Skip to main content

Što su kolačići?

Kolačići su male tekstualne datoteke koje web-mjesta pohranjuju u vaš preglednik. Kada posjetite web-mjesto, poslužitelj može poslati kolačić zajedno sa sadržajem stranice. Vaš preglednik sprema taj kolačić i vraća ga poslužitelju uz svaki sljedeći zahtjev. Taj jednostavni mehanizam — spremi vrijednost, vrati je natrag — temelj je gotovo svakog personaliziranog web-iskustva.

Razumijevanje što su kolačići, kako funkcioniraju i za što se koriste ključan je prvi korak prema usklađenosti s propisima o kolačićima. Ne možete regulirati ono što ne razumijete.

Kako kolačići tehnički funkcioniraju

U svojoj srži, kolačići su parovi ključa i vrijednosti. Kolačić ima naziv, vrijednost i skup atributa koji upravljaju njegovim ponašanjem. Kada web-poslužitelj želi postaviti kolačić, u svoj HTTP odgovor uključuje zaglavlje Set-Cookie:

Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly

Time se pregledniku govori: „Spremi kolačić pod nazivom session_id s vrijednošću abc123. Šalji ga uz svaki zahtjev na bilo koju putanju na ovoj domeni. Zadrži ga do ožujka 2027. Šalji ga samo preko HTTPS-a. I ne dopusti da mu JavaScript pristupa.”

Uz svaki sljedeći zahtjev prema toj domeni, preglednik automatski uključuje kolačić u zaglavlje Cookie:

Cookie: session_id=abc123

Poslužitelj čita tu vrijednost i zna od koga zahtjev dolazi. To je čitav mehanizam. Kolačići nisu programi. Ne mogu izvršavati kôd, pristupati vašem datotečnom sustavu niti bilo što instalirati. Riječ je o pasivnim podacima — tekstualnim nizovima koji putuju amo-tamo između preglednika i poslužitelja.

Za što se kolačići koriste

Kolačići na modernom webu služe za četiri široke svrhe:

Autentifikacija i upravljanje sesijama

Kada se prijavite na web-mjesto, poslužitelj stvara sesiju i pohranjuje jedinstveni identifikator sesije u kolačić. Bez tog kolačića poslužitelj ne bi imao načina saznati da vaš sljedeći zahtjev za stranicom dolazi od istog prijavljenog korisnika. Svako učitavanje stranice djelovalo bi kao prvi posjet. Košarice za kupnju, korisnički računi, administratorske nadzorne ploče — ništa od toga ne funkcionira bez kolačića sesije.

Korisničke postavke

Kolačići pamte vaše izbore. Postavke jezika, postavke teme (tamni naspram svijetlog načina), odabir valute, sami izbori privole za kolačiće — sve se to obično pohranjuje u kolačiće. Kada se vratite na web-mjesto i ono već zna da preferirate njemački, to znanje živi u kolačiću.

Analitika i performanse

Usluge poput Google Analyticsa, Matomoa i Plausiblea koriste kolačiće za razlikovanje jedinstvenih posjetitelja od onih koji se vraćaju, za praćenje toga koje se stranice pregledavaju unutar jedne sesije te za mjerenje načina na koji se posjetitelji kreću web-mjestom. Analitički kolačić obično ne sadrži izravno osobne podatke — sadrži anoniman identifikator poput _ga=GA1.2.123456789.1710000000.

Oglašavanje i praćenje

Ovdje kolačići postaju problem za privatnost. Oglašivačke mreže koriste kolačiće za praćenje korisnika kroz više web-mjesta, gradeći profile ponašanja pri pregledavanju koji omogućuju ciljano oglašavanje. Kada posjetite informativno web-mjesto, a poslije vidite oglase za proizvod koji ste pregledavali na drugom web-mjestu, to su omogućili kolačići za praćenje kroz web-mjesta. Ti kolačići treće strane primarni su cilj modernih propisa o privatnosti.

Kratka povijest kolačića

Kolačiće je 1994. izmislio Lou Montulli, programer u tvrtki Netscape Communications. Prvotna je svrha bila skromna: Netscapeu je trebao način za implementaciju košarice za kupnju za jednog klijenta e-trgovine bez pohranjivanja sadržaja košarice svakog korisnika na poslužitelju. Montulli je prilagodio koncept „magičnih kolačića” iz Unix računalstva — malih tokena koji se prosljeđuju između programa radi održavanja stanja.

Prvi kolačići bili su praktično inženjersko rješenje. No njihov je potencijal za praćenje brzo prepoznat. Do 1996. Financial Times objavio je prvi mainstream članak koji je pokrenuo pitanja privatnosti u vezi s kolačićima. Do 2002. EU je donio ePrivacy Directive koja se posebno bavi njima.

Tijekom sljedeća dva desetljeća kolačići su se razvili od jednostavnog alata za upravljanje sesijama u okosnicu industrije digitalnog oglašavanja — i primarni cilj zakonodavstva o privatnosti diljem svijeta.

Zašto su kolačići problem za privatnost

Problem privatnosti kod kolačića nije u samoj tehnologiji. Kolačić koji pamti vašu jezičnu postavku je bezopasan. Zabrinutost proizlazi iz triju specifičnih upotreba:

  1. Praćenje kroz web-mjesta. Kolačići treće strane omogućuju oglašivačkim mrežama praćenje korisnika kroz web, gradeći detaljne profile ponašanja pri pregledavanju. Korisnik koji posjeti web-mjesto s medicinskim informacijama, web-mjesto političke organizacije i web-mjesto za upoznavanje otkrio je osjetljive informacije — a sve se to može povezati putem kolačića.
  2. Nedostatak transparentnosti. Većina korisnika nema pojma koliko se kolačića postavlja kada posjete tipično web-mjesto. Jedno informativno web-mjesto može postaviti 50–100 kolačića s desetaka različitih domena. Korisnik vidi jedno web-mjesto; iza kulisa, deseci tvrtki promatraju njegov posjet.
  3. Trajnost. Kolačići mogu trajati godinama. Kolačić za praćenje postavljen 2024. može i dalje identificirati istog korisnika 2026. Ta mogućnost dugoročnog praćenja, u kombinaciji s dosegom kroz web-mjesta, stvara infrastrukturu za nadzor koja djeluje bez znanja ili smislene privole većine korisnika.

Te su zabrinutosti razlog zbog kojeg ePrivacy Directive (članak 5(3)) zahtijeva informiranu privolu prije postavljanja neobveznih kolačića, te zašto GDPR (članci 4(11) i 7) postavlja stroge uvjete o tome kako izgleda valjana privola.

Onkraj kolačića: druge tehnologije praćenja

Moderni propisi o privatnosti ne obuhvaćaju samo kolačiće. ePrivacy Directive spominje „pohranjivanje informacija ili dobivanje pristupa već pohranjenim informacijama na terminalnoj opremi pretplatnika ili korisnika”. Ta formulacija namjerno obuhvaća svaki mehanizam pohrane na strani klijenta, uključujući:

  • localStorage i sessionStorage — Web Storage API-je koji web-mjestima omogućuju pohranu većih količina podataka u pregledniku. Za razliku od kolačića, ti se podaci ne šalju automatski poslužitelju, no i dalje se mogu koristiti za praćenje te zahtijevaju privolu prema istim pravilima.
  • IndexedDB — Moćnija baza podataka na strani klijenta. Vrijede ista pravila o privoli.
  • Uzimanje otiska preglednika (fingerprinting) — Prikupljanje značajki uređaja (razlučivost zaslona, instalirani fontovi, dodaci preglednika, vremenska zona) radi stvaranja jedinstvenog identifikatora bez pohranjivanja bilo čega na uređaj. Iako fingerprinting ne koristi kolačiće, sve se više prepoznaje kao tehnologija praćenja koja zahtijeva privolu. Francuski CNIL i nekoliko drugih nadzornih tijela za zaštitu podataka izdali su smjernice koje to potvrđuju.
  • Piksele za praćenje — Sitne nevidljive slike učitane s poslužitelja treće strane. Sam zahtjev otkriva korisnikovu IP adresu, preglednik i stranicu na kojoj se nalazi. Pikseli za praćenje često djeluju zajedno s kolačićima, ali mogu funkcionirati i neovisno.
  • ETagove i praćenje temeljeno na predmemoriji — Tehnike koje iskorištavaju predmemoriju preglednika za pohranu i dohvat identifikatora. Manje su uobičajene, ali pokazuju zašto se propisi usredotočuju na ishod (praćenje), a ne na specifičnu tehnologiju.

Praktičan zaključak: ako vaše web-mjesto pohranjuje ili pristupa informacijama na korisnikovu uređaju u neobvezne svrhe, ili ako koristi tehnike za praćenje korisnika kroz sesije, privola je gotovo sigurno potrebna — bez obzira na to je li mehanizam tehnički „kolačić”.

Passirov skener kolačića otkriva sve kolačiće i tehnologije praćenja na vašem web-mjestu, uključujući korištenje localStoragea, skripte trećih strana i piksele za praćenje — dajući vam potpunu sliku onoga što vaše web-mjesto prikuplja.

Ključne poruke

  • Kolačići su male tekstualne datoteke koje preglednik pohranjuje i vraća poslužitelju uz svaki zahtjev.
  • Služe legitimnim svrhama (autentifikacija, postavke) i svrhama osjetljivima za privatnost (analitika, oglašavanje).
  • Kolačići za praćenje trećih strana primarni su predmet zabrinutosti propisa o privatnosti.
  • Druge tehnologije (localStorage, fingerprinting, pikseli) podliježu istim zahtjevima za privolu.
  • Razumijevanje kolačića koje vaše web-mjesto koristi prvi je korak prema usklađenosti.

Zatim pogledajmo detaljnije različite vrste kolačića — jer vrsta određuje zahtjeve za privolu.

Je li vaša web stranica usklađena s propisima o kolačićima?

Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.

Besplatno skenirajte svoje kolačiće