Romba dönthetné a tartalomipart a cookie-törvény

A weboldalak nem csak úgy nyernek adatokat a felhasználóktól, hogy hosszú űrlapokat töltetnek ki velük a regisztráció során. Vannak lapok, amelyek a felhasználói fiók elkészítésekor bekérik a látogató korát, érdeklődési területeit, legfelsőbb végzettségét, e-mail-címét és hasonló adatokat is. Emellett azonban rengeteg olyan adatot is tárolnak az oldalak, amelyeket nem begépelnie kellett a látogatónak. A szerverek cookie-nak nevezett kis adatfájlokban tárolják el gépünkön, hogy mely cikkeket kattintottuk le, milyen nyelven, vagy éppen milyen szövegmérettel olvastuk a lapot. Ezt a módszert szinte minden weboldal használja, a legkisebb blogoktól a legnagyobb online újságokon át a videomegosztókig vagy a közösségi oldalakig.

Az Európai Parlament által kiadott irányelv a mostani gyakorlatot úgy változtatta volna meg, hogy minden egyes adatgyűjtéshez a felhasználó engedélyét kellett volna kérnie az oldalnak. A weboldalak tetejét kitöltő engedélykérő mezőnek a kényelmetlenség mellett még egy káros hozadéka lehetne: rászoktatta volna a netezőket az oldalak által felkínált párbeszédablakok rutinszerű leokézására. Ezzel épp azt tanította volna meg, amitől a biztonsági cégek a leginkább óvnak bennünket, és ami az Európai Parlament szándékával is éppen ellenkezik, miszerint a felhasználók tudatosabban döntsenek arról, mely adataik kezelését adják át a szolgáltatóknak.

Legközelebb is nagyobb betűvel kéri a cikket?

Az Európai Parlament első direktíváját komoly felháborodás követte. A magyarul sütiknek is becézett cookie-k használatának előzetes engedélyhez kötése azt eredményezte volna, hogy a felhasználókat engedélykérő ablakok miriádjaival árasztják el az oldalak. Ugyanakkor az Európai Parlament aggályai részben jogosak: ha a felhasználót nem is, a böngészőjét vagy a számítógépét be lehet így azonosítani, ami kínos adatvédelmi kérdéseket vet fel. Az adatvédelmi törvény már most is kötelezi a szolgáltatókat arra, hogy a felhasználó pontos azonosítását lehetővé tevő adatokat - például az IP-címet - csak anonimizálva, azaz egy törőfüggvényen (hash) átvezetve lehet tárolni. A hashelt adatok ugyan egyediek, azonos számsorból mindig ugyanaz a hash számítható ki, ám semmilyen módon nem lehet visszaalakítani őket például IP-címmé. Így az összegyűjtött adatok nem elegendőek ahhoz, hogy személyeket azonosítsanak általa, ízlésbeli profilok felépítését azonban lehetővé teszi a rendszer.

Az opt-in jellegű, azaz a felhasználó általi explicit engedélyhez kötött adatkezelés előírása a forgalom mérése mellett a testre szabott felületek alkalmazását is ellehetetlenítette volna, hiszen a webes szolgáltatások nem jegyezhetnék meg, mi tetszik az egyes látogatóknak. Pedig ezeket a módszereket arra is lehet használni, hogy a látogató érdeklődéséhez igazodó hirdetések kerüljenek a cikkek mellé, vagy hogy az egyszer látott felugró reklámok a következő látogatáskor már ne jelenjenek meg.

Neelie Koes digitális politikáért felelős EU-biztos az Online Követésvédelem és Böngészők Workshopon üdvözölte az online hirdetésipar szereplőit tömörítő IAB és az EASA javaslatát, amely a személyre szabott reklámokat tenné kikapcsolhatóvá opt-out sütik lerakásával. Amely böngészőben ez a cookie megvan, arról egyéb információt nem próbálnak tárolni az oldalak. Kroes emellett a böngészőkben már most is meglevő követésvédelmi (DNT) rendszerek továbbfejlesztését és sztenderdizálását javasolta.

Cikkünk hashe: a 32 karakterből sosem lehet visszafejteni a forrásanyagot

A törvénnyel nemcsak a látogatókról esetenként zavarba ejtően sokat tudó hirdetési hálózatok járnának rosszul, hanem a webes szolgáltatások is megsínylenék a bevezetését. A felhasználói testreszabást engedő - például iGoogle vagy Netvibes -, a látogató nyelvi beállításaira emlékező, vagy a felhasználó belépési nevét megjegyző oldalaknak mind engedélyt kellene kérniük az eddig normálisnak tekintett gyakorlat folytatásához. Az engedélyeket nem lehetne egy kampányszerű, nagy kattintgatással megadni az összes oldalnak. Minden korábban meglátogatott oldalnál el kellene döntenie a netezőnek (és ezelőtt egyáltalán megértenie, miről is dönt), hogy engedi-e az adatgyűjtést, igénybe kíván-e venni testre szabási lehetőségeket.

De mi az a cookie?

A cookie alapvetően néhány kilobájtnyi adat, egy kis fájl, amely egy egyedi azonosító kódot, a létrejöttének idejét és a kibocsátó oldal nevét tartalmazza. Az internet hajnalán, 1994-ben találta ki John Giannandrea és Lou Montulli, a Netscape nevű böngésző két fejlesztője. A böngészőben tárolt kis adatcsomagokat a felhasználók azonosítására akarták felhasználni online boltokban. A weblap bezárása után is megmaradó információ lehetővé tette, hogy a netezők regisztráció nélkül tehessenek árut a kosárba, és a kosár tartalma az oldal elhagyása után is, a legközelebbi visszatéréskor is megmaradjon.

A cookie-kat a mai napig használják a weben szolgáltatások testreszabására. Cookie tárolja el, hogy a remek francia Deezer webrádió oldalát angolul vagy franciául szeretnénk-e olvasni, de cookie-ban tárolódik az is, hogy mi a felhasználónevünk az iWiW-en vagy a Gmailben. Ezek az információdarabok az internet kényelmessé tételének kulcsai.

A Firefox mélyén ma is megtalálhatjuk a sütiket

A cookie-k a weboldalaknak is szolgáltathatnak információkat. Eltárolhatják azt, honnan (melyik weboldalon kattintva) jutottunk oda, mettől meddig tartózkodtunk ott - az oldal gazdája ebből fundálhatja ki, kik és hogyan olvassák oldalait. Ha nem maga a meglátogatott oldal rakja le a böngészőbe az adatcsomagot, hanem a hirdetéseket kiszolgáló cég programja, vagy a weboldal forgalmát mérő szolgáltatás, ezt harmadik féltől származó cookie-nak nevezik. A módszer azt is lehetővé teszi, hogy a böngészőt más weblapokon is azonosítsák, és a felhasználóról korábban összegyűjtött tudást - például, hogy milyen reklámokra szokott kattintani - felhasználják a hirdetések megjelenítéséhez.

Azok az oldalak, ahol beikszeltük a "maradjak belépve" opciót, cookie-ban tárolják az azonosító információt. A szolgáltatás ilyen felépítése veszéllyel is jár: a sütiket ellopó és saját böngészőjébe másoló hacker a jelszavunk megszerzése nélkül juthatna be néhány szolgáltatásba. Ugyanakkor nem lenne kényelmes az sem, ha webezés közben minden jelszóval védett szolgáltatás felkeresésekor be kellene írni az adatokat: egy iwiw-levelezés-videók-blogolvasó körben négyszer kellene emlékeznünk és gépelnünk.

Ma sincsenek eldugva a sütik

A tudatos felhasználók a mostani böngészőkben is meg tudják találni a különböző sütiket. Még azt is meg tudják szabni, hogy mely oldalak tárolhatnak róluk adatokat - kényelmes például, ha a Gmail bejelentkezve marad - és mely oldalaknak tilos cookie-t rakni a böngészőbe. A Chrome böngészőt használók a Beállítások menünek A motorháztető alatti részében találják meg a sütik listáját a Tartalombeállítás gomb alatt. Firefoxon a Beállítások menü Adatvédelem füle alatt lehet megnézni az eltárolt cookie-kat, de csak az után, hogy átváltottunk egyéni beállításokra. Az Internet Explorer nem biztosít kényelmes felületet a sütik listázására, ám a rejtett LocalSettings mappában található Temporary Internet Filesban megtalálhatjuk a cookie-kat és az ideiglenesen letöltött fájlokat is. A böngésző mellett saját sütiket tárol a Flash plugin is, ám ezek megkeresése lényegesen bonyolultabb.

Az Európai Parlament által kiadott irányelv arra kínálna garanciát, hogy a sütiket, a felhasználóoldalon tárolt adatokat ne csak a profi géphasználók legyenek képesek átlátni. A döntéshozók jól látják, az átlagos internetezőtől nem lehet elvárni, hogy oldalakra lebontva állítsa be, melyik webes szolgáltatásnak mihez van joga. Ha ezeket a funkciókat a böngészőben egyszerű beállítások tárgyává teszik, valószínűleg többen érzik majd biztonságban magukat az interneten.

Mindent a böngészőre lehetne bízni

Az internetes ipar tiltakozásának hatására az Európai Parlament újragondolta a szabályozást. Ahelyett, hogy a cookie-k tárolását a felhasználó előzetes beleegyezéséhez kötnék, most a rendszerből való utólagos kikerülés lehetőségét (opt-out), valamint az adatgyűjtés engedélyezése automata módszereinek kifejlesztését várják az ipartól.

Az Európai Parlament jelenlegi állásfoglalása szerint már nincs szükség a felhasználó explicit beleegyezésére. Azt viszont elvárja a testület, hogy a böngészőgyártók és az internetes ipar kidolgozza azt a browserben beállítható adatkezelési profilt, amelyet a felhasználó minden weblapra magával visz. A Parlament nem éri be az alapbeállítással - sem akkor, ha eleve minden cookie-t elutasít, sem akkor, ha mindet engedi a szoftver - a felhasználónak tudatosan, előre informálódva kell megadnia, hogy milyen adatkezelést vár el az internetes oldalaktól.

Szövegméretet és egyéb beállításokat tárol a cookie

Az európai irányelv nem lép azonnal életbe, előír azonban kötelezettségeket a tagországok számára. A teljesítés - azaz a törvénybe foglalás - módját azonban a tagország törvényhozása dönti el. A jelenlegi állás szerint a cookie-kkal kapcsolatos szabályozás akár egy olyan beállítóablakot is eredményezhet, mint az európai Windowsok telepítés után felbukkanó böngészőválasztója.

A szakmai szervezetek érveinek jogosságát elismerve az opt-out típusú adatkezelést foglalta irányelvbe az egyesült Európa, így egyik fél érdeke sem sérül. A felhasználók elkerülhetik a túlzottnak vélt adatgyűjtést, a cookie-ban tárolt adatok köré komoly folyamatokat, kényelmi szolgáltatásokat építő szolgáltatások pedig nem lehetetlenülnek el. A jövőben is beállíthatjuk, hogy a francia webrádió angol felületére érkezzünk, hogy kicsivel nagyobb betűvel jelenjenek meg a cikkek, és még a felhasználónevünket is megjegyzik a weblapok, ha ezt kérjük tőlük.