Cookies jsou tu s námi už dvacet let a mají různou funkci. Původně šlo o způsob, jak obejít bezestavový protokol HTTP. Cookies tedy vznikly jako identifikátor uživatele, kterému tak může být vygenerována například stránka s jeho nepřečtenou poštou. Postupně se ale použití cookies rozšířilo a stal se z nich univerzální značkovač uživatelů, který umožňuje profilování uživatelů a zobrazování cílené reklamy či měření návštěvnosti.
Současná situace je taková, že všechny reklamní systémy i měřiče jsou na cookies zcela závislé a nedokáží bez nich správně fungovat. Pokud vnímáte reklamu jako display necílenou tj. prostě visící na webových stránkách a zobrazovanou komukoliv a kdykoliv, pak cookies třetích stran opravdu nepotřebujete. Pokud hovoříte o behaviorálním cílení nebo o jakékoliv identifikaci prohlížeče, resp. zobrazování inzerátu jen omezenému okruhu prohlížečů v předem dané frekvenci apod., pak skutečně reklamní systém potřebuje nějaký identifikátor, podle kterého bude optimalizovat zobrazení reklamy těmto prohlížečům,
vysvětluje Kateřina Hrubešová, ředitelka Sdružení pro Internetovou Reklamu (SPIR).
Co jsou cookies třetích stran?
Existují dva způsoby použití cookies. Ten klasický ukládá cookie do prohlížeče pro stránku, kterou jste právě navštívili. Při další návštěvě tak například zůstanete přihlášeni či vám je zobrazena personalizovaná webová stránka. Naopak cookie třetí strany vám do prohlížeče vnutí stránka, kterou jste nenavštívili, třeba měřící či reklamní systém. Zatímco klasické cookies jsou technicky opodstatněné a bezproblémové, cookies třetích stran jsou tím, co leží mnohým v žaludku. Celý tento článek je o cookies třetích stran.
Podle Kateřiny Hrubešové jsou cookies nutností a jejich návaznost na reklamu je opodstatněná. Uživatelé internetu si musí uvědomit, že pokud nechtějí platit za obsah, jediný finanční model fungování médií, kromě sponzoringu, je reklama. Buď modus vivendi přijmou, nebo se jim během několika let zúží nabídka obsahu.
Už nyní je ale použití cookies velmi problematické, uvádí se, že asi 35 až 40 % provozu na webu tvoří zařízení, která tyto cookies neumí přijmout. Tento problém potvrzují i údaje SPIR. Měřící systém NetMonitor, který SPIR provozuje, vygeneruje okolo 60 milionů cookies každý měsíc. Z toho 19 % je zlikvidováno okamžitě a jen 8 % jich přežije déle než 14 dní.
Co vy a cookies?
Cookies neidentifikují uživatele?
Na konferenci New Media Inspiration 2014 (NMI) Kateřina Hrubešová hájila nutnost cookies třetích stran na dnešním internetu. Podle jejích slov není třeba se bát o anonymitu či osobní práva, cookies prý identifikuje jen prohlížeč. Jde o identifikaci prohlížeče. Není to identifikace operačního systému nebo osoby, jak se snaží někdo tvrdit,
řekla Hrubešová. Když to řeknu někomu na úřadu pro ochranu osobních údajů, tak mi řeknou, že to není pravda, že cookie je osobní údaj,
dodala.
Kateřina Hrubešová (SPIR) na NMI 2014
Současný trend je navíc dnes takový, že uživatelé čím dál častěji web navštěvují z různých přístrojů, mezi kterými není žádná technická vazba. Podle Hrubešové tak neexistuje žádný identifikátor vzájemných překryvů ani vlastníků zařízení.
Sama ředitelka SPIR ale přiznává, že se uživatel dřív nebo později identifikuje tím, že například na Aukru vyplní údaje ověřené zasláním papírového dopisu. Pokud máme informace z autentizace uživatele (např. jméno a další specifikace), pak uživatel dává souhlas s užitím osobních dat, čímž je podmíněno užití služby. Zákazníci služeb by s tím měli počítat, resp. mít možnost požádat o nesledování své cookie v systému, což už dneska existuje v tzv. OBA Framework – samoregulační rámec.
Sílí ovšem snahy cookies třetích stran regulovat. Známé je nesmyslné sušenkové nařízení EU, ale pro změnu jsou i tvůrci aplikací. Apple například ve svých zařízeních cookies třetích stran blokuje (a nasazuje vlastní Apple ID) a Mozilla dříve také tento plán potvrdila, i když od něj pod tlakem nakonec ustoupila. Kauza ‚cookie rovná se osobní údaj‘ je jen další příklad v řadě, jak ne/lze regulovat internet a jaký to má dopad v rámci technologií a práva,
vysvětluje Hrubešová.
Podle Hrubešové nemá taková regulace smysl, protože si trh jednoduše najde jiný způsob. Když nebudou fungovat cookies, objeví se jiná metoda identifikace uživatele.
Celá regulace bude podle Hrubešové nejen nákladná a pro menší firmy složitá, ale také zbytečná. Faktem je, že cookie lze nahradit advertising ID nebo local storage u mobilů, či něčím jiným, co vznikne.
Jsou to opravdu „jen metadata“?
Josef Šlerka, učitel nových médií na Univerzitě Karlově, ve své přednášce varoval před tím, že jsou podobné informace označovány za málo podstatné. Narážel na slavný projev Barracka Obamy, ve kterém obhajoval činnosti tajných služeb. Řekl přitom, že nikdo neposlouchá telefonní hovory a nečte elektronickou poštu. Tajné služby prý zajímají „jen metadata“ jako telefonní čísla, kdo komu volá a jak dlouho.
Samotná metadata ale podle Šlerky můžou obsahovat velmi důležité informace, což je také důvod, proč NSA tyto údaje zajímají. Například z četnosti telefonních kontaktů se dají například vyvodit velmi reálné a matematicky popsatelné vztahy mezi lidmi. ‚Just metadata‘ je krajně problematické. Nenechte si namluvit, že metadata nejsou obsah. To je snaha posledních dnů,
varoval Šlerka.
Tajné služby sbírají metadata právě proto, aby dokázaly propojit jednotlivé informace do kontextu. NSA se od roku 2001 bojí toho, že se jí stane to, co se jí stalo – totiž že nebude moci spojit dohromady informace, které už má.
Na druhou stranu podle Šlerky nemá smysl vinit NSA za to, že vytvořila největší sledovací síť na světě, je to její práce. Je to jako vinit sériového vraha. On je sériový vrah, má zabíjet lidi,
vysvětlil s humorem.
Přestože Snowdenovo odhalení způsobilo celosvětový „šok“, jde podle Šlerky o šok falešný a předstíraný. Nikoho nemělo překvapit, že někdo systematicky sleduje uživatele, zajímavější je spíše to, jak to NSA dělá. NSA se snaží sbírat všechna data a propojovat je v samoučícím algoritmu. Tím, že nesbírá vzorky, ale má opravdu všechna data, má úplně nové možnosti.
Kromě toho, že je možné získávat obecné statistické informace, je možné označovat i konkrétní lidi. Můžete získávat ucelené seznamy konkrétních lidí,
vysvětlil Šlerka největší nebezpečí.
Josef Šlerka (UK) na NMI 2014
Podle Obamovy definice jde ale stále „jen o metadata“, tedy ty méně významné informace, které nenesou obsah komunikace. Zapomeňte, že tady v budoucnu půjde o nějaká metadata. To je to zásadní, co si musíme všichni uvědomit,
shrnul na konci přednášky Šlerka.
Co přijde po cookies?
Přestože se jim předvídá brzký zánik, jsou cookies stále nejběžnějším identifikátorem na webu. Za dvacet let jich vzniklo velké množství – session persistent, httponly, supercookie, zombie a další. Třetina uživatelů maže cookies v průběhu jednoho měsíce,
řekl na NMI Pavel Schamberger, dobrovolník projektu Tor. Proto marketingové společnosti vymyslely další způsoby, jak uživatele poznat.
Zajímavým počinem v této oblasti je knihovna evercookie, která umožňuje identifikaci prohlížeče vložit do mnoha různých míst. Kromě klasické cookie jsou to například Flash cookies, webová historie, cache prohlížeče, vygenerovaný obrázek v obrázkové cache, různá HTML5 úložiště v prohlížeči a podobně. Zbavit se takové identifikace je pak velmi nelehké, protože odolává mnoha snahám o smazání.
Pavel Schamberger (Tor Project) na NMI 2014
Další zajímavou možností je fingerprinting, který nevyžaduje aktivní zásah do nastavení prohlížeče, ale uživatel je identifikován podle toho, co o sobě software sám prozradí. Prohlížeč sám o sobě hlásí stránkám velké množství různých informací jako je platforma, rozlišení, časová zóna, fonty, pluginy a další. Kombinace těchto informací obvykle vede k jednoznačně identifikaci.
Čtěte: Váš prohlížeč je identifikovatelný i bez cookies
Poprvé se o této metodě začalo mluvit v roce 2009 a v roce 2010 vyvinula EFF open-source testovací nástroj Panopticlick, který o vás potřebné informace zjistí a porovná vaši unikátnost s ostatními uživateli. Aplikace dá dohromady průměrně 18 bitů identifikační informace, které stačí k unikátní identifikaci asi 94,2 % prohlížečů.
Podle Schambergera je to přesnější identifikace než na základě jména, věku, pohlaví a poštovní adresy. Ta vyžaduje průměrně 33 bitů. Obejít fingerprinting také není vůbec snadné, změna nastavení či verzí nestačí, ukázalo se, že 99,1 % počítačů je identifikováno znovu.
Tento způsob identifikace je už poměrně rozšířený a běžně se používá v komerční sféře, kde je možné si za podobné řešení zaplatit. Obvykle se používá ještě více informací, včetně toho, jestli máte zapnutou funkci Do-Not-Track,
vysvětlil Schamberger paradox této funkce, která má mít přesně opačný cíl – zakázat stránkám ukládáni identifikačních informací.
Stránka Panopticlick
Dalším cílem identifikace může být například Flash, který má dnes na počítači většina uživatelů. Stejně tak se třeba zneužívá Flash, který obchází nastavení proxy v prohlížeči a komunikuje se serverem přímo. Dá se tak zjistit jiná IP adresa, než jakou používá zbytek systému,
řekl Pavel Schamberger. Flash je vůbec velkým zdrojem informací, předává seznam používaných fontů nebo i podrobnosti o operačním systému včetně například verze linuxového jádra.
Tuto metodu používá nejméně 0,4 % webu, na kterých jsou nasazena běžně známá komerční řešení – reálně to bude více, protože konkrétních implementací jistě existuje více. Často jde podle Schambergera o stránky s pornografií, ale zdaleka ne jen o ty. Zajímavé je, že ho používá například také Skype.
Ochranou může být použití sítě Tor, rozšíření NoScript či vypnutí Flashe. Tím se ale zase stáváme unikátními, protože uživatelů bez Flashe dnes mnoho není,
vysvětlil paradox Schamberger.
Konec cookies nebude konec značkování
Zdá se tedy, že konec cookies bude jen začátkem něčeho nového. Objeví se nové metody, nové postupy a svět se bude točit dál. Podle Daniela Dočekala ovšem může přijít ještě něco horšího: rozdělení světa mezi několik velkých technologických firem. Google a Microsoft chtějí přijít s vlastním řešením, které by jim umožnilo zejména na mobilních zařízeních velmi přesně cílit reklamu.
Microsoft i Google mají v tomto ohledu poměrně unikátní pozici. Po mnoha letech usilovného budování navzájem provázaných služeb jsou jejich uživatelé prakticky neustále „přihlášení“ – ať už používají Gmail, Hotmail/Office365 nebo cokoliv jiného. Spolu s Facebookem, Applem a Amazonem patří Microsoft i Google k zásadním poskytovatelům online identit – zejména takových, které jsou prakticky perzistentní a neustále přítomné,
píše Daniel Dočekal ve svém článku na Lupě.
Konec cookies tak může přinést paradoxně ještě horší situaci v tom, že data budou v držení jedné (nebo několika málo) velkých společností, zatímco teď je moc rozprostřena mezi mnoho různých subjektů. V budoucnu tak mohou být reklamní společnosti i uživatelé v područí jedné společnosti, které z toho samozřejmě budou plynout nemalé provize. Je to skutečně to, co chceme?
ČLÁNKY DO MAILU