Pillar 2 of 4
Find the cookie set before the consent banner showed up
We load your page in a clean browser, capture every cookie set in the first 2.5 seconds, and tell you which ones are tracking users without consent.
The pre-consent problem regulators care about
GDPR and ePrivacy require that any non-essential cookie or tracker is blocked until the user actively opts in. A surprising number of sites get this wrong because their tag manager fires Google Analytics or Meta Pixel before the consent banner has rendered. Even with a Cookiebot or OneTrust banner installed, the underlying scripts are often loaded with the page rather than gated behind the consent decision. We simulate a fresh visitor with no prior consent state. Anything in the cookie jar after page load — that isn't strictly necessary — is a finding.
Security flags that quietly fail in production
Modern browsers reject cookies with SameSite=None unless the Secure flag is present. We flag these because they break silently — your auth might appear to work locally and fail for a percentage of users in the wild. Long-expiry cookies (over a year) are a soft GDPR signal: regulators have written guidance suggesting cookie lifetimes should be proportionate to purpose, and 13 months is the de-facto retention cap most DPAs accept.
Classification you can trust
Every cookie name is checked against an exact-match dictionary first, then a prefix list (so _ga_XXXX inherits Google Analytics's classification). Cookies we can't classify get a minor severity finding so a human can confirm them — better to surface the unknown than to silently call it 'necessary'.
指摘の例
同意前のトラッキングが検出されました
クッキー「_fbp」(Meta Pixel、マーケティング)が、ユーザーが同意する前に設定されています。このクッキーはページ読み込み後1.2秒で発行されており、同意バナーがまだ表示/マウントされる途中のタイミングでした。解決するには、Meta Pixel のスクリプトを同意管理プラットフォームの「marketing」トグルの後ろに切り替えてください。
Cookie : _fbp Domain : .example.com Category : marketing Set at : t=1.2s(バナー操作前) Expiry : 90 days
Secureフラグなしの SameSite=None
セッションクッキー「sid」が SameSite=None で設定されていますが Secure フラグがありません。最新のChromiumやFirefoxは、この組み合わせを黙って拒否するため、ユーザーの一部(過去3年以内にブラウザ更新を行ったユーザーなど)は状態が断続的に失われます。ローカル開発では localhost がSecureとして扱われるため、この問題が隠れてしまいます。
Set-Cookie: sid=abc123; Path=/; SameSite=None; HttpOnly Fix: Secureフラグを追加し、クッキーは HTTPS 経由でのみ設定してください: Set-Cookie: sid=abc123; Path=/; SameSite=None; Secure; HttpOnly
クッキーの有効期限が13か月を超えています
クッキー「_ga」(Google Analytics、分析)が24か月の期限で設定されています。EUの多くのデータ保護当局は、13か月を分析クッキーの事実上の上限として扱うガイダンスを公表しており、ePrivacyの比例性を根拠としています。規制当局の監査では、過度な保管(retention)として指摘される可能性があります。
Cookie : _ga Expiry : 24 months (730 days) DPA cap : 13 months (CNIL, ICO, AEPD) Fix: GA4の管理画面で「Data retention」を14か月以下に設定するか、独自の期限でセルフホストしてください。