Pillar 2 of 4
Find the cookie set before the consent banner showed up
We load your page in a clean browser, capture every cookie set in the first 2.5 seconds, and tell you which ones are tracking users without consent.
The pre-consent problem regulators care about
GDPR and ePrivacy require that any non-essential cookie or tracker is blocked until the user actively opts in. A surprising number of sites get this wrong because their tag manager fires Google Analytics or Meta Pixel before the consent banner has rendered. Even with a Cookiebot or OneTrust banner installed, the underlying scripts are often loaded with the page rather than gated behind the consent decision. We simulate a fresh visitor with no prior consent state. Anything in the cookie jar after page load — that isn't strictly necessary — is a finding.
Security flags that quietly fail in production
Modern browsers reject cookies with SameSite=None unless the Secure flag is present. We flag these because they break silently — your auth might appear to work locally and fail for a percentage of users in the wild. Long-expiry cookies (over a year) are a soft GDPR signal: regulators have written guidance suggesting cookie lifetimes should be proportionate to purpose, and 13 months is the de-facto retention cap most DPAs accept.
Classification you can trust
Every cookie name is checked against an exact-match dictionary first, then a prefix list (so _ga_XXXX inherits Google Analytics's classification). Cookies we can't classify get a minor severity finding so a human can confirm them — better to surface the unknown than to silently call it 'necessary'.
Ejemplos de hallazgos
Se detectó rastreo antes del consentimiento
La cookie "_fbp" (Meta Pixel, marketing) se configuró antes de que el usuario diera consentimiento. La cookie se emitió 1.2 segundos después de cargar la página, mientras el banner de consentimiento aún se estaba montando. Para resolverlo, activa el script de Meta Pixel detrás del toggle "marketing" de tu plataforma de gestión de consentimiento.
Cookie : _fbp Domain : .example.com Category : marketing Set at : t=1.2s (banner aún no interactuado) Expiry : 90 days
SameSite=None sin la bandera Secure
La cookie de sesión "sid" se configura con SameSite=None pero sin la bandera Secure. El Chromium moderno y Firefox rechazan silenciosamente esta combinación, así que un porcentaje de tus usuarios — cualquiera que tenga actualizaciones del navegador de los últimos tres años — perderá el estado de forma intermitente. El desarrollo local oculta el problema porque localhost se trata como Secure.
Set-Cookie: sid=abc123; Path=/; SameSite=None; HttpOnly Fix: agrega la bandera Secure y asegúrate de que la cookie solo se configure sobre HTTPS: Set-Cookie: sid=abc123; Path=/; SameSite=None; Secure; HttpOnly
Caducidad de cookies superior a 13 meses
La cookie "_ga" (Google Analytics, analítica) se configura con una caducidad de 24 meses. La mayoría de autoridades europeas de protección de datos han publicado lineamientos que tratan 13 meses como el máximo de facto para cookies de analítica, citando la proporcionalidad de ePrivacy. Una auditoría del regulador lo marcaría como retención excesiva.
Cookie : _ga Expiry : 24 months (730 days) DPA cap : 13 months (CNIL, ICO, AEPD) Fix: en tu administración de GA4, establece "Data retention" a 14 meses o menos, o autoalójala con una caducidad personalizada.
Escanea tu sitio en 60 segundos
25 créditos gratis. Sin tarjeta de crédito. Hallazgos reales en la página que te importa.