Mik azok a sütik?
A sütik olyan kisméretű szöveges fájlok, amelyeket a weboldalak a böngészőjében tárolnak. Amikor felkeres egy weboldalt, a szerver az oldal tartalmával együtt küldhet egy sütit. A böngészője elmenti ezt a sütit, és minden későbbi kérésnél visszaküldi a szervernek. Ez az egyszerű mechanizmus — egy érték tárolása, majd visszaküldése — szinte minden személyre szabott webes élmény alapja.
Annak megértése, hogy mik a sütik, hogyan működnek és mire használják őket, elengedhetetlen első lépés a sütimegfelelőség felé. Nem szabályozhat olyat, amit nem ért.
Hogyan működnek technikailag a sütik
Lényegében a sütik kulcs-érték párok. Egy sütinek van neve, értéke és egy sor tulajdonsága, amely a viselkedését szabályozza. Amikor egy webszerver be szeretne állítani egy sütit, egy Set-Cookie fejlécet helyez el a HTTP-válaszában:
Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly
Ez azt közli a böngészővel: „Tárolj egy session_id nevű sütit abc123 értékkel. Küldd el minden kéréssel a domain bármely útvonalára. Tartsd meg 2027 márciusáig. Csak HTTPS-en keresztül küldd. És ne engedd, hogy a JavaScript hozzáférjen.”
Minden későbbi, az adott domainhez intézett kérésnél a böngésző automatikusan tartalmazza a sütit a Cookie fejlécben:
Cookie: session_id=abc123
A szerver kiolvassa ezt az értéket, és tudja, kitől érkezik a kérés. Ez az egész mechanizmus. A sütik nem programok. Nem tudnak kódot futtatni, nem férnek hozzá a fájlrendszeréhez, és nem telepítenek semmit. Passzív adatok — szöveges karakterláncok, amelyek oda-vissza utaznak a böngésző és a szerver között.
Mire használják a sütiket
A sütik négy fő célt szolgálnak a modern weben:
Hitelesítés és munkamenet-kezelés
Amikor bejelentkezik egy weboldalra, a szerver létrehoz egy munkamenetet, és egy egyedi munkamenet-azonosítót tárol egy sütiben. E süti nélkül a szervernek nem lenne módja tudni, hogy a következő oldalkérés ugyanattól a bejelentkezett felhasználótól érkezik. Minden oldalbetöltés úgy tűnne, mintha az első látogatás lenne. A kosarak, a felhasználói fiókok, az adminisztrációs felületek — egyik sem működne munkamenet-sütik nélkül.
Felhasználói beállítások
A sütik megjegyzik a választásait. A nyelvi beállítások, a témabeállítások (sötét vagy világos mód), a pénznemválasztás, sőt maguk a sütiengedélyezési döntések is jellemzően sütikben tárolódnak. Amikor visszatér egy oldalra, és az máris tudja, hogy a németet részesíti előnyben, ez a tudás egy sütiben él.
Analitika és teljesítmény
Az olyan szolgáltatások, mint a Google Analytics, a Matomo és a Plausible, sütiket használnak az egyedi és a visszatérő látogatók megkülönböztetésére, annak nyomon követésére, hogy egy munkamenetben mely oldalakat tekintik meg, valamint annak mérésére, hogyan navigálnak a látogatók az oldalon. Az analitikai süti általában nem tartalmaz közvetlenül személyes információt — egy anonim azonosítót tartalmaz, például _ga=GA1.2.123456789.1710000000.
Hirdetés és nyomkövetés
Itt válnak a sütik adatvédelmi aggállyá. A hirdetési hálózatok sütikkel követik nyomon a felhasználókat több weboldalon keresztül, a böngészési viselkedésről profilokat építve, amelyek célzott hirdetést tesznek lehetővé. Amikor felkeres egy hírportált, majd később egy másik oldalon megtekintett termékhez tartozó hirdetéseket lát, ezt a webhelyek közötti nyomkövető sütik tették lehetővé. Ezek a harmadik féltől származó sütik a modern adatvédelmi szabályozás elsődleges célpontjai.
A sütik rövid története
A sütiket 1994-ben Lou Montulli, a Netscape Communications programozója találta fel. Az eredeti cél szerény volt: a Netscape-nek szüksége volt egy módszerre, hogy egy e-kereskedelmi ügyfél számára kosarat valósítson meg anélkül, hogy minden felhasználó kosártartalmát a szerveren tárolná. Montulli a Unix számítástechnikából vette át a „magic cookie” koncepcióját — kis tokenek, amelyeket programok között adnak át az állapot fenntartása érdekében.
Az első sütik gyakorlati mérnöki megoldásként születtek. De nyomkövetési lehetőségüket gyorsan felismerték. 1996-ra a Financial Times közölte az első nagy nyilvánosságot kapott cikket, amely adatvédelmi aggályokat vetett fel a sütikkel kapcsolatban. 2002-re az EU elfogadta a kifejezetten ezekre vonatkozó ePrivacy irányelvet.
Az azt követő két évtizedben a sütik egyszerű munkamenet-kezelő eszközből a digitális hirdetési ipar gerincévé — és a világszerte megjelenő adatvédelmi jogszabályok elsődleges célpontjává — fejlődtek.
Miért jelentenek a sütik adatvédelmi aggályt
A sütikkel kapcsolatos adatvédelmi probléma nem magával a technológiával kapcsolatos. Egy süti, amely megjegyzi a nyelvi beállítását, ártalmatlan. Az aggály három konkrét felhasználásból ered:
- Webhelyek közötti nyomkövetés. A harmadik féltől származó sütik lehetővé teszik a hirdetési hálózatoknak, hogy a felhasználókat a weben keresztül kövessék, részletes profilokat építve a böngészési viselkedésről. Egy felhasználó, aki felkeres egy egészségügyi információs oldalt, egy politikai szervezet oldalát és egy társkereső oldalt, érzékeny információkat fedett fel — és mindezt sütikkel össze lehet kapcsolni.
- Az átláthatóság hiánya. A legtöbb felhasználónak fogalma sincs, hány süti kerül beállításra, amikor felkeres egy tipikus weboldalt. Egyetlen hírportál akár 50–100 sütit is beállíthat több tucat különböző domainről. A felhasználó egyetlen weboldalt lát; a színfalak mögött több tucat vállalat figyeli a látogatását.
- Tartósság. A sütik évekig fennmaradhatnak. Egy 2024-ben beállított nyomkövető süti 2026-ban is azonosíthatja ugyanazt a felhasználót. Ez a hosszú távú nyomkövetési képesség a webhelyek közötti hatókörrel párosulva olyan megfigyelési infrastruktúrát hoz létre, amely a legtöbb felhasználó tudta vagy érdemi hozzájárulása nélkül működik.
Ezek az aggályok az okai annak, hogy az ePrivacy irányelv (5. cikk (3) bekezdés) tájékozott hozzájárulást ír elő a nem feltétlenül szükséges sütik elhelyezése előtt, és annak, hogy a GDPR (4. cikk (11) bekezdés és 7. cikk) szigorú feltételeket szab az érvényes hozzájárulás mibenlétére.
A sütiken túl: egyéb nyomkövetési technológiák
A modern adatvédelmi szabályozás nem csak a sütikre terjed ki. Az ePrivacy irányelv „egy előfizető vagy felhasználó végberendezésén tárolt információhoz való hozzáférésre vagy információk ott történő tárolására” hivatkozik. Ez a megfogalmazás szándékosan lefed minden kliensoldali tárolási mechanizmust, beleértve a következőket:
- localStorage és sessionStorage — Web Storage API-k, amelyek lehetővé teszik a weboldalak számára nagyobb mennyiségű adat tárolását a böngészőben. A sütikkel ellentétben ez az adat nem kerül automatikusan elküldésre a szervernek, de továbbra is felhasználható nyomkövetésre, és ugyanazon szabályok szerint hozzájárulást igényel.
- IndexedDB — Egy erőteljesebb kliensoldali adatbázis. Ugyanazok a hozzájárulási szabályok érvényesek.
- Böngésző-ujjlenyomatozás — Az eszköz jellemzőinek (képernyőfelbontás, telepített betűtípusok, böngészőbővítmények, időzóna) összegyűjtése egyedi azonosító létrehozásához anélkül, hogy bármit is tárolnának az eszközön. Bár az ujjlenyomatozás nem használ sütiket, egyre inkább olyan nyomkövetési technológiaként ismerik el, amely hozzájárulást igényel. A francia CNIL és több más adatvédelmi hatóság adott ki iránymutatást, amely ezt megerősíti.
- Nyomkövető pixelek — Apró, láthatatlan képek, amelyek egy harmadik féltől származó szerverről töltődnek be. Maga a kérés felfedi a felhasználó IP-címét, böngészőjét és az oldalt, amelyen éppen tartózkodik. A nyomkövető pixelek gyakran a sütikkel együtt működnek, de önállóan is funkcionálhatnak.
- ETagek és gyorsítótár-alapú nyomkövetés — Olyan technikák, amelyek a böngésző gyorsítótárazását használják ki azonosítók tárolására és lekérésére. Ezek ritkábbak, de jól szemléltetik, miért az eredményre (nyomkövetés) összpontosít a szabályozás, nem pedig a konkrét technológiára.
A gyakorlati tanulság: ha a weboldala nem feltétlenül szükséges célból információt tárol vagy hozzáfér ahhoz a felhasználó eszközén, vagy ha technikákat alkalmaz a felhasználók munkameneteken átívelő nyomon követésére, akkor szinte biztosan hozzájárulásra van szükség — függetlenül attól, hogy a mechanizmus technikailag „süti-e”.
A Passiro sütiszkennere minden sütit és nyomkövetési technológiát felderít a weboldalán, beleértve a localStorage használatát, a harmadik féltől származó szkripteket és a nyomkövető pixeleket — így teljes képet kap arról, mit gyűjt az oldala.
A legfontosabb tanulságok
- A sütik olyan kisméretű szöveges fájlok, amelyeket a böngésző tárol, és minden kéréssel visszaküld a szervernek.
- Jogszerű célokat (hitelesítés, beállítások) és adatvédelmi szempontból érzékeny célokat (analitika, hirdetés) egyaránt szolgálnak.
- A harmadik féltől származó nyomkövető sütik az adatvédelmi szabályozás elsődleges aggálya.
- Más technológiákra (localStorage, ujjlenyomatozás, pixelek) ugyanazok a hozzájárulási követelmények vonatkoznak.
- Annak megértése, hogy weboldala milyen sütiket használ, az első lépés a megfelelőség felé.
Ezután nézzük meg részletesen a sütik különböző típusait — mivel a típus határozza meg a hozzájárulási követelményeket.
Ebben a szekcióban
Megfelel a weboldala a cookie-szabályoknak?
Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.
Vizsgálja meg cookie-jait ingyen