Skip to main content

Mis on küpsised?

Küpsised on väikesed tekstifailid, mida veebisaidid teie brauserisse salvestavad. Veebisaiti külastades võib server saata küpsise koos lehe sisuga. Teie brauser salvestab selle küpsise ja saadab selle iga järgneva päringuga serverisse tagasi. See lihtne mehhanism – salvesta väärtus, saada tagasi – on peaaegu iga isikupärastatud veebikogemuse alus.

Arusaamine sellest, mis on küpsised, kuidas need töötavad ja milleks neid kasutatakse, on esimene oluline samm küpsisenõuetele vastavuse suunas. Ei saa reguleerida seda, mida ei mõisteta.

Kuidas küpsised tehniliselt töötavad

Oma olemuselt on küpsised võti-väärtuse paarid. Küpsisel on nimi, väärtus ja hulk atribuute, mis kontrollivad selle käitumist. Kui veebiserver soovib küpsist seada, lisab ta oma HTTP-vastusesse Set-Cookie päise:

Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly

See ütleb brauserile: „Salvesta küpsis nimega session_id väärtusega abc123. Saada see iga päringuga selle domeeni kõikidele teekondadele. Hoia seda kuni 2027. aasta märtsini. Saada see ainult HTTPSi kaudu. Ja ära lase JavaScriptil sellele ligi pääseda.“

Iga järgneva päringuga sellele domeenile lisab brauser küpsise automaatselt Cookie päisesse:

Cookie: session_id=abc123

Server loeb selle väärtuse ja teab, kellelt päring tuleb. Selles seisnebki kogu mehhanism. Küpsised ei ole programmid. Nad ei saa koodi käivitada, teie failisüsteemile ligi pääseda ega midagi installida. Nad on passiivsed andmed – tekstistringid, mis liiguvad edasi-tagasi brauseri ja serveri vahel.

Milleks küpsiseid kasutatakse

Küpsised täidavad tänapäeva veebis nelja laiemat eesmärki:

Autentimine ja seansihaldus

Kui logite veebisaidile sisse, loob server seansi ja salvestab küpsisesse unikaalse seansi-identifikaatori. Ilma selle küpsiseta ei suudaks server aru saada, et teie järgmine lehepäring tuleb samalt sisselogitud kasutajalt. Iga lehe laadimine tunduks esmakülastusena. Ostukorvid, kasutajakontod, admin-töölauad – ükski neist ei toimi ilma seansiküpsisteta.

Kasutaja eelistused

Küpsised jätavad meelde teie valikud. Keele-eelistused, kujundusseaded (tume vs. hele režiim), valuutavalik, isegi küpsisenõusoleku valikud – need kõik salvestatakse tavaliselt küpsistesse. Kui naasete saidile ja see teab juba, et eelistate saksa keelt, siis see teadmine elab küpsises.

Analüütika ja jõudlus

Sellised teenused nagu Google Analytics, Matomo ja Plausible kasutavad küpsiseid, et eristada unikaalseid külastajaid tagasipöörduvatest, et jälgida, milliseid lehti ühe seansi jooksul vaadatakse, ja et mõõta, kuidas külastajad saidil liiguvad. Analüütikaküpsis ei sisalda tavaliselt otseselt isikuandmeid – see sisaldab anonüümset identifikaatorit nagu _ga=GA1.2.123456789.1710000000.

Reklaam ja jälgimine

Just siin muutuvad küpsised privaatsusprobleemiks. Reklaamivõrgustikud kasutavad küpsiseid, et jälgida kasutajaid mitme veebisaidi lõikes, luues sirvimiskäitumise profiile, mis võimaldavad suunatud reklaami. Kui külastate uudistesaiti ja näete hiljem reklaame toote kohta, mida vaatasite teisel saidil, tegid selle võimalikuks saidiülesed jälgimisküpsised. Need kolmanda osapoole küpsised on tänapäevase privaatsusregulatsiooni peamine sihtmärk.

Küpsiste lühiajalugu

Küpsised leiutas 1994. aastal Lou Montulli, Netscape Communicationsi programmeerija. Algne eesmärk oli tagasihoidlik: Netscape vajas viisi, kuidas rakendada e-kaubanduse kliendi jaoks ostukorvi, ilma et iga kasutaja korvisisu tuleks serveris hoida. Montulli kohandas Unixi-arvutuse „maagiliste küpsiste“ (magic cookies) kontseptsiooni – väikesed märgid, mida programmide vahel oleku säilitamiseks edastati.

Esimesed küpsised olid praktiline insenerlik lahendus. Kuid nende potentsiaal jälgimiseks sai kiiresti selgeks. Aastaks 1996 avaldas Financial Times esimese laiema avalikkuse jaoks mõeldud artikli, mis tõstatas küpsistega seotud privaatsusmured. Aastaks 2002 oli EL vastu võtnud ePrivacy direktiivi, mis neid konkreetselt käsitles.

Järgneva kahe aastakümne jooksul arenesid küpsised lihtsast seansihalduse tööriistast digitaalse reklaamitööstuse selgrooks – ja privaatsusseaduste peamiseks sihtmärgiks kogu maailmas.

Miks küpsised on privaatsusprobleem

Küpsiste privaatsusprobleem ei seisne tehnoloogias endas. Küpsis, mis jätab meelde teie keele-eelistuse, on kahjutu. Mure tekib kolmest konkreetsest kasutusviisist:

  1. Saidiülene jälgimine. Kolmanda osapoole küpsised võimaldavad reklaamivõrgustikel jälgida kasutajaid kogu veebis, luues üksikasjalikke sirvimiskäitumise profiile. Kasutaja, kes külastab meditsiiniinfo saiti, poliitilise organisatsiooni saiti ja tutvumissaiti, on paljastanud tundlikku teavet – ja kogu selle saab küpsiste kaudu omavahel seostada.
  2. Läbipaistvuse puudumine. Enamikul kasutajatest pole aimugi, mitu küpsist tavalist veebisaiti külastades seatakse. Üks uudistesait võib seada 50–100 küpsist tosinatelt eri domeenidelt. Kasutaja näeb ühte veebisaiti; kulisside taga jälgib tema külastust kümneid ettevõtteid.
  3. Püsivus. Küpsised võivad kesta aastaid. 2024. aastal seatud jälgimisküpsis võib 2026. aastal ikka veel sedasama kasutajat tuvastada. See pikaajaline jälgimisvõime koos saidiülese ulatusega loob jälgimistaristu, mis toimib enamiku kasutajate teadmiseta või sisulise nõusolekuta.

Just need mured on põhjus, miks ePrivacy direktiiv (artikkel 5(3)) nõuab enne mitteoluliste küpsiste paigutamist teadlikku nõusolekut ja miks GDPR (artiklid 4(11) ja 7) seab ranged tingimused sellele, milline peab kehtiv nõusolek välja nägema.

Küpsistest kaugemale: muud jälgimistehnoloogiad

Tänapäevane privaatsusregulatsioon ei hõlma ainult küpsiseid. ePrivacy direktiiv viitab „teabe salvestamisele või juba salvestatud teabele juurdepääsu saamisele abonendi või kasutaja lõppseadmes“. See sõnastus hõlmab teadlikult mistahes kliendipoolset salvestusmehhanismi, sealhulgas:

  • localStorage ja sessionStorage – veebisalvestuse API-d, mis lubavad veebisaitidel salvestada brauserisse suuremaid andmemahtusid. Erinevalt küpsistest ei saadeta neid andmeid serverisse automaatselt, kuid neid saab siiski jälgimiseks kasutada ning nende puhul kehtivad samad nõusolekureeglid.
  • IndexedDB – võimsam kliendipoolne andmebaas. Kehtivad samad nõusolekureeglid.
  • Brauseri sõrmejälgede võtmine – seadme omaduste kogumine (ekraanilahutus, paigaldatud fondid, brauseri pistikprogrammid, ajavöönd), et luua unikaalne identifikaator, salvestamata seadmesse midagi. Kuigi sõrmejälgede võtmine ei kasuta küpsiseid, tunnistatakse seda üha enam jälgimistehnoloogiaks, mis nõuab nõusolekut. Prantsuse CNIL ja mitmed teised andmekaitseasutused on avaldanud juhiseid, mis seda kinnitavad.
  • Jälgimispikslid – pisikesed nähtamatud pildid, mis laaditakse kolmanda osapoole serverist. Päring ise paljastab kasutaja IP-aadressi, brauseri ja lehe, kus ta viibib. Jälgimispikslid töötavad sageli koos küpsistega, kuid võivad toimida ka iseseisvalt.
  • ETag-id ja vahemälupõhine jälgimine – tehnikad, mis kasutavad brauseri vahemälu ära identifikaatorite salvestamiseks ja väljalugemiseks. Need on vähem levinud, kuid näitavad, miks regulatsioon keskendub tulemusele (jälgimine), mitte konkreetsele tehnoloogiale.

Praktiline järeldus: kui teie veebisait salvestab kasutaja seadmes teavet või pääseb sellele ligi mitteolulistel eesmärkidel, või kui see kasutab tehnikaid kasutajate jälgimiseks seansside lõikes, on nõusolek peaaegu kindlasti vajalik – olenemata sellest, kas mehhanism on tehniliselt „küpsis“ või mitte.

Passiro küpsisteskanner tuvastab teie veebisaidil kõik küpsised ja jälgimistehnoloogiad, sealhulgas localStorage kasutuse, kolmanda osapoole skriptid ja jälgimispikslid – andes teile täieliku ülevaate sellest, mida teie sait kogub.

Peamised järeldused

  • Küpsised on väikesed tekstifailid, mida brauser salvestab ja saadab iga päringuga serverisse tagasi.
  • Nad täidavad õiguspäraseid eesmärke (autentimine, eelistused) ja privaatsustundlikke eesmärke (analüütika, reklaam).
  • Kolmanda osapoole jälgimisküpsised on privaatsusregulatsiooni peamine mure.
  • Muudele tehnoloogiatele (localStorage, sõrmejäljed, pikslid) kehtivad samad nõusolekunõuded.
  • Arusaamine sellest, milliseid küpsiseid teie veebisait kasutab, on esimene samm nõuetele vastavuse suunas.

Järgmisena vaatame lähemalt küpsiste erinevaid liike – sest just liik määrab nõusolekunõuded.

Kas sinu veebisait vastab kupsiste reeglitele?

Skanni oma veebisaiti tasuta ja leia koik kupsised monikuminutiga.

Skanni oma kupsiseid tasuta