A legtöbb internetező minden bizonnyal hallott már a sütik, eredeti angol nevükön cookie-k létezéséről, és talán azt is tudja, hogy ezeket a weboldalak helyezik el a gépén, hogy a következő látogatása során ráismerjenek. Ha valaki szeret ügyelni arra, hogy a számítógépén ne lehessen visszakövetni, milyen oldalakat nézett meg - például azért, mert több más családtaggal, lakótárssal közösen használja a PC-t -, akkor nyilván azt is tudja, hol lehet a böngészési előzményekhez kapcsolódó sütiket letakarítani a számítógépről.
A sütik pontos működési elvével és szerepével azonban a legtöbb internetező nincs tisztában, ahogyan azzal sem, hogy ezek segítségével részletes adatokat lehet gyűjteni a böngészési szokásairól. A nagy online hirdetőcégek, így például a Google is felhasználja ezt arra, hogy a felhasználó feltételezett érdeklődési körének megfelelő reklámokat jelenítsen meg a böngészőjében. Mivel a felhasználóról gyűjtött adatok anonimak, ez nem jelent különösebb kockázatot, viszont érhetően van, aki kimondottan allergiás rá, és a dolgot a jogvédők is aggályosnak tartják.
A süti csak egy szövegfájl, de sok mindenre jó
Maga a webes süti azonban nem kémprogram, csupán egy szövegfájl, amelyi egy bizonyos érték nevét, magát az értéket, és a forrásául szolgáló weboldal címét tartalmazza. A sütik tartalmát bárki meg is nézheti a böngészője megfelelő menüpontjában, vagyis alapesetben a tartalmuk sem titkos - persze a bennük tárolt számértékek már csak az őket leolvasó weboldalak számára értelmezhetők.
A legegyszerűbb süti csak egy azonosítót tartalmaz, amelyről a weboldal megismeri a látogatót, ha már járt ott. Amikor beírunk a böngészőbe egy webcímet, a böngészőnk automatikusan elküldi a hozzá tartozó sütiben talált információkat az oldalt kiszolgáló webszervernek, ha talált ilyet a gépünkön. Ha nem, akkor a felkeresett oldal kéri meg a böngészőt, hogy hozzon létre egy sütit a gépen, és azt is közli vele, meddig tartsa meg a benne tárolt információt. A weboldalak ezek alapján emlékezhetnek látogatóikra: megőrzik belépési adataikat, a legutóbbi látogatásnál félbehagyott dolgokat így idézik vissza, vagy ezek alapján tudják megmutatni, mi történt az oldalon az előző látogatás óta.
Egy tipikus süti tartalma Chrome böngészőben megjelenítve
A sütik használata nélkül tehát kényelmetlenebb lenne az internetezés, ám a webszájtok sok olyan dolgot is művelhetnek a sütikkel, amelyről a felhasználónak már nincs fogalma. A sütiket olyan webes hirdetéskiszolgálók is használják, amelyek több különböző szájton jelenítenek meg reklámokat. Ezeket az úgynevezett harmadik fél által kibocsátott sütiknek az a dolga, hogy a rögzítsék, milyen oldalakat látogatott meg a felhasználó, mire keresett rá, mennyi időt töltött az egyes oldalakon. Ezek alapján készülnek a látogatottsági statisztikák, illetve ebből tudható meg az is, a látogatók honnan jönnek és merre mennek tovább az adott oldalról.
Átláthatatlan, mire használják
Mint már említettük, az adatgyűjtés anonim, vagyis az így összeállított profilt a sütik kibocsátói nem tudják összefüggésbe hozni más személyes adatokkal. A mechanizmus csupán a hirdetéskiszolgálás hatékonyabb módját szolgálja. A Google adatvédelmi fejlesztési vezetője, Cyrill Osterwalder szerint, aki a 2011-es adatvédelmi nap alkalmából látogatott Budapestre, a megoldás csak a felhasználók töredékét zavarja. A Google ugyanis az angol nyelvű oldalain lehetőséget biztosít a saját hirdetéseivel kapcsolatos beállításoknál a követés és az ennek alapján megjelenített hirdetések letiltására, ahogy arra is, hogy a felhasználók maguk adjanak meg olyan témaköröket, amelyek érdeklik őket. (A Google interest-based advertisingnak, vagyis érdeklődés alapú hirdetésnek nevezi ezt a megoldást, amelyet a reklámszakma tágabb értelemben behavioral targetingnek, vagyis viselkedés alapú célzásnak hív.)
Osterwalder szerint átlagosan ötből csak egy felhasználó tiltja le a Google hirdetéseihez tartozó sütiket, ennél viszont jóval többen szabják személyre az őket érdeklő reklámokat az oldalon. A felhasználók jogait védő szakmai szervezetek azonban mind az USA-ban, mind az Európai Unióban szeretnének több befolyást adni a netezőknek e folyamat fölött.
Az EU-s adatvédelmi biztosok munkacsoportja tavaly júniusban adott ki véleményt a sütik használatáról, amelyben ezek tartalmát személyes adatnak minősítette arra hivatkozva, hogy ezek a felhasználók pontosabb azonosítását teszik lehetővé, mint az IP-cím. Az úgynevezett 29-es munkacsoport akkor azt javasolta, hogy a cookie-k használatához a weboldalak minden esetben kérjék a felhasználók előzetes beleegyezését, amely csak egy meghatározott időre szól, és ezzel együtt részletesen tájékoztassák is a netezőket arról, hogy az adott süti mit csinál, és milyen adatokat gyűjt.
A jogi helyzet sem egyértelmű
Az online reklámszakma képviselői hamar tiltakozásba kezdtek az EU tervei ellen, mondván, ellehetetlenítené az oldalak működését, ha a netezőknek folyamatosan felugró üzeneteket kellene olvasgatniuk és jóváhagyniuk netezés közben. Az Unió mostanra el is vetette, hogy a felhasználóktól előzetes beleegyezést (opt-in) kelljen kérni - adta hírül a Financial Times január 17-én. A lap birtokába jutott, egyébként titkos bizottsági dokumentum a direktíva megvalósítását részletezi a tagállamok számára, és eszerint az EU már nem ragaszkodik a cookie-k elfogadásának előzetes rendszeréhez, hanem az ezek működését szabályozó "a böngésző vagy más szoftver" beállítását is elegendőnek tartja.
A Mozilla szabványosítaná a harmadik fél általi követés letiltását
Az EU a továbbiakban meg is elégszik azzal, ha az egyes tagállamok illetékes szakmai szervezetei a saját önszabályozó rendelkezéseikben foglalkoznak a kérdéssel. Ettől persze még elképzelhető, hogy lesz, ahol szigorúbb szabályokat vezetnek be: a tagállamoknak 2011 júniusáig kell a saját jogrendszerükbe beépíteni az erre vonatkozó paragrafusokat.
Az USA-ban egy kicsit más a helyzet, ott ugyanis a szövetségi kereskedelmi hatóság (Federal Trade Commission, röviden FTC) elégedetlen a szakmabeli önszabályozással. Az FTC legutóbb 2010 novemberében tett közzé egy javaslatot, amelyben a nyomkövető sütik általános tiltását megvalósító, a nyomkövetésből a felhasználót kijelentkeztető, vagyis opt-out technológia kialakítását szorgalmazta. A webböngészőket fejlesztő legnagyobb vállalatok közül többen is most reagáltak a hatóság kezdeményezésére.
A Microsoft az FTC állásfoglalását követően megelőlegezte, hogy az Internet Explorer 9-be bekerül majd egy nyomkövető sütiket tiltó megoldás, a Google és a Mozilla viszont már lépett is. A Google egy Keep My Opt-Outs nevű kiegészítőt adott ki a Chrome-hoz, amely abban segít, hogy a felhasználó által létrehozható, gyanús oldalakat tartalmazó tiltólista beállításai minden körülmények között - tehát pl. az összes cookie törlése után is - megmaradjanak. Ez azonban csak korlátozott védelmet biztosít: az USA-ban ugyanis a Network Advertising Initiative (NAI) nevű kezdeményezés tömöríti azokat a hirdetőket, akik önként lehetőséget biztosítanak a netezőknek a tiltásra. A NAI-ban azonban nincs benne mindenki, és a tagjai közül is van, aki a nyomkövetést nem kapcsolja ki, ha a felhasználó tiltólistára teszi, csak nem küld a böngészőbe személyre szabott reklámot.
A Mozilla szabványt teremtene
A legrangosabb online jogvédő szervezet, az Electronic Frontier Foundation (EFF) éppen ezért nem is a Google, hanem a Firefoxot fejlesztő Mozilla kezdeményezését tartja követendőnek. A Mozilla egy olyan technológiát dolgozott ki, amely lehetővé tenné, hogy a felhasználó egy központi beállítással - például egy gombbal vagy egy menüponttal - letiltsa a nyomkövető sütik használatát.
Az EFF Panopticlick oldala mutatja meg, mi mindent árul el magáról a böngészőnk:
a Test Me gombbal bárki kérhet egy listát a virtuális ujjlenyomatairól
Természetesen ennek is csak akkor lehet majd érvényt szerezni, ha a megoldást a webes szakma is elfogadja, és ez is csak a harmadik fél által kibocsátott nyomkövetést tiltaná le. A Mozilla és az EFF szerint azonban nagyban megkönnyítené a felhasználók dolgát, ha nem kellene külön-külön kapcsolgatniuk, hogy hol milyen sütit engedélyeznek, és tiltólistákat sem kellene összeállítaniuk vagy figyelniük a kérdéses szájtokról és szolgáltatókról. Az új funkció külön szoftver vagy kiegészítő telepítését sem igényelné, egyszerűen csak bekerülne a böngésző újabb változataiba, de hogy pontosan mikortól, azt egyelőre a Mozilla sem közölte.
Az EFF a maga részéről ígéretet tett arra, hogy támogatja a sztenderd elfogadtatását az FTC-nél, de ennek alapján még nem lehet biztosan megjósolni, hogy elterjed-e a megoldás, és bekerül-e majd minden böngészőbe. A jogvédő szervezet ezt már csak azért is szorgalmazza, mert a hagyományos sütiken kívül a felhasználók nyomon követésére több más módszer is létezik, amellyel a hirdetők kísérleteznek. A fingerprintingnek, vagyis ujjlenyomat-elemzésnek nevezett eljárás például az egyedi konfiguráció - például a gép típusa, az operációs rendszer, a telepített kiegészítők - alapján azonosítja az internetezőket. Az EFF szerint egy átlagos böngésző 18-20 olyan paramétert közöl magáról, amiből már össze lehet állítani az egyedi "ujjlenyomatát". Ezeket az adatokat egyébként a piackutatók is felhasználják a webes látogatottságmérésben.
Létezik olyan, letörölhetetlennek szánt süti is evercookie néven, amely több helyre is beírja az eltárolni kívánt információkat - például a böngésző által lementett képfájlba -, ahol az nagyobb biztonságban van, mint egy hagyományos HTML-sütiben, de ugyanúgy elérhető. A Mozilla technológiája viszont, ha sikerül szabványosítani, az EFF szerint minden ilyen nyomkövetés ellen védelmet adhat majd.