Skip to main content

Tipi ta' Cookies: Gwida Teknika Kompluta

Mhux il-cookies kollha huma l-istess. It-tip ta' cookie jiddetermina kemm iddum tippersisti, min jista' jaqraha, kemm tivvjaġġa b'mod sigur, u — l-aktar importanti — jekk teħtieġx il-kunsens tal-utent. Il-fehim ta' dawn id-distinzjonijiet huwa essenzjali kemm għall-konformità kif ukoll għall-implimentazzjoni.

Cookies tas-Sessjoni vs. Cookies Persistenti

L-aktar distinzjoni fundamentali hija kemm iddum cookie.

Cookies tas-Sessjoni

Cookie tas-sessjoni teżisti biss għat-tul ta' sessjoni tal-browser. M'għandhiex attribut Expires jew Max-Age. Meta l-utent jagħlaq il-browser tiegħu, il-cookie titħassar.

Set-Cookie: cart_id=xyz789; Path=/; Secure; HttpOnly

Il-cookies tas-sessjoni tipikament jintużaw għal:

  • Iż-żamma tal-istat ta' login matul żjara
  • Il-kontenut tal-basket tax-xiri
  • Tokens ta' protezzjoni CSRF
  • Data ta' formola b'diversi passi

Peress li l-cookies tas-sessjoni ma jippersistux, ġeneralment huma inqas invażivi mill-perspettiva tal-privatezza. Madankollu, xorta jeħtieġu l-kunsens jekk mhumiex strettament meħtieġa għas-servizz li l-utent talab.

Cookies Persistenti

Cookie persistenti għandha data ta' skadenza espliċita. Tissopravivi għall-bidu mill-ġdid tal-browser u tibqa' fuq l-apparat tal-utent sakemm tiskadi jew titħassar manwalment.

Set-Cookie: preferences_lang=en; Path=/; Max-Age=31536000; Secure

Din il-cookie tippersisti għal sena (31,536,000 sekonda). Użi komuni jinkludu:

  • Funzjonalità ta' login "ftakarni"
  • Preferenzi tal-lingwa u tat-tema
  • Identifikaturi tal-analitika (il-cookies ta' Google Analytics jippersistu sa sentejn)
  • Traċċar tar-reklamar (xi cookies tar-reklami jippersistu għal 13-il xahar jew aktar)

Il-cookies persistenti huma soġġetti għal skrutinju akbar taħt ir-regolamenti tal-privatezza. Il-CNIL (l-awtorità tal-protezzjoni tad-data ta' Franza) irrakkomandat li l-ħajja massima ta' cookie tkun ta' 13-il xahar, u l-kunsens irid jiġġedded ukoll mill-inqas kull 13-il xahar.

Cookies tal-Ewwel Parti vs. Cookies ta' Terzi

Din id-distinzjoni hija ċentrali għad-dibattitu dwar il-privatezza u taffettwa direttament ir-rekwiżiti tal-kunsens.

Cookies tal-Ewwel Parti

Cookie tal-ewwel parti tiġi ssettjata mid-dominju li l-utent qed iżur fil-verità. Jekk iżżur example.com, kull cookie ssettjata minn example.com hija cookie tal-ewwel parti.

Il-cookies tal-ewwel parti jintużaw għall-funzjonalità ewlenija tal-websajt: sessjonijiet, preferenzi, analitika li l-operatur tal-websajt iħaddem hu stess. Jistgħu jinqraw biss mid-dominju li ssettjahom.

Eżempju: Iżżur shop.example.com. Is-server jissettja cookie bl-isem session_id. Din il-cookie tintbagħat biss lil shop.example.com u s-subdominji tiegħu. L-ebda websajt oħra ma tista' taċċessaha.

Cookies ta' Terzi

Cookie ta' terzi tiġi ssettjata minn dominju differenti minn dak li l-utent qed iżur. Meta example.com jgħabbi skrittura ta' reklamar minn ads.tracker.com, u dik l-iskrittura tissettja cookie taħt id-dominju tracker.com, dik hija cookie ta' terzi.

Hekk jaħdem it-traċċar bejn is-siti. Il-cookie tracker.com tintbagħat ma' kull talba lil tracker.com, irrispettivament minn liema websajt tat bidu għat-talba. Jekk l-iskritturi ta' tracker.com huma inkorporati fuq 10,000 websajt, jistgħu josservaw l-istess utent fis-siti kollha 10,000.

Il-cookies ta' terzi huma l-mira ewlenija kemm tal-infurzar regolatorju kif ukoll tar-restrizzjonijiet fil-livell tal-browser:

  • Safari imblokka l-cookies ta' terzi b'mod awtomatiku mill-2020 (ITP)
  • Firefox jimblokka trackers magħrufa ta' terzi b'mod awtomatiku (ETP)
  • Chrome qed jgħaddi minn tranżizzjoni 'l bogħod mill-cookies ta' terzi bl-inizjattiva Privacy Sandbox tiegħu
  • L-azzjonijiet ta' infurzar regolatorju fil-biċċa l-kbira jimmiraw lejn il-cookies ta' traċċar ta' terzi

Cookies Sikuri

Cookie bl-attribut Secure tintbagħat biss fuq konnessjonijiet HTTPS. Qatt ma tiġi trażmessa fuq HTTP mhux ikkriptat.

Set-Cookie: auth_token=secret123; Secure

Dan jevita li attakkant man-in-the-middle jinterċetta l-cookie fuq konnessjoni mhux sigura. Kull cookie li fiha informazzjoni sensittiva — identifikaturi tas-sessjoni, tokens ta' awtentikazzjoni, data personali — għandha dejjem tiġi mmarkata Secure.

Mill-perspettiva tal-konformità, li ma tużax il-flag Secure fuq cookies sensittivi jista' jitqies bħala nuqqas li jiġu implimentati miżuri tekniċi xierqa taħt l-Artikolu 32 tal-GDPR (sigurtà tal-ipproċessar).

Cookies HttpOnly

Cookie bl-attribut HttpOnly ma tistax tiġi aċċessata mill-JavaScript permezz ta' document.cookie. Tintbagħat biss ma' talbiet HTTP lis-server.

Set-Cookie: session_id=abc123; HttpOnly

Din hija miżura ta' sigurtà kritika. L-attakki ta' cross-site scripting (XSS) ta' spiss jippruvaw jisirqu cookies billi jinjettaw JavaScript li jaqra document.cookie. Il-flag HttpOnly jevita dan il-vettur għalkollox.

Il-cookies tas-sessjoni u l-cookies ta' awtentikazzjoni għandhom kważi dejjem ikunu HttpOnly. Il-cookies li jeħtieġu jinqraw mill-JavaScript min-naħa tal-klijent (bħal cookies ta' preferenzi li jaffettwaw il-UI) ma jistgħux ikunu HttpOnly.

Cookies SameSite

L-attribut SameSite jikkontrolla jekk cookie tintbagħatx ma' talbiet cross-site. Ġie introdott biex jimmitiga l-attakki ta' cross-site request forgery (CSRF) u biex jagħti lis-siti aktar kontroll fuq l-imġiba tal-cookies cross-site.

SameSite=Strict

Il-cookie tintbagħat biss ma' talbiet li joriġinaw mill-istess sit. Jekk utent jikklikkja link fuq other.com li jmur għal your-site.com, il-cookie mhux se tintbagħat ma' dik it-talba inizjali.

Dan huwa l-issettjar l-aktar sigur iżda jista' jkisser funzjonalità leġittima. Pereżempju, jekk utent jikklikkja link għas-sit tiegħek minn email, il-cookie tas-sessjoni tiegħu ma tintbagħatx, u jidher li ħareġ mill-login.

SameSite=Lax

Il-cookie tintbagħat ma' navigazzjonijiet ta' livell għoli (klikk fuq link) iżda mhux ma' subrikjesti cross-site (tgħabbija ta' immaġini, frames, jew tagħmel talbiet AJAX minn sit ieħor). Dan huwa d-default fil-browsers moderni jekk ma jiġi speċifikat l-ebda attribut SameSite.

Lax jipprovdi bilanċ raġonevoli bejn is-sigurtà u l-użabbiltà. Jevita li siti ta' terzi jagħtu bidu għal azzjonijiet awtentikati fuq is-sit tiegħek filwaqt li xorta jippermetti li n-navigazzjoni normali tal-links taħdem.

SameSite=None

Il-cookie tintbagħat ma' kull talba, inklużi talbiet cross-site. Dan huwa meħtieġ biex il-cookies ta' terzi jaħdmu. Cookie ssettjata b'SameSite=None trid ikollha wkoll l-attribut Secure.

Set-Cookie: tracking_id=xyz; SameSite=None; Secure

Kull cookie li teħtieġ taħdem f'kuntest cross-site (widgets inkorporati, awtentikazzjoni ta' terzi, traċċar cross-site) trid tuża SameSite=None. Dan qed isir dejjem aktar rilevanti hekk kif il-browsers jissikkaw il-politiki default tagħhom dwar il-cookies.

Cookies Zombie u Supercookies

Dawn jistħoqqilhom li jissemmew għax jirrappreżentaw tentattivi biex jiġu evitati l-kontrolli tal-privatezza:

  • Il-cookies zombie huma cookies li joħolqu lilhom infushom mill-ġdid wara li jitħassru. Tipikament jaħdmu billi jaħżnu l-istess identifikatur f'diversi mekkaniżmi ta' ħażna (cookies, localStorage, IndexedDB, Flash LSOs) u jużaw dak li jissopravivi biex jiġġeneraw l-oħrajn. Din il-prattika hija meqjusa b'mod wiesa' bħala qarrieqa u kienet is-suġġett ta' azzjonijiet ta' infurzar.
  • Is-supercookies huma mekkaniżmi ta' traċċar li joperaw f'livell taħt il-cookies normali — bħall-injezzjoni ta' headers fil-livell tal-ISP (l-UIDH ta' Verizon) jew fingerprinting ibbażat fuq HSTS. Huma estremament diffiċli għall-utenti biex jikkontrollawhom jew iħassruhom.

Kemm il-cookies zombie kif ukoll is-supercookies huma b'mod ċar inkompatibbli mar-rekwiżiti tal-GDPR u l-ePrivacy. L-użu tagħhom jikkostitwixxi ksur tal-prinċipji ta' trasparenza, legalità u minimizzazzjoni tad-data.

Tabella ta' Paragun

Tip Ħajja Skop Kunsens Ġeneralment Meħtieġ? Każijiet Ewlenin ta' Użu
Sessjoni Sessjoni tal-browser biss Ewwel parti Biss jekk mhux essenzjali Stat ta' login, basket, tokens CSRF
Persistenti (ewwel parti) Jiem sa snin Ewwel parti Ġeneralment iva Preferenzi, analitika, ftakarni
Persistenti (terzi) Jiem sa snin Cross-site Kważi dejjem iva Reklamar, retargeting, widgets soċjali
Sikura Tvarja HTTPS biss Jiddependi mill-iskop Kull cookie sensittiva
HttpOnly Tvarja Naħa tas-server biss Jiddependi mill-iskop IDs tas-sessjoni, tokens ta' awtentikazzjoni
SameSite=Strict Tvarja Same-site biss Jiddependi mill-iskop Operazzjonijiet sensittivi għal CSRF
SameSite=Lax Tvarja Same-site + nav ta' livell għoli Jiddependi mill-iskop Ġestjoni ġenerali tas-sessjoni
SameSite=None Tvarja Il-kuntesti kollha (jeħtieġ Secure) Kważi dejjem iva Inkorporamenti ta' terzi, awtentikazzjoni cross-site

Xi Jfisser Dan għall-Konformità

It-tip ta' cookie jaffettwa direttament l-obbligi tal-konformità tiegħek:

  1. Il-cookies tas-sessjoni tal-ewwel parti li huma strettament meħtieġa (sessjonijiet ta' login, baskets tax-xiri, tokens CSRF) huma eżenti mir-rekwiżiti tal-kunsens taħt l-Artikolu 5(3) tal-ePrivacy.
  2. Il-cookies persistenti tal-ewwel parti għall-analitika, il-preferenzi jew il-funzjonalità ġeneralment jeħtieġu l-kunsens — għalkemm xi DPAs jippermettu eċċezzjonijiet limitati għall-analitika tal-ewwel parti taħt kundizzjonijiet speċifiċi.
  3. Il-cookies ta' terzi ta' kull tip kważi dejjem jeħtieġu kunsens espliċitu minn qabel. Hemm ftit ħafna eċċezzjonijiet leġittimi.
  4. L-attributi ta' sigurtà (Secure, HttpOnly, SameSite) ma jbiddlux ir-rekwiżiti tal-kunsens, iżda l-użu tagħhom juri prattika tajba ta' sigurtà — li fih innifsu huwa rekwiżit tal-GDPR.

Li tkun taf eżattament liema cookies tissettja l-websajt tiegħek — u x'tip huwa kull wieħed — huwa l-bażi ta' kull programm ta' konformità. L-iskaner ta' Passiro jidentifika u jikklassifika awtomatikament kull cookie fuq il-websajt tiegħek, inklużi l-cookies ta' terzi ssettjati minn skritturi inkorporati li forsi lanqas biss taf bihom.

Issa li nifhmu t-tipi, ejja nħarsu lejn kif il-cookies huma organizzati f'kategoriji ta' kunsens — is-sistema ta' klassifikazzjoni li tiddetermina kif jidhru fil-banner tal-cookies tiegħek.

Il-website tiegħek tikkonforma mar-regoli tal-cookies?

Skannja l-website tiegħek b'xejn u sib il-cookies kollha fi ftit minuti.

Skannja l-cookies tiegħek b'xejn