifiutare o accettare.
Il banner, infine, non deve essere ripresentato al visitatore per almeno 6 mesi, sempreché lo stesso non abbia cancellato i cookies dal suo browser, oppure tu non faccia aggiornamenti alla tua cookie policy.
Non capisco, però, il motivo per cui non generi una cookie e privacy policy attraverso Iubenda, che Altervista ti mette a disposizione gratuitamente, incollando poi gli script all'interno del tuo codice. In pochi minuti risolveresti tutti i problemi.
Diversamente dovrai prevedere tutte le logiche e scriverti la cookie e la privacy policy da pubblicare sul sito. In tal caso devi studiarti con attenzione quanto richiesto dal Garante della privacy.


Ciao

[calcmore]

grazie per le risposte !

abbiate pazienza...che ho le idee "a bit cofused"

x darbula

Se propaghi un cookie di sessione tra diverse pagine significa il login con l'intestazione SET-COOKIE e poi il cliente alla successiva richiesta invia l'intestazione COOKIE:. La controparte può anche significare se il mio id di sessione è valido non visualizzo la pagina di login ma faccio altro.
session_start() crea o recupera la sessione, vedi la definizione di propagare (in realtà dovresti decidere a priori fin quando un id di sessione è valido). Riferimento verifica temporale dal manuale https://www.php.net/manual/en/functi...enerate-id.php
Se oscuri l'ultimo ottetto o esadecimale (ipv 6) puoi anche non chiedere il consenso.
Senza consenso non puoi indicare dati personali (nick, mail, ip etc.)
Dunque rivedi la logica del tuo session_start() poiché non è corretta.

non lo so se ho capito bene...tu intendi dire che mettere molteplici pagine che iniziano per "session_start()" non è corretto ?

in realtà dovresti decidere a priori fin quando un id di sessione è valido

perchè ? le sessioni non hanno in automatico una scadenza ? e poi come dovrei fare, in pratica ?

Senza consenso non puoi indicare dati personali (nick, mail, ip etc.)

quindi ci vuole un pulsante (o link) di conferma anche per quello ?
dubbio: ma per "indicare" intendi "fare un echo di quei dati, rendedoli visibili a tutti" o "tenere in memoria quei dati (senza però divulgarli)" ?

x frasidipace

il cookie di misurazione

ma questo "cookie di misurazione" che dici tu è un normale cookie ? dovrei metterlo con scadenza un giorno ? ma in tal caso se l'utente lo cancella praticamente mi sballa in contatore di viste uniche, no ?
dubbio: il contatore di visite unico tramite memorizzazione degli indirizzi IP non posso farlo neanche se l'utente mi da l' ok a trattare il suo indirizzo IP ?

A mio avviso non è corretto il banner che hai realizzato.
Il visitatore deve essere avvisato che utilizzi cookie, deve avere la possibilità di personalizzare il tracciamento e deve avere la possibilità di leggere la tua cookie policy.

dubbio: usero senza dubbi o iubenda (sperando che non ci siano problemi) MA comunque il meccanismo che disattiva (o avvia) il salvataggio degli ip non devo comunque scriverlo io ? o forse no ?

grazie ancora !

[frasidipace]

x frasidipace

ma questo "cookie di misurazione" che dici tu è un normale cookie ? dovrei metterlo con scadenza un giorno ? ma in tal caso se l'utente lo cancella praticamente mi sballa in contatore di viste uniche, no ?
dubbio: il contatore di visite unico tramite memorizzazione degli indirizzi IP non posso farlo neanche se l'utente mi da l' ok a trattare il suo indirizzo IP ?
!

Il cookie di misurazione non è un cookie tecnico strettamente necessario al funzionamento del sito. Se il vivitatore non accetta, non puoi rilevare la sua visita perché non hai il consenso a rilevare il suo IP. Devi esplicitare la sua esistenza nell'elenco dei cookies.
Una volta memorizzato il cookie sul browser del vivitatore, il banner non deve essere più riproposto per almeno 6 mesi (obbligatorio dal 10 gennaio 2022).
Allego un esempio di pannello generato con Iubenda:

dubbio: usero senza dubbi o iubenda (sperando che non ci siano problemi) MA comunque il meccanismo che disattiva (o avvia) il salvataggio degli ip non devo comunque scriverlo io ? o forse no ?

grazie ancora !

Se attivi Iubenda dovrai solo inserire i codici forniti dal pannello Iubenda nel tuo sito ed al momento non dovrai fare altro.
Al visitatore verrà mostrato un banner come quello di seguito allegato, attraverso il quale potrà accettare o rifiutare tutto, oppure personalizzare le scelte:



Dal 10 gennaio 2022 sarà obbligatorio fornire al vivitatore la possibilità di modificare le proprie scelte in qualsiasi momento. A tal proposito Iubenda genera già il codice per inserire un pulsante nel footer.
Ricordati che sei su un sito di terzo livello, pertanto dovrai aggiungere nel pannello di configurazione Iubenda il Local Consent Domain col nome del tuo sito, altrimenti il banner verrà visualizzato ogni volta che il vivitatore cambia pagina. Per la configurazione corretta fai riferiemento a questa pagina.

Ciao

[calcmore]

scusate tanto se vi disturbo ancora...

stavo facendo mente locale, mi pare che il mio sito, come è ora, faccia:

- raccolta indirizzi IP, HTTP_USER_AGENT e HTTP_REFERER (NO nome/cognome NO indirizzo NO nick/username), usato per eventuale ban e un minimo di statistiche

- statistiche varie: visite uniche (salvato stesso IP, per 24h), pagine piaciute / pagine non piacute uniche (in base a IP)

- google search console (devo dichiare anche questo ?)

- form di contati (IP + messaggio dell'utente)

- avventura-quiz: memorizza IP + nick + orario + risposte date al gioco

- richiesta e-mail per betatesting di un app (un piccolo gioco), non mi ricordo se salva anche l'IP...magari quando ho più tempo controllo...

- nella pagina "english_esercise_c.php" c'è un contatore di "mi piace" unici per ogni quesito (quindi anche qui memorizza gli IP di chi ha messo il like)


-----



una curiosità: mi confermate che se uno neccessita del piano pro è comunque tutto gratis (almeno per chi usa altervista) ?

adesso che ci ripenso: ma usare "google search console" devo consideralo come una cosa da aggiungere alla policy ??

il "site scanner" (di iubenda) come fa a sapere se il mio sito, ad esempio, salva gli indirizzi ip degli utenti o meno ? cioè in altre parole: non ho ben capito che tipo di test(s) fa...

in oltre: se voglio bannare un certo ip (o un range di IP) dovrò sapere quali sono questi IP, come devo comportarmi in tal caso...boh, sarà scontato (?), ma io mica ancora ho capito...

che devo usare IP parziali (senza gli ultimi 8 bit) come diceva darbula ? ma non sarebbe un metodo impreciso ?

per ora ho aggiunto nel policy edit :

- app center
- sistema di commento gestito in modo diretto (questo forse potrei toglierlo e lasciare solo "modulo di contatto", che ne dite ?)
- modulo di contatto

invece, erano presenti di default:

- altervista advertising
- altervista platform


grazie in anticipo per eventuali risposte

[GraphOGLRisorse]

Altervista Platform deve essere sempre presente nella policy mentre Altervista Advertising è necessario nel caso in cui nel sito vengano erogati i banner pubblicitari. Ad ongi modo, posono esser usati entrambi anche se non si fa uso dei banner. Di default, per semplificare vengono messi entrabi.

Quin di se ha rimosso Altervista Platform e Altervista Advertising. li riaggiunga al resto.

https://tutorial.altervista.org/atti...policy-gratis/

Cordiali saluti.

[frasidipace]

per ora ho aggiunto nel policy edit :

- app center
- sistema di commento gestito in modo diretto (questo forse potrei toglierlo e lasciare solo "modulo di contatto", che ne dite ?)
- modulo di contatto

Se il sistema di commenti non richiede dati sensibili, puoi ometterlo. Del resto se lo inserisci devi dichiarare quali dati sensibili richiedi (nome, cognome, email, ecc.). Inoltre, come ti avevo già scritto in precedenza, se catturi dati sensibili in fase di scrittura commenti, devi prevedere checkbox obbligatoria per il consenso e memorizzazione del consenso pe rpoterlo documentare. Idem per il modulo contatti, nonché per l'app center per il cui funzionamento chiedi la mail.
Devi inserire anche il tracciamento del contatore e puoi indicare in configurazione la durata della memorizzazione.

adesso che ci ripenso: ma usare "google search console" devo consideralo come una cosa da aggiungere alla policy ??

Dipende cosa hai configurato in console. Se ad esempio hai attivato Google Analytics devi aggiungerlo alla policy. Qualora ne faccia uso, devi aggiungere anche i font di Google.

una curiosità: mi confermate che se uno neccessita del piano pro è comunque tutto gratis (almeno per chi usa altervista) ?

La partenership tra Altervista e Iubenda mette a disposizione una versione PRO gratuita dei servizo Iubenda, tranne "Termini e condizioni" ed il nuovo servizio di memorizzazione del consenso cookies.

Ciao