Какво представляват бисквитките?
Бисквитките са малки текстови файлове, които уебсайтовете съхраняват във вашия браузър. Когато посетите даден уебсайт, сървърът може да изпрати бисквитка заедно със съдържанието на страницата. Вашият браузър запазва тази бисквитка и я връща обратно на сървъра при всяка следваща заявка. Този прост механизъм — съхраняване на стойност и връщането ѝ обратно — е основата на почти всяко персонализирано преживяване в мрежата.
Разбирането какво представляват бисквитките, как работят и за какво се използват е първата и най-важна стъпка към съответствието по отношение на бисквитките. Не можете да регулирате нещо, което не разбирате.
Как работят бисквитките технически
По същество бисквитките са двойки ключ-стойност. Всяка бисквитка има име, стойност и набор от атрибути, които контролират нейното поведение. Когато уеб сървър иска да зададе бисквитка, той включва хедър Set-Cookie в своя HTTP отговор:
Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly
Това казва на браузъра: „Съхрани бисквитка с име session_id и стойност abc123. Изпращай я с всяка заявка към който и да е път в този домейн. Пази я до март 2027 г. Изпращай я само през HTTPS. И не позволявай на JavaScript да я достъпва.“
При всяка следваща заявка към този домейн браузърът автоматично включва бисквитката в хедъра Cookie:
Cookie: session_id=abc123
Сървърът чете тази стойност и знае от кого идва заявката. Това е целият механизъм. Бисквитките не са програми. Те не могат да изпълняват код, да достъпват вашата файлова система или да инсталират каквото и да било. Те са пасивни данни — текстови низове, които пътуват насам-натам между браузъра и сървъра.
За какво се използват бисквитките
Бисквитките изпълняват четири основни цели в съвременната мрежа:
Удостоверяване и управление на сесии
Когато влезете в даден уебсайт, сървърът създава сесия и съхранява уникален идентификатор на сесията в бисквитка. Без тази бисквитка сървърът нямаше да има начин да разбере, че следващата ви заявка за страница идва от същия влязъл потребител. Всяко зареждане на страница щеше да изглежда като първо посещение. Кошниците за пазаруване, потребителските профили, административните табла — нищо от това не работи без сесийни бисквитки.
Потребителски предпочитания
Бисквитките запомнят вашите избори. Езикови предпочитания, настройки на темата (тъмен режим спрямо светъл режим), избор на валута, самите избори за съгласие относно бисквитките — всичко това обикновено се съхранява в бисквитки. Когато се върнете на даден сайт и той вече знае, че предпочитате немски, това знание живее в бисквитка.
Анализи и производителност
Услуги като Google Analytics, Matomo и Plausible използват бисквитки, за да разграничават уникалните посетители от завръщащите се, да проследяват кои страници се разглеждат в рамките на една сесия и да измерват как посетителите навигират из сайта. Аналитичната бисквитка обикновено не съдържа лична информация директно — тя съдържа анонимен идентификатор като _ga=GA1.2.123456789.1710000000.
Реклама и проследяване
Тук бисквитките се превръщат в проблем за поверителността. Рекламните мрежи използват бисквитки, за да проследяват потребителите в множество уебсайтове, изграждайки профили на поведение при сърфиране, които позволяват насочена реклама. Когато посетите новинарски сайт и по-късно видите реклами за продукт, който сте разгледали на друг сайт, това е станало възможно благодарение на бисквитки за проследяване между сайтове. Именно тези бисквитки от трети страни са основната цел на съвременната регулация за поверителност.
Кратка история на бисквитките
Бисквитките са изобретени през 1994 г. от Лу Монтули, програмист в Netscape Communications. Първоначалната цел била скромна: Netscape се нуждаела от начин да реализира кошница за пазаруване за клиент в областта на електронната търговия, без да съхранява съдържанието на кошницата на всеки потребител на сървъра. Монтули адаптирал концепцията за „магически бисквитки“ от Unix изчисленията — малки токени, които се предават между програми, за да поддържат състояние.
Първите бисквитки били практично инженерно решение. Но потенциалът им за проследяване бил разпознат бързо. Още през 1996 г. Financial Times публикувал първата статия за широката общественост, повдигаща опасения за поверителността, свързани с бисквитките. До 2002 г. ЕС приел Директивата за електронната неприкосновеност (ePrivacy Directive), която специално се занимава с тях.
През следващите две десетилетия бисквитките се превърнали от прост инструмент за управление на сесии в гръбнак на индустрията за дигитална реклама — и в основна цел на законодателството за поверителност по целия свят.
Защо бисквитките са проблем за поверителността
Проблемът за поверителността при бисквитките не е свързан със самата технология. Бисквитка, която запомня вашето езиково предпочитание, е безобидна. Опасенията възникват от три конкретни употреби:
- Проследяване между сайтове. Бисквитките от трети страни позволяват на рекламните мрежи да следят потребителите из цялата мрежа, изграждайки подробни профили на поведението им при сърфиране. Потребител, който посещава сайт с медицинска информация, сайт на политическа организация и сайт за запознанства, е разкрил чувствителна информация — и всичко това може да бъде свързано чрез бисквитки.
- Липса на прозрачност. Повечето потребители нямат представа колко бисквитки се задават, когато посещават типичен уебсайт. Един-единствен новинарски сайт може да зададе 50-100 бисквитки от десетки различни домейни. Потребителят вижда един уебсайт; зад кулисите десетки компании наблюдават неговото посещение.
- Устойчивост. Бисквитките могат да продължат години. Бисквитка за проследяване, зададена през 2024 г., може все още да идентифицира същия потребител през 2026 г. Тази способност за дългосрочно проследяване, съчетана с обхват между сайтове, създава инфраструктура за наблюдение, която функционира без знанието или значимото съгласие на повечето потребители.
Именно тези опасения са причината Директивата за електронната неприкосновеност (член 5(3)) да изисква информирано съгласие преди поставянето на несъществени бисквитки, а GDPR (членове 4(11) и 7) да поставя строги условия за това как изглежда валидното съгласие.
Отвъд бисквитките: други технологии за проследяване
Съвременната регулация за поверителност не обхваща само бисквитки. Директивата за електронната неприкосновеност се отнася до „съхраняването на информация или получаването на достъп до вече съхранена информация в крайното оборудване на абонат или потребител“. Тази формулировка умишлено обхваща всеки механизъм за съхранение от страна на клиента, включително:
- localStorage и sessionStorage — API-та на Web Storage, които позволяват на уебсайтовете да съхраняват по-големи количества данни в браузъра. За разлика от бисквитките, тези данни не се изпращат автоматично към сървъра, но все още могат да се използват за проследяване и изискват съгласие според същите правила.
- IndexedDB — по-мощна база данни от страна на клиента. Прилагат се същите правила за съгласие.
- Отпечатване на браузъра (fingerprinting) — събиране на характеристики на устройството (разделителна способност на екрана, инсталирани шрифтове, плъгини на браузъра, часова зона) за създаване на уникален идентификатор, без да се съхранява каквото и да било на устройството. Макар че отпечатването не използва бисквитки, то все повече се признава за технология за проследяване, която изисква съгласие. Френската CNIL и няколко други органа за защита на данните са издали насоки, потвърждаващи това.
- Проследяващи пиксели — мънички невидими изображения, зареждани от сървър на трета страна. Самата заявка разкрива IP адреса на потребителя, браузъра и страницата, на която се намира. Проследяващите пиксели често работят във връзка с бисквитки, но могат да функционират и самостоятелно.
- ETag-ове и проследяване чрез кеш — техники, които използват кеширането на браузъра за съхраняване и извличане на идентификатори. Те са по-рядко срещани, но показват защо регулацията се фокусира върху резултата (проследяването), а не върху конкретната технология.
Практическият извод: ако вашият уебсайт съхранява или достъпва информация на устройството на потребител за несъществени цели, или ако използва техники за проследяване на потребителите между сесиите, съгласие почти сигурно е необходимо — независимо дали механизмът е технически „бисквитка“.
Скенерът за бисквитки на Passiro открива всички бисквитки и технологии за проследяване на вашия уебсайт, включително използването на localStorage, скриптове на трети страни и проследяващи пиксели — давайки ви пълна картина на това какво събира вашият сайт.
Основни изводи
- Бисквитките са малки текстови файлове, съхранявани от браузъра и връщани обратно на сървъра при всяка заявка.
- Те служат за легитимни цели (удостоверяване, предпочитания) и за цели, чувствителни за поверителността (анализи, реклама).
- Бисквитките за проследяване от трети страни са основната грижа на регулацията за поверителност.
- Други технологии (localStorage, отпечатване, пиксели) са подчинени на същите изисквания за съгласие.
- Разбирането какви бисквитки използва вашият уебсайт е първата стъпка към съответствието.
След това нека разгледаме подробно различните видове бисквитки — защото видът определя изискванията за съгласие.
В тази секция
Вашият уебсайт съответства ли на правилата за бисквитки?
Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.
Сканирайте бисквитките си безплатно