Szerteszana²

A Google Chrome harmadik féltől származó cookie terve

Beszélgessünk akkor egymás kukijáról. :-)

Először is az eredeti hír:

https://privacysandbox.com/news/privacy-sandbox-update/

(Akit érdekel, ugyanitt lehet olvasni magáról a PS-ról.)

Nagyon röviden a kukikról („sütik”, avagy idegenszívűen: cookie):

• cookie: ezt mindenki ismeri: tetszőleges kis adatcsomag, amit a böngésző tárol, és a website le tudja kérni, tartalma bármi lehet a user azonosítótól a teljes userprofilig, és tovább a végtelenbe. Ami mindig van, az egy név és egy adattartalom; de a browser általában tárol még egy csomó dolgot (attribútum), ilyenek például:
• domain: alapértelmezett a küldő pontos hostneve, ekkor csak ő kérheti le; ha meg van adva, akkor ez lehet hostnév (www.example.hu), a host domainje (*.example.hu), vagy a host domainje alatti subdomain (analitycs.example.hu);
• path: url-en belüli path (/ugyfelkapu);
• lejárat: a cookie érvényessége;
• http/https korlátozás (csak itt vagy ott menjen).
• host cookie: a domain egyetlen host (nem domainre vonatkozik): csak az adott host tudja használni;
• normal: több host, subdomain is tudja használni az adott domain alatt (pl: *.example.hu, megy a www.example.hu, ugyfelkapu.example.hu, avh.example.hu alatt);
• 3rd party cookie: olyan cookie, ami egy másik domainre vonatkozik.

Ránézésre ez utóbbi nem lehetséges (a www.example.hu nem tud cookie-t csinálni a tracker.gov.hu részére), de ha a www.example.hu weblapon van egy mosolygó bráner kép a tracker.gov.hu-ról akkor a kép be tud állítani magának egy saját cookie-t a *.gov.hu-ra, és mivel a lekéréskor kapott egy Referer fejlécet azt is le tudja tárolni (és beletenni a cookie-ba), hogy milyen weblapról jött a kérés. Így a végén lesz a user browserében egy kuki, amit a teljes .gov.hu tud használni, és benne lesz, hogy ő szuptóber 42.-én a www.example.hu/csinosfiúk_fiúknak/ lapot olvasta. Amikor belép az ugyfelkapu.gov.hu-ra akkor az nyilván le tudja olvasni a saját kukiját, és végig tudja nézni, hogy ki a kedves ügyfél és milyen weblapokat nézegetett. Not nice.

Láthatóan a 3rd party cookie egyrészt alapvető a domaineken átívelő nyomkövetéshez (ez tipikusan a profilozáson alapuló, központosított gigászi reklámcégek és állami elnyomó szervek érdeke; de szükséges lehet a több domaint használó káoszweblapok esetében is, mint amilyen a Microsoft® legtöbb szara), másrészt egy privacy rémálom.

Erre rájöttünk már elég régen (RFC2109, RFC2965) de még a drámai nyomkövető-business előtt a jóhiszemű RFC6265 engedélyezte a 3rd party cookie használatot. Egészen a 2000-es évekig, amikor eszkalálódni kezdett a nyömkövetisizmus.

Ekkor a browserek fokozatosan bevezették a 3rd party cookie tiltást, ez mára szinte minden browser része. Vajon miért, de a Microsoft® esetében ez jellemzően ki van kapcsolva (fentebb említett okból), de a Chrome és a Firefox általában javasolja vagy bekapcsolja. Az, hogy pontosan mit értenek 3rd party alatt az a gyártótól függ, hiszen ha nem akar mindent tiltani akkor lavírozni kezd a „mi tartozik bele” kérdés körül.

Közben sok minden történt (localstorage a browserben, XSS [cross-site vulnerability, amikor az egyik weblap illegálisan adatokat nyer vagy továbbít egy független weblapra/ról] támadások, leginkább) és lassan megjelentek a sandboxok, ahol egy adott weblap korlátozott mértékben tud idegen weblapokkal adatokat cserélni (még az adott browseren belüli tabok esetében is, illetve ott sem).

A Google ezt (3p-cookie és browser sandbox) szeretné kombinálni (Privacy Sandbox, amihez hasonló létezik a Firefoxban is), és azt tervezték, hogy teljesen tiltják a 3rd party cookie-t 2025-től. Amikor elkezdték a külső tesztelést rájöttek, hogy ez nekik is nagyon fáj, nem tudják kikerülni, így visszaléptek a teljes tiltástól. Az a terv, hogy a userre bízzák, hogy akar-e 3rd party cookie-t, de még ők sem tudják, hogy hogyan, mert ez szörnyűséges felhasználói élményt eredményezne (azok a szerencsétlen hibbantak, akik például Microsoft® Háromszázhatvanöt™ használnak azok a használat során 30-40 ilyen jóváhagyást vagy elutasítást kellene, hogy tegyenek, mert ennyi ide-oda 3rd party hivatkozással kerülhetnek szembe), így gondolom erre próbálnak valami jót kitalálni. Good luck.

A végeredmény a „normál” weblapok szempontjából nem annyira kritikus:

• ha csak saját domain alatti kukikat használt, akkor semmi nem történik;
• ha 3rd party kukija volt, akkor a userek jelentős része (szinte mindenki aki Firefoxot használ és a többiek egy része) eddig is letiltotta azt, most vélhetően még többen nem fogják engedélyezni, és fokozatosan csökken a domaineken keresztüli nyomkövethetőség cookie-n megvalósított változata. Mivel a nyomkövetésnek még N+1 megoldása van (amit a browser készítők egy része aktívan igyekszik megelőzni) így ez sem hozza el az adatvédelmi kánaánt, de megnehezíti a userek domaineken átívelő nyomkövethetőségét;
• a tisztességes versenyzőknek a megoldás, hogy nem keverik a saját domainjeiket (cég.hu és cég.com, például magyar weblap akar trackelni a nemzetközi cég servereire), hanem mindent átmozgatnak a saját domainjük alá (ugye a domain nem egyenlő a fizikai serverrel).

Normális esetben – szerintem – nincs szükség 3rd party cookie-ra, és azért is érdemes kerülni mert mint említettem: a browserek jelentős része alapból tiltja.

Eladó a lekvárom?

Egy helyi fæcesbook csoportban zajló, majd kissé elfajuló vita kapcsán lette ideges attól, hogy a résztvevők egy része semmiféle konstruktivitást nem vitt az értelmetlen beszólásaiba, így most szokásomhoz híven átcsapok konstruktívba.

A kérdés:

Mi kell ahhoz, hogy legálisan árulhassam a saját magam által főzött lekvárt a kapuban (vagy nyilván szervezzem meg online, de helyben árusítással)?

Nos, ennek ugye alapvetően két vonzata van:

1. Üzleti oldal (adózás, előállítási és kereskedelmi engedélyezés);
2. Egészségügyi oldal (higiénia, növényvédelem, közegészségügy).

Üzleti oldal

Ahhoz, hogy legálisan magánszemély árusítson a legolcsóbb (és vélhetően legegyszerűbb) mód az őstermelői szám (régebben igazolvány) kiváltása. Ehhez számos forrás nyújt segítséget, de alapvetően ez kell hozzá:

• NÉBIH FELIR szám: Online igényelhető a NÉBIH lapján. Ennek kiváltása díjmentes. Ez felel meg a régi „őstermelői igazolvány”-nak.
• NAK regisztráció: az agrárkamarai regisztrációban a területileg illetékes falugazdász tud segíteni. Díjmentes.
• Kormányhivatal: a helyi járási Élelmiszerlánc-biztonsági és Állategészségügyi Osztálynál kell regisztrálni a kistermelői nyilvántartásba. Ez állítólag az e-papíron történik, de mivel változott, érdemes a falugazdát megkérdezni. Szintén díjmentes. (Hivatkozott jogszabály: 60/2023. AM rend.)
• NAV: az adóhivatalnak is vannak elvárásai, regisztrálni kell, illetve adószám fog hozzá kelleni. Az őstermelő egy bizonyos mennyiség alatt elég szolidan adózik, de nem akarok adótanácsadót játszani; a NAV lapján olvashatóak az útmutatók.

Az eddig ismert egyetlen költség a NAK kötelező tagsági díja, aminek minimális összege évente változik (nő), 2024-ben évi 6000 forint.

A fenti bejegyzéseket csak azért nem lehet tetszőleges sorrendben csinálni, mert van, hogy az egyik kéri a másik által adott számot, de ez menet közben is kiderül, és mivel online intézhető, sok idő sem megy el vele.

Egészségügyi oldal

Bár itt semmi hivatalos adminsztráció nincsen, de fontos tudni, hogy a hivatalok ellenőrzik a vonatkozó jogszabályok betartását. Ezek közül az alábbiakat érdemes szem előtt tartani:

• Alapvető higiénia: aki élelmiszerrel foglalkozik, gondoljon mindig a tisztaságra, a kézmosásra, az eszközök és a terület tisztán tartására. A hivatal – főként bejelentés esetén – ellenőrizheti nem csak a terméket, de az előállításhoz használt környezetet is. Van, akinek alap, de nem árt mondani.
• Növényvédőszerek: friss gyümölcsnél is és feldolgozásnál is lényeges, hogy egyrészt csak olyan szer használható, ami a megfelelő kategóriába esik (1. kat), másrészt azt el kell távolítani, mielőtt… bármi történik. Aki regisztrál, annál (jellemzően panasz esetén) nem csak az adott termékre, hanem általában is ellenőrzik, hogy betartják-e a növényvédőszerekre vonatkozó szabályokat, például használt-e gyomirtót (nem jó ötlet); javasolt permetezés esetén jegyzetet vezetni arról, hogy mikor, mivel, hogyan; ez nem kötelező, de jól jöhet, ha kérdezik.
• Házi méretű esetekben (200 kg/hét alatt) nem kell engedély, HACCP, stb., „csak” normális körülményeket kell biztosítani.

Ennyi.

Alapvetően ennyi. Ha az őstermelői engedély megvan, kicsengetted a hatezret a kamarának a semmiért, akkor nyugta ellenében (nyugtatömb: 500 Ft) árulhatod a saját gyümölcsödet vagy lekvárodat a kapuban, adott mennyiség alatt nem kell iparűzési adót fizetni, az SZJA vonzata is kedvező, és plusz járulékok is csak akkor vannak, ha azt más munkaadó (vagy hivatal) nem fizeti amúgy.

Ez nem vonatkozik a nagyobb mennyiségekre, nem vonatkozik arra, ha az árut nem helyben árulod, vagy piacra viszed. Az már másik kategória, annak nézz utána te magad.

És természetesen ez nem életszerű; vélhetően a legtöbb kapualjban árusító nagymama nem fog őstermelői számot kikérni és nyugtát sem hiszem, hogy ad. Mindegyik hivatalban somolyogva válaszoltak, amikor elmondtam a konkrét esetet, és sugallták, hogy nem mindennapos a kérdésem. Talán nem véletlenül.