Skeniranje i revizija kolačića: Saznajte što vaša web stranica postavlja
Ne možete biti usklađeni s propisima o kolačićima ako ne znate koje kolačiće vaša web stranica postavlja. To se čini očiglednim, no ipak je to najčešća pojedinačna točka zakazivanja u usklađenosti s kolačićima. Web stranice se neprestano razvijaju — instaliraju se novi dodaci, dodaju marketinške oznake, ažuriraju skripte trećih strana — a svaka promjena može uvesti nove kolačiće. Revizija kolačića nije jednokratna aktivnost. To je kontinuiran proces koji mora pratiti razvoj vaše web stranice.
Zašto je skeniranje kolačića važno
Svaka obveza usklađenosti s kolačićima ovisi o postojanju točnog i cjelovitog popisa vaših kolačića. Bez toga:
- Vaš banner za kolačiće je nepotpun. Ako vaš banner navodi četiri kategorije kolačića, ali vaša stranica zapravo postavlja kolačiće u petoj kategoriji, korisnici ne mogu dati informirani pristanak. Njihov pristanak je nevažeći prema GDPR-u.
- Vaša politika kolačića je netočna. Nadzorna tijela za zaštitu podataka očekuju da vaša politika kolačića navodi svaki kolačić po nazivu, svrsi, vrsti i trajanju. Nepotpuna ili zastarjela politika predstavlja neusklađenost koju DPA aktivno traže tijekom revizija.
- Vaš mehanizam pristanka možda ne blokira sve kolačiće. Ako novododana skripta postavlja kolačiće koji nisu uključeni u konfiguraciju upravljanja pristankom, ti se kolačići aktiviraju bez pristanka — izravna povreda članka 5(3) ePrivacy Direktive.
- Ne možete odgovoriti na zahtjeve korisnika. Prema GDPR-u, korisnici imaju pravo znati koje podatke o njima prikupljate. Ako ne znate koje kolačiće vaša stranica postavlja, ne možete pružiti točne odgovore na zahtjeve ispitanika za pristup podacima.
Što otkriva skeniranje kolačića
Temeljito skeniranje kolačića identificira:
- Nazive kolačića: Točan identifikator za svaki kolačić (npr.
_ga,_fbp,JSESSIONID). - Podrijetlo: Je li kolačić prve strane (postavljen od strane vaše domene) ili treće strane (postavljen od strane vanjske domene).
- Vrsta: Sesijski kolačić (izbrisan kad se preglednik zatvori) ili trajni kolačić (ostaje određeno vrijeme).
- Trajanje: Koliko dugo kolačić traje prije nego istekne (npr. 30 minuta, 1 godina, 2 godine).
- Svrha: Što kolačić radi — upravljanje sesijom, analitika, oglašavanje, personalizacija ili funkcionalne svrhe.
- Kategorija: Kategorija usklađenosti kojoj kolačić pripada — strogo nužni, funkcionalni, analitički/izvedbeni ili marketinški/oglašivački.
- Pružatelj treće strane: Ako kolačić postavlja treća strana, kojoj usluzi pripada (Google Analytics, Facebook, HubSpot, Hotjar itd.).
- Prikupljeni podaci: Koje informacije kolačić pohranjuje ili omogućuje prikupljanje.
Ručno skeniranje kolačića pomoću alata za razvojne programere u pregledniku
Najosnovnija metoda skeniranja kolačića koristi alate za razvojne programere ugrađene u svaki moderni preglednik. Iako ručno skeniranje ima značajna ograničenja, korisno je za nasumične provjere i razumijevanje načina na koji kolačići funkcioniraju na vašoj stranici.
Korak po korak: Ručna revizija kolačića u Chromeu
- Otvorite anonimni/privatni prozor. Time osiguravate da počinjete s čistim stanjem — bez postojećih kolačića od prethodnih posjeta.
- Otvorite DevTools (pritisnite F12 ili desnim klikom odaberite "Inspect").
- Idite na karticu Application (u Chromeu) ili karticu Storage (u Firefoxu).
- Proširite odjeljak "Cookies" u lijevom bočnom izborniku. Vidjet ćete popis domena.
- Posjetite svoju web stranicu bez interakcije s bannerom za kolačiće. Zabilježite koji se kolačići postavljaju odmah — to su kolačići postavljeni prije pristanka, koji bi trebali biti samo strogo nužni kolačići.
- Prihvatite sve kolačiće na svom banneru za kolačiće. Osvježite karticu Application/Storage i zabilježite nove kolačiće koji se pojave.
- Prođite kroz ključne stranice vaše web stranice (početna stranica, stranice proizvoda, naplata, kontakt obrazac, blog). Neki se kolačići postavljaju samo na određenim stranicama ili nakon određenih interakcija.
- Dokumentirajte svaki kolačić: Za svaki pronađeni kolačić zabilježite njegov naziv, domenu, putanju, datum isteka, veličinu te je li HTTP-only ili siguran.
- Provjerite karticu Network za dodatno praćenje. Neke tehnologije praćenja koriste piksele, beacone ili API pozive umjesto tradicionalnih kolačića. Kartica Network otkriva sve odlazne zahtjeve prema domenama trećih strana.
Ograničenja ručnog skeniranja
Ručno skeniranje vrijedno je za učenje i nasumične provjere, ali ima ozbiljna ograničenja u svrhu usklađenosti:
- Nepotpuna pokrivenost. Možete provjeriti samo stranice koje ručno posjetite. Velika web stranica sa stotinama stranica može postavljati različite kolačiće na različitim stranicama. Ručno skeniranje ih praktički ne može sve pokriti.
- Bez kategorizacije. DevTools vam prikazuju neobrađene podatke o kolačićima, ali ne kategoriziraju kolačiće prema svrsi ili kategoriji usklađenosti. Morate istražiti svaki kolačić pojedinačno.
- Samo trenutačni presjek. Ručno skeniranje daje vam snimku stanja. Ne otkriva nove kolačiće dodane nakon vaše revizije.
- Bez provjere blokiranja skripti. Ručno skeniranje ne može lako provjeriti da vaša platforma za upravljanje pristankom ispravno blokira skripte prije pristanka.
- Vremenski zahtjevno. Za stranicu s čak 20 stranica, ručno provjeravanje svake stranice i dokumentiranje svakog kolačića traje satima.
Automatsko skeniranje kolačića
Alati za automatsko skeniranje kolačića rješavaju ograničenja ručnog skeniranja pretražujući cijelu vašu web stranicu, identificirajući sve kolačiće i sustavno ih kategorizirajući. Dobar alat za automatsko skeniranje pruža:
- Sveobuhvatno pretraživanje: Skener posjećuje svaku stranicu na vašoj stranici (ili definirani podskup), uključujući stranice koje su dostupne samo putem navigacije ili pretraživanja.
- Prije i nakon pristanka: Skener provjerava koji se kolačići postavljaju prije davanja pristanka, koji se pojavljuju nakon pristanka te jesu li odbijene kategorije ispravno blokirane.
- Automatska kategorizacija: Poznati kolačići (poput
_gaod Google Analyticsa ili_fbpod Facebooka) automatski se kategoriziraju na temelju održavanih baza podataka o svrhama kolačića. - Identifikacija trećih strana: Sve domene trećih strana koje postavljaju kolačiće identificiraju se i dokumentiraju.
- Zakazano skeniranje: Skeniranja se izvode automatski prema rasporedu (tjedno, nakon implementacija) kako bi se novi kolačići uhvatili čim se pojave.
- Otkrivanje promjena: Skener vas obavještava kada se pojave novi kolačići ili se postojeći kolačići promijene, tako da možete ažurirati svoj mehanizam pristanka i politiku kolačića.
- Izvještaji o usklađenosti: Rezultati su oblikovani na način koji podržava vašu dokumentaciju o usklađenosti.
Na što obratiti pozornost pri odabiru alata za skeniranje kolačića
Pri procjeni rješenja za automatsko skeniranje kolačića, razmotrite:
- Renderiranje JavaScripta: Mnoge kolačiće postavlja JavaScript koji se izvodi nakon učitavanja stranice. Skener mora izvršavati JavaScript (koristeći stvarni pogon preglednika) kako bi otkrio te kolačiće. Jednostavni HTTP alati za pretraživanje koji ne renderiraju JavaScript propustit će većinu kolačića trećih strana.
- Dubina pretraživanja: Skener bi trebao pratiti interne poveznice i pretraživati cijelu vašu stranicu, ne samo početnu stranicu. Kolačići koje postavljaju ugrađeni videozapisi, obrasci, chat widgeti ili procesori plaćanja na određenim stranicama bit će propušteni ako se skenira samo početna stranica.
- Simulacija prvog posjeta: Skener bi trebao simulirati posjetitelja koji dolazi po prvi put (bez postojećih kolačića, bez danog pristanka) kako bi provjerio da se prije pristanka ne postavljaju nikakvi ne-nužni kolačići.
- Baza podataka kolačića: Održavana baza podataka poznatih kolačića s njihovim svrhama i kategorijama dramatično smanjuje ručni napor klasifikacije.
- Izvještavanje: Jasni izvještaji koji se mogu izvesti i dijeliti s pravnim, marketinškim i razvojnim timovima.
- Zakazivanje i obavijesti: Automatsko skeniranje prema podesivom rasporedu s obavijestima kada se otkriju novi kolačići.
Proces skeniranja kolačića
Temeljito skeniranje kolačića slijedi pet koraka, bilo da se izvodi ručno ili automatiziranim alatima:
Korak 1: Pretražite sve stranice
Započnite izgradnjom potpune mape svoje web stranice. To uključuje sve javne stranice, stranice s autentifikacijom (ako je primjenjivo), odredišne stranice, stranice zahvale, stranice pogrešaka i svaku stranicu kojoj posjetitelj može pristupiti. Ne ograničavajte svoje skeniranje na početnu stranicu — kolačiće često postavljaju skripte trećih strana koje se učitavaju samo na određenim stranicama (npr. ugrađeni YouTube na blog objavi, procesor plaćanja na stranici naplate ili chat widget koji se pojavljuje samo na stranicama podrške).
Korak 2: Identificirajte sve kolačiće
Za svaku stranicu zabilježite svaki kolačić koji se postavlja. To uključuje i HTTP kolačiće (vidljive u zaglavlju Set-Cookie i u pohrani kolačića preglednika) i mehanizme pohrane na strani klijenta (localStorage, sessionStorage, IndexedDB) koji mogu funkcionirati kao tehnologije praćenja iako tehnički nisu kolačići.
Korak 3: Odredite podrijetlo kolačića
Za svaki kolačić identificirajte je li prve strane (postavljen od strane vaše domene) ili treće strane (postavljen od strane vanjske domene). Kolačići trećih strana posebno su važni za usklađenost jer obično uključuju dijeljenje podataka s vanjskim organizacijama, što zahtijeva otkrivanje u vašoj politici kolačića i, u mnogim slučajevima, ugovor o obradi podataka.
Korak 4: Klasificirajte kolačiće po kategoriji
Dodijelite svaki kolačić kategoriji usklađenosti:
- Strogo nužni: Potrebni za funkcioniranje web stranice. Korisnik ih ne može onemogućiti. Primjeri: sesijski kolačići, CSRF tokeni, kolačići za raspodjelu opterećenja, kolačići preferencija pristanka na kolačiće.
- Funkcionalni: Omogućuju poboljšanu funkcionalnost i personalizaciju. Primjeri: jezične preferencije, odabir regije, nedavno pregledane stavke (kada se ne koriste za oglašavanje).
- Analitički/izvedbeni: Prikupljaju informacije o načinu na koji posjetitelji koriste web stranicu. Primjeri: Google Analytics, Hotjar, Matomo kolačići.
- Marketinški/oglašivački: Prate posjetitelje na raznim web stranicama u svrhu oglašavanja. Primjeri: Facebook Pixel, Google Ads kolačići, kolačići za retargeting, kolačići za praćenje partnerskih programa.
Korak 5: Dokumentirajte svrhu, trajanje i vrstu
Za svaki kolačić dokumentirajte njegovu svrhu jednostavnim jezikom koji netehnička osoba može razumjeti, njegovo trajanje (sesijski ili trajni, a ako je trajni, koliko dugo) i njegovu vrstu (HTTP kolačić, localStorage itd.). Ova dokumentacija čini osnovu vaše politike kolačića i informacija koje se pružaju u vašem banneru za kolačiće.
Kontinuirano praćenje
Skeniranje kolačića vrijedi samo u trenutku kada se izvodi. Vaša web stranica nije statična — razvija se sa svakom implementacijom, ažuriranjem dodatka i marketinškom kampanjom. Kontinuirano praćenje ključno je jer:
- Nove skripte uvode nove kolačiće. Kada razvojni programer doda novi analitički alat, marketinški tim instalira novi piksel za praćenje ili se ažurira dodatak, na vašoj stranici mogu se pojaviti novi kolačići, a da nitko izričito nije odlučio dodati ih.
- Skripte trećih strana se mijenjaju. Čak i ako ne mijenjate svoju web stranicu, usluge trećih strana koje koristite mogu ažurirati svoje skripte i uvesti nove kolačiće. Ažuriranje Google Analyticsa, promjena widgeta društvenih mreža ili ažuriranje konfiguracije CDN-a mogu utjecati na kolačiće na vašoj stranici.
- Usklađenost je kontinuirana. DPA očekuju da vaša politika kolačića i mehanizam pristanka odražavaju trenutačno stanje vaše web stranice. Politika koja je bila točna prije šest mjeseci, ali ne uključuje kolačiće dodane od tada, danas je neusklađena.
Najbolja praksa je izvoditi automatska skeniranja nakon svake implementacije, a najmanje jednom mjesečno. Postavite obavijesti za nove kolačiće tako da ih vaš tim može procijeniti, kategorizirati i dodati u vaš mehanizam pristanka prije nego postanu problem usklađenosti.
Skeniranje kolačića i vaša politika kolačića
Vaša politika kolačića i rezultati skeniranja kolačića moraju ostati usklađeni. Svaki kolačić identificiran u skeniranju treba biti dokumentiran u vašoj politici, a svaki kolačić naveden u vašoj politici treba stvarno biti prisutan na vašoj stranici. Nepodudarnost u bilo kojem smjeru predstavlja problem:
- Kolačići na stranici, ali ne u politici: To znači da korisnici nisu obaviješteni o svim praćenjima na vašoj stranici. Njihov pristanak, čak i ako je dan, možda ne pokriva neotkrivene kolačiće.
- Kolačići u politici, ali ne na stranici: Iako manje ozbiljno, navođenje kolačića koji ne postoje stvara zabunu i narušava povjerenje u točnost vaše dokumentacije.
Najučinkovitiji pristup je integrirati vaš alat za skeniranje s vašom politikom kolačića, tako da se politika automatski ažurira kada se otkriju novi kolačići. Time se eliminira ručni korak ažuriranja politike nakon svakog skeniranja i smanjuje rizik da to dvoje ispadne iz sinkronizacije.
Kako Passiro obrađuje skeniranje kolačića
Passiro skener koristi headless pogon preglednika za posjećivanje svake stranice vaše web stranice, izvršavajući JavaScript točno onako kako bi to učinio preglednik stvarnog posjetitelja. Time se osigurava da se otkriju svi kolačići koje postavljaju dinamički učitane skripte, ugrađeni sadržaj i okviri jednostraničnih aplikacija. Skener se izvodi prije i nakon simuliranog pristanka kako bi provjerio da vaše upravljanje pristankom ispravno funkcionira — da su ne-nužni kolačići uistinu blokirani dok se ne da pristanak.
Rezultati skeniranja automatski se kategoriziraju pomoću kontinuirano ažurirane baze podataka poznatih kolačića, uz mogućnost ručnog klasificiranja ili preklasificiranja bilo kojeg kolačića. Zakazana skeniranja izvode se prema podesivim postavkama, a primate obavijesti kada se na vašoj stranici pojave novi kolačići kako biste mogli poduzeti mjere prije nego postanu rizik za usklađenost.
Koliko često biste trebali skenirati?
Ispravna učestalost skeniranja ovisi o tome koliko se često vaša web stranica mijenja:
- Nakon svake implementacije: Svaka promjena koda potencijalno može uvesti nove kolačiće. Integrirajte skeniranje kolačića u svoj CI/CD pipeline ili izvedite skeniranje nakon svakog izdanja.
- Nakon dodavanja usluga trećih strana: Kad god dodate novi analitički alat, marketinšku platformu, chat widget, procesor plaćanja ili bilo koju skriptu treće strane, odmah skenirajte.
- Najmanje jednom mjesečno: Čak i ako ne unosite nikakve promjene, skripte trećih strana na vašoj stranici mogu se ažurirati i uvesti nove kolačiće. Mjesečno skeniranje hvata te promjene.
- Nakon ažuriranja CMP-a: Ako ažurirate svoju platformu za upravljanje pristankom ili promijenite kategorije kolačića, skenirajte kako biste provjerili da promjene rade kako se očekuje.
- Kvartalni pregled: Osim automatskog skeniranja, provedite kvartalni ručni pregled svog inventara kolačića kako biste provjerili da su kategorizacije još uvijek točne, da su pružatelji trećih strana još uvijek potrebni te da vaša politika kolačića odražava stvarnost.
Organizacije koje tretiraju skeniranje kolačića kao rutinsko održavanje, a ne kao povremenu reviziju, one su koje održavaju kontinuiranu usklađenost — i izbjegavaju neugodno iznenađenje otkrivanja nedokumentiranih kolačića za praćenje tijekom istrage DPA-a.
Je li vaša web stranica usklađena s propisima o kolačićima?
Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.
Besplatno skenirajte svoje kolačiće