Większość stron na które wchodzimy po raz pierwszy, zadaje nam pytanie o zgodę na „ciasteczka”. Czym są te ciasteczka i dlaczego są takie ważne w ekosystemie Internetu?
Pierwsze wersje stron internetowych, były bardzo proste. Kilka paragrafów tekstu, obrazek i linki łączące witrynę z innymi witrynami. Z czasem strony stawały się coraz bardziej skomplikowane. Pojawiły się formularze, możliwość zalogowania na stronie i zmiany ustawień. Dla witryny każdy odwiedzający ją użytkownik był anonimowy. Dopiero po wprowadzeniu hasła, wczytywała się wersja strony skrojona pod danego użytkownika. Wystarczyło jednak przypadkowe odświeżenie strony, aby utracić wprowadzone dane. Oznaczało to mozolne powtarzanie wszystkiego od początku.
Rozwiązanie problemu wymyślił pracujący dla firmy Netscape programista Lou Montulli. Opracowany przez niego standard zwany „ciasteczkiem” (ang. cookie) polegał na tym, że serwis internetowy generował niewielki plik tekstowy, który był zapisywany na komputerze osoby przeglądającej stronę. W przypadku przypadkowego odświeżenia strony, utraty połączenia, restartu komputera itp. użytkownik mógł powrócić na stronę i kontynuować rozpoczętą pracę. Ciasteczko było po prostu sposobem na zapamiętywanie ustawień i wprowadzonych danych. Sklep internetowy mógł wygenerować ciasteczko z listą przeglądanych produktów i na jej podstawie przy następnej wizycie zasugerować listę zakupów. Ciasteczka pozwalały też na zachowanie loginu i hasła, dzięki czemu nie istniała konieczność ciągłego logowania. Warto tu dodać, że ciasteczka były w odpowiedni sposób kodowane i tylko serwer, z którego pochodziły, mógł ich użyć. Cookie nie zawiera loginu i hasła, zamiast tego ma wygenerowany specjalny ciąg danych, dzięki któremu strona rozpozna, że jesteśmy już zalogowanym użytkownikiem.
Tutaj dochodzimy do największej wady ciasteczek. Teoretycznie odczytać można je jedynie z poziomu danej witryny. Koszyk naszego sklepu internetowego może zostać odczytany jedynie przez ten sam sklep. Istnieje jednak obejście tego mechanizmu. Wchodzimy na jakąś stronę zawierającą reklamę. Reklama została dodana przez reklamodawcę. Ponieważ jednak znajduje się ona na stronie, którą odwiedzamy, reklamodawca ma dostęp do tych samych ciasteczek co strona. Fachowo nazywamy je ciasteczkami stron trzecich (third party cookies).
Dane z pojedynczej strony internetowej mogą dać niewielki wgląd w nawyki danej osoby, jednak z wielu pozwalają zbudować kompletny profil. A sieci reklamowe dysponują milionami stron. Reklamodawca wie, co kupowaliśmy, jakie serwisy przeglądamy, jaki sport lubimy i gdzie jedziemy na wakacje. Na podstawie takich dany generowany jest profil, który następnie zostaje użyty do reklamy targetowanej. To dlatego, jeśli szukamy jakiegoś produktu na jednej stronie, możemy później trafić na reklamy tego produktu na innych stronach. Przykładem jest przycisk „polubienia” na Facebooku. Dzięki niemu Facebook ma dostęp do informacji, że odwiedzaliśmy daną stronę. To dlatego reklamy wyświetlane na Facebooku często mają związek z naszą ostatnią aktywnością w internecie.
Problem stawał się coraz poważniejszy. W dzisiejszych czasach przez internet dokonujemy kolosalnej ilości rzeczy: robimy zakupy, szukamy informacji o chorobach, miejscach na wakacje, kupujemy bilety na różnego rodzaju wydarzenia, szukamy serwisów, randkujemy, komunikujemy się ze znajomymi itp. Dzięki temu reklamodawcy dysponują olbrzymią wiedzą. Jako pierwsza zareagowała Unia Europejska dyrektywą 2009/136/EC. Dyrektywa nakazywała stronom proszenie o zgodę na użycie ciasteczek śledzących. W odpowiedzi reklamodawcy i inne firmy zbierające dane wprowadziły bardziej zaawansowane techniki śledzenia. Oprócz danych o odwiedzanych stronach gromadzone były teoretycznie czysto techniczne dane takie jak rozdzielczość monitora, ustawienia przeglądarki, typ komputera, system operacyjny, lokalizacja, szybkość internetu itp. Same w sobie dane te są nieszkodliwe, jednak w połączeniu tworzą niezwykle szczegółowy profil danego użytkownika. Fachowo nazywamy to browser fingerprinting (odcisk palca przeglądarki). Czasmi firmy wykorzystują tą wiedzę w nie do końca morlany sposób. Przykładem niech będzie zawyżanie przez daną stronę ceny produku, w przypadku, gdy użytkownik przegląda stronę z komputera marki Apple.
W odpowiedzi powstało w wiele bardziej szczegółowe prawo zwane „Ogólne rozporządzenie o ochronie danych” (RODO). Dotyczy ono wszelkich form zbierania danych (praca, urzędy itp.), jednak nakłada też obowiązki na usługodawców internetowych. Prawo nie zabrania używania ciasteczek śledzących, czy gromadzenia danych na temat użytkowników, jednak narzuca obowiązek informowania o takim postępowaniu i musi oferować możliwość wycofania zgody na przetwarzanie tego typu danych. W praktyce do tego właśnie służą te wyskakujące okienka, które można zaobserwować na wielu serwisach internetowych. Niestety większość użytkowników, widząc je, po prostu się zgadza.
Jak widać ciasteczka to skomplikowane zagadnienie. Z jednej strony ułatwiają nam życie, poprzez zapamiętywanie naszych preferencji, ustawień i loginów, jednak z drugiej mogą służyć do zbierania o nas różnego rodzaju danych. Istnieją różnego rodzaju programy i wtyczki służące do unikania śledzenia tracimy jednak wtedy wygodę. Niestety do czasu wynalezienie innego rozwiązania jesteśmy skazani na używanie ciasteczek.
Źródła:
https://www.kaspersky.com/resource-center/definitions/cookies
https://www.techtarget.com/searchsoftwarequality/definition/cookie
https://www.trendmicro.com/vinfo/us/security/definition/cookies
https://en.wikipedia.org/wiki/Lou_Montulli
