Již od samého vzniku doprovází Netscape Cookies pověst o dobrém sluhovi a špatném pánu. Cookie je technologie, která zavádí rozšíření bezstavového protokolu HTTP o stavové informace. Cookie se sestává z následujících součástí: doména, pro niž je stavová informace přístupná; základní cesta k souborům, jež mohou cookie využívat; dále okamžik, kdy vyprší platnost cookie; stupeň zabezpečení přístupu; název stavové proměnné a její hodnota. Cookies například na Lupě umožňují serveru, aby rozlišoval přečtené a nepřečtené diskuzní příspěvky pod články.
Kromě usnadňování práce s webem, mají ale cookies i odvrácenou tvář. Jejich pomocí mohou třeba provozovatelé služeb jako jsou TopList, NaVrcholu, Mytrix či libovolné reklamní systémy, které vkládají své cookies na podstatnou část website v Internetu, monitorovat aktivitu uživatele. Zjednodušeně řečeno: provozovatel počítadla ví, že jste navštívili stránku se sadomasochistickým zaměřením, že čtete burzovní zprávy a že nakupujete v internetových aukcích. Cookies se dají využít pro marketingové studie, pokud zůstáváte anonymním uživatelem, nebo k čemukoli jinému, pokud se podaří vaši cookie spojit s vaší identitou (třeba až někde vyplníte nějaký formulář).
World Wide Web Consortium (W3C), které vydává standardy pro WWW, přijalo myšlenku cookies a od roku 1999 pracuje na pravidlech pro jejich využívání v browserech. Z této snahy vznikl dokument The Platform for Privacy Preferences (P3P), který je v současné době ve verzi Candidate Recommendation. Tento status získají dokumenty W3C, z nichž se posléze stávají standardy (následuje Proposed Recommendation a Recommendation). Podle dokumentu P3P Deployment Guide by se pro prohlížeče webu měla zavést skupina opatření, která sníží riziko zneužití osobních údajů či narušení soukromí. Microsoft na základě tohoto dokumentu v továrním nastavení IE6 zamezil ukládání cookies ze serverů, které nemají definována pravidla na ochranu soukromí.
Během včerejšího dne jsem požádal zástupce provozovatelů služeb, jež využívají cookies, aby se k novému chování IE vyjádřili:
Přiznám se, že o této skutečnosti slyším poprvé. Nicméně systém, na němž Navrcholu běží, počítá i s prohlížeči, které cookies nepodporují nebo je mají vypnuté. […] Vzhledem k tomu, že lze asi očekávat masivní rozšíření IE6, nevylučujeme, že by za těchto okolností mohlo dojít k mírnému zkreslení statistik nejnavštěvovanějších stránek." (Michal Krause, NaVrcholu)
„V zásadě stávající kód není na cookies závislý, pokud se přesměrování týká. Nicméně jiné věci, jako je například frekvence, cookies potřebují a my se zrovna pokoušíme vymyslet, co s tím uděláme. V každém případě je to nepříjemné a je to podle mne jen další důkaz o zbytečném až paranoidním strachu z každé cookie.“ (Michal Matula, BBmedia)
„Pro provozovatele platebního systému je nejdůležitější bezpečnost, podpora nových standardů a zpětná kompatibilita. Co se týká prvních dvou kritérií, je MSIE 6.0 výrazným posunem vpřed, a to nejen z technického hlediska, ale hlavně uživatelského. Tyto nové možnosti nám umožní ještě více integrovat měnu Q přímo s prohlížečem, než je doposud realizováno naším MSIE pluginem s názvem QBar.“ (Jan Pálka, Villusion)
„Systémy Adrenaline i nová verze Mr.Lin(x) používají HTML kód, který neukládá cookies návštěvníkovi stránek. Typ kódu v původní verzi Mr.Lin(x) označovaný jako ‚Speciální pro reklamní systémy‘ nebo ‚Nouzový‘ ukládal cookies u návštěvníka.Tento kód bude postupně nahrazen verzí, která nevyužívá cookies.“ (Jiří Waisser, Adrenaline)
Povědomí o tom, jak to ke vlastně s cookies v nové verzi IE zařízeno, je mezi našimi vývojáři malé. Někteří z oslovených se domnívali, že IE6 ve svém továrním nastavení cookies nepodporuje vůbec, jiní pak, že podporovány nejsou jen cookies pocházející z lokací, které se neshodují se základním URL zobrazené stránky (tzv. third-party cookies). Jak to tedy je ve skutečnosti?
Americký webdesigner Jaroslav Pisk mne dnes v noci upozornil na skutečnost, že IE6 se řídí přísně podle zmiňovaného vývojého standardu, a tedy IE6 ve svém továrním nastavení cookies podporuje, pokud tvůrce webu, na němž je cookie vytvářena, dodrží několik jednoduchých požadavků na bezpečnost.
Pro povolení cookies v továrním nastavení IE6 stačí, když na URL /w3c/p3p.xml umístíte dokument XML, který bude definovat pravidla pro nakládání se získanými údaji. Tento dokument bude obsahovat mimo jiné identifikaci provozovatele stránek, informaci o struktuře a účelu sbíraných údajů, případně odkaz na nezávislou autoritu, která dohlíží nad dodržování P3P. Jak ovšem Jaroslav Pisk dále uvedl, IE6 u většiny těchto informací nemá žádnou možnost ověření. Jde tedy jen o formální podmínku. Ukázku takového dokumentu najdete třeba i na serveru Microsoftu. Podobně jako naši vývojáři aplikací pro web, jsou na tom s podporou a vědomostmi o P3P i v zahraničí. Například u nejznámějšího amerického reklamního systému DoubleClick definici P3P budete hledat marně.
Asi největším roztrpčením z postupu Microsoftu ohledně cookies je skutečnost, že do finální verze prohlížeče implementoval standard, jehož vývoj ještě nebyl ukončen. Během několika měsíců se tak může stát, že W3C vydá další verzi specifikace P3P, která nemusí být s tou nynější kompatibilní, a IE6 se začne chovat nevyzpytatelně. Asi nejlépe shrnul pocity programátorů Radek Doležel z Českého Telecomu: „Obávám se, že protokol P3P opět ztrpčí život všem webmasterům, obzvláště pokud se člověk na http://www.w3.org/P3P/details.html dočte tohoto: <<Note: The P3P specification will likely change over the next few months. As a result, you may have to update the P3P policy that you are creating now. last revised $Date: 2001/06/27 07:46:10 $ by $Author: koike $>>“.
S cookies se tedy loučit nemusíme. Postačí, když na serveru přijmeme určitá pravidla zacházení se získanými údaji. Pokud ale na Lupě pravidelně čtete „Zprávičky“, určitě jste minulý týden zaznamenali zmínku o tom, jak dopadl test sedmdesáti webů nadnárodních společností z hlediska dodržování pricipů P3P. Všem šesti pravidlům nevyhověl ani jeden.
