Мы постоянно слышим, что куки, это приватность, реклама и согласие. Но если отбросить клише, окажется, что в основе куки лежит простая инженерная задача. Результат её решения — фундаментальная технология, которая определяет не только персональную рекламу, но и устройство современной веб-инфраструктуры: работу авторизации, балансировки нагрузки и даже требования регуляторов к ИБ. Мы принимаем куки каждый день, и у этого решения есть не только маркетинговая, но и техническая причина.
Что такое куки на самом деле?
Если открыть консоль разработчика в браузере и перейти на вкладку Application, в разделе Cookies можно увидеть таблицу. В ней несколько полей: имя, значение, домен, путь, срок действия. Вот эта таблица и есть cookie — небольшой фрагмент данных, который браузер отправляет на сервер с каждым запросом. В этом определении нет ни рекламы, ни трекеров, ни приватности.
Технически куки, это строка в HTTP-заголовке. Когда сервер хочет сохранить состояние на стороне клиента, он отправляет ответ с заголовком Set-Cookie. Браузер запоминает это значение и автоматически добавляет заголовок Cookie во все последующие запросы к данному домену. Для HTTP это означает состояние, которого у протокола изначально не было.
В раннем вебе сервер получал запрос и формировал ответ. У него не было возможности понять, пришёл ли этот запрос от того же пользователя, который был на сайте секунду назад. Каждый запрос был независим. Куки решили эту проблему, создав механизм отслеживания сессии — не в маркетинговом, а в техническом смысле. Сервер может положить в куки случайный идентификатор (session id), и по нему в дальнейшем узнавать пользователя.
Какие задачи решают куки?
Созданные для технических нужд, куки быстро стали использоваться и для других целей.
Технические функции: сессии и персонализация
Основная задача — авторизация. Без куки вы не сможете войти в аккаунт на сайте и оставаться в нём при переходе между страницами. Сервер создаёт сессию, её идентификатор передаётся в куки, и браузер предъявляет его как пропуск.
Другая техническая функция — сохранение пользовательских настроек. Язык интерфейса, тема оформления, валюта — эти параметры можно хранить локально, чтобы не запрашивать их у сервера каждый раз. Это разгружает инфраструктуру и ускоряет работу.
Аналитика и маркетинг
Третьи лица используют куки для отслеживания поведения пользователей между сайтами. Рекламная сеть может разместить на разных ресурсах код, который записывает в куки идентификатор пользователя. Собирая историю посещений, система формирует портрет интересов и показывает релевантную рекламу. Это и есть то самое «трекирование», которое стало причиной для регуляций.
Функциональность и безопасность
Куки участвуют в реализации корзин покупок в интернет-магазинах, даже если пользователь не авторизован. Они также могут использоваться для защиты от CSRF-атак — сервер передаёт в куки уникальный токен, который должен совпадать с токеном в форме.
Классификация: какие бывают куки?
Не все куки одинаковы. Их можно разделить по нескольким ключевым признакам, которые влияют на их работу и регулирование.
| Критерий | Тип | Описание и пример |
|---|---|---|
| По сроку жизни | Сессионные (Session) | Удаляются после закрытия браузера. Используются для временных данных, например, для хранения товаров в корзине в течение одной сессии. |
| Постоянные (Persistent) | Имеют установленную дату истечения срока действия (атрибут Expires). Остаются на устройстве после закрытия браузора. Используются для хранения логина, предпочтений, трекинговых идентификаторов. | |
| По источнику | Собственные (First-party) | Устанавливаются доменом, который пользователь видит в адресной строке. Например, куки авторизации на сайте. |
| Сторонние (Third-party) | Устанавливаются доменами, отличными от текущего сайта. Чаще всего это скрипты рекламных сетей, виджетов социальных сетей или аналитических сервисов, встроенных на страницу. | |
| По целевому назначению | Необходимые (Strictly Necessary) | Критичны для работы сайта. Без них невозможны базовые функции: авторизация, безопасность, корзина покупок. |
| Предпочтения (Preferences) | Запоминают настройки пользователя (язык, регион, тема). | |
| Статистические (Statistics) | Собирают анонимизированные данные об использовании сайта для аналитики. | |
| Маркетинговые (Marketing) | Используются для отслеживания пользователя на разных сайтах с целью таргетирования рекламы. |
Баннеры согласия: почему их просят принять?
Баннер «Этот сайт использует куки» появился не потому, что владельцам сайтов захотелось информировать пользователей. Это прямое следствие регуляторного давления.
Ключевой документ в европейском пространстве — Общий регламент по защите данных (GDPR), который вступил в силу в 2018 году. Он требует, чтобы обработка персональных данных, к которым могут относиться и идентификаторы куки, происходила только с явного согласия пользователя. Причём согласие должно быть информированным, конкретным и может быть отозвано.
Российское законодательство также регулирует этот вопрос. Закон «О персональных данных» (152-ФЗ) обязывает оператора получать согласие субъекта на обработку его данных. Хотя прямого требования к баннерам о куки в законе нет, на практике Роскомнадзор и суды могут расценивать сбор данных через куки как обработку персональных данных, особенно если идентификаторы используются для создания профиля пользователя.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) не регулирует куки напрямую, но её требования по защите информации в государственных информационных системах и критические объекты инфраструктуры подразумевают контроль над всеми механизмами сбора и передачи данных, включая веб-технологии. Несанкционированный сбор данных через куки может стать вектором атаки или утечки, что попадает под действие приказов ФСТЭК.
Как работает управление согласием?
Современный баннер согласия, это не просто уведомление, а сложная система.
- Обнаружение скриптов. Система управления согласием сканирует загружаемую страницу на наличие скриптов, которые устанавливают куки (особенно сторонние).
- Категоризация. Каждому скрипту присваивается категория: необходимые, аналитические, маркетинговые.
- Блокировка. До получения согласия все скрипты, кроме необходимых, блокируются от загрузки и выполнения.
- Сохранение выбора. Предпочтения пользователя сохраняются в куки, чтобы не спрашивать их при каждом визите.
- Синхронизация. Если пользователь дал согласие на аналитику, система разблокирует соответствующие скрипты (например, Яндекс.Метрику или Google Analytics) и позволяет им установить свои идентификаторы.
В технической реализации это выглядит как модификация тега <script> с атрибутом type="text/plain" и data-category="analytics". Специальный менеджер согласия после получения разрешения меняет тип на "text/javascript", что заставляет браузер выполнить код.
Сценарии настройки браузера
Пользователь может контролировать куки через настройки браузера, но это не всегда интуитивно понятно.
- Полная блокировка. Браузер не принимает куки. Сайты, зависящие от сессий (почта, банки), перестанут работать корректно. Пользователю постоянно придётся заново авторизовываться.
- Блокировка сторонних куки. Самый распространённый компромисс. Собственные куки для работы сайта разрешены, а рекламные трекеры от сторонних доменов блокируются. Это ломает многие схемы перекрёстного отслеживания, но также может сломать функциональность встроенных виджетов (например, карт или кнопок социальных сетей).
- Удаление при закрытии. Браузер сохраняет куки, но автоматически очищает сессионные и постоянные при завершении работы. Это создаёт иллюзию приватности, но не мешает отслеживанию в течение одной сессии.
Что будет дальше: жизнь после куки
Эра классических трекинговых куки подходит к концу. Основные браузеры уже блокируют сторонние куки по умолчанию или объявили о планах это сделать. Это заставляет искать альтернативы.
Одна из них — технологии, предложенные самими браузерами. Например, API Federated Learning of Cohorts (FLoC), который позже был переработан в Topics API. Идея в том, что браузер локально определяет интересы пользователя на основе истории посещений, но вместо передачи детальной истории на рекламные серверы передаёт только обобщённые темы (например, «автомобили», «туризм»). Это должно сохранить таргетинг, но уменьшить утечку данных.
Другое направление — усиление работы с даными первого лица. Сайты и приложения напрямую взаимодействуют с пользователем, который добровольно оставляет данные при регистрации или покупке. Эти данные считаются более качественными и менее уязвимыми с точки зрения регуляций, так как их сбор прозрачен и основан на прямых отношениях.
Для инженеров и специалистов по безопасности этот переход означает пересмотр архитектуры. Механизмы аутентификации всё чаще смещаются в сторону token-based подходов (JWT, OAuth), хранимых не в куки, а в локальном хранилище браузера. Работа с аналитикой требует настройки серверных систем сбора данных или использования прокси-сервисов, которые обезличивают данные на своей стороне перед отправкой внешним агрегаторам.
Регуляторный фокус смещается с формального согласия на куки к сквозному принципу Privacy by Design — встраиванию приватности в архитектуру системы на этапе проектирования. Теперь недостаточно просто поставить баннер; нужно проектировать потоки данных так, чтобы сбор был минимальным, анонимным и оправданным.
Куки, появившиеся как простое решение для сессий, прошли путь от незаметного технического инструмента до центрального объекта регулирования и публичных дебатов о приватности. Их эволюция показывает, как инженерное решение может перерасти в общественный договор, а затем — в предмет закона. Технология уходит, но принципиальные вопросы, которые она подняла — о балансе между функциональностью, бизнес-интересами и правами пользователя — остаются и будут решаться уже на следующем технологическом витке.