Szerteszana²

A Google Chrome harmadik féltől származó cookie terve

Beszélgessünk akkor egymás kukijáról. :-)

Először is az eredeti hír:

https://privacysandbox.com/news/privacy-sandbox-update/

(Akit érdekel, ugyanitt lehet olvasni magáról a PS-ról.)

Nagyon röviden a kukikról („sütik”, avagy idegenszívűen: cookie):

• cookie: ezt mindenki ismeri: tetszőleges kis adatcsomag, amit a böngésző tárol, és a website le tudja kérni, tartalma bármi lehet a user azonosítótól a teljes userprofilig, és tovább a végtelenbe. Ami mindig van, az egy név és egy adattartalom; de a browser általában tárol még egy csomó dolgot (attribútum), ilyenek például:
• domain: alapértelmezett a küldő pontos hostneve, ekkor csak ő kérheti le; ha meg van adva, akkor ez lehet hostnév (www.example.hu), a host domainje (*.example.hu), vagy a host domainje alatti subdomain (analitycs.example.hu);
• path: url-en belüli path (/ugyfelkapu);
• lejárat: a cookie érvényessége;
• http/https korlátozás (csak itt vagy ott menjen).
• host cookie: a domain egyetlen host (nem domainre vonatkozik): csak az adott host tudja használni;
• normal: több host, subdomain is tudja használni az adott domain alatt (pl: *.example.hu, megy a www.example.hu, ugyfelkapu.example.hu, avh.example.hu alatt);
• 3rd party cookie: olyan cookie, ami egy másik domainre vonatkozik.

Ránézésre ez utóbbi nem lehetséges (a www.example.hu nem tud cookie-t csinálni a tracker.gov.hu részére), de ha a www.example.hu weblapon van egy mosolygó bráner kép a tracker.gov.hu-ról akkor a kép be tud állítani magának egy saját cookie-t a *.gov.hu-ra, és mivel a lekéréskor kapott egy Referer fejlécet azt is le tudja tárolni (és beletenni a cookie-ba), hogy milyen weblapról jött a kérés. Így a végén lesz a user browserében egy kuki, amit a teljes .gov.hu tud használni, és benne lesz, hogy ő szuptóber 42.-én a www.example.hu/csinosfiúk_fiúknak/ lapot olvasta. Amikor belép az ugyfelkapu.gov.hu-ra akkor az nyilván le tudja olvasni a saját kukiját, és végig tudja nézni, hogy ki a kedves ügyfél és milyen weblapokat nézegetett. Not nice.

Láthatóan a 3rd party cookie egyrészt alapvető a domaineken átívelő nyomkövetéshez (ez tipikusan a profilozáson alapuló, központosított gigászi reklámcégek és állami elnyomó szervek érdeke; de szükséges lehet a több domaint használó káoszweblapok esetében is, mint amilyen a Microsoft® legtöbb szara), másrészt egy privacy rémálom.

Erre rájöttünk már elég régen (RFC2109, RFC2965) de még a drámai nyomkövető-business előtt a jóhiszemű RFC6265 engedélyezte a 3rd party cookie használatot. Egészen a 2000-es évekig, amikor eszkalálódni kezdett a nyömkövetisizmus.

Ekkor a browserek fokozatosan bevezették a 3rd party cookie tiltást, ez mára szinte minden browser része. Vajon miért, de a Microsoft® esetében ez jellemzően ki van kapcsolva (fentebb említett okból), de a Chrome és a Firefox általában javasolja vagy bekapcsolja. Az, hogy pontosan mit értenek 3rd party alatt az a gyártótól függ, hiszen ha nem akar mindent tiltani akkor lavírozni kezd a „mi tartozik bele” kérdés körül.

Közben sok minden történt (localstorage a browserben, XSS [cross-site vulnerability, amikor az egyik weblap illegálisan adatokat nyer vagy továbbít egy független weblapra/ról] támadások, leginkább) és lassan megjelentek a sandboxok, ahol egy adott weblap korlátozott mértékben tud idegen weblapokkal adatokat cserélni (még az adott browseren belüli tabok esetében is, illetve ott sem).

A Google ezt (3p-cookie és browser sandbox) szeretné kombinálni (Privacy Sandbox, amihez hasonló létezik a Firefoxban is), és azt tervezték, hogy teljesen tiltják a 3rd party cookie-t 2025-től. Amikor elkezdték a külső tesztelést rájöttek, hogy ez nekik is nagyon fáj, nem tudják kikerülni, így visszaléptek a teljes tiltástól. Az a terv, hogy a userre bízzák, hogy akar-e 3rd party cookie-t, de még ők sem tudják, hogy hogyan, mert ez szörnyűséges felhasználói élményt eredményezne (azok a szerencsétlen hibbantak, akik például Microsoft® Háromszázhatvanöt™ használnak azok a használat során 30-40 ilyen jóváhagyást vagy elutasítást kellene, hogy tegyenek, mert ennyi ide-oda 3rd party hivatkozással kerülhetnek szembe), így gondolom erre próbálnak valami jót kitalálni. Good luck.

A végeredmény a „normál” weblapok szempontjából nem annyira kritikus:

• ha csak saját domain alatti kukikat használt, akkor semmi nem történik;
• ha 3rd party kukija volt, akkor a userek jelentős része (szinte mindenki aki Firefoxot használ és a többiek egy része) eddig is letiltotta azt, most vélhetően még többen nem fogják engedélyezni, és fokozatosan csökken a domaineken keresztüli nyomkövethetőség cookie-n megvalósított változata. Mivel a nyomkövetésnek még N+1 megoldása van (amit a browser készítők egy része aktívan igyekszik megelőzni) így ez sem hozza el az adatvédelmi kánaánt, de megnehezíti a userek domaineken átívelő nyomkövethetőségét;
• a tisztességes versenyzőknek a megoldás, hogy nem keverik a saját domainjeiket (cég.hu és cég.com, például magyar weblap akar trackelni a nemzetközi cég servereire), hanem mindent átmozgatnak a saját domainjük alá (ugye a domain nem egyenlő a fizikai serverrel).

Normális esetben – szerintem – nincs szükség 3rd party cookie-ra, és azért is érdemes kerülni mert mint említettem: a browserek jelentős része alapból tiltja.