Skip to main content

Τύποι Cookies: Ένας Πλήρης Τεχνικός Οδηγός

Δεν είναι όλα τα cookies ίδια. Ο τύπος του cookie καθορίζει πόσο διαρκεί, ποιος μπορεί να το διαβάσει, πόσο ασφαλώς μεταδίδεται και — το πιο κρίσιμο — αν απαιτεί τη συγκατάθεση του χρήστη. Η κατανόηση αυτών των διακρίσεων είναι απαραίτητη τόσο για τη συμμόρφωση όσο και για την υλοποίηση.

Cookies Συνεδρίας vs. Μόνιμα Cookies

Η πιο θεμελιώδης διάκριση είναι το πόσο διαρκεί ένα cookie.

Cookies Συνεδρίας

Ένα cookie συνεδρίας υπάρχει μόνο για τη διάρκεια μιας συνεδρίας του προγράμματος περιήγησης. Δεν έχει το χαρακτηριστικό Expires ή Max-Age. Όταν ο χρήστης κλείνει το πρόγραμμα περιήγησης, το cookie διαγράφεται.

Set-Cookie: cart_id=xyz789; Path=/; Secure; HttpOnly

Τα cookies συνεδρίας χρησιμοποιούνται συνήθως για:

  • Διατήρηση της κατάστασης σύνδεσης κατά τη διάρκεια μιας επίσκεψης
  • Περιεχόμενα καλαθιού αγορών
  • Tokens προστασίας από CSRF
  • Δεδομένα φορμών πολλαπλών βημάτων

Επειδή τα cookies συνεδρίας δεν παραμένουν, είναι γενικά λιγότερο παρεμβατικά από πλευράς απορρήτου. Ωστόσο, εξακολουθούν να απαιτούν συγκατάθεση εάν δεν είναι απολύτως απαραίτητα για την υπηρεσία που έχει ζητήσει ο χρήστης.

Μόνιμα Cookies

Ένα μόνιμο cookie έχει ρητή ημερομηνία λήξης. Επιβιώνει από τις επανεκκινήσεις του προγράμματος περιήγησης και παραμένει στη συσκευή του χρήστη μέχρι να λήξει ή να διαγραφεί χειροκίνητα.

Set-Cookie: preferences_lang=en; Path=/; Max-Age=31536000; Secure

Αυτό το cookie θα παραμείνει για έναν χρόνο (31.536.000 δευτερόλεπτα). Οι συνήθεις χρήσεις περιλαμβάνουν:

  • Λειτουργία σύνδεσης «να με θυμάσαι»
  • Προτιμήσεις γλώσσας και θέματος
  • Αναγνωριστικά analytics (τα cookies του Google Analytics παραμένουν έως και 2 χρόνια)
  • Διαφημιστική παρακολούθηση (ορισμένα διαφημιστικά cookies παραμένουν για 13 μήνες ή περισσότερο)

Τα μόνιμα cookies υπόκεινται σε μεγαλύτερο έλεγχο βάσει των κανονισμών απορρήτου. Η CNIL (η γαλλική αρχή προστασίας δεδομένων) έχει συστήσει μέγιστη διάρκεια ζωής cookie 13 μηνών, ενώ η συγκατάθεση πρέπει επίσης να ανανεώνεται τουλάχιστον κάθε 13 μήνες.

Cookies Πρώτου Μέρους vs. Cookies Τρίτου Μέρους

Αυτή η διάκριση βρίσκεται στο επίκεντρο της συζήτησης περί απορρήτου και επηρεάζει άμεσα τις απαιτήσεις συγκατάθεσης.

Cookies Πρώτου Μέρους

Ένα cookie πρώτου μέρους ορίζεται από τον τομέα που επισκέπτεται πραγματικά ο χρήστης. Αν επισκεφθείτε το example.com, οποιοδήποτε cookie οριστεί από το example.com είναι cookie πρώτου μέρους.

Τα cookies πρώτου μέρους χρησιμοποιούνται για τη βασική λειτουργικότητα του ιστότοπου: συνεδρίες, προτιμήσεις, analytics που εκτελεί ο ίδιος ο διαχειριστής του ιστότοπου. Μπορούν να διαβαστούν μόνο από τον τομέα που τα όρισε.

Παράδειγμα: Επισκέπτεστε το shop.example.com. Ο διακομιστής ορίζει ένα cookie με το όνομα session_id. Αυτό το cookie αποστέλλεται μόνο στο shop.example.com και στους υποτομείς του. Κανένας άλλος ιστότοπος δεν μπορεί να το προσπελάσει.

Cookies Τρίτου Μέρους

Ένα cookie τρίτου μέρους ορίζεται από τομέα διαφορετικό από αυτόν που επισκέπτεται ο χρήστης. Όταν το example.com φορτώνει ένα διαφημιστικό script από το ads.tracker.com, και αυτό το script ορίζει ένα cookie υπό τον τομέα tracker.com, αυτό είναι ένα cookie τρίτου μέρους.

Έτσι λειτουργεί η παρακολούθηση μεταξύ ιστότοπων. Το cookie του tracker.com αποστέλλεται με κάθε αίτημα προς το tracker.com, ανεξάρτητα από τον ιστότοπο που ενεργοποίησε το αίτημα. Αν τα scripts του tracker.com είναι ενσωματωμένα σε 10.000 ιστότοπους, μπορούν να παρατηρήσουν τον ίδιο χρήστη σε όλους αυτούς τους 10.000 ιστότοπους.

Τα cookies τρίτου μέρους αποτελούν τον κύριο στόχο τόσο της κανονιστικής επιβολής όσο και των περιορισμών σε επίπεδο προγράμματος περιήγησης:

  • Ο Safari μπλοκάρει τα cookies τρίτου μέρους από προεπιλογή από το 2020 (ITP)
  • Ο Firefox μπλοκάρει από προεπιλογή γνωστούς trackers τρίτου μέρους (ETP)
  • Ο Chrome απομακρύνεται σταδιακά από τα cookies τρίτου μέρους με την πρωτοβουλία Privacy Sandbox
  • Οι δράσεις κανονιστικής επιβολής στοχεύουν συντριπτικά τα cookies παρακολούθησης τρίτου μέρους

Ασφαλή Cookies (Secure)

Ένα cookie με το χαρακτηριστικό Secure αποστέλλεται μόνο μέσω συνδέσεων HTTPS. Δεν θα μεταδοθεί ποτέ μέσω μη κρυπτογραφημένου HTTP.

Set-Cookie: auth_token=secret123; Secure

Αυτό εμποδίζει έναν επιτιθέμενο τύπου man-in-the-middle να υποκλέψει το cookie σε μια μη ασφαλή σύνδεση. Οποιοδήποτε cookie περιέχει ευαίσθητες πληροφορίες — αναγνωριστικά συνεδρίας, tokens ελέγχου ταυτότητας, προσωπικά δεδομένα — θα πρέπει πάντα να επισημαίνεται ως Secure.

Από πλευράς συμμόρφωσης, η αποτυχία χρήσης της σημαίας Secure σε ευαίσθητα cookies θα μπορούσε να θεωρηθεί αποτυχία εφαρμογής κατάλληλων τεχνικών μέτρων βάσει του Άρθρου 32 του GDPR (ασφάλεια της επεξεργασίας).

Cookies HttpOnly

Ένα cookie με το χαρακτηριστικό HttpOnly δεν μπορεί να προσπελαστεί από JavaScript μέσω του document.cookie. Αποστέλλεται μόνο με αιτήματα HTTP προς τον διακομιστή.

Set-Cookie: session_id=abc123; HttpOnly

Αυτό αποτελεί ένα κρίσιμο μέτρο ασφαλείας. Οι επιθέσεις cross-site scripting (XSS) συχνά επιχειρούν να κλέψουν cookies εισάγοντας JavaScript που διαβάζει το document.cookie. Η σημαία HttpOnly αποτρέπει πλήρως αυτόν τον δίαυλο επίθεσης.

Τα cookies συνεδρίας και τα cookies ελέγχου ταυτότητας θα πρέπει σχεδόν πάντα να είναι HttpOnly. Τα cookies που πρέπει να διαβάζονται από JavaScript στην πλευρά του πελάτη (όπως cookies προτιμήσεων που επηρεάζουν το UI) δεν μπορούν να είναι HttpOnly.

Cookies SameSite

Το χαρακτηριστικό SameSite ελέγχει αν ένα cookie αποστέλλεται με αιτήματα μεταξύ ιστότοπων. Εισήχθη για τον μετριασμό των επιθέσεων cross-site request forgery (CSRF) και για να δώσει στους ιστότοπους μεγαλύτερο έλεγχο στη συμπεριφορά των cookies μεταξύ ιστότοπων.

SameSite=Strict

Το cookie αποστέλλεται μόνο με αιτήματα που προέρχονται από τον ίδιο ιστότοπο. Αν ένας χρήστης κάνει κλικ σε έναν σύνδεσμο στο other.com που οδηγεί στο your-site.com, το cookie δεν θα αποσταλεί με αυτό το αρχικό αίτημα.

Αυτή είναι η πιο ασφαλής ρύθμιση, αλλά μπορεί να διακόψει νόμιμη λειτουργικότητα. Για παράδειγμα, αν ένας χρήστης κάνει κλικ σε έναν σύνδεσμο προς τον ιστότοπό σας από ένα email, το cookie συνεδρίας του δεν θα αποσταλεί και θα φαίνεται αποσυνδεδεμένος.

SameSite=Lax

Το cookie αποστέλλεται με πλοηγήσεις ανώτατου επιπέδου (κλικ σε σύνδεσμο) αλλά όχι με υποαιτήματα μεταξύ ιστότοπων (φόρτωση εικόνων, πλαισίων ή αιτημάτων AJAX από άλλον ιστότοπο). Αυτή είναι η προεπιλογή στα σύγχρονα προγράμματα περιήγησης εάν δεν καθορίζεται χαρακτηριστικό SameSite.

Το Lax παρέχει μια λογική ισορροπία μεταξύ ασφάλειας και χρηστικότητας. Εμποδίζει τους ιστότοπους τρίτου μέρους να ενεργοποιούν πιστοποιημένες ενέργειες στον ιστότοπό σας, ενώ ταυτόχρονα επιτρέπει την κανονική λειτουργία της πλοήγησης μέσω συνδέσμων.

SameSite=None

Το cookie αποστέλλεται με όλα τα αιτήματα, συμπεριλαμβανομένων των αιτημάτων μεταξύ ιστότοπων. Αυτό απαιτείται για τη λειτουργία των cookies τρίτου μέρους. Ένα cookie που έχει οριστεί με SameSite=None πρέπει επίσης να έχει το χαρακτηριστικό Secure.

Set-Cookie: tracking_id=xyz; SameSite=None; Secure

Οποιοδήποτε cookie πρέπει να λειτουργεί σε πλαίσιο μεταξύ ιστότοπων (ενσωματωμένα widgets, έλεγχος ταυτότητας τρίτου μέρους, παρακολούθηση μεταξύ ιστότοπων) πρέπει να χρησιμοποιεί SameSite=None. Αυτό γίνεται ολοένα και πιο σημαντικό καθώς τα προγράμματα περιήγησης αυστηροποιούν τις προεπιλεγμένες πολιτικές τους για τα cookies.

Zombie Cookies και Supercookies

Αξίζει να αναφερθούν καθώς αντιπροσωπεύουν προσπάθειες παράκαμψης των ελέγχων απορρήτου:

  • Τα zombie cookies είναι cookies που αναδημιουργούνται μετά τη διαγραφή τους. Λειτουργούν συνήθως αποθηκεύοντας το ίδιο αναγνωριστικό σε πολλαπλούς μηχανισμούς αποθήκευσης (cookies, localStorage, IndexedDB, Flash LSOs) και χρησιμοποιώντας όποιον επιβιώνει για να αναδημιουργήσουν τους υπόλοιπους. Η πρακτική αυτή θεωρείται ευρέως παραπλανητική και έχει αποτελέσει αντικείμενο δράσεων επιβολής.
  • Τα supercookies είναι μηχανισμοί παρακολούθησης που λειτουργούν σε επίπεδο κάτω από τα κανονικά cookies — όπως η εισαγωγή headers σε επίπεδο ISP (το UIDH της Verizon) ή η αναγνώριση (fingerprinting) βασισμένη σε HSTS. Είναι εξαιρετικά δύσκολο για τους χρήστες να τα ελέγξουν ή να τα διαγράψουν.

Τόσο τα zombie cookies όσο και τα supercookies είναι σαφώς ασυμβίβαστα με τις απαιτήσεις του GDPR και της ePrivacy. Η χρήση τους θα συνιστούσε παραβίαση των αρχών της διαφάνειας, της νομιμότητας και της ελαχιστοποίησης των δεδομένων.

Πίνακας Σύγκρισης

Τύπος Διάρκεια Ζωής Εμβέλεια Απαιτείται Συνήθως Συγκατάθεση; Βασικές Περιπτώσεις Χρήσης
Συνεδρίας Μόνο η συνεδρία του προγράμματος περιήγησης Πρώτου μέρους Μόνο εάν δεν είναι απαραίτητα Κατάσταση σύνδεσης, καλάθι, tokens CSRF
Μόνιμα (1ου μέρους) Ημέρες έως χρόνια Πρώτου μέρους Συνήθως ναι Προτιμήσεις, analytics, «να με θυμάσαι»
Μόνιμα (3ου μέρους) Ημέρες έως χρόνια Μεταξύ ιστότοπων Σχεδόν πάντα ναι Διαφήμιση, retargeting, social widgets
Secure Ποικίλλει Μόνο HTTPS Εξαρτάται από τον σκοπό Οποιοδήποτε ευαίσθητο cookie
HttpOnly Ποικίλλει Μόνο στην πλευρά του διακομιστή Εξαρτάται από τον σκοπό Αναγνωριστικά συνεδρίας, tokens ταυτότητας
SameSite=Strict Ποικίλλει Μόνο ίδιος ιστότοπος Εξαρτάται από τον σκοπό Ευαίσθητες σε CSRF λειτουργίες
SameSite=Lax Ποικίλλει Ίδιος ιστότοπος + πλοήγηση ανώτατου επιπέδου Εξαρτάται από τον σκοπό Γενική διαχείριση συνεδρίας
SameSite=None Ποικίλλει Όλα τα πλαίσια (απαιτεί Secure) Σχεδόν πάντα ναι Ενσωματώσεις τρίτου μέρους, έλεγχος ταυτότητας μεταξύ ιστότοπων

Τι Σημαίνει Αυτό για τη Συμμόρφωση

Ο τύπος του cookie επηρεάζει άμεσα τις υποχρεώσεις συμμόρφωσής σας:

  1. Τα cookies συνεδρίας πρώτου μέρους που είναι απολύτως απαραίτητα (συνεδρίες σύνδεσης, καλάθια αγορών, tokens CSRF) εξαιρούνται από τις απαιτήσεις συγκατάθεσης βάσει του Άρθρου 5(3) της ePrivacy.
  2. Τα μόνιμα cookies πρώτου μέρους για analytics, προτιμήσεις ή λειτουργικότητα απαιτούν γενικά συγκατάθεση — αν και ορισμένες αρχές προστασίας δεδομένων επιτρέπουν περιορισμένες εξαιρέσεις για analytics πρώτου μέρους υπό συγκεκριμένες προϋποθέσεις.
  3. Τα cookies τρίτου μέρους οποιουδήποτε είδους απαιτούν σχεδόν πάντα ρητή προηγούμενη συγκατάθεση. Υπάρχουν πολύ λίγες νόμιμες εξαιρέσεις.
  4. Τα χαρακτηριστικά ασφαλείας (Secure, HttpOnly, SameSite) δεν αλλάζουν τις απαιτήσεις συγκατάθεσης, αλλά η χρήση τους αποδεικνύει καλή πρακτική ασφάλειας — κάτι που αποτελεί από μόνο του απαίτηση του GDPR.

Η ακριβής γνώση του ποια cookies ορίζει ο ιστότοπός σας — και ποιου τύπου είναι το καθένα — αποτελεί το θεμέλιο κάθε προγράμματος συμμόρφωσης. Ο σαρωτής της Passiro εντοπίζει και ταξινομεί αυτόματα κάθε cookie στον ιστότοπό σας, συμπεριλαμβανομένων των cookies τρίτου μέρους που ορίζονται από ενσωματωμένα scripts των οποίων ίσως ούτε καν να γνωρίζετε την ύπαρξη.

Τώρα που κατανοήσαμε τους τύπους, ας δούμε πώς τα cookies οργανώνονται σε κατηγορίες συγκατάθεσης — το σύστημα ταξινόμησης που καθορίζει πώς εμφανίζονται στο banner cookies σας.

Συμμορφώνεται ο ιστότοπός σας με τους κανονισμούς cookies;

Σαρώστε τον ιστότοπό σας δωρεάν και βρείτε όλα τα cookies σε λίγα λεπτά.

Σαρώστε τα cookies σας δωρεάν