Pillar 2 of 4
Find the cookie set before the consent banner showed up
We load your page in a clean browser, capture every cookie set in the first 2.5 seconds, and tell you which ones are tracking users without consent.
The pre-consent problem regulators care about
GDPR and ePrivacy require that any non-essential cookie or tracker is blocked until the user actively opts in. A surprising number of sites get this wrong because their tag manager fires Google Analytics or Meta Pixel before the consent banner has rendered. Even with a Cookiebot or OneTrust banner installed, the underlying scripts are often loaded with the page rather than gated behind the consent decision. We simulate a fresh visitor with no prior consent state. Anything in the cookie jar after page load — that isn't strictly necessary — is a finding.
Security flags that quietly fail in production
Modern browsers reject cookies with SameSite=None unless the Secure flag is present. We flag these because they break silently — your auth might appear to work locally and fail for a percentage of users in the wild. Long-expiry cookies (over a year) are a soft GDPR signal: regulators have written guidance suggesting cookie lifetimes should be proportionate to purpose, and 13 months is the de-facto retention cap most DPAs accept.
Classification you can trust
Every cookie name is checked against an exact-match dictionary first, then a prefix list (so _ga_XXXX inherits Google Analytics's classification). Cookies we can't classify get a minor severity finding so a human can confirm them — better to surface the unknown than to silently call it 'necessary'.
Eksempel på funn
Pre-consent tracking oppdaget
Cookie «_fbp» (Meta Pixel, marketing) ble satt før brukeren ga samtykke. Cookien ble utstedt 1,2 sekunder etter side lasting, mens samtykkebanneret fortsatt var i ferd med å lastes. For å løse dette: sperr Meta Pixel-scriptet bak «marketing»-toggleen i samtykkeshåndteringsplattformen din.
Cookie : _fbp Domain : .example.com Category : marketing Set at : t=1.2s (banner ikke interagert med ennå) Expiry : 90 days
SameSite=None uten Secure-flagget
Sesjonscookie «sid» settes med SameSite=None, men uten Secure-flagget. Moderne Chromium og Firefox avviser stille denne kombinasjonen, så en andel av brukerne dine — alle som har fått nettleseroppdateringer de siste tre årene — vil miste state med jevne mellomrom. Lokal utvikling skjuler problemet fordi localhost behandles som Secure.
Set-Cookie: sid=abc123; Path=/; SameSite=None; HttpOnly Fix: legg til Secure-flagget og sørg for at cookien kun settes over HTTPS: Set-Cookie: sid=abc123; Path=/; SameSite=None; Secure; HttpOnly
Cookie-utløp overstiger 13 måneder
Cookie «_ga» (Google Analytics, analytics) settes med 24 måneders utløp. De fleste europeiske tilsynsmyndigheter for databeskyttelse har publisert veiledning som behandler 13 måneder som den faktiske maksgrensen for analytics-cookies, med henvisning til ePrivacy-proporsjonalitet. En regulatorisk audit ville flagge dette som for lang lagring.
Cookie : _ga Expiry : 24 months (730 days) DPA cap : 13 months (CNIL, ICO, AEPD) Fix: i GA4-administrasjonen din, sett «Data retention» til 14 måneder eller mindre, eller self-host med en egendefinert utløpstid.
Scan nettstedet ditt på 60 sekunder
25 gratis credits. Ingen kredittkort. Reelle funn på siden du bryr deg om.