Cookies jsou malé textové soubory, které webová stránka ukládá do prohlížeče návštěvníka a při dalších návštěvách si je opět načítá. Slouží k zapamatování přihlášení, nastavení jazyka, obsahu košíku v e-shopu nebo ke sledování chování uživatele pro reklamní účely. Právě kvůli sledovacím cookies vznikla evropská legislativa (GDPR, ePrivacy), která vyžaduje souhlas uživatele před jejich uložením. Rozlišují se na nezbytné (bez nich web nefunguje), analytické (měření návštěvnosti) a marketingové (cílení reklamy).
🧒 Základní škola
Cookies jsou malé zápisky, které si webová stránka uloží do tvého prohlížeče. Představ si, že jdeš do obchodu a prodavač si o tobě zapíše: „Tento zákazník má rád čokoládovou zmrzlinu.“ Když přijdeš příště, už ví, co ti nabídnout. Cookies fungují podobně – web si zapamatuje, že jsi přihlášený, co máš v košíku nebo jaký jazyk preferuješ. Proto tě nemusíš pokaždé znovu přihlašovat. Některé cookies jsou užitečné, jiné sledují, co na internetu děláš – a proto se tě weby ptají, jestli s nimi souhlasíš.
🎓 Střední škola
HTTP cookies jsou malé textové soubory (max. 4 KB), které webový server uloží do prohlížeče uživatele. Při každém dalším požadavku na stejnou doménu je prohlížeč automaticky odesílá zpět. Cookies se dělí na několik typů: session cookies (zaniknou po zavření prohlížeče, udržují přihlášení), persistent cookies (mají nastavenou dobu platnosti, pamatují preference), first-party cookies (vytvořené navštíveným webem) a third-party cookies (vytvořené jinými doménami – typicky reklamní sítě).
Od roku 2018 ukládá GDPR povinnost informovat uživatele a získat souhlas s cookies, které nejsou nezbytně nutné pro fungování webu. Prohlížeče postupně omezují third-party cookies, což zásadně mění digitální reklamu.
🎓🎓 Vysoká škola
Cookies jsou implementovány přes HTTP hlavičky Set-Cookie (server → klient) a Cookie (klient → server). Bezpečnostní atributy zahrnují: Secure (pouze HTTPS), HttpOnly (nepřístupné z JavaScriptu – ochrana proti XSS), SameSite (Strict/Lax/None – ochrana proti CSRF), Domain a Path (omezení scope).
Moderní alternativy zahrnují localStorage a sessionStorage (Web Storage API) pro client-side data bez automatického odesílání serveru, a IndexedDB pro větší objemy strukturovaných dat. Server-side session management typicky ukládá pouze session ID do cookie, zatímco samotná data drží server (Redis, Memcached). JWT tokeny představují stateless alternativu – jsou self-contained, ale mají problém s revokací. Consent Management Platforms (CMP) implementují TCF 2.0 framework pro standardizovanou správu souhlasů.
🧠 Expert
Post-cookie éra vyžaduje přehodnocení celého adtech ekosystému. Google Privacy Sandbox nabízí Topics API (zájmové kategorie bez individuálního trackingu), Protected Audiences (on-device aukce) a Attribution Reporting (konverzní měření s diferenciálním soukromím). Server-side tracking přesouvá sběr dat na vlastní infrastrukturu (server-side GTM, CAPI).
Fingerprinting jako alternativa cookies čelí regulatorním i technickým bariérám (Canvas, WebGL, Audio fingerprinting). First-party data strategie a clean rooms (AWS Clean Rooms, Google Ads Data Hub) umožňují bezpečné sdílení dat mezi partnery. Probabilistic matching a identity graphs (LiveRamp, The Trade Desk UID2) budují deterministické i probabilistické profily bez third-party cookies. Z právního hlediska ePrivacy nařízení EU a rozhodnutí SDEU dále zpřísňují pravidla pro cross-border data transfer.
😇 Pán Bůh
Cookies… malé drobečky dat rozsypané po internetu, aby vás bylo možné sledovat. Připomíná mi to Jeníčka a Mařenku – jenže tady drobečky nenechává ten, kdo hledá cestu domů, ale ten, kdo vás chce sledovat. Já nepotřebuji cookies – vím o vás všechno bez nich. Ale musím říct, ten souhlas s cookies je rozkošný. Jako byste se mě ptali: „Bože, smím vědět, co dělám?“ A já bych odpověděl: „Samozřejmě. Ale jestli si to chceš komplikovat GDPR formulářem, prosím.“
Napsat komentář