Печиво: Основи та значення для захисту даних на вебсторінках

Значення від cookies

Печиво грають важливу роль у рамках ДЗПВ. Причини зокрема:

1. Є рішення Європейського суду щодо файлів cookie . У цьому випадку мова не йшла саме про файли cookie, а саме інформація була представлена таким чином в повідомленні
2. Нова редакція директиви про конфіденційність інтернету помилково називається Cookie директива.
3. Роздрібна торгівля маскою деяких постачальників Consent Tools та деяких консультаційних платформ
4. Вища твердження про те, що файли cookie найлегше можна розглядати як механізм обробки даних та не можуть бути відхилені

Що таке Печиво?

Печиво складаються з ключа та значення та керуються браузером користувача. Зазвичай браузери зберігають Печиво на кінцевому пристрої користувача у формі текстових файлів. У минулому браузери зберігали Печиво зазвичай у вигляді текстових файлів на кінцевому пристрої користувача. Сьогодні Печиво часто зберігаються в базах даних. Печиво не є текстовими файлами і ніколи не були, оскільки кожен браузер міг вільно вибрати форму зберігання та може продовжувати робити це.

Печиво мають такі особливості (прикладні значення вказані в дужках):

• Ім'я: НІД
• Значення: 200=УxxxxxxсГіW99МК4ГукийВЖнК8ПМОwі02ЕБаК-юоМаксимілія-інджка728лслсн
• Вікова тривалість: 1 рік
• Безпекові налаштування: HttpOnly
• Домена: google.com

Перевірка області домену cookie визначає наявність першого чи третього партійного cookie.

First-Party Cookies

Перший-власний cookie керується саме тією вебсторінкою, яку ви зараз відкрили, і можуть бути лише прочитані нею. Якщо у цьому cookie вказана домена webseite4711.de та ця сторінка теж має цю адресу, то цей cookie єпершим-власним для цієї сторінки.

Third-Party Cookies

Треті-власні файли cookie навпаки керуються третім особам. Третім особам є постачальник інструменту, наприклад Google reCAPTCHA. Коли такий інструмент третього боку завантажується, браузер приєднує всі файли cookie до запиту, які знаходяться в одній домені з інструментом.

Третій-сторонній cookie може бути створений лише на сервері того, з якого завантажується файл.

Практичний приклад для Google reCAPTCHA: Цей інструмент надається через домен google.com. При зверненні до вебсторінки, яка включає reCAPTCHA, відбувається наступне:

1. Вебсторінка відкривається у браузері після введення адреси _www.webseite4711.de
2. Вебсторінка використовує Google reCAPTCHA за допомогою наступної файлу: https://www.google.com/recaptcha/api.js
3. Браузер завантажує файл і відправляє всі вже наявні куки для домену google.com. У особливості, при цьому надсилається кука NID, яка містить ідентифікатор користувача Google. Цей кука встановлюється наприклад тоді коли користувач реєструється в своєму обліковому записі Google.
4. Наведене інструменту може прочитати або змінити значення cookie.

Третій-партійні Cookies доступні лише для інструментів, які знаходяться в одній домені, що й Cookie, де домен за визначенням є іншою, ніж сторінка, яку було запущено (тому назва Third-Party, тобто Друга сторона).

Розділення третій-сторонніх cookie між різними інструментами

Гугл reCAPTCHA_ має доступ до декілька доменів, зокрема google.com та gstatic.com. Всі куки, які були встановлені для цих доменів перед включенням Google reCAPTCHA, стають автоматично доступними цьому інструменту. Таким чином, reCAPTCHA не лише може читати власні куки, але й ті, які встановлені іншими Google-інструментами на однієї з двох згаданих раніше доменів Google. Отже, reCAPTCHA має повний доступ до багатьох куки, які повинні належати іншим інструментам! Це робить неможливим використання Google reCAPTCHA без попередньої згоди відповідно до законодавства. Запит щодо згоди знову ж таки складний, оскільки ніхто не знає, яким чином Google обробляє дані.

Перший-власний файл cookie для третіх осіб

Вміст Інструментяк Google Analytics включає в себе Javascript-код на сторінці. З цим Javascript-кодом також можна керувати Першою партійними cookie, бо цей JavaScript-код „живе“ на сторінки, яка завантажує його і може діяти замість неї.

Перший партійний cookie перетворюється на третій партійний cookie

Перший партійний cookie може стати третім партійним cookie. Наприклад, дуже популярне таке:

1. Користувач відкриває вебсторінку google.com
2. При цьому створюється перша партія cookie імені NID на домені google.com (або оновлюється, якщо воно вже існувало раніше)
3. Користувач тепер відкриває вебсторінку uvwxyz.de, яка використовує _Google reCAPTCHA
4. Google reCAPTCHA завантажується зокрема з домену google.com_. При завантаженні інструменту завантажується первинний cookie NID і тепер він є третім-стороннім cookie, оскільки назва домену поточної вебсторінки uvwxyz.de відрізняється від google.com.

Печиво та захист даних

Завжди, коли вебсторінка завантажує інструмент із певної домени, усі файли cookie, які знаходяться на кінцевому пристрої користувача для цієї домени, автоматично передаються.

Якщо інструмент завантажує додаткові скрипти з інших доменів, ці скрипти можуть створювати ще більше Third-Party Cookies, читати їх і змінювати. У практиці відбувається це приблизно (зawsze, станом на 30.12.2020) при включенні відео із YouTube з або без cookies (!), коли для цілей маркетингу завантажується трекер DoubleClick. DoubleClick завантажується з домену doubleclick.net, тому він може звернутися до cookies цих доменів.

Чим більше файлів з різних доменів завантажує інструмент, тим більше потенціалу контролю над cookie він має. На вебсторінках інтегровані відео від YouTube завантажують не лише файли з youtube.com чи youtube-nocookie.com, а й із ytimg.com, gstatic.com та doubleclick.net. Точно так же Google Maps завантажує файли із gstatic.com, тому обидва інструменти можуть спілкуватися між собою за допомогою цих доменів. Поки компанія Google володіє всіма цими серверами, вона може вільно отримувати дані та передавати їх собі без видимості.

Печиво підходять для ідентифікації та слідкування за користувачами протягом декількох сесій. Сесія — це відвідування вебсторінки, яке закінчується виходом з сторінки або закриттям браузера.

Печиво існують лише всередині однієї окремої програми браузера на кінцевому пристрої користувача. Якщо користувач відвідує вебсторінку з іншої програми браузера, ця інша програма не знає про попередні відвідування цієї сторінки.

Печиво не підходять взагалі для післядопомогового слідкування за користувачами між браузерами або пристроями.

Марення про домену без Печиво

Навіщо не було б прочитати про Google Tag Manager, що він є cookielose Domäne. Що ж до заяви, що ця домена Смішний брехун, тобто велика глупість, бо послуга не може бути доменом, то залишимо це питання за межами нашої розмови.

Висловлювання не відповідає дійсності навіть тоді, коли домену googletagmanager.com називають безкоштовною. Я показав і довів це у своєму окремому статті щодо Google Tag Manager.

Рішення щодо файлів cookie

Рішенням є спроба не використовувати жодні інструменти, які обробляють файли cookie. Невідповідні інструменти повинні бути обов'язково видалені. Зовнішні шрифти, зображення та бібліотеки повинні зберігатися локально. Питайте свого виконавця щодо повної оцінки стану вашої вебсторінки, щоб ідентифікувати всі використовувані інструменти.

Інші можливості вирішення проблеми:

• Альтернативи для інструментів Google
• Перелік запитань щодо згоди (як мотивування, щоб не використовувати це)

Бажано звернути увагу на те, що навіть інструменти на вебсторінках, які не використовують файли cookie, часто вимагають згоди користувача.