Cookie
Informatika Kiemelt

Rossz ízű ez a süti, remélhetőleg az ePrivacy jobb lesz

Mindezt persze csak szeretném hinni, legalábbis amit az utóbbi időkben a cookie-kezelés valós, vagy annak vélt szabályozása kapcsán láttam, az szerintem igen távol áll az ideálistól. Miközben ugyanis – általánosságban – kifejezetten fontosnak tartom az adatvédelem területét, aközben a jelenlegi cookie-szabályokat nemhogy hasznosnak, hanem épp ellenkezőleg: rendkívül károsnak tartom. És természetesen mindjárt nyakunkon az ePrivacy.

De mielőtt eljönne az ePrivacy-t követő cookie-kánaán, amikortól minden jogi szabály teljesen világos lesz mindenki számára, az érintettek pedig mindenről is szabadon dönthetnek majd – természetesen a legteljesebb információk birtokában -, nos addig is érdemes szerintem kitérni arra, hogy miért rossz az, ami jelenleg van. Szerintem.

1) Téves biztonságérzetet ad

A cookie figyelmeztetés jelenleg már ott csücsül szinte minden weboldal alján, a kérdés, hogy ez miként hat az érintettre? Merthogy egy ártó szándékú weboldalon pont ugyanúgy ott lehet (ott lesz), kiegészítve akár tucatnyi oldalas adatvédelmi tájékoztatókkal, mint ahogy hiányozhat egy teljesen ártalmatlan weboldalról is.

Az hogy ott van, figyelmeztet, tájékoztat, és lehet nyomkodni, az a “tudatosításon” kívül (meg persze a kifejezett hozzájárulás jogi kielégítésén kívül)  a valóságban – de facto – semmit sem jelent. Nem jelenti azt, hogy a weboldal bármilyen szinten elkötelezett az adatvédelem területén, nem jelenti, hogy a felhasználó-érintett bármilyen szempontból nagyobb biztonságban lenne, mint egy olyan oldalon, ahol nincs mit nyomkodni. Ellenben egyáltalán nem vagyok biztos abban, hogy mindez nem tudatosul-e egyfajta téves biztonságérzetként az érintettekben.

2) Elfedi a valódi kérdéseket

Az adatvédelem fókuszába került cookie-k működése bizonyos szolgáltatásoknál megkerülhetetlen. Egyáltalán nem igaz az a megközelítés, hogy a cookie az egy feltétlenül rosszindulatú, ártó entitás lenne. Mivel azonban ez a terület került a figyelem központjába (azt nem állítom persze, hogy minden ok nélkül),  ezért más, legalább ilyen fontos kérdések szerintem háttérbe szorultak.

Ilyenek a HSTS cookie-k, a tárhelyszolgáltatóknál automatikusan generált, esetleg automatikusan archivált, de látogatói IP-kkel teli logok (mint amilyet például az általam is használt “cPanel” generál, és akkor még csak a legtriviálisabbat említettem), a biztonsági mentésekben, gyorsítótárakban, közvetítő szolgáltatóknál ragadt információk, amik potenciálisan személyes adattá válhatnak.

Ellenben évek óta lehet a “kirakatba” kitett “hozzájárulást” nyomkodni, majd a nyomkodás után boldog-boldogtalannak, kismillió webshopnak megadni szinte valamennyi személyes adatunkat, arcot szkennelni, hangot rögzíteni, biometrikus adattal azonosítani, az életünk minden rezdülését megosztani másokkal, a közösségi oldalakkal. A potenciálisan sokkal súlyosabb adatvédelmi kérdések helyett a fókusz ezzel egy szerintem sokkal kevésbé fontos problémára terelődött, illetve annak is egy tökéletesen alkalmatlan kezelésére.

3) A kettő mindig több, mint az egy, a több nem mindig jobb, mint a kevesebb: van amikor ugyanolyan rossz

Az egy nyomkodható gombos metodika után azután “kitalálták” a két nyomkodható gombot. Amikor már el is utasíthat bizonyos cookie-kat a felhasználó. Érdemes gyorsan megnézni a The Guardian és az Index weboldalát. Még mielőtt akármit is nyomhatna a felhasználó máris cookie-k tucatjai, százai állnak készenlétben.

Cookie

Forrás: theguardian.com, index.hu

Vajon tényleg ér ebben a formában bármit is ez a “tudatosító” rendszer? Elvárható, hogy a potenciális érintett “végigellenőrzi” majd mind a száz cookie-t, és ennek fényében érdemi és tudatos döntést hoz arról, hogy mekkora kockázattal jár a weboldal látogatása, már amikor teheti egyáltalán? Szerintem gyakran még a gigaportálok üzemeltetőinek sincs fogalmuk arról, hogy a valóságban milyen funkcionalitást töltenek be.

CNN

Forrás: cnn.com

Vannak természetesen “fejlettebb” megoldások, ahol a százas nagyságrendű cookie-áradat előtt a weboldal valóban némi “önmérsékletet” tanúsít, ilyen például a CNN weboldala. Ott az érdeklődőknek szépen felsorolják a különböző cookie-fajtákat, így egyszerre csak néhány tucatot “kell” átnéznie. De érdekes módon még egy ilyen “cizellált” rendszerben is azonnal megjelenik – bármiféle hozzájárulás nélkül/előtt – az Outbrain cookie, amit a CNN saját maga titulál a tájékoztatóban hirdetéssel összefüggő, és nem a rendszerek működéséhez feltétlenül szükséges cookie-nak.

Forrás: theguardian.com

Ha a cookie-kérdésen továbblépve, pusztán a The Guardian megnyitásával elinduló hálózati forgalmat nézzük, akkor még megdöbbentőbb eredményre juthatunk, például a Fiddler segítségével. És a fenti példában még csak nem is kattintottam a weboldal egyetlen elemére sem!

4) Azoknál rontja a felhasználói élményt leginkább, akik tényleg töreked(né)nek az adataik védelmére

Aki a mindennapjait “inkognitó” módban futó böngészők előtt tölti, azt feltételezem előbb-utóbb zavarni fogják a folyamatosan megjelenő elfogadási kérelmek, amik  ráadásul gyakran a teljes képernyőt “elsötétítik” és elrejtik az érdemi tartalmat az elfogadásig.

Csakhogy egy olyan felhasználó, aki folyamatosan ügyel arra, hogy a böngészését követően se maradjon feleslegesen tárolt adat, cookie a rendszerében, az az “idők végezetéig” meg fogja kapni, újra és újra ezeket a felugró, becsúszó, blokkoló nyomkodnivalókat, mert cookie, illetve tárolt adat hiányában azt már nem tudhatja ismételt betöltéskor a weboldal, hogy a kérelem esetleg korábban már elfogadásra, vagy, ha az alkalmazás annak kezelésére képes: elutasításra került.

Így pedig előállt egy, a lényegét tekintve “elfogadási és megőrzési kényszerre” épülő rendszer, hiszen az érdemi tartalom zavartalan eléréséhez csak akkor juthat a felhasználó, ha egyfelől hajlandó a feltételeket elfogadni, és erről nyomkodással nyilatkozni is (hiszen, mint látjuk: a cookie anélkül is jön), és emellett ráadásul a cookie-k, illetve tárolt adatok legalább egy részét megőrizni is hajlandó.

Természetesen egyébként a jogalappal.hu weboldal is használ cookie-kat, szám szerint – ha jól látom – hat darabot, amiből az egyik a WordPress, három a Google (Analytics), kettő pedig a Facebook szolgáltatásokhoz kapcsolódik. És ennyivel is tökéletesen el lehet működni (igazából a Facebook “like” és megosztás gombokat is el lehet hagyni adott esetben). Ehhez képest azért valóban megdöbbentő a médiaoldalak százas nagyságrendű cookie-áradata.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: