Mám zablokovat všechny soubory cookie?

Blokování všech souborů cookie přeruší všechny stránky, které vyžadují přihlášení. Zablokujte soubory cookie třetích stran (výchozí v moderních prohlížečích) a pro první stranu použijte „vymazat při zavření prohlížeče“, pokud chcete minimální trvanlivost. Deka-blok přístup je obvykle příliš bolestivý.

Ovlivňuje VPN soubory cookie?

VPN mění identitu vaší sítě, nikoli stav vašeho prohlížeče. Soubory cookie uložené ve vašem prohlížeči před zapnutím VPN zůstávají – a po připojení VPN vás nadále identifikují na těchto stránkách. Chcete-li získat čistou relaci, zkombinujte VPN s novým profilem prohlížeče nebo soukromým oknem procházení.

Co je soubor cookie relace vs. trvalý soubor cookie?

Soubor cookie relace nemá nastavenou dobu platnosti/maximální věk a je vymazán při zavření prohlížeče. Trvalý soubor cookie má explicitní datum vypršení platnosti a do té doby přežije. Většina přihlašovacích systémů používá trvalé soubory cookie s dlouhou dobou platnosti, takže se nemusíte přihlašovat při každé návštěvě.

Může cookie obsahovat virus?

Ne. Cookies jsou pouze textové řetězce; nemohou provést. Riziko spočívá v tom, že soubor cookie může obsahovat ID relace, které může útočník, který jej ukradne, použít k předstírání vaší identity. Proto existují příznaky Secure a HttpOnly.

Zmizí někdy banner cookie?

Standardizované signály odhlášení (GPC) nakonec nahradí bannery na stránkách. Současná režie banneru je částečně vedlejším účinkem regulace, která vyžaduje výslovný souhlas, ale nedefinuje jediný technický mechanismus k jeho vyjádření. Signály na úrovni prohlížeče to opravují. Probíhá adopce; bannery vyblednou v průběhu let, ne měsíců.

Vysvětlení souborů cookie HTTP: První strana, třetí strana, stejný web a pomalá smrt sledování

Cookies jsou malé textové hodnoty, které prohlížeče ukládají a odesílají zpět s každým požadavkem na stránku. Pohánějí přihlašovací relace, nákupní košíky a jazykové preference – a po třicet let poháněly celý ekosystém webové reklamy. Technická mechanika je jednoduchá. Politické důsledky plní regulační dokumenty na třech kontinentech.

Celé tělo článku je uvedeno níže v angličtině.

An HTTP cookie je pár název-hodnota, který server odesílá do prohlížeče s hlavičkou Set-Cookie. Prohlížeč jej uloží a odešle zpět do stejného zdroje při každém dalším požadavku prostřednictvím hlavičky Cookie. Každý soubor cookie má doménu, cestu, expiraci a sadu příznaků. Prohlížeče omezují úložiště na původ a celkem – typické limity jsou 50 souborů cookie na doménu, každá 4 kB.

Jaké soubory cookie do

Tři hlavní případy použití:

Identifikace relace. Když se přihlásíte, server vám udělí náhodné ID souboru cookie Každý následující požadavek obsahuje soubor cookie, díky kterému vás server identifikuje bez opětovného ověřování.
Preferences. Volba motivu, výběr jazyka, naposledy zobrazené bannery. Uloženo ve formátu prostého textu, není potřeba žádná zpáteční cesta ze serveru.
Tracking. Trvalý jedinečný identifikátor nastavený včas a čtený reklamními sítěmi a analytiky napříč požadavky – to, co se snaží omezit všechna nařízení o ochraně soukromí od roku 2018.

X

XZX8Soubory cookie první strany7 cookie první strany je nastaven webem, který navštívíte — example.com nastavuje cookie pro example.com. Ty podporují legitimní případ použití „nechte mě přihlášeného“.
A Soubor cookie třetí strany je nastaven jinou doménou, jejíž obsah je vložen do stránky – prvek iframe reklamy, sledovací pixel, tlačítko „To se mi líbí“ na Facebooku. Když uživatel později navštíví jinou stránku, která také vkládá tento sledovač, prohlížeč odešle zpět stejný soubor cookie třetí strany, což umožňuje sledovači rozpoznat uživatele na obou stránkách. Toto je sledování napříč weby, na kterém byl postaven dozorový kapitalismus.

Smrt souborů cookie třetích stran

Safari byl prvním velkým prohlížečem, který ve výchozím nastavení blokoval soubory cookie třetích stran (ITP, 2017). Firefox následoval v roce 2019 s Enhanced Tracking Protection. Chrome, zdrženlivý, protože na nich závisí reklamní byznys Googlu, zavedl částečná omezení v letech 2024–2026, přičemž je plánováno úplné blokování souborů cookie třetích stran, které se však opakovaně odkládá. Ke konci roku 2025 většina relací prohlížeče po celém světě ve výchozím nastavení blokuje soubory cookie třetích stran.

Reklamní průmysl zareagoval náhradními řešeními (maskování CNAME, značkování na straně serveru, FLoC a Topics API, otisky prstů prohlížeče), ale jednoduchý soubor cookie třetí strany jako mechanismus sledování je většinou překročen. hmota

Secure — cookie se odesílá pouze přes HTTPS. Povinné pro jakýkoli soubor cookie relace. Soubor cookie nezabezpečené relace je odeslán v prostém textu v nepřátelské síti a je triviálně ukraditelný.
HttpOnly — soubor cookie není čitelný pomocí JavaScriptu přes document.cookie. Chrání proti krádeži relace založené na XSS.
SameSite — řídí, kdy je soubor cookie odeslán na požadavky mezi weby:
- Strict: odesílá se pouze na navigace a požadavky na stejném webu. Nejbezpečnější, může přerušit některé toky odkazů mezi weby.
- Lax: odesílá se na navigaci mezi weby nejvyšší úrovně (kliknutí na odkazy), ale ne na XHR nebo podzdroje mezi weby. Moderní výchozí.
- Žádné: odesláno při každém požadavku mezi weby; vyžaduje Secure. Používá se pro legitimní vkládání mezi weby (např. přihlašovací widget hostovaný v CDN).
Domain – určuje, které subdomény obdrží soubor cookie. Soubor cookie s Domain=example.com je odeslán do www.example.com, api.example.com atd.
Path – omezuje cestu k souboru cookie pod určitou cestou cookie prefix.
Max-Age / Expires — když vyprší platnost souboru cookie. Soubory cookie relace (bez vypršení platnosti) se vymažou při zavření prohlížeče. Soubory cookie

Cookies vs localStorage vs sessionStorage

Cookies jsou odesílány s každým požadavkem HTTP do zdroje, což je užitečné pro identifikaci na straně serveru, ale zvyšuje režii ke každému požadavku. localStorage a sessionStorage jsou pouze JavaScript – necestují s požadavky HTTP, jsou větší (typicky 5–10 MB) a přetrvávají (localStorage) nebo trvají pouze po dobu relace karty (sessionStorage). Pro data, která server nepotřebuje, je efektivnější localStorage.

Vrstva souhlasu se soubory cookie

GDPR (Evropa), CCPA (Kalifornie), LGPD (Brazílie) a několik dalších vyžaduje, aby stránky zveřejnily sledovací soubory cookie a získaly souhlas. Výsledkem je banner souborů cookie, který v roce 2026 vidíte na každé stránce – obvykle tlačí na „Přijmout vše“ a někdy nabízí podrobné ovládací prvky. Standardizovaný signál GPC (Global Privacy Control) umožňuje uživatelům programově se odhlásit, uznávaný kalifornskými zákony a přijatý Firefox/DuckDuckGo/Brave. Pocta GPC je nyní v Kalifornii právně vymahatelná; další jurisdikce následují.

Beyond cookies: alternativní sledování

As tím, jak se soubory cookie staly regulovanými, jsou sledovače diverzifikovány: Evercookie nacpe ID do 20+ úložných míst, včetně IndexedDB, Service Workers, ETags a HSTS. Fingerprinting vytváří identifikátor ze stovky pasivních signálů. Tagování na straně serveru přesune sledovač za CNAME první strany, takže vypadá jako samotný web. Soubor cookie jako primární nástroj možná končí, ale cíl – opětovná identifikace napříč relacemi – přinesl půl tuctu náhrad.

Často kladené otázky

Mám zablokovat všechny soubory cookie?: Blokování všech souborů cookie přeruší všechny stránky, které vyžadují přihlášení. Zablokujte soubory cookie třetích stran (výchozí v moderních prohlížečích) a pro první stranu použijte „vymazat při zavření prohlížeče“, pokud chcete minimální trvanlivost. Deka-blok přístup je obvykle příliš bolestivý.
Ovlivňuje VPN soubory cookie?: VPN mění identitu vaší sítě, nikoli stav vašeho prohlížeče. Soubory cookie uložené ve vašem prohlížeči před zapnutím VPN zůstávají – a po připojení VPN vás nadále identifikují na těchto stránkách. Chcete-li získat čistou relaci, zkombinujte VPN s novým profilem prohlížeče nebo soukromým oknem procházení.
Co je soubor cookie relace vs. trvalý soubor cookie?: Soubor cookie relace nemá nastavenou dobu platnosti/maximální věk a je vymazán při zavření prohlížeče. Trvalý soubor cookie má explicitní datum vypršení platnosti a do té doby přežije. Většina přihlašovacích systémů používá trvalé soubory cookie s dlouhou dobou platnosti, takže se nemusíte přihlašovat při každé návštěvě.
Může cookie obsahovat virus?: Ne. Cookies jsou pouze textové řetězce; nemohou provést. Riziko spočívá v tom, že soubor cookie může obsahovat ID relace, které může útočník, který jej ukradne, použít k předstírání vaší identity. Proto existují příznaky Secure a HttpOnly.
Zmizí někdy banner cookie?: Standardizované signály odhlášení (GPC) nakonec nahradí bannery na stránkách. Současná režie banneru je částečně vedlejším účinkem regulace, která vyžaduje výslovný souhlas, ale nedefinuje jediný technický mechanismus k jeho vyjádření. Signály na úrovni prohlížeče to opravují. Probíhá adopce; bannery vyblednou v průběhu let, ne měsíců.