Доброго времени суток, коллеги!
В России существует законодательство, регулирующее работу с cookie-файлами на сайтах. Куки-файлы считаются персональными данными и их обработка регулируется ФЗ-152 (законом о персональных данных).
В связи с этим у меня возник вопрос: Подпадают ли под этот закон информационные сайты, где нет регистрации пользователей?
С одной стороны - не должны бы. Но! Персональными данными является в том числе электронная почта, которая фиксируется на сайте, когда пользователь оставляет комментарий. Также данные собирает Метрика - айпиадреса, например. Исходя из этого получается, что практически все сайты должны разместить поп-ап баннер о сборе cookie с кнопкой “ОК” и уведомить Роскомнадзор о деятельности по обработке персональных данных.
Кто что думает по этому поводу?
Тут в треде всё смешали в кучу — куки, персональные данные, метрику, РКН. Давайте разложим по полочкам, потому что куки кукам рознь.
Что такое кука технически? Это пара ключ=значение, которую сервер просит браузер сохранить. Всё. Сама по себе кука — это не персональные данные, точно так же как пустой конверт — это не письмо.
Какие куки НЕ являются персональными данными:
— Сессионные куки ( PHPSESSID , session_id ) — живут до закрытия браузера, нужны чтобы сайт работал. Без них не будет корзины, авторизации, CSRF-защиты. Это техническая необходимость, а не сбор данных.
— Функциональные куки — язык интерфейса, тема оформления, cookie_consent=yes (ирония — сама кука о согласии на куки). Никакой идентификации пользователя.
— First-party куки без привязки к личности — например, last_visited_page=/catalog . Нет ни email, ни IP, ни имени. Это не ПД ни по ФЗ-152, ни по GDPR.
Какие куки ЯВЛЯЮТСЯ (или могут являться) персональными данными:
— Куки трекинговых систем: _ym_uid (Метрика), _ga (Google Analytics) — уникальные идентификаторы, которые позволяют отслеживать пользователя между визитами и потенциально между сайтами. Вот это уже идентификатор, который в совокупности с другими данными может считаться ПД.
— Third-party куки рекламных сетей (РСЯ, Google Ads) — тут вообще прямая передача поведенческих данных третьим лицам.
— Куки, содержащие JWT-токен с email или user_id внутри — это буквально персональные данные в чистом виде. Кстати, многие даже не знают, что у них в куке лежит Base64-закодированный JSON с email пользователя — открывается декодером за секунду.
Практический вывод:
Если у вас статический сайт без метрики, без рекламы, без форм — у вас, скорее всего, вообще нет кук или есть только технические. Никакой регистрации в РКН не нужно.
Если у вас стоит Метрика — у вас _ym_uid , и формально вы оператор ПД. Но обратите внимание: сама Метрика в стандартной конфигурации не показывает IP пользователя. Яндекс его хеширует на своей стороне. Вы как оператор его не видите и не обрабатываете.
Про «удалить Google Analytics и reCAPTCHA» — это перебор. reCAPTCHA ставит куку _GRECAPTCHA , но она нужна для защиты формы, а не для идентификации. Удалять защиту от спама ради параноидального прочтения закона — так можно и HTTPS отключить, потому что сертификат хранит данные о соединении.
По поводу попапов «Мы используем куки» — в российском законодательстве, в отличие от GDPR, нет прямого требования показывать баннер. ФЗ-152 требует получить согласие на обработку ПД, но форма этого согласия не регламентирована. Попап — это калька с европейского ePrivacy Directive, которая в РФ юридической силы не имеет. Делают «на всякий случай».
Кстати, я публикую расширения для браузеров — инструменты, которые как раз работают с куками (просмотр, экспорт, декодирование JWT прямо в cookie). Так вот, Chrome Web Store и другие маркетплейсы при ревью смотрят именно на то, собирает ли расширение ПД. И первый вопрос — какие куки ты читаешь и зачем. Техническая кука для хранения настроек — ок, отслеживающий идентификатор — объясняй зачем. Подход ровно тот же, что и в законе: контекст решает всё.
Формальных требований к расположению нет — ни ГОСТов, ни предписаний РКН. Футер — это просто устоявшаяся конвенция, потому что пользователь ожидает найти там юридическую информацию.
Но вот вам практический кейс. Публикую расширения для браузеров в Chrome Web Store, Edge Add-ons, Firefox AMO, а также плагины на WordPress.org. Везде при публикации требуют указать URL на Privacy Policy. И знаете что? Им всё равно где она лежит. Принимают ссылку на страницу сайта, на отдельный .md файл в GitHub-репозитории, хоть на Google Doc — лишь бы по ссылке был текст политики. У меня на нескольких проектах privacy policy — это буквально файл PRIVACY.md в репо на GitHub. Chrome Web Store пропускает, ревью проходит, вопросов ноль.
Так что для российского законодательства — да, футер + попап при первом визите (как коллега выше написал) это разумный минимум. А по факту даже крупные платформы не проверяют вложенность — проверяют наличие текста по ссылке.
Подскажите, пожалуйста, как через .htaccess сделать редирект.
Яндекс стал дописывать в урл сайтов, когда переходишь в поиске, например ?ysclid=lx34aaez17299711936
У меня стоит редирект с одной страницы, на другую, но если дописать, то 301 уже не срабатывает. И получается, если перейти из поиска, то открывается старая страница с ?ysclid=lx34aaez17299711936, если убрать это, то 301 на новую происходит.
Сайт на wp, пользуюсь плагином Redirection, сейчас хочу попробовать через htaccess сделать.
Поможет кто?
ErrorDocument 404 не работает потому, что WordPress обрабатывает все запросы через index.php (благодаря правилам rewrite в .htaccess), и Apache никогда не видит "настоящий" 404--
Изменения в 1.0.21
Новое:
- 404 Catch-All Redirect — перенаправление всех 404-страниц на указанный URL (или на главную)
- Настройки catch-all: включение/выключение, целевой URL, код статуса (301/302)
- Бейдж «WP Only» на карточке catch-all в настройках (фича не ускоряется через Cloudflare edge)
- Settings-ссылка на странице плагинов
--P.S. Добавлено решение простой настройкой, в новую версию плагина. Ждем только вашего фидбека )
С июня 2025 провайдеры (Ростелеком, МТС, МегаФон и др.) режут трафик CF до ~12–16 КБ на соединение. Реально проходит стабильно 12–14 КБ — этого хватает на чистый 301/302 редирект (несколько килобайт заголовков), но уже не на нормальную страницу с картинками/JS/CSS.
Причина — TLS ECH + общий подход РКН к маскировке трафика. Трафик CF из РФ просел на ~30%, конверсии падают, плач стоит на всю...
Что работает сейчас:
Вывод: CF — топ для мира, но для РФ-проектов лучше локальные аналоги + TDS при сложной логике. Кто уже мигрировал — отпишитесь, как дела с VK Cloud / Selectel / NGENIX."
Мы только что опубликовали новый видеообзор на нашем YouTube-канале, который показывает, как быстро и безопасно купить Биткоин в России с помощью обменника криптовалют Swop.is.
Мы решили рассмотреть Swop.is, так как этот сервис зарекомендовал себя как надежный и удобный ресурс для обмена криптовалют.
В нашем видео мы детально проходим каждый шаг, начиная от регистрации на платформе до выполнения обмена, также рассказываем о привлекательной реферальной программе Swop.is.
Мы включили Swop.is в наш обновленный рейтинг лучших обменников криптовалют: https://investblog.io/exchangers/
Заинтересованы? Тогда смотрите наше видео:
Будем рады обсудить ваши впечатления и ответить на ваши вопросы. Оставляйте свои комментарии ниже или прямо под видео на YouTube.
Спасибо за внимание и приятного просмотра!
Самый кошерный и трендовый трафик для казино - это нынче стримы.
Вот полный список стримеров казино. Если у вас продукт с лицензией, то можно договориться с ведущими. Ну и просто баннера не пробовали скупать на тематике?
