我不知道与不遵守欧盟 cookie 法律有关的任何技术安全影响。

最终，我认为这主要取决于评估者的自由裁量权和评估的背景。隐私问题与安全相关，并具有类似的公关影响，甚至可能被判断为侵犯了个人的权利，所以我认为在某些情况下，这样的调查结果可能是有用的。

对我来说，问题不在于这些事情是否应该报告给客户，而在于它们是否应该在渗透测试报告本身中。还有其他通信渠道可用于传递此信息。这很可能是讨论过的，客户要求将其放入报告中。合规问题甚至可能是首先进行评估的关键驱动因素之一。一些范围明确包括寻找可能使公司或其同事难堪的发现（内容注入在这里很有趣）。

在适当的情况下，我在进行渗透测试工作时向客户报告了从功能问题到拼写错误（尽管是严重的错误后果）的所有内容，因为最终我的工作是帮助改进他们的系统。我认为在报告中包含此类内容并没有什么坏处，因为它总是可以根据客户的要求删除和单独归档。

漏洞是让您对受到伤害的可能性持开放态度的东西。因违反法律而被起诉或起诉是一种伤害形式。因此，不遵守法律是一个漏洞。真的就是这么简单。

这对用户来说是一个安全问题。

不遵守 cookie 相关法律包括在您点击“退出”后在网站上构建关于您的 cookie 数据。如果该网站不承认GDPR（隐私法），那么有关用户的某种程度的个人识别信息将被泄露到该网站的域中、存储并以相当于跟踪的方式使用。这包括：

• 如果弹出横幅说正在使用 cookie 并“单击确定接受”
• 如果没有通知用户，但执行了跟踪
• 如果没有给用户选项或偏好，则执行跟踪。
• 和别的

Cookie 是一项显而易见的测试，它可能是测试跟踪的唯一可靠方法，因为后端技术将是不可见的，除非特定个性化功能在页面浏览量中保持一致

对于我参与过的一些公司，一些律师认为，只要不将会话数据与个人标识符联系起来，cookie 就不是非法的。

无论如何，这可能是错误或虚假陈述的载体，因此我希望它会出现在处理用户安全的报告中。

tl; dr：人们似乎不明白用户隐私对用户来说是一个安全问题。

不遵守法律意味着必须修复该网站。特别是 GDPR 不是一项“可选”法律，您可以在其中接受违规罚款。

所以很可能该站点必须被修复。但 GDPR 的最后期限很紧。许多公司已经意识到他们需要尽早开始。对于其他人来说，像这种情况，这将是一项紧急工作。加急工作的经验是，充其量你能得到所要求的。因此，由于 GDPR 合规性优先，因此在最后一刻对站点进行的更改可能不会经过广泛的安全审查。

例如，GDPR 赋予客户审查自己数据的权利。匆忙实施可能会赋予客户审查其他数据的权利，包括公司敏感数据和来自其他客户的数据。这是一个明确的安全问题。因此，需要尽快遵守 GDPR 被正确地确定为风险因素。