first-partyallowedthird-partyconditionaltrackingblockedHTTP cookies

HTTP-informasjonskapsler

10 min lestNettteknologi

Informasjonskapsler er de små tekstverdiene nettlesere lagrer og sender tilbake med hver forespørsel til et nettsted. De driver påloggingsøkter, handlekurver og språkpreferanser – og i tretti år drev de hele økosystemet for nettannonsering. Den tekniske mekanikken er enkel. De politiske konsekvensene fyller regulatoriske dokumenter på tre kontinenter.

Hele artikkelen er gitt på engelsk nedenfor.

En HTTP-cookie er et navn-verdi-par serveren sender til nettleseren med en Set-Cookie-header. Nettleseren lagrer den og sender den tilbake til samme opprinnelse ved hver påfølgende forespørsel via Cookie-overskriften. Hver informasjonskapsel har et domene, bane, utløp og et sett med flagg. Nettlesere begrenser lagring per opprinnelse og totalt — typiske grenser er 50 informasjonskapsler per domene, 4 KB hver.

Hvilke informasjonskapsler gjør

Ttre hovedbrukstilfeller:

  • Sessionsidentifikasjon. Når du logger på, gir serveren en tilfeldig sesjons-ID. Hver påfølgende forespørsel inkluderer informasjonskapselen, som lar serveren identifisere deg uten å autentisere deg på nytt.
  • Preferences. Temavalg, språkvalg, sist sett bannere. Lagret i ren tekst, ingen server tur-retur nødvendig.
  • Tracking. En vedvarende unik identifikator satt tidlig og lest av annonsenettverk og analyser på tvers av forespørsler – det alle personvernforskrifter siden 2018 har forsøkt å begrense. Førstepartsinformasjonskapsel er satt av nettstedet du besøker — example.com setter en informasjonskapsel for example.com. Disse driver den legitime "hold meg pålogget"-brukssaken.

    A tredjeparts-informasjonskapsel er satt av et annet domene hvis innhold er innebygd på siden – en annonse-iframe, en sporingspiksel, en Facebook-liker-knapp. Når brukeren senere besøker et annet nettsted som også bygger inn denne sporeren, sender nettleseren tilbake den samme tredjeparts informasjonskapselen, slik at sporeren kan gjenkjenne brukeren på begge nettstedene. Dette er sporingen på tvers av nettsteder som overvåkingskapitalismen ble bygget på.

    Døden av tredjeparts informasjonskapsler

    Safari var den første store nettleseren som blokkerte tredjeparts informasjonskapsler som standard (ITP, 2017). Firefox fulgte i 2019 med forbedret sporingsbeskyttelse. Chrome, ventetiden fordi Googles annonsevirksomhet er avhengig av dem, har rullet ut delvise begrensninger gjennom 2024–2026, med fullstendig blokkering av tredjeparts informasjonskapsler planlagt, men gjentatte ganger forsinket. Fra slutten av 2025 blokkerer flertallet av nettleserøktene over hele verden tredjeparts informasjonskapsler som standard.

    Reklameindustrien har svart med løsninger (CNAME-tilsløring, serversidetagging, FLoC og Topics API, nettleser-fingeravtrykk), men den enkle tredjepartsinformasjonskapselen som sporingsmekanisme er for det meste over. matter

    • Secure — informasjonskapselen sendes kun over HTTPS. Obligatorisk for enhver øktinformasjonskapsel. En ikke-sikker økt-informasjonskapsel sendes i klartekst på et fiendtlig nettverk og kan stjeles trivielt.
    • HttpOnly — informasjonskapselen kan ikke leses av JavaScript via document.cookie. Forsvarer seg mot XSS-basert økttyveri.
    • SameSite — kontrollerer når informasjonskapselen sendes på forespørsler på tvers av nettsteder:
      • Strict: sendes kun på navigasjoner og forespørsler på samme nettsted. Mest sikker, kan bryte noen koblingsflyter på tvers av nettsteder.
      • Lax: sendes på toppnivå navigering på tvers av nettsteder (linkklikk), men ikke på XHR-er eller underressurser på tvers av nettsteder. Modern default.
      • None: sendt på hver forespørsel på tvers av nettsteder; krever Secure. Brukes for legitim innbygging på tvers av nettsteder (f.eks. en CDN-vertsbasert påloggingswidget).
    • Domain — kontrollerer hvilke underdomener som mottar informasjonskapselen. Et informasjonskapselsett med Domain=example.com sendes til www.example.com, api.example.com, etc.
    • Path til å begrense nettadressene under en spesifikk bane under informasjonskapselen prefix.
    • Max-Age / Expires — når informasjonskapselen utløper. Øktinformasjonskapsler (ingen utløp) slettes når nettleseren lukkes.

    Cookies vs localStorage vs sessionStorage

    Cookies sendes med hver HTTP-forespørsel til opprinnelsen, noe som er nyttig for identifikasjon på serversiden, men legger til overhead til hver forespørsel. localStorage og sessionStorage er kun JavaScript – de reiser ikke med HTTP-forespørsler, er større (5–10 MB typisk) og vedvarer (localStorage) eller varer bare i faneøkten (sessionStorage). For data serveren ikke trenger, er localStorage mer effektivt.

    Samtykkelaget for informasjonskapsler

    GDPR (Europa), CCPA (California), LGPD (Brasil) og flere andre krever at nettsteder avslører sporingsinformasjonskapsler og innhenter samtykke. Resultatet er informasjonskapselbanneret du ser på hver side i 2026 – vanligvis med «Godta alle», noen ganger med detaljerte kontroller. Det standardiserte GPC-signalet (Global Privacy Control) lar brukere velge bort programmatisk, anerkjent av California-loven og adoptert av Firefox/DuckDuckGo/Brave. Å hedre GPC er nå juridisk håndhevbar i California; andre jurisdiksjoner følger.

    Utover informasjonskapsler: alternativ sporing

    As informasjonskapsler ble regulert, sporere diversifisert: Evercookie fyller ID-er inn i 20+ lagringssteder, inkludert IndexedDB, Service Workers, ETags og HSTS. Fingeravtrykk bygger en identifikator fra hundre passive signaler. Tagging på serversiden flytter sporeren bak et førsteparts CNAME slik at det ser ut som selve nettstedet. Informasjonskapselen kan dø som det primære verktøyet, men målet – re-identifikasjon på tvers av økter – har skapt et halvt dusin erstatninger.

Ofte stilte spørsmål

Bør jeg blokkere alle informasjonskapsler?
Blokkering av alle informasjonskapsler bryter alle nettsteder som krever pålogging. Blokker tredjeparts informasjonskapsler (standard i moderne nettlesere) og bruk "tøm ved nettleserlukking" for førstepart hvis du vil ha minimal utholdenhet. Teppe-blokk-tilnærmingen er vanligvis for smertefull.
Påvirker en VPN informasjonskapsler?
En VPN endrer nettverksidentiteten din, ikke nettleserstatusen din. Informasjonskapsler som nettleseren din lagret før VPN-en var på, forblir – og fortsetter å identifisere deg til disse nettstedene etter at VPN-en kobles til. For å få en ren økt, kombiner VPN med en ny nettleserprofil eller privat nettleservindu.
Hva er en øktinformasjonskapsel kontra en vedvarende informasjonskapsel?
En økt-informasjonskapsel har ingen utløper/maks. alder satt og slettes når nettleseren lukkes. En vedvarende informasjonskapsel har en eksplisitt utløpsdato og overlever til da. De fleste påloggingssystemer bruker vedvarende informasjonskapsler med lange utløp slik at du ikke trenger å logge på hvert besøk.
Kan en informasjonskapsel inneholde virus?
Nei. Informasjonskapsler er bare tekststrenger; de kan ikke utføre. Risikoen er at en informasjonskapsel kan inneholde en økt-ID, som en angriper som stjeler den kan bruke til å utgi seg for deg. Det er derfor Secure og HttpOnly-flagg eksisterer.
Vil informasjonskapselbanneret noen gang forsvinne?
Etter hvert som standardiserte opt-out-signaler (GPC) erstatter bannere per nettsted. Den nåværende banneroverheaden er delvis en bivirkning av regulering som krever eksplisitt samtykke, men som ikke definerer en enkelt teknisk mekanisme for å uttrykke det. Signaler på nettlesernivå fikser det. Adopsjon pågår; bannerne vil falme over år, ikke måneder.
HTTP-informasjonskapsler forklart: Førstepart, Tredjepart, SameSite og langsom død av sporing