Skip to main content

Hvað eru vafrakökur?

Vafrakökur eru litlar textaskrár sem vefsíður geyma í vafranum þínum. Þegar þú heimsækir vefsíðu getur netþjónninn sent vafraköku ásamt efni síðunnar. Vafrinn þinn vistar þessa vafraköku og sendir hana aftur til netþjónsins með hverri síðari beiðni. Þetta einfalda kerfi — geyma gildi, senda það til baka — er grunnurinn að nánast allri persónusniðinni vefupplifun.

Að skilja hvað vafrakökur eru, hvernig þær virka og til hvers þær eru notaðar er nauðsynlegt fyrsta skrefið í átt að vafrakökuregluvörslu. Þú getur ekki stjórnað því sem þú skilur ekki.

Hvernig vafrakökur virka tæknilega

Í grunninn eru vafrakökur lykil-gildi pör. Vafrakaka hefur nafn, gildi og safn eiginleika sem stýra hegðun hennar. Þegar netþjónn vill setja vafraköku bætir hann við Set-Cookie haus í HTTP-svari sínu:

Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly

Þetta segir vafranum: „Geymdu vafraköku sem heitir session_id með gildinu abc123. Sendu hana með hverri beiðni á hvaða slóð sem er á þessu léni. Haltu henni þar til í mars 2027. Sendu hana aðeins yfir HTTPS. Og leyfðu ekki JavaScript að fá aðgang að henni.“

Við hverja síðari beiðni á það lén bætir vafrinn sjálfkrafa vafrakökunni við í Cookie hausinn:

Cookie: session_id=abc123

Netþjónninn les þetta gildi og veit hver beiðnin kemur frá. Það er allt kerfið. Vafrakökur eru ekki forrit. Þær geta ekki keyrt kóða, fengið aðgang að skráakerfinu þínu eða sett neitt upp. Þær eru óvirk gögn — textastrengir sem ferðast fram og til baka milli vafra og netþjóns.

Til hvers vafrakökur eru notaðar

Vafrakökur þjóna fjórum meginmarkmiðum á nútímavefnum:

Auðkenning og lotustjórnun

Þegar þú skráir þig inn á vefsíðu býr netþjónninn til lotu og geymir einstakt lotuauðkenni í vafraköku. Án þessarar vafraköku hefði netþjónninn enga leið til að vita að næsta síðubeiðni þín komi frá sama innskráða notanda. Hver síðuhleðsla myndi virðast eins og fyrsta heimsókn. Innkaupakörfur, notendareikningar, stjórnborð — ekkert af þessu virkar án lotuvafrakaka.

Notendastillingar

Vafrakökur muna valin þín. Tungumálastillingar, þemastillingar (dökkur hamur á móti ljósum ham), gjaldmiðilsval, sjálf vafrakökusamþykkisvalin — allt þetta er venjulega geymt í vafrakökum. Þegar þú kemur aftur á síðu og hún veit nú þegar að þú kýst þýsku, þá býr sú vitneskja í vafraköku.

Greiningar og afköst

Þjónustur á borð við Google Analytics, Matomo og Plausible nota vafrakökur til að greina á milli einstakra gesta og endurkomandi gesta, til að fylgjast með hvaða síður eru skoðaðar í einni lotu og til að mæla hvernig gestir flakka um síðu. Greiningarvafrakakan inniheldur venjulega ekki persónuupplýsingar beint — hún inniheldur nafnlaust auðkenni eins og _ga=GA1.2.123456789.1710000000.

Auglýsingar og rakning

Hér verða vafrakökur að áhyggjuefni varðandi persónuvernd. Auglýsinganet nota vafrakökur til að rekja notendur þvert á margar vefsíður og byggja upp snið af vafrahegðun sem gera markvissar auglýsingar mögulegar. Þegar þú heimsækir fréttasíðu og sérð síðar auglýsingar fyrir vöru sem þú skoðaðir á annarri síðu, gerðu vafrakökur til rakningar þvert á síður það mögulegt. Þessar þriðja aðila vafrakökur eru helsta skotmark nútíma persónuverndarreglugerða.

Stutt saga vafrakaka

Vafrakökur voru fundnar upp árið 1994 af Lou Montulli, forritara hjá Netscape Communications. Upprunalega tilgangurinn var hófstilltur: Netscape þurfti leið til að útfæra innkaupakörfu fyrir netverslunarviðskiptavin án þess að geyma innihald körfu hvers notanda á netþjóninum. Montulli aðlagaði hugmyndina um „töfravafrakökur“ úr Unix-tölvutækni — lítil tákn sem eru send milli forrita til að viðhalda stöðu.

Fyrstu vafrakökurnar voru hagnýt verkfræðilausn. En möguleikar þeirra til rakningar voru fljótt viðurkenndir. Árið 1996 birti Financial Times fyrstu almennu greinina sem vakti persónuverndaráhyggjur af vafrakökum. Árið 2002 hafði ESB samþykkt ePrivacy tilskipunina sem tók sérstaklega á þeim.

Á næstu tveimur áratugum þróuðust vafrakökur úr einföldu lotustjórnunartæki í burðarás stafræna auglýsingaiðnaðarins — og helsta skotmark persónuverndarlöggjafar um allan heim.

Hvers vegna vafrakökur eru áhyggjuefni fyrir persónuvernd

Persónuverndarvandamálið við vafrakökur snýst ekki um tæknina sjálfa. Vafrakaka sem man tungumálavalið þitt er skaðlaus. Áhyggjurnar spretta af þremur tilteknum notkunum:

  1. Rakning þvert á síður. Þriðja aðila vafrakökur gera auglýsinganetum kleift að fylgja notendum um vefinn og byggja upp ítarleg snið af vafrahegðun. Notandi sem heimsækir læknisfræðilega upplýsingasíðu, síðu stjórnmálasamtaka og stefnumótasíðu hefur afhjúpað viðkvæmar upplýsingar — og allt er hægt að tengja saman með vafrakökum.
  2. Skortur á gagnsæi. Flestir notendur hafa enga hugmynd um hversu margar vafrakökur eru settar þegar þeir heimsækja dæmigerða vefsíðu. Ein fréttasíða gæti sett 50-100 vafrakökur frá tugum ólíkra léna. Notandinn sér eina vefsíðu; á bak við tjöldin fylgjast tugir fyrirtækja með heimsókn hans.
  3. Þrautseigja. Vafrakökur geta enst í mörg ár. Rakningarvafrakaka sem sett var árið 2024 getur enn verið að auðkenna sama notandann árið 2026. Þessi geta til langtímarakningar, ásamt útbreiðslu þvert á síður, skapar eftirlitsinnviði sem starfa án vitneskju eða merkingarbærs samþykkis flestra notenda.

Þessar áhyggjur eru ástæðan fyrir því að ePrivacy tilskipunin (5. gr. 3. mgr.) krefst upplýsts samþykkis áður en ónauðsynlegar vafrakökur eru settar, og hvers vegna GDPR (4. gr. 11. mgr. og 7. gr.) setur strangar kröfur um það hvernig gilt samþykki lítur út.

Umfram vafrakökur: Önnur rakningartækni

Nútíma persónuverndarreglugerðir ná ekki aðeins yfir vafrakökur. ePrivacy tilskipunin vísar til „geymslu upplýsinga, eða öflunar aðgangs að upplýsingum sem þegar hafa verið geymdar, í endabúnaði áskrifanda eða notanda.“ Þetta orðalag nær vísvitandi yfir hvers konar geymslukerfi á biðlaraendanum, þar á meðal:

  • localStorage og sessionStorage — Web Storage API-viðmót sem gera vefsíðum kleift að geyma stærra magn gagna í vafranum. Ólíkt vafrakökum eru þessi gögn ekki sjálfkrafa send til netþjónsins, en þau er samt hægt að nota til rakningar og krefjast samþykkis samkvæmt sömu reglum.
  • IndexedDB — Öflugri gagnagrunnur á biðlaraendanum. Sömu samþykkisreglur gilda.
  • Fingrafaratökun vafra — Söfnun tækjaeiginleika (skjáupplausn, uppsett letur, vafraviðbætur, tímabelti) til að búa til einstakt auðkenni án þess að geyma neitt í tækinu. Þótt fingrafaratökun noti ekki vafrakökur er hún í auknum mæli viðurkennd sem rakningartækni sem krefst samþykkis. Franska CNIL og nokkrar aðrar persónuverndarstofnanir hafa gefið út leiðbeiningar sem staðfesta þetta.
  • Rakningardílar — Örsmáar ósýnilegar myndir sem hlaðnar eru frá þriðja aðila netþjóni. Beiðnin sjálf afhjúpar IP-tölu notanda, vafra og síðuna sem hann er á. Rakningardílar vinna oft í samhengi við vafrakökur en geta virkað sjálfstætt.
  • ETag og skyndiminnistengd rakning — Aðferðir sem nýta skyndiminni vafrans til að geyma og sækja auðkenni. Þessar eru sjaldgæfari en sýna hvers vegna reglugerðir beinast að niðurstöðunni (rakningu) frekar en tiltekinni tækni.

Hin hagnýta niðurstaða: ef vefsíðan þín geymir eða fær aðgang að upplýsingum í tæki notanda í ónauðsynlegum tilgangi, eða ef hún notar aðferðir til að rekja notendur milli lota, þá er samþykkis nánast örugglega krafist — óháð því hvort kerfið sé tæknilega „vafrakaka“.

Vafrakökuskanni Passiro finnur allar vafrakökur og rakningartækni á vefsíðunni þinni, þar á meðal notkun localStorage, þriðja aðila skriftur og rakningardíla — og gefur þér heildarmynd af því sem síðan þín safnar.

Lykilatriði

  • Vafrakökur eru litlar textaskrár sem vafrinn geymir og sendir aftur til netþjónsins með hverri beiðni.
  • Þær þjóna lögmætum tilgangi (auðkenningu, stillingum) og persónuverndarviðkvæmum tilgangi (greiningum, auglýsingum).
  • Þriðja aðila rakningarvafrakökur eru helsta áhyggjuefni persónuverndarreglugerða.
  • Önnur tækni (localStorage, fingrafaratökun, rakningardílar) fellur undir sömu samþykkiskröfur.
  • Að skilja hvaða vafrakökur vefsíðan þín notar er fyrsta skrefið í átt að regluvörslu.

Næst skulum við skoða mismunandi tegundir vafrakaka í smáatriðum — því tegundin ræður samþykkiskröfunum.

Uppfyllir vefsíðan þín vefkökureglurnar?

Skannaðu vefsíðuna þína ókeypis og finndu allar vefkökur á nokkrum mínútum.

Skannaðu vefkökurnar þínar ókeypis