Skip to main content

Tegundir vafrakaka: Heildstæð tækileg leiðarvísir

Ekki eru allar vafrakökur eins. Tegund vafrakökunnar ræður því hversu lengi hún varir, hverjir geta lesið hana, hversu örugglega hún ferðast og — það sem mestu skiptir — hvort hún krefst samþykkis notanda. Það er nauðsynlegt að skilja þennan mun bæði vegna regluvörslu og innleiðingar.

Setuvafrakökur á móti viðvarandi vafrakökum

Grundvallarmunurinn er hversu lengi vafrakaka varir.

Setuvafrakökur

Setuvafrakaka er aðeins til á meðan vafralotan varir. Hún hefur hvorki ExpiresMax-Age eigindi. Þegar notandinn lokar vafranum sínum er vafrakakan eydd.

Set-Cookie: cart_id=xyz789; Path=/; Secure; HttpOnly

Setuvafrakökur eru yfirleitt notaðar fyrir:

  • Að halda innskráningarstöðu meðan á heimsókn stendur
  • Innihald innkaupakörfu
  • CSRF-varnartokens
  • Gögn úr fjölþrepa eyðublöðum

Þar sem setuvafrakökur eru ekki viðvarandi eru þær almennt minna ífarandi frá sjónarhóli persónuverndar. Hins vegar krefjast þær samt samþykkis ef þær eru ekki bráðnauðsynlegar fyrir þá þjónustu sem notandinn hefur beðið um.

Viðvarandi vafrakökur

Viðvarandi vafrakaka hefur skýran gildistíma. Hún lifir af endurræsingar vafrans og situr á tæki notandans þar til hún rennur út eða er eydd handvirkt.

Set-Cookie: preferences_lang=en; Path=/; Max-Age=31536000; Secure

Þessi vafrakaka mun vara í eitt ár (31.536.000 sekúndur). Algeng not eru meðal annars:

  • „Muna mig“-innskráningarvirkni
  • Tungumáls- og þemastillingar
  • Auðkenni fyrir vefgreiningu (Google Analytics-vafrakökur vara í allt að 2 ár)
  • Rakning fyrir auglýsingar (sumar auglýsingavafrakökur vara í 13 mánuði eða lengur)

Viðvarandi vafrakökur sæta meiri athugun samkvæmt persónuverndarreglum. CNIL (franska persónuverndarstofnunin) hefur mælt með að hámarkslíftími vafrakaka sé 13 mánuðir og að samþykki verði einnig að endurnýja að minnsta kosti á 13 mánaða fresti.

Fyrsta aðila á móti þriðja aðila vafrakökum

Þessi aðgreining er miðlæg í persónuverndarumræðunni og hefur bein áhrif á samþykkiskröfur.

Vafrakökur frá fyrsta aðila

Vafrakaka frá fyrsta aðila er sett af léninu sem notandinn er í raun að heimsækja. Ef þú heimsækir example.com er hver vafrakaka sem example.com setur vafrakaka frá fyrsta aðila.

Vafrakökur frá fyrsta aðila eru notaðar fyrir kjarnavirkni vefsíðunnar: setur, stillingar og vefgreiningu sem rekstraraðili vefsíðunnar keyrir sjálfur. Þær má aðeins lesa af léninu sem setti þær.

Dæmi: Þú heimsækir shop.example.com. Netþjónninn setur vafraköku sem heitir session_id. Þessi vafrakaka er aðeins send til shop.example.com og undirléna hennar. Engin önnur vefsíða fær aðgang að henni.

Vafrakökur frá þriðja aðila

Vafrakaka frá þriðja aðila er sett af öðru léni en því sem notandinn heimsækir. Þegar example.com hleður inn auglýsingaskriftu frá ads.tracker.com og sú skrifta setur vafraköku undir léninu tracker.com er það vafrakaka frá þriðja aðila.

Þannig virkar rakning þvert á vefsíður. Vafrakakan tracker.com er send með hverri beiðni til tracker.com, óháð því hvaða vefsíða kveikti á beiðninni. Ef skriftur tracker.com eru innbyggðar á 10.000 vefsíðum geta þær fylgst með sama notanda á öllum 10.000 síðunum.

Vafrakökur frá þriðja aðila eru aðalskotmark bæði regluvörslu og takmarkana á vafrastigi:

  • Safari hefur sjálfgefið lokað á vafrakökur frá þriðja aðila síðan 2020 (ITP)
  • Firefox lokar sjálfgefið á þekkta rekjara þriðja aðila (ETP)
  • Chrome er að draga sig frá vafrakökum þriðja aðila með Privacy Sandbox-verkefninu sínu
  • Aðgerðir regluvörslu beinast yfirgnæfandi að rakningarvafrakökum frá þriðja aðila

Öruggar vafrakökur

Vafrakaka með Secure-eigindinu er aðeins send yfir HTTPS-tengingar. Hún verður aldrei send yfir ódulkóðaða HTTP.

Set-Cookie: auth_token=secret123; Secure

Þetta kemur í veg fyrir að milliliðaárásarmaður (man-in-the-middle) grípi vafrakökuna á óöruggri tengingu. Hver vafrakaka sem inniheldur viðkvæmar upplýsingar — setuauðkenni, auðkenningartokens, persónuupplýsingar — ætti alltaf að vera merkt Secure.

Frá sjónarhóli regluvörslu gæti það talist brestur á að innleiða viðeigandi tæknilegar ráðstafanir samkvæmt 32. grein GDPR (öryggi vinnslu) að nota ekki Secure-fánann á viðkvæmum vafrakökum.

HttpOnly-vafrakökur

Vafrakaka með HttpOnly-eigindinu er ekki aðgengileg JavaScript í gegnum document.cookie. Hún er aðeins send með HTTP-beiðnum til netþjónsins.

Set-Cookie: session_id=abc123; HttpOnly

Þetta er mikilvæg öryggisráðstöfun. Cross-site scripting (XSS)-árásir reyna oft að stela vafrakökum með því að spýta inn JavaScript sem les document.cookie. HttpOnly-fáninn hindrar þessa leið algjörlega.

Setuvafrakökur og auðkenningarvafrakökur ættu nánast alltaf að vera HttpOnly. Vafrakökur sem JavaScript viðskiptavinar þarf að lesa (svo sem stillingavafrakökur sem hafa áhrif á viðmótið) geta ekki verið HttpOnly.

SameSite-vafrakökur

Eigindið SameSite stýrir því hvort vafrakaka er send með beiðnum þvert á vefsíður. Það var kynnt til að draga úr cross-site request forgery (CSRF)-árásum og til að gefa vefsíðum meiri stjórn á hegðun vafrakaka þvert á vefsíður.

SameSite=Strict

Vafrakakan er aðeins send með beiðnum sem eiga uppruna á sömu vefsíðu. Ef notandi smellir á tengil á other.com sem leiðir á your-site.com verður vafrakakan ekki send með þeirri upphaflegu beiðni.

Þetta er öruggasta stillingin en getur brotið lögmæta virkni. Til dæmis, ef notandi smellir á tengil á síðuna þína úr tölvupósti, yrði setuvafrakakan hans ekki send og hann virtist útskráður.

SameSite=Lax

Vafrakakan er send með flettingum á efsta stigi (þegar smellt er á tengil) en ekki með undirbeiðnum þvert á vefsíður (þegar myndir og rammar eru hlaðin eða AJAX-beiðnir gerðar frá annarri síðu). Þetta er sjálfgefið í nútímavöfrum ef ekkert SameSite-eigindi er tilgreint.

Lax veitir hæfilegt jafnvægi milli öryggis og notendavænleika. Það kemur í veg fyrir að þriðja aðila síður geti kveikt á auðkenndum aðgerðum á síðunni þinni en leyfir samt eðlilegri tenglaflettingu að virka.

SameSite=None

Vafrakakan er send með öllum beiðnum, þar á meðal beiðnum þvert á vefsíður. Þetta er nauðsynlegt til að vafrakökur þriðja aðila virki. Vafrakaka sem er sett með SameSite=None verður einnig að hafa Secure-eigindið.

Set-Cookie: tracking_id=xyz; SameSite=None; Secure

Hver vafrakaka sem þarf að virka í samhengi þvert á vefsíður (innbyggðar græjur, auðkenning þriðja aðila, rakning þvert á vefsíður) verður að nota SameSite=None. Þetta á sífellt betur við eftir því sem vafrar herða sjálfgefnar vafrakökustefnur sínar.

Uppvakningsvafrakökur og ofurvafrakökur

Það er þess virði að nefna þessar því þær eru tilraunir til að fara í kringum persónuverndarstýringar:

  • Uppvakningsvafrakökur (zombie cookies) eru vafrakökur sem endurskapa sig eftir að þeim hefur verið eytt. Þær virka yfirleitt með því að vista sama auðkenni í mörgum geymsluaðferðum (vafrakökum, localStorage, IndexedDB, Flash LSO) og nota hverja þá sem lifir af til að endurmynda hinar. Þessi framkvæmd telst almennt villandi og hefur verið tilefni aðgerða regluvörslu.
  • Ofurvafrakökur (supercookies) eru rakningaraðferðir sem starfa á stigi undir venjulegum vafrakökum — svo sem hausainnspýting á stigi netþjónustuaðila (UIDH hjá Verizon) eða fingrafaragreining byggð á HSTS. Það er afar erfitt fyrir notendur að stjórna eða eyða þeim.

Bæði uppvakningsvafrakökur og ofurvafrakökur eru augljóslega ósamrýmanlegar kröfum GDPR og ePrivacy. Notkun þeirra myndi teljast brot á meginreglum um gagnsæi, lögmæti og lágmörkun gagna.

Samanburðartafla

Tegund Líftími Umfang Er samþykkis yfirleitt krafist? Helstu notkunartilvik
Setulota Aðeins vafralotan Fyrsta aðila Aðeins ef ónauðsynleg Innskráningarstaða, karfa, CSRF-tokens
Viðvarandi (fyrsta aðila) Dagar til ár Fyrsta aðila Yfirleitt já Stillingar, vefgreining, „muna mig“
Viðvarandi (þriðja aðila) Dagar til ár Þvert á vefsíður Nánast alltaf já Auglýsingar, endurmiðun, samfélagsgræjur
Secure Breytilegt Aðeins HTTPS Fer eftir tilgangi Hver viðkvæm vafrakaka
HttpOnly Breytilegt Aðeins á netþjónshlið Fer eftir tilgangi Setuauðkenni, auðkenningartokens
SameSite=Strict Breytilegt Aðeins sama vefsíða Fer eftir tilgangi CSRF-viðkvæmar aðgerðir
SameSite=Lax Breytilegt Sama vefsíða + fletting á efsta stigi Fer eftir tilgangi Almenn setustýring
SameSite=None Breytilegt Öll samhengi (krefst Secure) Nánast alltaf já Innbyggingar þriðja aðila, auðkenning þvert á vefsíður

Hvað þýðir þetta fyrir regluvörslu

Tegund vafrakökunnar hefur bein áhrif á regluvörsluskyldur þínar:

  1. Setuvafrakökur frá fyrsta aðila sem eru bráðnauðsynlegar (innskráningarsetur, innkaupakörfur, CSRF-tokens) eru undanþegnar samþykkiskröfum samkvæmt 5. gr. 3. mgr. ePrivacy.
  2. Viðvarandi vafrakökur frá fyrsta aðila fyrir vefgreiningu, stillingar eða virkni krefjast almennt samþykkis — þótt sumar persónuverndarstofnanir leyfi takmarkaðar undanþágur fyrir vefgreiningu fyrsta aðila við sérstakar aðstæður.
  3. Vafrakökur frá þriðja aðila af hvaða tagi sem er krefjast nánast alltaf skýrs fyrirframsamþykkis. Það eru afar fáar lögmætar undanþágur.
  4. Öryggiseigindi (Secure, HttpOnly, SameSite) breyta ekki samþykkiskröfum, en notkun þeirra sýnir góða öryggisframkvæmd — sem er í sjálfu sér krafa samkvæmt GDPR.

Að vita nákvæmlega hvaða vafrakökur vefsíðan þín setur — og hvaða tegund hver þeirra er — er grunnurinn að hvaða regluvörsluáætlun sem er. Skanni Passiro auðkennir og flokkar sjálfkrafa hverja vafraköku á vefsíðunni þinni, þar á meðal vafrakökur frá þriðja aðila sem eru settar af innbyggðum skriftum sem þú ert kannski ekki einu sinni meðvitaður um.

Nú þegar við skiljum tegundirnar skulum við skoða hvernig vafrakökur eru skipulagðar í samþykkisflokka — flokkunarkerfið sem ræður því hvernig þær birtast í vafrakökuborðanum þínum.

Uppfyllir vefsíðan þín vefkökureglurnar?

Skannaðu vefsíðuna þína ókeypis og finndu allar vefkökur á nokkrum mínútum.

Skannaðu vefkökurnar þínar ókeypis