פרטיות באינטרנט - או, עוגיות ברשת (חלק ב')

עשרות מיליונים גולשים ב- Web, כשהם מאמינים שזהותם והעדפותיהם סמויים מהעין. זוהי אמונה חסרת יסוד. מתחת לפני השטח מתרחשת פעילות נסתרת: אתרי האינטרנט שולחים פיסות מידע אל המחשב האישי של המשתמש. פיסות מידע אלה נקראות עוגיות (cookies). הן נשמרות בכונן הקשיח במחשב המשתמש ומשוגרות בחזרה אל האתר שהפיק אותן מלכתחילה או אל אתרים אחרים. העוגיות יכולות להכיל מידע על המשתמש, זהותו, האתרים שביקר בהם, הפרסומות שהוצגו בפניו, המוצרים שהזמין ברשת ועוד. המשתמש אינו מודע לכך שהמחשב שלו והמחשב המארח באינטרנט מקיימים ביניהם דיאלוג חשאי של חילופי מידע. העוגיות מעוררות אפוא שאלות כבדות משקל של הגנה על פרטיות.

כך עובדת השיטה: בשלב ראשון, המחשב השרת (Server), המאחסן את אתר האינטרנט שבו מבקר המשתמש, משגר מידע טקסטואלי אל תוכנת הגלישה של המשתמש (הדפדפן. לדוגמה, נביגטור של נטסקייפ או אינטרנט אקספלורר של מייקרוסופט). מידע זה נשמר במחשב האישי של המשתמש. כל אחד יכול לאתר את העוגיות במחשבו באמצעות חיפוש פשוט אחר המילה Cookie: בעלי חלונות 3.11 ימצאו אותן כקובץ cookies.txt בספריה המיועדת לדפדפן של נטסקייפ, לדוגמה. בעלי חלונות 95 יגלו שבספריה Windows נפתחה תת-ספריה מיוחדת הקרויה cookies. היות שהעוגיות מורכבות מטקסט בלבד - בעיקר קודים מספריים, חסרי פשר כביכול - הן ניתנות לצפיה באמצעות תוכנות, כדוגמת פנקס הרשימות בחלונות.

נא הצג עוגיה בקופה

בשלב שני, הדפדפן מחזיר את העוגיה אל המחשב השרת שיצר אותן. איזה שימוש יעשה ה- Server בעוגיות שקיבל בחזרה? בעיות טכניות רבות אינן יכולות לבוא על פתרונן אלא באמצעות השימוש בעוגיות. ה- cookies יכולות, לדוגמה, להכיל את רשימת המוצרים שרכש הגולש באתר, כך שבהגיעו לקופה הווירטאולית כדי לפרוע את החשבון ידע המחשב המארח באילו מוצרים מדובר. שימוש אחר הוא באתרים המותאמים אישית להעדפותיו ולצרכיו של המשתמש (לדוגמה, במנוע החיפוש !My Yahoo). העוגיה עוצרת בחובה את העדפותיו של הגולש ומעבירה אותן אל המחשב המארח בעת הצורך. העוגיות מאפשרות גם לייצר רשימה של חידושים באתר, שהוכנסו מאז ביקורו האחרון של הגולש בו, ובאמצעותן ניתן גם להמשיך בגלישה באתרים מסוימים בדיוק מהנקודה שבה עזב המשתמש את האתר בפעם הקודמת. במקורן נועדו העוגיות כדי למנוע את הטורח שבהרשמה חוזרת ונשנית לאתרים שהתנו את השימוש בהם במסירת פרטים אישיים. האתר של PC World, לדוגמה, נהג לקבל אותי בברכה "הלו חיים!" בכל פעם שהגעתי אליו - עד אשר מפעיליו הבינו, ככל הנראה, עד כמה הזיהוי הזה יכול לזעזע את המשתמש וחדלו מכך.

עד שנת 2000

ייעודן המקורי של ה- cookies לא צריך כמעט להטריד את המשתמש. בייחוד מפני שמפרטן המקורי קובע כי יימחקו מהמחשב עם סגירת הדפדפן, ומורה גם כי את העוגיות ניתן לשגר בחזרה רק אל המחשב השרת שיצר אותן. אלא שמפרט מקורי זה ניתן להרחבה כך שתוחלת החיים של העוגיה תפקע בשנת 1999 ומספר בלתי מוגבל של מחשבים נוספים יוכלו לגשת אל המידע העצור בה. בדיקה שערך ויקטור מאייר, מבית הספר למשפטים של אוניברסיטת וינה, לצורך מאמרו ?The Internet and Privacy Legislation: cookies for a treat (התפרסם ב- West Virginia Journal of Law and Technology) גילתה כי לא נעשה שימוש כלשהו בעוגיות על-פי תכליתן המקורית, אלא רק באפשרויות המורחבות שתוארו לעיל.

פרופיל וירטואלי

Cookies יכולות לשמש, הלכה למעשה, ליצירת פרופיל מפורט של המשתמש. אכן, בחלק ניכר מהמקרים מדובר בפרופיל של משתמש וירטואלי שאינו מזוהה בשמו, אלא רק במספר (IP Address) המשתנה בכל פעם שהוא מתחבר לרשת. אולם אם מסר המשתמש את פרטיו האישיים באתר אחד - כגון, שם, כתובת, דואר אלקטרוני וכיו"ב - יכול הפרופיל המצטייר באמצעות העוגיות לכלול לצד פרטים אישיים אלה גם הרגלי גלישה וצריכה, שנאספו באתרים אחרים. בעוד שבמקור היתה הכוונה כי העוגיות יוחזרו מן המשתמש רק למחשב שיצר אותן, ניתן לגרום לכך שהן ישוגרו לאתר אחר מזה שהפיק אותן: יוצר העוגיה קובע לאילו מחשבים תהיה גישה אל המידע המגולם בה. הוא יכול להורות כי היא תחזור רק אל האתר שיצר אותה, והוא מסוגל גם לקבוע שכל אתר שהסיומת שלו היא COM ישאב ממנה את המידע. זאת ועוד, הגולש ברשת יכול לקבל cookies גם מאתרים שכלל לא ביקר בהם: כשגולש ניגש לדף באינטרנט הכולל מודעת פירסומת, ניתן טכנית לגרום לכך שהאתר אשר הפיק את המודעה ישגר עוגיה אל הגולש - אפילו מדובר באתר מרוחק ושונה לגמרי מזה שבו הגולש נמצא באותו רגע. עוגיה זו תציין, לדוגמה, באיזו מודעה צפה המשתמש ואילו מודעות פיתו אותו ללחוץ עליהם. באופן זה ניתן לגרום לכך שהמשתמש לא יראה עוד מודעות שכבר הוצגו בפניו, או להציג בפניו מודעות בנושאים שבעבר משכו את תשומת ליבו. לאט לאט ילך ויצטייר פרופיל של הגולש, העדפותיו והרגלי הצריכה שלו, גם אם במרבית המקרים הגולש אינו מזוהה בשמו ממש.

S=PC21589294

הגרסאות המתקדמות של תוכנות הגלישה - נטסקייפ נביגטור 3.0 ואינטרנט אקספלורר - מאפשרות למשתמש לקבל התראה כשהאתרים שבהם הוא מבקר מנסים לשגר אליו עוגיה ולהמנע מקבלתה. הבעיה היא, שהתראה כזו מנוסחת בשפה המובנת רק ליודעי ח"ן. זוהי, בערך, מתכונת ההתראה: "המחשב השרת 194.83.10.11 מבקש לשלוח עוגיה שתשוגר בחזרה רק ל- 83.10.11. השם והערך של העוגיה הינם =PC21589294 S האם אתה מוכן לקבל עוגיה זו?". הנסיון לגלוש כשפונקציה זו מופעלת מסתיים בקבלת התראות רבות כל כך, עד שהמשתמש בהכרח מבטל את ההתראות. יפה אפוא שהנטסקייפ נביגטור 4.0 מגדילה לעשות ומאפשרת למשתמש לסרב לחלוטין לקבל cookies, בלא צורך בהתראות כלשהן, או לקבל עוגיות המוחזרות רק למחשב שיצר אותן. מידע נוסף על עוגיות נמצא באתר Cookie Central. האתר מסביר במלים פשוטות << את הקונספט של העוגיות ותכליתן ומדגים מה הן יכולות לעשות. יש בו, בין השאר, הפניות לתוכנות המאפשרות למשתמש לצפות בעוגיות שנאגרו במחשבו ולמחוק אותן. עוד אתר, המכיל מידע וקשרים מענינים בנושא, הוא The Epic Cookies Page.