Unutar skupine G7 raspravljat će se o obavijestima

cookie (am. eng.) = biscuit (brit. en.) = keks. kolač = cake/pastry i nema deminutiva u engleskom. i ne, ne želim nikakve kekse i ne postoji nikakav "legitiman interes" (nacisti su imali napadno nalikujuće opravdanje za svoje "nestašluke"). 

Nije stvar u cookies kao takvom već u praćenju korisnika.

Cookies su dobri momci (ako su dobro podešeni SSL / HttpOnly / domena / path) za pohranu id sessiona, jwt token ili nešto drugo. Glavni problem je iskorištavanje te funkcionalnosti za prepoznavanje i daljnje praćenje korisnika.

Kako to praćenje zapravo radi (slobodno me ispravite tj. nadopunite)?

Na stranici obično imamo dio koda za google analitiku, podijeli sadržaj, facebook komentare ili možda neku mrežu oglasa.

Web stranica ih učitava u pozadini i može se kreirati third party cookies u kojem se korisnika identificira, ako ponovno dođe nastavi se unos s istim ID-om s ciljem da se prati vrijeme provedeno, učestalost, interesi koji nas zanimaju i sl.

Svakim klikom na stranici u referer headeru stoji adresa s koje se dolazi, pa se može na taj način pratiti koji su vaši interesi i bez cookies, samo se onda ne mogu povezati s onim od prije korisnikom. To se može izvesti na više načina npr. hidden img 1px ili izvršavanjem javascript-a gdje se onda može dobiti i slati puno više informacija o Vama tj. vašem digitalnom potpisu računala. Ja sam recimo vidio jednom da se s javascript dohvaća id element u kojem piše ime logiranog korisnika i onda to izvlači i šalje dalje (znaju tko si i bez cookies) :)

Ako to žele mogu informacije o korisniku spremiti i na neki drugi način npr. u local storage, indexDB/WebSQL, kroz query string, custom header requesta u nekim slučajevima itd...

Zabranjivanje limitiranja cookies je kap u moru u tehnikama praćenja.

Nepotrebno je fokus samo na cookies jer ista stvar se može postići na brojene načine koje sam spomenio.  

Svako računalo ostavlja određeni otisak Verzija OS-a, browser, GPU hardware preko WebGL, model web kamere i mikrofona, WebRTC lokalne IP adrese, po javnom IP-u koji je ISP, geo lokacija, instalirani fontovi, canvas generiranoj slici spremljeno u cache, isto se može i za audio/video, worker+cache preko PWA, posjećene stanice (mislim da se to više ne može, ali ...), instalirane ekstenzije, lokalnom vremenu tj. zoni i jeziku, custom css boja za svakog novog posjeitela itd... tko zna što se sve još dodatno može izvući i iskoristi kao parametar za potencijalno prepoznavanje korisnika i njegovo praćenje.

Nažalost nemoguće je pobjeći od praćenja, ali može se otežati.

Treba napraviti sljedeće na svim browserima (kroz zakon) da bi otežali praćenje po default:

• Third party cookies onemogućiti
• User-Agent - da bude s minimalnim skupom informacija - već ima nešto u tom smjeru
• Referer - da se ne šalje preko cross-domain - to nije dobro za analitiku jbg, ali je dobro za privatnost (znam da u sam link može se dodati parametar od kud se dolazi :(, tako da nije idealno )
• third party resurse - image / video / audio / css / js ... limitirati cache na max 2h, bez obzira na postavke ako su postavljene postavljene na više

Postoji dodatci s kojim se može već sad postići određene svari tipa... NOScript, AdBlocker, NoReferer itd...

Postoje i na razini web stranice opcije kao razne police https://developers.google.com/web/updates/2020/07/referrer-policy-new-chrome-default itd...

Na samim stranicama oglasi moraju biti isključivo preko domene koja se posjećuje na način da ako je potebni sve ide preko reverse/proxy tj, proxy pass u kojem se ne šalju informacije o samom korisniku (propisati zakonom što točno smije se dijeliti s trećom stranom)

male mane te promjene su:

sav promet/requestovi oglasa idu preko iste domene/servera - ali se možda može keširati odgovori

te oglašivačka mreža ne može funkcionirati na isti način po principu broj prikaza, jer se sad može lakše "varati", već po principu klika/naplate/izvršene kupnje i sl. što je puno poštenije za oboje strane (što vrijedi 10000 pogleda, a nitko nije ništa kupio bolje prikaži oglas sve dok se ne napravi 100 narudžbi ili koliko se dogovori).

Što bi po meni smanjilo broj napasnih oglasa i možda bi manje bilo blokiranih oglasa od strane AdBlockera