מהן עוגיות והאם הן מרגלות אחרי?

לאורך השנים לעוגיות באינטרנט יצא שם מעט רע. היום נתקלתי בפוסט ב-Facebook ממנו עלה שוב שלאנשים יש רושם מוטעה על מה התפקיד שלהן וכיצד הן מתנהגות. מכיוון שלעיתים נדמה לאנשים שהעוגיות "מרגלות" אחריהן או גונבות מהם מידע רגיש, החלטתי לכתוב פוסט קצר שיסביר את הנושא.

source: wikimedia
source: wikimedia

ראשית, הקדמה קצרה. כאשר אנחנו גולשים לאתר אינטרנט אנחנו משתמשים בפרוטוקול המכונה TCP\IP. השם קצת מסובך, אבל בקצרה, מדובר בשיטה הפופולארית ביותר לתקשורת בין מחשבים, ובמסגרתה לא מתבצע שום אימות זהות של הצד השני. במילים אחרות, המחשבים מדברים ביניהם אך הם לא יכולים לדעת מי עומד מולם. כך גם שרת האינטרנט, אשר למעשה הוא מחשב לכל דבר, אינו יודע מי אנחנו כאשר אנו מורידים ממנו מידע במסגרת הגלישה בו. מסיבה זו אנו נדרשים להכניס שם משתמש וסיסמה לאתרים רגישים, בלעדיהם משימת האימות תיהיה כמעט בלתי אפשרית.

כאשר גולש מתחבר לאתר, שרת האינטרנט יכול להפנות אליו את המידע המיועד ספציפית אליו, ולהציג לו תוכן מותאם אישית. אולם אין אנו מתחברים לכל אתר באינטרנט, ובנוסף, יש צורך "לזכור" כי משתמש התחבר לאתר על מנת שלא נבקש ממנו סיסמה בכל פעם שיטען עמוד חדש באתר.

על מנת שאתר אינטרנט יוכל "לזכור" מידע בסיסי אודות המשתמשים הומצאו ה"עוגיות" (cookies). העוגיות נשמרות על מחשב הגולש ומכילות מידע אשר אתר האינטרנט שמר. לדוגמה, אם בחרנו להציג אתר אינטרנט בשפה העברית, במקום בשפה האנגלית, פעמים רבות ישמור האתר את הגדרה זו בעוגיה, וכך בפעם הבאה שניכנס לאתר, יוצג לנו תוכן בעברית באופן אוטומטי. אם התחברנו לאתר, יישמר מידע שיודע לאתר כי אין צורך לדרוש מאיתנו להתחבר בשנית, לפחות לפרק זמן מסויים.

עוגיות ופרטיות

על מנת לשמור על פרטיות הגולשים, הדפדפנים מונעים באופן מוחלט כל ניסיון של אתר אינטרנט לקרוא עוגיות אשר לא הוא יצר. ההגבלה הזאת נאכפת על ידי כך שלא ניתנת לאתר האופציה לקרוא עוגיות אשר הגיעו מדומיין אחר. הגבלה לו מכונה Same Origin Policy. אומנם לעיתים רחוקות מתגלות פרצות אבטחה בדפדפנים מסויימים המאפשרות לאתר אחד לקרוא עוגיות של אתרים אחרים, אך פרצות אלו נדירות מאוד, חמורות מאוד ולרוב נסגרות מהר מיד עם גילויין.

לכן חברות אינן יכולות לקרוא מידע שנשמר על ידי מתחריהם על מחשבי המשתמשים (זו נקודה קריטית שבעקבותיה כתבתי את הפוסט הזה).

עם זאת קיימת דאגה אחרת הנוגעת לעוגיות ומעקב אחר משתמשים, ואלה עוגיות אשר לרוב נוגעות למערכות פרסום.
חברות כמו Google או Facebook מאפשרות לאתרים שונים באינטרנט להשתיל קוד באתריהן על מנת לקבל כלים ויכולות. לדוגמה, Google מאפשרת לכל בעל אתר לקבל בחינם סטטיסטיקות אודות הגולשים ולהציג בפניהם פרסומות (כאשר בעל האתר יזכה לחלק מהרווחים שיגיעו מהן). כאשר אדם גולש לאתר אשר אינו שייך ל-Google אך מכיל קוד של Google, עשויה להתבצע עקיבה אחר פעילותו על ידי עוגיה של Google. כך לדוגמה לאחר שביקנו באתר להזמנת פרחים יוצגו לנו פרסומות על חנויות פרחים ב-Facebook ו-Google.

עובדה זו מטרידה גולשים רבים, ואף את הרגולטור האירופאי אשר מחייב כבר תקופה אתרי אינטרנט לחשוף את מדיניות העוגיות שלו בפני הגולשים בצורה ברורה ומובנת.

מצד שני יש לזכור כי היכולת של Google ו-Facebook לעקוב אחר פעילות הגולשים אינה אפשרית אלמלא הסכמת בעלי האתרים השונים באינטרנט, ובכך אופן חברות אלו לא יכולות לעקוב אחר פעילות מתחרותיהן או אתרים אשר בחרו שלא להשתמש ביכולות המוצעות על ידי Google ו-Facebook.

כיצד מונעים מעקב באמצעות עוגיות?

ראשית ניתן למחוק את העוגיות מהדפדפן. ברוב הדפדפנים היום האפשרות הזאת נגישה מאוד וניתן להגיע אליה דרך תפריט ההגדרות של הדפדפן (לעיתים תחת היסטוריית גלישה).
שנית, ניתן להוריד תוספים שונים ל-Chrome ו-Firefox אשר מונעים את שמירת עוגיות אלו או אף עוגיות המגיעות מאתרים מסויימים בלבד.

לסיכום

עוגיות הן רכיב חיוני בתפקוד האינטרנט, אין מטרתן היא מעקב אחר משתמשים, בוודאי שלא בצורה עויינת. בלעדיהן היה קיים קושי רב יותר לפתח אתרי אינטרנט הנוחים למשתמשים וחווית השימוש באינטרנט הייתה נפגעת.

עם זאת, כפי שציינתי ישנם שיקולים מסויימים של פרטיות שכדאי לשים לב אליהם, אך גם פרנואיד כמוני פחות מוטרד מהם. יש דברים אחרים מטרידים הרבה יותר.