Cookies and Content Security Policy

Nytt tillägg håller koll på kakor och skript.

Tillägget Cookies and Content Security Policy, som just nu väntar på att släppas på wordpress.org, löser problemet med cookievarningar och GDPR genom att faktiskt ge användarna kontroll över vad som används och inte används. Vi har sett sådana lösningar tidigare, Quantcasts är nog vanligast, men utbudet är skralt och inte särskilt avancerat.

Johan Stenström, mer känd som Jonk, på Follow me Darling fick i uppdrag att lösa problemet åt en kund, och det resulterade i just tillägget Cookies and Content Security Policy. Vi tog ett snack med honom om saken.


Intervju med Jonk

Hur kommer det sig att du byggde det här tillägget?
Som följd av cookie-lagen och GDPR så vill de flesta efterleva de lagar och krav som finns, och jag har fått frågan många gånger om det finns någon bra cookie-plugin. Och eftersom jag vet att lagen säger att man inte får sätta några tredjeparts-cookies innan besökaren tillåtit detta så har svaret blivit: Nej. Tittar man dessutom på hur det ser ut där ute på internet så inser man ganska snabbt att nästan ingen lever upp till dessa kraven. Då pratar vi även om väldigt stora bolag som t ex Ikea och H&M.

Så, när en av mina kunder (Draftit) som jobbar med Privacy och har verktyg för att företag ska kunna efterleva GDPR frågade mig om jag kunde lösa det så började jag att fundera. Hur i hela friden ska jag kunna blockera cookies som jag inte har koll på? Administratören kan installera Google Analytics, de kan embedda YouTube, eller Vimeo, eller något annat som genererar en tredjeparts-cookie och vips har man brutit mot lagen. Jag hade aldrig hört talas om Content Security Policy innan utan råkade på det när jag undersökte vad som fanns, gjorde några snabba tester och insåg att jag hade hittat rätt väg. Allt som inte är godkänt genom vitlistning och godkänt av besökaren blockeras. Så om en administratör lägger in något olämpligt, eller om man får in något olämpligt via hack på ett eller annat sätt som kommer dessa script, frames och bilder att blockeras av CSP.

Kunden Draftit gick med på att inte behålla koden som jag tekniskt sett utvecklat åt dem, utan gick med på mitt förslag att släppa det fritt. Det känns som att internet behöver det. Så jag har utvecklat det halva tiden hos dem, och resten på egen tid.

Kan du berätta lite om tekniken bakom?
CSP ligger som ett lager mellan alla requests och besökaren och om en domän inte är godkänd så görs inte ens requesten. I mitt fall lägger jag det i header i php, men man kan också lägga det som meta via javascript, men det är lite lättare att manipulera då.

Johan ”Jonk” Stenström

Det kräver ju lite förståelse för vad tillägget är till för och gör, samt att man begriper lite kod, för att använda det här fullt ut. Finns det några planer på att hjälpa nybörjare med förinställningar eller dylikt?
Det finns hjälptexter och exempel på domäner som man kan vilja tillåta. Men det är också så att om man bara installerar pluginet utan att konfigurera några tillåtna domäner så fungerar det alldeles utmärkt. Det blockerar hämtning av allt från andra domäner förutom den egna. Det finns dessutom en inställning man kan göra i admin att inte visa någon modal eller banner för att besökaren ska godkänna cookies utan man kan helt enkelt använda det i det dolda som en säkerhetsplugin för CSP om man vill.

Vad kommer härnäst?
Just nu ligger pluginet för review hos WordPress Plugin Directory och är i sluttampen med finjusteringar. Just nu ligger det live på: draftitprivacy.com, draftitprivacy.se, draftitprivacy.no, draftitprivacy.co.uk, expolon.se, expohr.se samt oddoneout.se.

Framöver har jag planer på att kunna visa någon form av information till användare som valt att inte godkänna cookies, varför t.ex. en inbäddad film eller inbäddad karta inte laddas. Men det väntar jag med tills pluginen har kommit genom review.


Tack för att du tog dig tid, Jonk!

För dig som är nyfiken så är Cookies and Content Security Policy ganska enkelt att sätta upp. Du aktiverar det och vips går det live, så ha dina texter redo eller testa på en testmiljö först. Nedan följer en liten överblick, men bäst är förstås att testa själv när tillägget väl är släppt på wordpress.org.

Du har full kontroll över alla texter som tillägget spottar ut
Användaren får kontroll över vad som är okej, och inte okej, för dig att göra – och skripten laddas därefter
Skriv gärna något mindre sarkastiskt än ovan…
Tillägget har färginställningar för det mesta

Det finns gott om inställningar och val att göra i Cookies and Content Security Policy, och som Jonk säger i intervjun ovan så kan du köra det rakt av – men då blir ju texterna lite tokiga, och kanske färgerna med. Var således förberedd med innehållet, för så fort du aktiverar tillägget så går det live på din sajt. En inställning för detta, alltså när tillägget faktiskt börjar användas publikt, vore bra för uppsättningssyfte.

Du kan även välja att hantera såväl CSS som JavaScript i ditt tema, vilket känns väldigt sympatiskt. Utöver det så finns det ett alternativ till modalen ovan, nämligen en liten list längst ned, för dig som inte vill vara så in your face på dina besökare, men likväl tvinga dem att agera.

Vi återkommer förstås med en länk så snart tillägget är släppt på wordpress.org. Nu är tillägget släppt på wordpress.org!

Created with Sketch. Scrolla för mer läsning