A cookie-k típusai: teljes körű technikai útmutató
Nem minden cookie egyforma. A cookie típusa határozza meg, hogy meddig marad fenn, ki olvashatja, milyen biztonságosan halad az adatforgalomban, és — ami kulcsfontosságú — hogy szükséges-e hozzá a felhasználó hozzájárulása. E különbségek megértése elengedhetetlen mind a megfelelőség, mind a megvalósítás szempontjából.
Munkamenet-cookie-k vs. állandó cookie-k
A legalapvetőbb megkülönböztetés az, hogy meddig él egy cookie.
Munkamenet-cookie-k
A munkamenet-cookie csak a böngészési munkamenet idejére létezik. Nincs Expires vagy Max-Age attribútuma. Amikor a felhasználó bezárja a böngészőjét, a cookie törlődik.
Set-Cookie: cart_id=xyz789; Path=/; Secure; HttpOnly
A munkamenet-cookie-kat jellemzően a következőkre használják:
- A bejelentkezési állapot fenntartása egy látogatás során
- A bevásárlókosár tartalma
- CSRF elleni védelmi tokenek
- Többlépcsős űrlapadatok
Mivel a munkamenet-cookie-k nem maradnak fenn, adatvédelmi szempontból általában kevésbé zavaróak. Ugyanakkor továbbra is hozzájárulást igényelnek, ha nem feltétlenül szükségesek a felhasználó által kért szolgáltatáshoz.
Állandó cookie-k
Az állandó cookie-nak van kifejezett lejárati dátuma. Túléli a böngésző újraindítását, és a felhasználó eszközén marad, amíg le nem jár vagy manuálisan nem törlik.
Set-Cookie: preferences_lang=en; Path=/; Max-Age=31536000; Secure
Ez a cookie egy évig marad fenn (31 536 000 másodpercig). Gyakori felhasználási módjai:
- „Emlékezz rám” típusú bejelentkezési funkció
- Nyelvi és megjelenési beállítások
- Analitikai azonosítók (a Google Analytics cookie-jai akár 2 évig is fennmaradnak)
- Hirdetéskövetés (egyes hirdetési cookie-k 13 hónapig vagy tovább is fennmaradnak)
Az állandó cookie-k szigorúbb ellenőrzés alá esnek az adatvédelmi szabályozás keretében. A CNIL (Franciaország adatvédelmi hatósága) legfeljebb 13 hónapos cookie-élettartamot javasolt, és a hozzájárulást is legalább 13 havonta meg kell újítani.
Első féltől származó vs. harmadik féltől származó cookie-k
Ez a megkülönböztetés az adatvédelmi vita középpontjában áll, és közvetlenül befolyásolja a hozzájárulási követelményeket.
Első féltől származó cookie-k
Az első féltől származó cookie-t az a domain állítja be, amelyet a felhasználó ténylegesen meglátogat. Ha az example.com oldalt látogatja meg, akkor minden, az example.com által beállított cookie első féltől származik.
Az első féltől származó cookie-kat az alapvető weboldal-funkciókhoz használják: munkamenetek, beállítások, valamint a weboldal üzemeltetője által saját maga futtatott analitika. Ezeket csak az a domain olvashatja, amely beállította őket.
Példa: Felkeresi a shop.example.com oldalt. A szerver beállít egy session_id nevű cookie-t. Ez a cookie kizárólag a shop.example.com és aldomainjei felé kerül elküldésre. Más weboldal nem férhet hozzá.
Harmadik féltől származó cookie-k
A harmadik féltől származó cookie-t nem az a domain állítja be, amelyet a felhasználó látogat. Amikor az example.com betölt egy hirdetési szkriptet az ads.tracker.com oldalról, és az a szkript beállít egy cookie-t a tracker.com domain alatt, az harmadik féltől származó cookie.
Így működik a webhelyek közötti követés. A tracker.com cookie minden, a tracker.com felé irányuló kéréssel elküldésre kerül, függetlenül attól, hogy melyik weboldal váltotta ki a kérést. Ha a tracker.com szkriptjei 10 000 weboldalba vannak beágyazva, mind a 10 000 oldalon nyomon követhetik ugyanazt a felhasználót.
A harmadik féltől származó cookie-k mind a szabályozói fellépések, mind a böngészőszintű korlátozások elsődleges célpontjai:
- A Safari 2020 óta alapértelmezetten blokkolja a harmadik féltől származó cookie-kat (ITP)
- A Firefox alapértelmezetten blokkolja az ismert harmadik féltől származó nyomkövetőket (ETP)
- A Chrome a Privacy Sandbox kezdeményezéssel fokozatosan felhagy a harmadik féltől származó cookie-kkal
- A szabályozói fellépések elsöprő többsége a harmadik féltől származó nyomkövető cookie-kat célozza
Biztonságos (Secure) cookie-k
A Secure attribútummal rendelkező cookie csak HTTPS-kapcsolaton keresztül kerül elküldésre. Soha nem továbbítódik titkosítatlan HTTP-n.
Set-Cookie: auth_token=secret123; Secure
Ez megakadályozza, hogy egy man-in-the-middle támadó lehallgassa a cookie-t egy nem biztonságos kapcsolaton. Minden érzékeny információt tartalmazó cookie-t — munkamenet-azonosítókat, hitelesítési tokeneket, személyes adatokat — mindig Secure jelöléssel kell ellátni.
Megfelelőségi szempontból az érzékeny cookie-knál a Secure jelző elmulasztása a megfelelő technikai intézkedések megvalósításának elmulasztásaként értékelhető a GDPR 32. cikke (az adatkezelés biztonsága) alapján.
HttpOnly cookie-k
A HttpOnly attribútummal rendelkező cookie-hoz a JavaScript nem férhet hozzá a document.cookie révén. Csak a szerver felé irányuló HTTP-kérésekkel kerül elküldésre.
Set-Cookie: session_id=abc123; HttpOnly
Ez kritikus biztonsági intézkedés. A cross-site scripting (XSS) támadások gyakran úgy próbálnak cookie-kat ellopni, hogy olyan JavaScript-kódot juttatnak be, amely beolvassa a document.cookie tartalmát. A HttpOnly jelző teljesen kizárja ezt a támadási vektort.
A munkamenet- és hitelesítési cookie-knak szinte mindig HttpOnly-nak kell lenniük. Azok a cookie-k, amelyeket a kliensoldali JavaScriptnek olvasnia kell (például a felhasználói felületet befolyásoló beállítási cookie-k), nem lehetnek HttpOnly.
SameSite cookie-k
A SameSite attribútum azt szabályozza, hogy egy cookie elküldésre kerül-e a webhelyek közötti kérésekkel. A cross-site request forgery (CSRF) támadások mérséklésére vezették be, és arra, hogy a webhelyek nagyobb kontrollt kapjanak a webhelyek közötti cookie-viselkedés felett.
SameSite=Strict
A cookie csak azonos webhelyről származó kérésekkel kerül elküldésre. Ha egy felhasználó az other.com oldalon egy olyan linkre kattint, amely a your-site.com oldalra vezet, a cookie nem kerül elküldésre ezzel a kezdeti kéréssel.
Ez a legbiztonságosabb beállítás, de megzavarhatja a legitim működést. Ha például a felhasználó egy e-mailből kattint egy linkre a webhelyére, a munkamenet-cookie-ja nem kerülne elküldésre, így kijelentkezettnek tűnne.
SameSite=Lax
A cookie elküldésre kerül a legfelső szintű navigációknál (linkre kattintás), de nem a webhelyek közötti alkéréseknél (képek, keretek betöltése vagy más webhelyről indított AJAX-kérések). Ez az alapértelmezett érték a modern böngészőkben, ha nincs megadva SameSite attribútum.
A Lax ésszerű egyensúlyt biztosít a biztonság és a használhatóság között. Megakadályozza, hogy harmadik féltől származó webhelyek hitelesített műveleteket váltsanak ki az Ön oldalán, miközben a normál linknavigáció továbbra is működik.
SameSite=None
A cookie minden kéréssel elküldésre kerül, beleértve a webhelyek közötti kéréseket is. Erre a harmadik féltől származó cookie-k működéséhez van szükség. A SameSite=None értékkel beállított cookie-nak a Secure attribútummal is rendelkeznie kell.
Set-Cookie: tracking_id=xyz; SameSite=None; Secure
Minden olyan cookie-nak, amelynek webhelyek közötti környezetben kell működnie (beágyazott widgetek, harmadik féltől származó hitelesítés, webhelyek közötti követés), a SameSite=None értéket kell használnia. Ez egyre inkább releváns, ahogy a böngészők szigorítják alapértelmezett cookie-szabályaikat.
Zombi cookie-k és szuper-cookie-k
Ezeket érdemes megemlíteni, mert az adatvédelmi kontrollok megkerülésére tett kísérleteket képviselik:
- A zombi cookie-k olyan cookie-k, amelyek törlésük után újralétrejönnek. Jellemzően úgy működnek, hogy ugyanazt az azonosítót több tárolási mechanizmusban is eltárolják (cookie-k, localStorage, IndexedDB, Flash LSO-k), és amelyik túléli, azt használják fel a többi újragenerálásához. Ezt a gyakorlatot széles körben megtévesztőnek tartják, és fellépések tárgyát képezte.
- A szuper-cookie-k olyan nyomkövetési mechanizmusok, amelyek a normál cookie-k alatti szinten működnek — például internetszolgáltatói szintű fejlécbeszúrás (a Verizon UIDH-ja) vagy HSTS-alapú ujjlenyomatvétel. A felhasználók számára rendkívül nehéz ezeket kontrollálni vagy törölni.
Mind a zombi cookie-k, mind a szuper-cookie-k egyértelműen összeegyeztethetetlenek a GDPR és az ePrivacy követelményeivel. Használatuk sértené az átláthatóság, a jogszerűség és az adattakarékosság elveit.
Összehasonlító táblázat
| Típus | Élettartam | Hatókör | Általában szükséges hozzájárulás? | Fő felhasználási esetek |
|---|---|---|---|---|
| Munkamenet | Csak a böngészési munkamenet | Első fél | Csak ha nem elengedhetetlen | Bejelentkezési állapot, kosár, CSRF-tokenek |
| Állandó (első fél) | Napoktól évekig | Első fél | Általában igen | Beállítások, analitika, „emlékezz rám” |
| Állandó (harmadik fél) | Napoktól évekig | Webhelyek közötti | Szinte mindig igen | Hirdetés, retargeting, közösségi widgetek |
| Secure | Változó | Csak HTTPS | Céltól függ | Bármely érzékeny cookie |
| HttpOnly | Változó | Csak szerveroldali | Céltól függ | Munkamenet-azonosítók, hitelesítési tokenek |
| SameSite=Strict | Változó | Csak azonos webhely | Céltól függ | CSRF-érzékeny műveletek |
| SameSite=Lax | Változó | Azonos webhely + legfelső szintű navigáció | Céltól függ | Általános munkamenet-kezelés |
| SameSite=None | Változó | Minden környezet (Secure szükséges) | Szinte mindig igen | Harmadik féltől származó beágyazások, webhelyek közötti hitelesítés |
Mit jelent ez a megfelelőség szempontjából
A cookie típusa közvetlenül befolyásolja a megfelelőségi kötelezettségeit:
- A feltétlenül szükséges első féltől származó munkamenet-cookie-k (bejelentkezési munkamenetek, bevásárlókosarak, CSRF-tokenek) mentesülnek a hozzájárulási követelmények alól az ePrivacy 5. cikk (3) bekezdése alapján.
- Az analitikai, beállítási vagy funkcionális célú első féltől származó állandó cookie-k általában hozzájárulást igényelnek — bár egyes adatvédelmi hatóságok bizonyos feltételek mellett korlátozott kivételeket engedélyeznek az első féltől származó analitikára.
- Bármilyen harmadik féltől származó cookie szinte mindig kifejezett, előzetes hozzájárulást igényel. Nagyon kevés a legitim kivétel.
- A biztonsági attribútumok (Secure, HttpOnly, SameSite) nem változtatnak a hozzájárulási követelményeken, de használatuk jó biztonsági gyakorlatot mutat — ami önmagában is GDPR-követelmény.
Annak pontos ismerete, hogy weboldala mely cookie-kat állítja be — és mindegyik milyen típusú —, minden megfelelőségi program alapja. A Passiro szkennere automatikusan azonosítja és osztályozza a weboldalán található összes cookie-t, beleértve a beágyazott szkriptek által beállított harmadik féltől származó cookie-kat is, amelyekről talán nem is tud.
Most, hogy megértettük a típusokat, nézzük meg, hogyan szerveződnek a cookie-k hozzájárulási kategóriákba — ez az osztályozási rendszer határozza meg, hogyan jelennek meg a cookie-bannerében.
Megfelel a weboldala a cookie-szabályoknak?
Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.
Vizsgálja meg cookie-jait ingyen