Süti (cookie) Szabályzat

  • HTTP-süti

    A HTTP-süti (általában egyszerűen süti, illetve angolul cookie) egy információcsomag, amelyet a szerver küld a böngészőnek, majd a böngésző visszaküld a szervernek minden, a szerver felé irányított kérés alkalmával. A sütiket maga a web szerver hozza létre a böngésző segítségével a felhasználó gépén, ahol azok egy elkülönített könyvtárban kerülnek tárolásra. Lou Montulli, a Netscape Communications egykori alkalmazottja használta először a süti technikát a webes kommunikációban.

  • Cél

    A süti bármilyen, a kiszolgáló által meghatározott információtartalmat hordozhat. Az eljárás célja az állapot bevezetése az alapvetően állapotmentes HTTP tranzakcióba. Sütik hiányában minden egyes weboldal (vagy erőforrás) lekérése elszigetelt esemény, gyakorlatilag független a site többi oldalának lekérésétől.

    Ha a böngésző visszaküld egy sütit, a kiszolgálónak lehetősége van összekapcsolni az aktuális kérést a korábbiakkal. Leggyakrabban egy adott weboldal regisztrált felhasználóinak azonosítására, „bevásárlókosár” nyilvántartására vagy látogatók nyomon követésére használják.

    Sütit létrehozhat a kiszolgálón futó CGI-program és a böngészőben végrehajtott kliensoldali script (például JavaScript) is.

  • A létrehozási folyamata

    1. A kliens gép egy HTTP kérést (request) küld a szerver felé.
    HTTP Request
    GET /index.html HTTP/1.1
    Host: www.example.org
    2. A szerver létrehoz egy új felhasználói azonosítót, majd bejegyzi azt saját adatbázisába (ebay.com szerver létrehozza az 1234 felhasználói azonosítót, és eltárolja azt a saját adatbázisában).
    3. A szerver egy http választ (response) küld vissza a kliens gépnek, benne az előzőleg létrehozott sütivel.
    HTTP Response + Set-Cookie: name=value; süti tulajdonságok:
    HTTP/1.1 200 OK
    Content-type: text/html
    Set-Cookie: ebay= 1234; Expires=Wed, 09 Jun 2021 10:18:14 GMT
    4. A kliens eltárolja ezt a sütit. (ebay: 1234)

    A használati folyamata

    1. A kliens újra kapcsolatba lép a szerverrel, és a http kéréshez már hozzácsatolja ezt a sütit is.
    HTTP Request+ Cookie: name=value
    GET /spec.html HTTP/1.1
    Host: www.example.org
    Cookie: name=value;
    Accept: */*
    2. A szerver összeveti a kapott sütit az általa tárolttal, így egyszerre tudja autentikálni a felhasználót, és emlékezni a korábbi felhasználói választásokra és preferenciákra.
    3. A szerver egy általános http választ (response) küld vissza a kliens gépnek, benne a karbantartott süti változattal.

    HTTP Response:
    HTTP/1.1 200 OK
    Content-type: text/html
    Set-Cookie: Expires=Wed, 09 Jun 2021 11:01:14 GMT

    A fejléc tartalma

    • Name (név): A süti neve
    Name= ebay
    • Value (érték): A süti értéke, szövegben megadva
    Value= 1234
    • Expires (lejárati idő): időpecsét, ameddig érvényes
    Expires=Wed, 13-Jan-2021 22:23:01 GMT
    • Domain (domain név): a szerver ahonnan jött
    Domain= www.ebay.com
    • Path (elérési út): az URL elérési út része, ahova visszajuthat
    Path= /httpgallery/cookies/
    • Secure and HttpOnly (biztonságos kapcsolat)
    Logikai érték, hogy biztonságos kapcsolatot igényel-e

    Cross site scripting

    A cross site scripting egy olyan crackerek által használt technika, amely az áldozatot egy-az oldalba beillesztett Javascript segítségével átirányítja egy másik, veszélyes oldalra ahonnan a cracker már könnyen megszerezheti a felhasználó információit (IP-cím, stb.)

Többféle sütit különböztetünk meg:

Ideiglenes süti vagy munkamenet (session) süti

A munkamenet sütik érvényességi ideje kizárólag a felhasználó aktuális munkamenetére korlátozódik, céljuk az adatvesztés megakadályozása (például egy hosszabb űrlap kitöltése során). A munkamenet végeztével, illetve a böngésző bezárásával a sütik e fajtája automatikusan törlődik a látogató számítógépéről.

Állandó vagy mentett süti

Ezen cookie-k érvényességi ideje napokban, hetekben, hónapokban vagy években kerül meghatározásra. Az érvényességi ideig a mentett sütik a felhasználó számítógépének merevlemezén tárolódnak, azonban az előre meghatározott határidők lejárta előtt a felhasználó bármikor kitörölheti őket.

Belső és külső sütik

Ha a meglátogatott honlap webszervere telepíti a felhasználó számítógépére a sütit, belső cookie-ról beszélhetünk, míg ha a cookie forrása külső szolgáltató által az érintett honlapba befűzött kód, külső cookie-ról van szó.

 

Cookie kezelése

A felhasználó saját internet böngészőjében letilthatja vagy engedélyezheti a cookie-k telepítését számítógépére, azt azonban fontos tudni, hogy valamennyi süti elutasítása ugyan segítheti személyes adataink védelmét, azonban egyes weboldalak használhatóságát korlátozhatja. Meg kell jegyeznünk azonban, hogy az egyszerű böngészéshez süti használata, engedélyezése nem szükséges. A sütik engedélyezését vagy letiltását általában az internet böngészők Eszközök/Beállítások menüjében az Adatvédelem beállításai alatt, a cookie vagy süti menüpontokban végezheti el a felhasználó.

A látogató számítógépének merevlemezére korábban már telepített cookie, azok érvényességi idejének lejártát megelőzően bármikor törölhető. A törlésre többnyire az internet böngésző Eszközök/Beállítások menüjében az Előzmények – Törlés menüpontjában van lehetőség.

Fontos megjegyezni, hogy a számítógép merevlemezén elhelyezett valamennyi cookie törlése egyes weblapok helytelen működését okozhatja.

 

Webjelző (web beacon, web bug)

A webjelzőt webes irányjelzőnek, pixel tag-nek, web bug-nak, azaz webhibának, átlátszósága miatt tiszta (clear) GIF-nek, valamint elektronikus lenyomatoknak, web beacon-nek is nevezik. A webjelző a weboldalon elhelyezett, általában egy 1×1 pixel méretű kép, mely a honlap része, azonban mérete és átlátszósága miatt gyakorlatilag észrevehetetlen. A webjelzők gyakran a cookie-kal együttesen kerülnek alkalmazásra, használatukkal mérhetők és követhetők a felhasználók által a honlapon végzett művelet, a látogatók statisztikái. A web beacon-ök a felhasználó számítógépén képesek felismerni bizonyos típusú információkat, például a webjelzőt tartalmazó oldal megnevezését, a telepített sütiket, az érintett oldal megtekintésének dátumát és időpontját. Amennyiben cookie-hoz kapcsolódó webjelzők kerülnek elhelyezésre a weboldalon, a felhasználó böngészőjében a sütik fogadásának letiltásával megakadályozhatja, hogy a web bacon-ök nyomon kövessék az oldalon végrehajtott műveleteit.

 

Süti és webjelző kontra adatvédelem

A sütik és webes irányjelzők adatvédelmi jelentősége abban rejlik, hogy segítségükkel a felhasználók internetes tevékenysége nyomon követhető, róluk pontos profil készíthető. Nem túlzás, hogy sokszor a hirdető, a szolgáltató jobban ismeri a látogatót, mint ő saját magát. A sütik körültekintő alkalmazása, és az arról szóló megfelelő tájékoztatás a szolgáltató felelőssége, azonban a felhasználók az alapvető elővigyázatossági intézkedések megtételével minimálisra csökkenthetik a nem kívánt adatgyűjtés kockázatát.