Az internet hajnalán még azt sem tudtuk, hogy léteznek, később a felugró kérdésekre automatikusan elfogadtuk őket, most pedig átadhatják a helyüket valami másnak. De mik is azok a webes sütik, miért hasznosak, és miért kell mégis leváltani őket?

Amikor valaki manapság először látogat meg egy weboldalt, egy ablak ugrik fel a böngészőjében, miszerint az oldal sütiket használ, és ugye leszünk olyan kedvesek elfogadni őket. A felhasználók 99,9 százaléka (legalábbis a saját, teljesen nem hivatalos felmérésünk szerint) egyszerűen, szinte oda se figyelve kattintja le, hogy oké, ide a sütikkel, hiszen már sok ezer ilyen ablakot látott, és különben is, ő az oldal tartalmáért jött, szóval tűnjön már onnan az az idegesítő ablak. De pontosan mi is az a süti, és miért jó, vagy épp miért lehet veszélyes, ha elfogadjuk? Ez a kérdés már csak azért is aktuális, mert a több évtizede létező technológiát a Google épp nagyon szeretné lecserélni, szóval ideje beszélnünk arról, mi is ez a mindenki által hallott, de mégsem ismert furcsaság. Kezdjük az elején!

Sütitöri

Amikor az első valódi böngészők megjelentek és elindult a mai formájában ismert internet, a világháló használata viszonylag egyszerű volt. Bepötyögtünk egy URL-t, megnyílt az oldal, megnéztük a tartalmát… és ennyi. Később azonban az első generációs, csupán szöveget, képeket és alapszintű szövegformázást, valamint linkeket tartalmazó oldalak egyre bonyolultabbak lettek, ahogy a növekvő sávszélesség és az egyre kifinomultabb webes technológiák ezt lehetővé tették.

Megjelentek például olyan oldalak, amelyek valamilyen szintű interakciót tettek lehetővé, például beléphettünk egy szolgáltatásba, hogy ott különféle funkciókat használhassunk – ilyenek voltak többek között az első online levelezőprogramok, blogok, a proto-közösségi oldalak és így tovább. Namármost, ha egy ilyen oldal nem “ismeri fel” az újra és újra odatévedő felhasználót, a használata egy idő után idegesítően macerás lehet – például újra és újra be kell gépelni a felhasználónevet, jelszót, a sokféle opció közül ki kell választani, melyeket szeretnénk ismét használni, az űrlapokon folyamatosan bepötyögni a lakcímünket és így tovább. De már egy komolyabb magazin esetében is kellemetlen lehet, ha valaki belép a kedvenc tőzsdei híreiért, de unos-untalan át kell verekednie magát az őt teljesen hidegen hagyó sporthíreken.

A cookie, avagy magyar tükörfordításban süti nevű technológiát erre találták ki (egyébként még jóval az internet fent vázolt bonyolultsága előtt). Elődje a UNIX programnyelvben használatos “magic cookie”, avagy varázssüti, ami gyakorlatilag egy olyan apró adatcsomagot jelent, amelyet egy adott programnak el lehet küldeni, az megvizsgálja, majd változatlanul visszaküldi.

1994 júniusában a Netscape egyik programozója, Lou Montulli találta ki, hogy ezt a korábbi megoldást át lehetne emelni az internetes böngészésbe is, mert egy csomó hasznosnak tűnő módon könnyítené meg a web használatát. A leginkább böngészőjéről ismert cég weboldalán próbálták ki elsőként élesben a dolgot, ami abból állt, hogy amikor valaki először meglátogatta azt, automatikusan települt a gépére egy ilyen, sütinek nevezett apró adatcsomag. Aztán legközelebb, amikor az illető a Netscape oldalára látogatott, a szerver csupán ellenőrizte, ott van-e a cookie, majd azonosította a segítségével a felhasználót.

A sütemény romlandó

Azóta a sütik alapértelmezetté váltak internet-szerte, és egy csomó funkciót látnak el. Leggyakrabban továbbra is a felhasználó azonosítására, illetve egy adott webes szolgáltatás beállításainak automatizálására használják őket. Süti-alapú például az, amikor a böngészőben megnyitva a Facebookot, a Gmailt, az Outlookot, vagy bármi mást, nem kell újra és újra belépnünk, de azt sem kell ismét megadnunk, milyen ablakban, mekkora betűmérettel, milyen ki- és bekapcsolt funkciókkal jelenjen meg számunkra az oldal.

Ezt a megoldást (is) használják emellett a szolgáltatók arra, hogy célzott reklámokat jeleníthessenek meg az oldalakon – hiszen nagyobb eséllyel kattint bárki egy olyan hirdetésre, amely saját böngészési szokásai alapján valóban fontos lehet számára, mint valami teljesen irrelevánsra, ami talán még zavarja vagy idegesíti is.

Emellett a weboldalak üzemeltetői számára is fontosak a sütik, hiszen ezek segítségével sokkal pontosabban nyomon követhetik, kik, mikor, honnan és hogyan használják az oldalaikat. Ez az alapja a legnépszerűbb analitikai megoldásoknak a Google Analytics-től a különféle fizetős szolgáltatásokig, és az így gyűjtött adatok alapján lehet eldönteni például egy hirdető számára, hogy egy adott oldalon érdemes-e reklámozni – tehát elegen látogatják-e, sőt még azt is ki lehet deríteni, mennyire egyezik az oldal közönsége a hirdető célcsoportjával.

A sütiknek sokáig a legtöbben csak a fentiekhez hasonló, pozitív hatásait látták, azonban egyre többeknek szemet szúrt, hogy az effajta adattárolás és adatellenőrzés bizony komoly biztonsági kockázatokat is rejthet. Hiszen gondoljunk csak bele: ott egy apró adatfájl, amelyben megtalálható egy csomó személyes információnk a kapcsolódó oldallal vagy szolgáltatással kapcsolatban, és ha ezeket valaki megszerzi, könnyen vissza is élhet vele. Ugyan a belépési adatokat a legtöbb esetben már komolyabb módszerekkel védik (ilyen például a captchák, vagy a dupla autentikáció használata), de még így is simán kiolvasható egy sütiből például az, hogy milyen IP címről netezünk, de a weboldalak használata közben beállított preferenciáinkból is egy sor érzékeny információt lehet kinyerni rólunk a kedvelt kereséseinktől a szexuális preferenciáinkon át a titokban figyelt terméktípusokig.

Nem csak arról van itt szó, hogy a felhasználók PC-in és mobiljain eltárolt sütiket szerezheti meg valami rosszakaró (bár persze ez a lehetőség is fennáll), de sokáig annak szabályzása is eléggé kaotikus volt, hogy a weboldalak és szolgáltatások üzemeltetői mit kezdhetnek az így gyűjtött adatokkal.

Épp ezért egyre több országban döntöttek úgy, hogy valamilyen szinten informálni kell a felhasználókat arról, hogy böngészés közben készülnek, pontosabban készülhetnek ilyen sütik, és ezek eltárolhatnak olyan adatokat róla, amelyeket nem feltétlenül szeretne mindenkivel tudatni. Magyarországon elsőként a 2003. évi C. törvény az elektronikus hírközlésről 155. paragrafusa szabályozta mindezt. Ennek megfelelően a weboldalak, illetve online szolgáltatások üzemeltetőit kötelezik arra, hogy ha cookie-kat használnak a működés közben, arról minden esetben egyértelműen tájékoztassák a közönséget.

Mindezt 2015. október 1. óta tovább részletezik a módosítások, amelyekre az EU jogszabályaihoz igazítása miatt volt szükség. Épp ezért már sem nemzetközi, sem pedig magyar weboldalakon nem szabad meglepődni, ha egy komolyabb ablak bukkan fel az első látogatáskor, amelyen az üzemeltetőnek részletesen közölnie kell, milyen adatokat tárol az oldal sütijeiben a felhasználókról, és ezeket pontosan milyen célokra használhatja fel.

Persze ez még nem jelent semmit: ahogy a téma felütésében írtuk, a legtöbben ugyanúgy legyintenek és automatikusan elfogadják a sütiket, mint ahogy ráböknek egy szoftver használata előtt, miszerint persze, naná, ők bizony elolvasták az egyébként 258 oldalas, jogi bikkfanyelven fogalmazott felhasználási feltételeket. És persze arra is sokféle lehetőség van, hogy automatikusan, vagy “félautomatikusan” mi magunk tisztába tegyük a sütik helyzetét a gépünkön: a böngészőket eleve beállíthatjuk úgy, hogy automatikusan ne fogadjanak el sütiket, vagy minden egyes kilépéskor töröljék azokat. Ezen felül lehetőségünk van arra is, hogy időről-időre manuálisan töröljük a böngészési előzményeket a cookie-kkal együtt.

Diétára fogott szolgáltatók

A sütik egyre általánosabb negatív megítélése ellenére a böngészőket fejlesztő cégek ugyanúgy nem igazán szerették volna elengedni a technológiát, mint a különféle webes üzemeltetők és szolgáltatók (főleg, ha egy vállalat egyben több szerepet is betölt a fentiek között, mint például a Google vagy a Microsoft). Hiszen gyakorlatilag a hirdetési üzletág komoly bevételi forrás, és ha a jelenleginél kevésbé részletes felhasználói statisztikákat tudnak nyújtani a hirdetőknek, csökken a reklámozási hajlandóság és ezáltal a becsorgó pénzhalom mennyisége is.

Épp ezért komoly visszhangot kapott, amikor a Google az idei év elején bejelentette, hogy fokozatosan leépíti a sütik támogatását. Elsőként a harmadik féltől származó cookie-kat nem veszi majd figyelembe a Chrome böngésző, majd pedig a Google sajátjai is kikerülnek a képből. A megoldást remélhetőleg követi a többi böngésző fejlesztője is (az Apple a Safari, valamint a Mozilla a Firefox esetében már meg is lépte mindezt), és ez azt jelenti, hogy az interneten egy fokkal nagyobb biztonságban lesznek a személyes adataink.

Hogy mi lesz a sütik helyett? A Google még nem nyilatkozott a pontos megoldásról, de annyit tudni lehet, hogy mind a böngészőkben, mind pedig szerveroldalon olyan API-k (fejlesztői interfészek) dolgoznak majd, amelyek anonim módon rögzítik a szükséges adatokat, amelyből egyik oldalról sem lehet eljutni konkrét felhasználókhoz köthető információkig.

Ez a felhasználók esetében azt jelenti, hogy továbbra is megjegyezheti a böngésző a különféle használati részleteket, de ezeket csak valamilyen titkosított, és a böngészőből ki nem jutó formában teszi. Szerveroldalon pedig egy weboldal szintén gyűjti majd, hogy a látogatók milyen beállításokkal használták az oldalt, mire kerestek, honnan neteztek és így tovább, de az egészet beazonosíthatatlanul teszi, a hirdetők tehát csak egy olyan adatcsomagot kapnak, ahol összesítve látják majd a trendeket.

A Google részletes közleményben magyarázta el, hogy a változtatással nem az adatgyűjtést hagyják abba (erre persze senki nem is számított tőlük), hanem azzal, hogy az egyénekre vonatkozó információkat adja tovább. Ez a gyakorlatban azt jelenti, hogy jövőben nem egy adott felhasználó profilját teszik hozzáférhetővé a hirdetők számára, hanem különböző tulajdonságok, például érdeklődési kör vagy életkor alapján nagyobb halmazokat, úgynevezett kohorszokat generálnak, és ezeket kínálják fel a hirdetések célzásához. Ugyanilyen módszert alkalmaz már az Apple is, ahol 5000 fős csoportmintákat tárol el, ezen belül azonban nem lehet részletesebben kutakodni egyének szintjén.

Ez a folyamat része az internet egyfajta belső tisztulásának, amely nemrég az egykor úttörő, de mára biztonsági kockázathalmazként értelmezhető Flash eltüntetéséhez is vezetett. Persze ettől még megannyi olyan lyuk tátong a rendszeren, amely lehetővé teszi a személyes adatok szivárgását – beleértve például azt, hogy a legtöbbször maga az internetező ad meg magáról önként egy csomó adatot például a közösségi oldalakon. De azt eddig is tudtuk, hogy a legnagyobb biztonsági kockázat maga az ember – ez ellen pedig csak az edukáció, a digitális írástudás és a biztonsági alapelvek ismeretének növelése, meg persze a “józan paraszti ész” használata segít.