Skip to main content

Typer av informasjonskapsler: En komplett teknisk veiledning

Ikke alle informasjonskapsler er like. Typen informasjonskapsel avgjør hvor lenge den varer, hvem som kan lese den, hvor sikkert den overføres, og – ikke minst – om den krever brukerens samtykke. Å forstå disse forskjellene er avgjørende både for etterlevelse og implementering.

Øktinformasjonskapsler vs. varige informasjonskapsler

Det mest grunnleggende skillet handler om hvor lenge en informasjonskapsel varer.

Øktinformasjonskapsler

En øktinformasjonskapsel eksisterer kun så lenge en nettleserøkt varer. Den har ingen Expires- eller Max-Age-attributt. Når brukeren lukker nettleseren, slettes informasjonskapselen.

Set-Cookie: cart_id=xyz789; Path=/; Secure; HttpOnly

Øktinformasjonskapsler brukes vanligvis til:

  • Å opprettholde innloggingsstatus under et besøk
  • Innholdet i handlekurven
  • CSRF-beskyttelsestokener
  • Data fra skjemaer med flere trinn

Fordi øktinformasjonskapsler ikke varer, er de generelt mindre inngripende fra et personvernperspektiv. De krever imidlertid fortsatt samtykke dersom de ikke er strengt nødvendige for tjenesten brukeren har bedt om.

Varige informasjonskapsler

En varig informasjonskapsel har en eksplisitt utløpsdato. Den overlever omstart av nettleseren og forblir på brukerens enhet til den utløper eller slettes manuelt.

Set-Cookie: preferences_lang=en; Path=/; Max-Age=31536000; Secure

Denne informasjonskapselen varer i ett år (31 536 000 sekunder). Vanlige bruksområder inkluderer:

  • Husk meg-funksjonalitet ved innlogging
  • Språk- og temapreferanser
  • Analyseidentifikatorer (Google Analytics-informasjonskapsler varer i opptil 2 år)
  • Annonsesporing (enkelte annonseinformasjonskapsler varer i 13 måneder eller mer)

Varige informasjonskapsler er underlagt strengere granskning i henhold til personvernregelverket. CNIL (Frankrikes datatilsynsmyndighet) har anbefalt en maksimal levetid på 13 måneder for informasjonskapsler, og samtykke må også fornyes minst hver 13. måned.

Førsteparts- vs. tredjepartsinformasjonskapsler

Dette skillet står sentralt i personverndebatten og påvirker samtykkekravene direkte.

Førstepartsinformasjonskapsler

En førstepartsinformasjonskapsel settes av domenet brukeren faktisk besøker. Hvis du besøker example.com, er enhver informasjonskapsel som settes av example.com en førstepartsinformasjonskapsel.

Førstepartsinformasjonskapsler brukes til grunnleggende nettstedsfunksjonalitet: økter, preferanser og analyser som nettstedseieren selv kjører. De kan bare leses av domenet som satte dem.

Eksempel: Du besøker shop.example.com. Serveren setter en informasjonskapsel med navnet session_id. Denne informasjonskapselen sendes kun til shop.example.com og dets underdomener. Ingen andre nettsteder får tilgang til den.

Tredjepartsinformasjonskapsler

En tredjepartsinformasjonskapsel settes av et annet domene enn det brukeren besøker. Når example.com laster inn et annonseskript fra ads.tracker.com, og det skriptet setter en informasjonskapsel under domenet tracker.com, er det en tredjepartsinformasjonskapsel.

Slik fungerer sporing på tvers av nettsteder. tracker.com-informasjonskapselen sendes med hver forespørsel til tracker.com, uansett hvilket nettsted som utløste forespørselen. Hvis skriptene til tracker.com er bygget inn på 10 000 nettsteder, kan de observere samme bruker på tvers av alle 10 000 nettstedene.

Tredjepartsinformasjonskapsler er hovedmålet både for regulatorisk håndheving og for restriksjoner på nettlesernivå:

  • Safari har blokkert tredjepartsinformasjonskapsler som standard siden 2020 (ITP)
  • Firefox blokkerer kjente tredjepartssporere som standard (ETP)
  • Chrome går bort fra tredjepartsinformasjonskapsler med sitt Privacy Sandbox-initiativ
  • Regulatoriske håndhevingstiltak retter seg i overveldende grad mot tredjeparts sporingsinformasjonskapsler

Sikre informasjonskapsler

En informasjonskapsel med attributten Secure sendes kun over HTTPS-tilkoblinger. Den vil aldri overføres over ukryptert HTTP.

Set-Cookie: auth_token=secret123; Secure

Dette hindrer en man-in-the-middle-angriper i å avlytte informasjonskapselen på en usikker tilkobling. Enhver informasjonskapsel som inneholder sensitiv informasjon – øktidentifikatorer, autentiseringstokener, personopplysninger – bør alltid merkes med Secure.

Fra et etterlevelsesperspektiv kan det å unnlate å bruke Secure-flagget på sensitive informasjonskapsler anses som en unnlatelse av å implementere egnede tekniske tiltak etter GDPR artikkel 32 (sikkerhet ved behandling).

HttpOnly-informasjonskapsler

En informasjonskapsel med attributten HttpOnly kan ikke aksesseres av JavaScript via document.cookie. Den sendes kun med HTTP-forespørsler til serveren.

Set-Cookie: session_id=abc123; HttpOnly

Dette er et kritisk sikkerhetstiltak. Cross-site scripting (XSS)-angrep forsøker ofte å stjele informasjonskapsler ved å injisere JavaScript som leser document.cookie. HttpOnly-flagget hindrer denne angrepsvektoren fullstendig.

Øktinformasjonskapsler og autentiseringsinformasjonskapsler bør nesten alltid være HttpOnly. Informasjonskapsler som må leses av JavaScript på klientsiden (for eksempel preferanseinformasjonskapsler som påvirker brukergrensesnittet) kan ikke være HttpOnly.

SameSite-informasjonskapsler

Attributten SameSite styrer om en informasjonskapsel sendes med forespørsler på tvers av nettsteder. Den ble innført for å redusere cross-site request forgery (CSRF)-angrep og for å gi nettsteder mer kontroll over atferden til informasjonskapsler på tvers av nettsteder.

SameSite=Strict

Informasjonskapselen sendes kun med forespørsler som stammer fra samme nettsted. Hvis en bruker klikker på en lenke på other.com som fører til your-site.com, vil informasjonskapselen ikke sendes med den innledende forespørselen.

Dette er den sikreste innstillingen, men den kan bryte legitim funksjonalitet. Hvis en bruker for eksempel klikker på en lenke til nettstedet ditt fra en e-post, vil ikke øktinformasjonskapselen deres sendes, og de vil fremstå som utlogget.

SameSite=Lax

Informasjonskapselen sendes med navigering på toppnivå (klikking på en lenke), men ikke med underforespørsler på tvers av nettsteder (innlasting av bilder, rammer eller AJAX-forespørsler fra et annet nettsted). Dette er standardinnstillingen i moderne nettlesere hvis ingen SameSite-attributt er spesifisert.

Lax gir en fornuftig balanse mellom sikkerhet og brukervennlighet. Den hindrer tredjepartsnettsteder i å utløse autentiserte handlinger på nettstedet ditt, samtidig som vanlig lenkenavigasjon fortsatt fungerer.

SameSite=None

Informasjonskapselen sendes med alle forespørsler, inkludert forespørsler på tvers av nettsteder. Dette er nødvendig for at tredjepartsinformasjonskapsler skal fungere. En informasjonskapsel som settes med SameSite=None må også ha attributten Secure.

Set-Cookie: tracking_id=xyz; SameSite=None; Secure

Enhver informasjonskapsel som må fungere på tvers av nettsteder (innebygde widgets, tredjepartsautentisering, sporing på tvers av nettsteder) må bruke SameSite=None. Dette blir stadig mer relevant etter hvert som nettlesere strammer inn sine standardretningslinjer for informasjonskapsler.

Zombie-informasjonskapsler og superinformasjonskapsler

Disse er verdt å nevne fordi de representerer forsøk på å omgå personvernkontroller:

  • Zombie-informasjonskapsler er informasjonskapsler som gjenoppretter seg selv etter å ha blitt slettet. De fungerer vanligvis ved å lagre samme identifikator i flere lagringsmekanismer (informasjonskapsler, localStorage, IndexedDB, Flash LSO-er) og bruke den som overlever til å regenerere de andre. Denne praksisen anses bredt som villedende og har vært gjenstand for håndhevingstiltak.
  • Superinformasjonskapsler er sporingsmekanismer som opererer på et nivå under vanlige informasjonskapsler – som header-injeksjon på ISP-nivå (Verizons UIDH) eller HSTS-basert fingeravtrykk. De er ekstremt vanskelige for brukere å kontrollere eller slette.

Både zombie-informasjonskapsler og superinformasjonskapsler er klart uforenlige med kravene i GDPR og ePrivacy. Bruk av dem vil utgjøre et brudd på prinsippene om åpenhet, lovlighet og dataminimering.

Sammenligningstabell

Type Levetid Omfang Krever vanligvis samtykke? Viktige bruksområder
Økt Kun nettleserøkt Førstepart Bare hvis ikke-nødvendig Innloggingsstatus, handlekurv, CSRF-tokener
Varig (førstepart) Dager til år Førstepart Vanligvis ja Preferanser, analyser, husk meg
Varig (tredjepart) Dager til år På tvers av nettsteder Nesten alltid ja Annonsering, retargeting, sosiale widgets
Secure Varierer Kun HTTPS Avhenger av formålet Enhver sensitiv informasjonskapsel
HttpOnly Varierer Kun serverside Avhenger av formålet Økt-ID-er, autentiseringstokener
SameSite=Strict Varierer Kun samme nettsted Avhenger av formålet CSRF-sensitive operasjoner
SameSite=Lax Varierer Samme nettsted + navigering på toppnivå Avhenger av formålet Generell øktbehandling
SameSite=None Varierer Alle kontekster (krever Secure) Nesten alltid ja Tredjepartsinnbygginger, autentisering på tvers av nettsteder

Hva dette betyr for etterlevelse

Typen informasjonskapsel påvirker etterlevelsesforpliktelsene dine direkte:

  1. Førsteparts øktinformasjonskapsler som er strengt nødvendige (innloggingsøkter, handlekurver, CSRF-tokener) er unntatt fra samtykkekrav etter ePrivacy artikkel 5(3).
  2. Varige førstepartsinformasjonskapsler for analyser, preferanser eller funksjonalitet krever generelt samtykke – selv om enkelte datatilsyn tillater begrensede unntak for førstepartsanalyser under spesifikke vilkår.
  3. Tredjepartsinformasjonskapsler av enhver art krever nesten alltid eksplisitt forhåndssamtykke. Det finnes svært få legitime unntak.
  4. Sikkerhetsattributter (Secure, HttpOnly, SameSite) endrer ikke samtykkekravene, men bruk av dem demonstrerer god sikkerhetspraksis – noe som er et GDPR-krav i seg selv.

Å vite nøyaktig hvilke informasjonskapsler nettstedet ditt setter – og hvilken type hver enkelt er – er grunnlaget for ethvert etterlevelsesprogram. Passiros skanner identifiserer og klassifiserer automatisk hver informasjonskapsel på nettstedet ditt, inkludert tredjepartsinformasjonskapsler satt av innebygde skript du kanskje ikke engang er klar over.

Nå som vi forstår typene, la oss se på hvordan informasjonskapsler organiseres i samtykkekategorier – klassifiseringssystemet som avgjør hvordan de vises i cookie-banneret ditt.

Overholder nettstedet ditt informasjonskapselreglene?

Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.

Skann informasjonskapslene dine gratis