Cookies bliver ofte betegnet som en tekstfil. Selv nuværende privatlivserklæringer spredde denne myte. Det rigtige er noget andet, som jeg kan bevise.
Næsten hver enkelt persondataerklæring, der henviser til cookies, betegner cookies som tekstfiler. Der står at læse: "Et cookie er en tekstfil". Selv i en persondataerklæring fra et firma, jeg kender godt, var denne udtalelse at finde. Den blev skrevet af en advokat. Hvor skulle han også have videre viden, hvis selv webmaster ofte har videnmæssige hulheder.
Hvad er en cookie?
Tidligere var cookies i virkeligheden ofte eller muligvis altid en tekstfil. Hvorvidt cookies faktisk bliver gemt, bestemmer hver browser selv. Tidligere har mange eller muligvis alle browsere gemt cookies som tekstfiler. Det var dog blot tilfældigt, fordi der er flere tekniske muligheder for at gemme små informationer såsom de i cookies. Dog er teorisk størrelse af en cookie ikke mindre.
Nu gemmer moderne browser cookies anderledes. Firefox-browseren til Windows bruger f.eks. en databas. Som databas vælger Firefox SQLite.SQLite er en fil-baseret databas.
Hvordan gemmes cookies?
Sqlite gemmer, som hver enkelt anden klassiske SQL-database også gør, flere dataindstillinger i en tabel. Flere tabeller igen giver en database. En database igen bliver gemt af Sqlite som en enkelt fil. Men her gælder det også: Et cookie er ikke en tekstfil og heller ikke en fil! Denne database er en fil (meget ofte ikke en tekstfil!), der indeholder mange cookies, men ikke alle data omkring dem, blot nogle informationer til. Andre informationer om cookies, som fx bestemmer synligheden, er gemt i en anden database.
Der er en hel række sådanne databases til Firefox. Her et uddrag:
Databasen, hvor cookies gemmes, har filnavnet cookies.sqlite. Dette er ikke en tekstfil, men en Binærfile. Selv hvis det var en tekstfil: Der gemmes ikke et cookie, og der gemmes heller ikke alle oplysninger om et cookie! Ofte ligger mange cookies sammen i flere filer. Her er et cookie (ofte) hverken over en eller flere filer fordelt.
Der Speicherort kan åbnes i Firefox ved at skrive about:support ind i adressefeltet, trykke på Enter og klikke på knappen "Ordner åben" (til højre for beskrivelsen "Profilordner")
I den nævnte database er i stedet de vigtigste oplysninger til cookies gemt. Dette omfatter bl.a.:
- Name
- Værdi
- Område
- Sti
- Livslængde
- Flags wie HTTP yes/no, Sicher yes/no, SameSite yes/no
Yderligere metadatablokke bliver gemt i andre databasesystemer.
Databasen til cookies indeholder f.eks. indgående oplysninger som følger:
Man kan let se, at cookies ikke er tekstfiler.
Der gælder i stedet:
En cookie er en dataindgang.
En rigtig definition af cookies. Ideeltvis bliver formålet med datamængden tilføjet eller udelukkende udgjort.
En kort prøvevisning viste: Hver eneste af de få (dataskyddsinformationer), jeg har set, var forkert i forhold til beskrivelsen af, hvad cookies er. Det værdværdige er, at selv leverandører af Consent Tools ikke ved, hvad cookies egentlig er. Som jeg har vist, er Consent Tools ugunstigt til at oprette dataskyddskonforme hjemmesider.
Den, som stadig påstår, at cookies er tekstfiler, må gerne forklare følgende syn fra den påståede cookie-tekstfil fra Firefox:
Denne visning opstod, når man åbnede hovedfilen i Firefoxs cookie-databas med den kapable redigeringsprogram Notepad++
Det kan ses tydeligt, at der er mange uformelige tegn, som indeholder en af cookie-databasen-filerne. En tekstfil er ifølge Wikipedia (og efter mit sundeste menneskeforståelse) en fil, der indeholder "formelige tegn". Den eneste undtagelse nævnes også på Wikipedia: "Disse kan være underdelt ved hjælp af styre-tegn som linjeskift og sider." Ovenstående synsvinkel viser mange tegn, der ikke falder ind i nogen af disse kategorier.
Hvis man dog stadig ville betegne sådanne filer som tekstfiler, ville hver fil være en tekstfil. Det giver ikke meget mening. En fil er desuden en form for lagring, der fastlægges af browseren. Ingen kender alle former for lagring hos alle browsere. Universelt korrekt er dog, at et cookie er en dataindstilling eller datalagring eller tilstandslagring, uanset hvordan browserne håndterer cookies. Det følger af RFC 6265.
Et cookie findes ikke nødvendigvis i en fil, men er ofte endda sammen med andre cookies udbredt over flere filer (ofte ikke tekstfiler!) gemt.
Sagd.
Kagerne gemmer overhovedet ikke filer, men data. En fil har et navn, er placeret i en til brugeren tilgængelig filsystem i et map og kan gennem dette filsystem søges samt normalt skrive- og læseadgang fås. Dataene i kagerne opfylder disse kriterier ikke. Se også den Wikipedia-artikel om filer. Kagerne bliver snarere på en eller anden måde administreret (hvor, er sagen for browseren). Jeg kan selv skrive en browser, der håndterer kager sådan, at ingen andre end min browser ser de kager, som browseren håndterer.
Kan det hjælpe med beslutningen, hvis man tager hensyn til, at de følgende websteder klassificerer cookies som tekstfil (sidst opdateret: 18.01.2021):
- UserCentrics: „Et webbrowser-cookie er en lille tekstfil, der sendes fra en hjemmeside til din computer eller mobil enhed, hvor den bliver gemt af din webbrowser.“ eRecht24 anbefaler også UserCentrics og beskriver cookies i sin persondatapolitik som tekstfiler.
- Cookiebot: "Cookies er små tekstfiler, der bruges af websteder til at gøre brugeroplevelsen mere effektiv
- Consent manager: „Til cookies drejer det sig om små tekstfiler, der på din harddisk tilknyttet den browser, du bruger, gemmes og ved hjælp af hvilken de steder, som sætter cookie (her os), får bestemte oplysninger. Cookies kan ikke udføre programmer eller overføre virus på din computer.“ Også Händlerbund, der anbefaler consent manager, beskriver cookies som tekstfiler.
- CCM19: "Cookies er små tekstfiler, der bliver lagt på din computer og gemt af din browser
- En cookie er et lille data-pakke (tekstfil), der gemmes på din enhed af din browser efter besøg på en hjemmeside, for at huske informationer om dig, såsom dine sprogindstillinger eller loginoplysninger ([1])
Den, der mener, at de her ikke nævnte leverandører af Consent Tools er bedre, kan gerne se på min praktiske test til samtykningsløsninger. Testens resultat: Alle testede Consent Tools producerer bullshit på websteder.
Selv på Facebooks hjemmeside bliver det forkert forklaret, at cookies er små tekststykker.
Lagringstype (tekstfil): uafhængig af. Formål: at håndhæve en bestemt information → vigtig!
Tilbage til cookies. Det, der er vigtigt, er kun formålet (+ lagringsvarighed og modtager).
En venlig læser foreslog at kaldes cookies for Datenschutzhinweis. Jeg havde selv tidligere foreslået at kalde en cookie for en datensæt eller informationshap, men begrebet er ikke helt præcis.
Men følgende forslag synes lettere at forstå:
Et cookie er en information, der gemmes på dit enhed (computer, mobiltelefon osv.)
Er er cookies små? Nej, de er ikke. Et cookie kan ifølge RFC 6265 indeholde en datamængde på op til 4096 bytes (4 kilobytes). Local Storage er en web-lagerplads, der kan indeholde endnu større datamængder. Ifølge Wikipedia er størrelsen afhængig af browseren og kan være flere megabyte. Dermed er cookies ikke små i det hele taget. Desuden indeholder selv 4 KB personbehandlet data ved klassiske cookies om mange størrelsesordener mere data end hvad der kunne identificere en person, hvis jeg skulle tænke mig noget. Navnet på en person har kun få bytes. Selv en postadresse har ofte under 100 bytes.
En motor til køretøjer er en masse materie.
Sandelig, men useful definition. Ligesom det er tilfældet, når cookies betegnes som data.
Bliver cookies også på en hjemmesides webserver eller en indlejret tjeneste gemt? Nej i sig selv. Kun værdierne af cookies bliver sendt til webserveren. Hvis og hvordan serveren gemmer disse værdier, er op til serveren selv. Ifølge specifikationen RFC6265 findes der på webserveren i sig selv ingen cookies. Det er og forbliver forkert at betegne cookies som tekstfiler. Cookies er ikke tekstfiler, uanset hvordan man drejer og vendte det. Det bliver heller ikke bedre ved gentagende falske påstande. Selv om nogen kan programmere og kender sig ud med dataskydd og mener at cookies er tekstfiler: Cookies er stadig ikke tekstfiler. Hvorfor skulle programmer- og dataskydkundskaber spille en rolle i denne spørgsmål? Det, der tæller, er fakta og beviser og ikke mening eller opfattelse.
Meget held og lykke med at ændre din egen persondatapolitik.
PS: Jeg er også selv blevet narret af udtalelser fra nogle såkaldte eksperter i dataskydd til for kort tid siden og havde skrevet forkerte definitioner af cookies ned. I et stykke tid søger jeg selv efter sandheden og skriver den, så godt jeg kan, på Dr. GDPR Blog. I skal give op med at tro, at noget er rigtigt blot fordi mange siger det. Det modsatte er ofte tilfældet.
Det handler her ikke om den simple definition af cookies. Jeg vil i stedet vise, at mange i fagområder som teknologi og digital privatlivsbeskyttelse gør sig selv til eksperter uden at have nogen kompetence.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
