Jan Štráfelda - Průvodce internetovými projekty
celá ČR (přes video)  |  776 678 044  |  jan@strafelda.cz

Cookies

Cookies, nebo také HTTP cookies, jsou krátké textové soubory, které si web může uložit v počítači návštěvníka. Při každé další návštěvě si pak všechny dříve vytvořené cookies načte a podle jejich obsahu může přizpůsobit svou funkčnost. Cookies tak umožňují identifikovat daného návštěvníka, uložit si jeho nastavení a uživatelské předvolby nebo třeba předávat mezi stránkami webu různé stavy.

K čemu soubory cookies potřebujeme

Technologie cookies je již více než 20 let stará, přesto je stále využívaná v mnoha moderních online aplikacích:

  1. Personalizace stránek

    Princip cookies umožňuje odlišit jednotlivé uživatele a uložit si o nich konkrétní údaje. Právě díky cookie ví třeba příslušný server, jaké nastavení jazyka jste si při minulé návštěvě vybrali či jaké vám má předvyplnit přihlašovací jméno do formuláře (pamatuje si ho z minulé návštěvy). Stejně tak e-shop umí zobrazit poslední prohlížené produkty nebo si pamatovat obsah nákupního košíku i při další návštěvě. Cookies tedy usnadňují personalizaci.

  2. Trackování uživatelů

    Tradiční anglická cookie
    Tradiční anglická cookie, ta se vám bohužel do prohlížeče nestáhne

    Na principu cookies pracují také různé statistiky a další měřící systémy, které si do cookie ukládají identifikátor návštěvníka, někdy také čas a zdroj návštěvy a další informace. Tyto údaje se na dalších stránkách načítají a doplňují a měřící systém tak může trackovat konkrétního uživatele.

    Cookies jsou tedy kritickou podmínkou pro funkční webovou analytiku. Bez nich by měřící systém viděl jen hromadu hitů, ale nedokázal by je přiřadit ke konkrétním návštěvníkům.

  3. Autentizace uživatele

    Cookies se také používají k uložení potvrzení, že je uživatel přihlášený (např. do e-shopu, do administrace, na sociální síti apod.). Zde mluvíme o tzv. autentizační cookie. Bez ní by server nevěděl, že už přihlášení a ověření uživatele proběhlo a vyžadoval by zadání jménahesla při návštěvě každé další stránky.

Nevýhody a rizika souborů cookies

Přestože samotné soubory cookies nejsou pro počítač nijak nebezpečné, hlavní nevýhoda jejich používání souvisí se schopností odlišit uživatele – do určité míry se ztrácí anonymita. Do souboru cookie si může server uložit například informace o tom, co uživatel na webu hledá, jaké produkty navštěvuje a na základě těchto informací mu pak zobrazovat reklamu. Nebo si sem uložit přímo identifikaci daného uživatele, třeba jeho e-mail (tzv. neanonymní cookie).

Z těchto důvodů umožňují moderní prohlížeče ukládání cookies vypnout, uživatel tím však přijde o výše zmíněné výhody. Cookies je také možné v prohlížeči smazat. Buď hromadně, nebo selektivně pomocí vestavěného správce cookies. Z marketingového pohledu je pochopitelně mazání cookies nepříjemné, uživatelé s vypnutými či pravidelně promazávanými cookies jsou jen obtížně zachytitelní některými systémy pro hodnocení návštěvnosti (v naměřených datech nám tím vzniká chyba).

Věděli jste, že cookies se říká podle anglosaského zvyku nabídnout návštěvníkům sušenku, aby se rychleji vytvořila příjemná atmosféra?

Jak fungují soubory cookies technicky

Cookie může vytvořit buď server (a poslat ji do prohlížeče společně s vygenerovanou stránkou ve formě HTTP hlavičky), nebo samotný prohlížeč při interpretaci stránky pomocí jazyka JavaScript. Prohlížeč následně cookie uloží někam na disk počítače návštěvníka, obvykle do složky dočasných souborů. Cookies se pak přenášejí při každé výměně informací mezi serverem a prohlížečem.

Každá cookie obsahuje tyto informace:

  • Název – umožňuje odlišit více cookies stejného zdroje od sebe.
  • Hodnota – až 4 096 bytů dlouhý text. Kvůli předávání hodnoty cookies vytváříme.
  • Datum expirace – čas, kdy cookie vyprší (zmizí z prohlížeče).
  • Doménadoména, pro kterou jsou cookies dostupné. Nemusí být uvedena, pak je automaticky nastavena doména, která cookie uložila (ale ke cookie se nedostanou subdomény).
  • Cesta – určuje, které stránky dané domény se ke cookie dostanou. Tj. jakou musí mít URL, aby se jim cookie poslala.
  • Příznaky – například secure, HttpOnly nebo SameSite.

E-book za mail

Získejte podrobný návod Jak na e-mail marketing (52 stran). Více informací.

Žádný spam, jen užitečný obsah. Newsletter posílám cca 8× ročně. Odhlásíte se kdykoliv.

Druhy cookies na webech podle zakladatele

Podle toho, kdo cookie založil, rozlišujeme tři typy:

  • Tzv. first party cookie. Cookie je uložena pomocí skriptu, který běží na dané doméně (na té, kterou vidíte v adresním řádku prohlížeče). Tyto cookies jsou považovány za bezpečnější, lépe procházejí skrze různé firewally a přísněji nastavená bezpečnostní pravidla některých prohlížečů (např. Safari). Toto řešení využívá například měřící systém Google Analytics.

  • Tzv. third party cookie. Cookie je uložena pomocí skriptu, který je do webu natahován z jiné domény. Stejnou cookie proto lze načítat na různých místech internetu a uživatele tím sledovat napříč doménami. Toto řešení používají různé systémy pro sledování historie navštívených stránek, což například umožňuje přesnější cílení reklamy. Používá ho český systém NetMonitor nebo Seznam Sklik pro měření konverzí a doručování cílené reklamy a remarketingu.

    Právě u cookies třetí strany je důležitý atribut SameSite, jehož hodnota určuje, v jakém kontextu bude cookie dostupná.

  • Supercookie

    Cookie uložená z domény první úrovně, třeba z .cz, .com, .org apod. Taková cookie by pak byla dostupná ze všech domén druhé úrovně, které spadají pod danou první úroveň. Určitě si umíte představit, jak by taková cookie mohla být nebezpečná, proto je prohlížeče blokují.

Druhy cookies na webech podle životnosti

Podle toho, jak dlouho smí cookie existovat, rozlišujeme dva typy:

  • Cookie, která sama zmizí po zavření okna prohlížeče. Obvykle se používá k autentizaci uživatele. Prohlížeč takovou cookie pozná tak, že nemá nastavené datum expirace.

  • Opak session cookie. Cookie má nastavené datum expirace, třeba od návštěvy stránky za dva roky. Při každé další návštěvě webu však může být posunuto. Přesně tak funguje například cookie jménem _ga, pomocí které Google Analytics měří unikátní návštěvníky. Proto se perzistentním cookies někdy říká také trackovací cookie.

Další druhy souborů cookies

Jsou známy i další druhy cookies souborů:

  • Cookie, která má nastavený příznak secure. Prohlížeč a server ji smí posílat jen zabezpečeným HTTPS protokolem. To ji chrání proti některým typům útoků.

  • Cookie, která má nastavený příznak HttpOnly, je dostupná jen serveru a nelze ji tedy přečíst pomocí JavaScriptu, což znemožňuje ukradení cookie například pomocí útoku cross-site scripting (XSS).

  • Evercookie

    Někdy se jí říká také zombie cookie. To jsou cookies, jejichž hodnoty jsou uloženy i na jiných místech prohlížeče. Může to být třeba ve flashovém objektu, v RGB hodnotách obrázku uloženém v keši, v historii prohlížeče apod. Je-li takováto cookie smazána uživatelem, skripty v prohlížeči ji z těchto údajů snadno znovu obnoví. V roce 2013 vyšlo najevo, že tyto cookies používal úřad NSA ke sledování uživatelů sítě Tor.

Evercookie. Trackovací cookie, která nejde smazat, protože se zase znovu obnoví z dat uložených v keši prohlížeče.

Reálná životnost cookies

Datum expirace sice říká, jak dlouho si tvůrce webu přeje, aby cookie v počítači uživatele vydržela. Ale návštěvníci si soubory cookies v prohlížečích sami mažou. Jak často to dělají?

Je obtížné to změřit na dostatečném vzorku. Máme k dispozici jen dvě starší studie z USA. Bohužel nic novějšího, co by ukázalo, jak se chování lidí v EU změnilo v posledních letech, kdy se o problematice cookies více mluví, neexistuje. Víme tedy jen, že:

Existují ale také uživatelé, kteří si cookies mažou po každé návštěvě webu.

Právní úpravy používání cookies

V souvislosti se zvyšujícím se zájmem o soukromí (jenž se projevil třeba ve formě GDPR) se stále více mluví také o cookies. Zmiňovaána bývá zejména možnost identifikace konkrétního uživatele napříč různými weby (pomocí cookie třetí strany). Bohulibý záměr zvýšení sourkomí však s sebou bohužel nese své nevýhody (třeba otravování uživatelů souhlasem) a také samotná realizace značně pokulhává (např. že se omezení týkají všech typů cookies).

Sušenkový zákon

V roce 2015 přišla EU s tzv. sušenkovým zákonem. Tato směrnice začala platit od 1. října 2015 a říká, že návštěvník webu musí dát s využíváním cookies souhlas. Výjimkou jsou cookies, které jsou nutné k provozu služby, kterou si návštěvník webu vyžádal (například nákupní košík e-shopu).

Česká republika tuto směrnici sice ignorovala, ale Google si musel dát pod tlakem EU do podmínek použití služby, že weby využívající cookies pro demografické měření v Google Analytics či k remarketingu k tomu musí mít od uživatelů souhlas. Na všech webech se tedy vyrojily proužky, které o využití cookies informují, tzv. cookie lišty.

22. května 2018 pak vydal český ÚOOÚ doporučení, podle kterého uživatel svůj souhlas vyjadřuje nastavením prohlížeče. A cookie lišty tedy nejsou potřeba. Tři roky zbytečného otravování uživatelů, snížených konverzních poměrů na webech atd.

E-privacy

Aktuálně chystá Evropská unie pod názvem E-privacy nařízení, které má v rámci Evropy sjednotit pravidla pro nakládání s osobními údaji. A cookies se pochopitelně také věnuje. Markétery je očekáváno s obavami, neboť na rozdíl od sušenkového zákona již nepůjde o pouhou směrnici (doporučení), kterou si jednotlivé státy mohly implementovat po svém. Jde o dokument právně závazný pro všechny členské státy.

Konkrétní znění nařízení se stále vyvíjí, ale nařízení pravděpodobně webům uloží informační povinnost: seznámit uživatele důkladně s jednotlivými případy využití cookies, tj:

  • účel cookie (provozní, marketingové…)
  • doba platnosti každé používané cookie
  • jaké třetí strany, které mají ke cookie přístup

Uživatelé pak budou zřejmě muset s takovým využíváním souborů cookies dát aktivní souhlas. To znamená, že pravděpodobně nebude stačit předem zaškrtnuté políčko ve formuláři.

Změny chování cookies v prohlížečích

Samotné prohlížeče nečekají na právní úpravy a aktivně začaly funkčnost cookies postupně omezovat.

Cookies a prohlížeč Safari

Jako první začal cookies třetích stran blokovat prohlížeč od firmy Apple, už v roce 2017. Některé cookies však ještě měly vyjímky. Od března 2020 však již Safari blokuje naprosto všechny cookies třetích stran.

Cookies a prohlížeč Firefox

Od 3. září 2019 blokuje cookie třetí strany prohlížeč Firefox. I když je možné si toto blokování vypnout, dělá to zřejmě jen minimum uživatelů. Firefox tuto funkci nazývá Enhanced Tracking Protection. Pokud od této chvíle pozorujete propad v měřeních, má ho na svědomí právě tato aktualizace prohlížeče.

Cookies a prohlížeč Chrome

Google nejdříve omezování cookies v jiných prohlížeších hlasitě kritizoval a poukazoval na to, že se tím vydavatelům obsahu sníží příjmy asi na polovinu. Pak však otočil a v létě 2019 však oznámil, že prohlížeč Chrome přestane cookies třetí strany podporovat v roce 2022. Argumentuje snahou vyjít vstříc uživatelům, kteří se o své soukromí postupně začínají více zajímat. Ale jsou za tím zřejmě i peníze, protože Google, jako největší gigant online světa, ví o uživatelích tolik informací, že pokud cookies třetí strany znefunkční, sám o nic podstatného nepřijde a značně tím zkomplikuje život svým konkurentům. A data, která má, se na trhu stanou ještě cenějšími. A zároveň je pro něj snadné to zrealizovat, neboť drží v prohlížečích téměř monopol – prohlížeč Google Chome nebo nějakou odvozenou verzi na stejném jádře Chromium nyní používá asi 70 % uživatelů.

V lednu 2020 byl uveden Chrome verze 80, který na webu blokuje cookies třetí strany, která nemá značku SameSite nebo která není distribuována pomocí (zabezpečeného) HTTPS protokolu. To by mělo radikálně omezit možnosti sledování uživatele napříč weby – i když zde stále existuje tzv. fingerprinting, porovnávání unikátních otisků dané instalace prohlížeče. Mimo jiné i pomocí řetězců obsažených v HTTP hlavičce User Agent. I proti němu se ale Chrome vymezí v některé z dalších verzí.

Storage – alternativy k souborům cookies v prohlížečích

Moderní prohlížeče podporují i další způsoby ukládání dat:

  • localStorage – úložiště v prohlížeči, ke kterému se přistupuje pomocí JavaScriptu. Data zde uložená jsou „věčná“, nemají omezenou trvanlivost (jako je expirace u souborů cookies).
  • sessionStorage – totéž jako localStorage, ale obsah se vymaže při zavření prohlížeče. Funguje to tedy stejně jako u session cookies.

Využití těchto technologií na webu má proti cookies své výhody:

  1. Větší velikost úložiště

    Lze ukládat větší kapacitu dat. Platí, že součet velikostí všech cookies daného webu by neměl překročit 4 kB a cookies by nemělo být více než 50. Do úložiště localStorage lze bezpečně uložit až 2 MB, na většině prohlížečů až 40 MB.

  2. Proti cookies nezpomalují komunikaci se serverem

    Data zůstávají uložena v prohlížeči a nepřenášejí se s každým HTTP požadavkem na server, na rozdíl od cookies. Pro obsáhlé cookies existuje dokonce technika optimalizace rychlosti načítání webu, která spočívá v tom, že obrázky, CSS styly a další soubory webu jsou načítány z druhého serveru, který nemá cookies povolené.

  3. Lépě se s nimi pracuje než se soubory cookies

    Přímo v prohlížeči jsou integrovány jednoduché metody, které vývojářům umožňují snadno data uložit či přečíst. U cookies je to mnohem obtížnější a používají se k tomu obvykle různé externí knihovny (které zvyšují datovou velikost stránky).

Nevýhodou těchto alternativních technologií je právě fakt, že se data nedostávají na server. Nelze je tedy využít ve webové analytice či k autentizaci uživatele. Pokud však potřebujete ukládat data pro offline použití webu, nebo řešíte personalizaci, localStorage či sessionStorage cookies výborně nahradí.

Na tomto webu třeba sessionStorage používám k ukládání informace, zda jste si sbalili obsah pojmu v encyklopedii (a na dalších stránkách ho pak také najdete sbalený). Stejně tak bych po úložišti sessionStorage sáhl, kdybych během vyplňování rozsáhlejšího formuláře potřeboval průběžně ukládat hodnoty (aby uživatel o zadaná data nepřišel při refreshi stránky).

Alternativy cookies pro reklamní systémy

Postupné rušení podpory cookies třetích stran je extrémně špatnou zprávou zejména pro inzertní systémy, neboť je nelze nijak jednoduše nahradit. Cookies zde slouží pro behaviorální reklamní cílení, například pro přiřazování reklamy uživatelům v kontextu jejich předchozích návštěv na jiných webech. Cookies třetí strany jsou také potřebná pro remarketing.

Jednotlivé reklamní systémy zatím hledají náhradní řešení. Jednou z možností je vydat se podobnou cestou jako Google, tj. přimět uživatele, aby se na různých webech přihlásil jedním společným účtem a reklamu pak cílit na daný účet. Tento přístup nyní v ČR hodně propaguje Seznam a nabízí pro něj přihlašování svých Seznam účtů (které používá například ve Skliku či freemailu). Na spoustě webů však bude obtížné uživatele k přihlášení přimět a takové weby pa nebudou moci reklamu na uživatele dostatečně zacílit.

Další možností je přepracovat reklamní systém tak, aby využíval first-party cookies a na ně pak navázat preference uživatelů. Tak to snad nyní řeší Yahoo.

Důležité také je, aby se trh shodl na jenom řešení a všichni velcí hráči na něj přistoupili. V opačném případě povede zrušení podpory cookies třetí stran k propadu reklamních příjmů a přesunu reklamních rozpočtů na platformy, které s cílením mít problémy nebudou (kromě Google Ads například Facebook a další sociální sítě). Případně k většímu zájmu o kontextovou reklamu, která ale proti behavoriálnímu cílení není tolik účinná.

Původ názvu

Lou Montulli, autor cookies
Lou Montulli, autor cookies

Cookie znamená v angličtině sušenka. Je odvozen od anglosaského zvyku nabídnout návštěvníkům sušenku, aby se rychleji vytvořila příjemná atmosféra. Název a princip cookie vymyslel v roce 1994 Lou Montulli, geniální programátor dnes již mrtvého prohlížeče Netscape, který ovlivnil podobu dnešního internetu v mnoha dalších směrech (například vymyslel animovaný GIF).

Dříve se jim v češtině říkalo také koláčky, pak se však ujalo anglické pojmenování cookies.

O autorovi

Jsem Jan Štráfelda a působím jako průvodce online projekty. Potřebujete předělat web či e-shop? Nebo posunout internetový marketing? Poradím s obojím. 14 let budování vlastní digitální agentury mě skvěle vyškolilo – a rád se o zkušenosti podělím.

S čím také umím pomoci:

Své znalosti sdílím i na LinkedIn. Přidejte se k 3 881 marketérům, kteří z nich již pravidelně těží.