Kaj so piškotki?
Piškotki so majhne besedilne datoteke, ki jih spletna mesta shranijo v vaš brskalnik. Ko obiščete spletno mesto, lahko strežnik skupaj z vsebino strani pošlje piškotek. Vaš brskalnik ta piškotek shrani in ga pri vsaki naslednji zahtevi pošlje nazaj strežniku. Ta preprost mehanizem — shrani vrednost, pošlji jo nazaj — je temelj skoraj vsake personalizirane spletne izkušnje.
Razumevanje, kaj so piškotki, kako delujejo in za kaj se uporabljajo, je bistven prvi korak k skladnosti glede piškotkov. Ne morete namreč regulirati tistega, česar ne razumete.
Kako piškotki delujejo tehnično
V jedru so piškotki pari ključ-vrednost. Piškotek ima ime, vrednost in nabor atributov, ki nadzorujejo njegovo delovanje. Ko želi spletni strežnik nastaviti piškotek, v svoj odgovor HTTP vključi glavo Set-Cookie:
Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly
To brskalniku sporoča: »Shrani piškotek z imenom session_id in vrednostjo abc123. Pošlji ga z vsako zahtevo na katero koli pot te domene. Obdrži ga do marca 2027. Pošiljaj ga samo prek HTTPS. In ne dovoli, da bi JavaScript imel dostop do njega.«
Pri vsaki naslednji zahtevi na to domeno brskalnik samodejno vključi piškotek v glavo Cookie:
Cookie: session_id=abc123
Strežnik prebere to vrednost in ve, od koga prihaja zahteva. To je celoten mehanizem. Piškotki niso programi. Ne morejo izvajati kode, dostopati do vašega datotečnega sistema ali karkoli namestiti. So pasivni podatki — besedilni nizi, ki potujejo sem in tja med brskalnikom in strežnikom.
Za kaj se uporabljajo piškotki
Piškotki na sodobnem spletu služijo štirim širokim namenom:
Preverjanje pristnosti in upravljanje sej
Ko se prijavite na spletno mesto, strežnik ustvari sejo in v piškotku shrani edinstven identifikator seje. Brez tega piškotka strežnik ne bi imel načina, da bi vedel, da vaša naslednja zahteva za stran prihaja od istega prijavljenega uporabnika. Vsak nalaganje strani bi delovalo kot prvi obisk. Nakupovalne košarice, uporabniški računi, skrbniške nadzorne plošče — brez sejnih piškotkov nič od tega ne deluje.
Uporabniške nastavitve
Piškotki si zapomnijo vaše izbire. Jezikovne nastavitve, nastavitve teme (temni ali svetli način), izbira valute, same izbire glede privolitve za piškotke — vse to se običajno shrani v piškotke. Ko se vrnete na spletno mesto in to že ve, da imate raje nemščino, to znanje živi v piškotku.
Analitika in zmogljivost
Storitve, kot so Google Analytics, Matomo in Plausible, uporabljajo piškotke za razlikovanje med edinstvenimi in vračajočimi se obiskovalci, za sledenje, katere strani so ogledane v posamezni seji, ter za merjenje, kako obiskovalci krmarijo po spletnem mestu. Analitični piškotek običajno ne vsebuje neposredno osebnih podatkov — vsebuje anonimni identifikator, kot je _ga=GA1.2.123456789.1710000000.
Oglaševanje in sledenje
Tu piškotki postanejo skrb za zasebnost. Oglaševalska omrežja uporabljajo piškotke za sledenje uporabnikom na več spletnih mestih ter gradijo profile vedenja pri brskanju, ki omogočajo ciljano oglaševanje. Ko obiščete novičarsko spletno mesto in kasneje vidite oglase za izdelek, ki ste si ga ogledali na drugem mestu, so to omogočili piškotki za sledenje med mesti. Ti piškotki tretjih oseb so glavni cilj sodobne regulacije zasebnosti.
Kratka zgodovina piškotkov
Piškotke je leta 1994 izumil Lou Montulli, programer pri podjetju Netscape Communications. Prvotni namen je bil skromen: Netscape je potreboval način za izvedbo nakupovalne košarice za stranko v e-trgovini, ne da bi shranjeval vsebino košarice vsakega uporabnika na strežniku. Montulli je koncept »magičnih piškotkov« prilagodil iz sistema Unix — majhnih žetonov, ki se prenašajo med programi za ohranjanje stanja.
Prvi piškotki so bili praktična inženirska rešitev. A njihov potencial za sledenje je bil hitro prepoznan. Do leta 1996 je Financial Times objavil prvi članek v širših medijih, ki je izpostavil skrbi glede zasebnosti pri piškotkih. Do leta 2002 je EU sprejela direktivo ePrivacy, ki jih posebej obravnava.
V naslednjih dveh desetletjih so se piškotki razvili iz preprostega orodja za upravljanje sej v hrbtenico digitalne oglaševalske industrije — in glavni cilj zakonodaje o zasebnosti po vsem svetu.
Zakaj so piškotki skrb za zasebnost
Vprašanje zasebnosti pri piškotkih ni v sami tehnologiji. Piškotek, ki si zapomni vaše jezikovne nastavitve, je neškodljiv. Skrb izhaja iz treh specifičnih uporab:
- Sledenje med mesti. Piškotki tretjih oseb omogočajo oglaševalskim omrežjem, da sledijo uporabnikom po vsem spletu in gradijo podrobne profile vedenja pri brskanju. Uporabnik, ki obišče spletno mesto z zdravstvenimi informacijami, spletno mesto politične organizacije in spletno mesto za zmenke, je razkril občutljive informacije — in vse to je mogoče povezati prek piškotkov.
- Pomanjkanje preglednosti. Večina uporabnikov nima pojma, koliko piškotkov se nastavi ob obisku tipičnega spletnega mesta. Eno samo novičarsko spletno mesto lahko nastavi 50–100 piškotkov z desetin različnih domen. Uporabnik vidi eno spletno mesto; v ozadju pa njegov obisk opazuje na desetine podjetij.
- Vztrajnost. Piškotki lahko trajajo leta. Piškotek za sledenje, nastavljen leta 2024, lahko istega uporabnika prepoznava še leta 2026. Ta dolgoročna sposobnost sledenja v kombinaciji z dosegom med mesti ustvarja infrastrukturo nadzora, ki deluje brez vednosti ali smiselne privolitve večine uporabnikov.
Prav zaradi teh skrbi direktiva ePrivacy (člen 5(3)) zahteva informirano privolitev pred namestitvijo nenujnih piškotkov, GDPR (člena 4(11) in 7) pa določa stroge pogoje glede tega, kaj pomeni veljavna privolitev.
Onstran piškotkov: druge tehnologije sledenja
Sodobna regulacija zasebnosti ne pokriva zgolj piškotkov. Direktiva ePrivacy govori o »shranjevanju informacij ali pridobivanju dostopa do že shranjenih informacij v terminalski opremi naročnika ali uporabnika«. Ta jezik namerno zajema vsak mehanizem za shranjevanje na strani odjemalca, vključno z:
- localStorage in sessionStorage — vmesnika Web Storage API, ki spletnim mestom omogočata shranjevanje večjih količin podatkov v brskalniku. Za razliko od piškotkov se ti podatki ne pošiljajo samodejno strežniku, a jih je vseeno mogoče uporabiti za sledenje in zanje pod istimi pravili velja zahteva po privolitvi.
- IndexedDB — zmogljivejša baza podatkov na strani odjemalca. Veljajo enaka pravila glede privolitve.
- Prstni odtis brskalnika — zbiranje značilnosti naprave (ločljivost zaslona, nameščene pisave, vtičniki brskalnika, časovni pas) za ustvarjanje edinstvenega identifikatorja, ne da bi karkoli shranili na napravo. Čeprav prstni odtis ne uporablja piškotkov, ga vse bolj prepoznavajo kot tehnologijo sledenja, ki zahteva privolitev. Francoski CNIL in več drugih organov za varstvo podatkov je izdalo smernice, ki to potrjujejo.
- Sledilni piksli — drobne nevidne slike, naložene s strežnika tretje osebe. Že sama zahteva razkrije uporabnikov naslov IP, brskalnik in stran, na kateri se nahaja. Sledilni piksli pogosto delujejo skupaj s piškotki, lahko pa delujejo tudi samostojno.
- ETagi in sledenje na podlagi predpomnilnika — tehnike, ki izkoriščajo predpomnjenje brskalnika za shranjevanje in pridobivanje identifikatorjev. Te so manj pogoste, a ponazarjajo, zakaj se regulacija osredotoča na izid (sledenje) namesto na specifično tehnologijo.
Praktičen zaključek: če vaše spletno mesto shranjuje ali dostopa do informacij na uporabnikovi napravi za nenujne namene ali če uporablja tehnike za sledenje uporabnikom med sejami, je privolitev skoraj zagotovo potrebna — ne glede na to, ali je mehanizem tehnično »piškotek«.
Passirov pregledovalnik piškotkov zazna vse piškotke in tehnologije sledenja na vašem spletnem mestu, vključno z uporabo localStorage, skripti tretjih oseb in sledilnimi piksli — ter vam ponudi popolno sliko o tem, kaj vaše spletno mesto zbira.
Ključne ugotovitve
- Piškotki so majhne besedilne datoteke, ki jih brskalnik shrani in ob vsaki zahtevi pošlje nazaj strežniku.
- Služijo legitimnim namenom (preverjanje pristnosti, nastavitve) in namenom, občutljivim za zasebnost (analitika, oglaševanje).
- Sledilni piškotki tretjih oseb so glavna skrb regulacije zasebnosti.
- Za druge tehnologije (localStorage, prstni odtis, piksle) veljajo enake zahteve glede privolitve.
- Razumevanje, katere piškotke uporablja vaše spletno mesto, je prvi korak k skladnosti.
V nadaljevanju si podrobno oglejmo različne vrste piškotkov — kajti vrsta določa zahteve glede privolitve.
V tem razdelku
Je vaše spletno mesto skladno s pravili o piškotkih?
Brezplačno skenirajte svoje spletno mesto in odkrijte vse piškotke v nekaj minutah.
Brezplačno skenirajte piškotke