Polityka Cookie

Ciasteczko (czyli wykorzystywany przez strony plik Cookie) jest to mały fragment tekstu, który serwis internetowy wysyła do przeglądarki internetowej użytkownika i który przeglądarka wysyła z powrotem przy następnych wejściach na daną witrynę. Używane jest głównie do utrzymywania sesji np. poprzez wygenerowanie i odesłanie tymczasowego identyfikatora po logowaniu. Może być jednak wykorzystywane szerzej poprzez zapamiętanie dowolnych danych, które można zakodować jako ciąg znaków. Dzięki temu użytkownik nie musi wpisywać tych samych informacji za każdym razem, gdy powróci na tę stronę lub przejdzie z jednej strony na inną. Jest to duże udogodnienie dla użytkowników takiejstrony www.

Zabezpieczenia przeglądarek pozwalają na odczyt ciasteczek jedynie z domeny (czyli adresu internetowego strony), na której zostały utworzone, lub domen niższego poziomu. Czyli ciasteczko ustawione na witrynie w domenie „top-trade.pl” nie zostanie wysłane do „vamedia.pl”, ale może zostać wysłane do „nazwa.top-trade.pl”. Witryna ustawiająca ciasteczko może dodatkowo określić opcje ciasteczka m.in. kiedy ono wygaśnie (np. po zamknięciu przeglądarki lub o określonej godzinie, określonego dnia), czy jest dostępne tylko poprzez zabezpieczony protokół (HTTPS) oraz czy ma być dostępne dla skryptów uruchamianych w przeglądarce (typowo JavaScript).

Mechanizm ciasteczek został wymyślony przez byłego pracownika Netscape Communications – Lou Montulliego, a ustandaryzowany w ramach RFC2109 we współpracy z Davidem M. Kristolem w 1997 roku. Bieżący standard opisuje dokument RFC2965 z 2000 roku.

Zastosowanie Ciasteczek

Ciasteczka różnych rodzajów są stosowane najczęściej po logowaniu do utrzymywania sesji, czyli zapamiętują logowanie uzytkownika. Mogą jednak przechowywać inne tymczasowe dane jak stan elementów na stronie, czy historię odwiedzanych poprzednio stron (na danej witrynie). Umożliwia to tworzenie spersonalizowanych serwisów WWW (np. zapamiętanie stanu menu), obsługi logowania, prostych sond i liczników, „koszyków zakupowych” w internetowych sklepach, a także tworzenie statystyk użyteczności witryny oraz badanie preferencji użytkowników.

Zastosowanie cookies do sond i liczników internetowych może wyglądać następująco – serwer ustawia ciasteczko informujące, że z danego komputera oddano już głos lub też odwiedzono daną stronę. Na tej podstawie może wykonać odpowiednie operacje i wygenerować dla użytkownika zindywidualizowaną treść strony.

Dyrektywa UE – Obowiązek informacyjny

Mechanizmy zarządzania cookies w niektórych przeglądarkach są dosyć ubogie. Część przeglądarek posiada zaawansowane narzędzia, które pozwalają kontrolować, które witryny mogą przechowywać dane w ciasteczkach i pozwalają selektywnie je usuwać lub blokować. Niektóre pozwalają nawet na włączenie opcji ostrzegającej każdorazowo o ich przesyłaniu. Jedna z popularnych przeglądarek Internet Explorer, nie ma takich możliwości są jedynie programy firm trzecich, które to umożliwiają.

Także z tych powodów w 2012 roku Unia Europejska nałożyła na właścicieli witryn obowiązek informowania o tego typu praktykach (efektywnie regulacje weszły w życie 22 marca 2013 roku). Należy pamiętać, że ciasteczka nie są jedynym możliwym mechanizmem cichego obserwowania użytkowników i nie są to tylko dane przechowywane po stronie użytkownika – w bardzo podobny sposób można wykorzystywać informacje gromadzone po stronie serwera. Wbrew popularnej nazwie (ang. EU cookie law) dyrektywa unijna dotyczy wszystkich mechanizmów używanych do gromadzenia danych o użytkownikach, a nie tylko cookies.

W związku z europejskimi wytycznymi w 2013 roku znowelizowana została ustawa Prawo Telekomunikacyjne, która swoim art. 173 nakłada obowiązek informowania o przechowywaniu i wykorzystywaniu ciasteczek. Za nieprzestrzeganie tych zasad grozi kara finansowana, która może być nałożona przez prezesa Urzędu Komunikacji Elektronicznej. Polska implementacja dyrektywy różni się od niektórych modeli zagranicznych brakiem wymogu wyraźnego wyrażenia zgody i akceptacji polityki cookies przez użytkownika końcowego. Ustawa pozostawia pole do braku takiej zgody poprzez zmianę ustawień przeglądarki. W praktyce więc stosowane na polskich stronach ostrzeżenia o ciasteczkach pełnią charakter wyłącznie informacyjny.