Czy powinienem zablokować wszystkie pliki cookie?

Zablokowanie wszystkich plików cookie powoduje uszkodzenie każdej witryny wymagającej logowania. Blokuj pliki cookie innych firm (domyślnie w nowoczesnych przeglądarkach) i używaj opcji „wyczyść po zamknięciu przeglądarki” w przypadku plików cookie pierwszej firmy, jeśli chcesz mieć minimalną trwałość. Metoda blokowania koców jest zwykle zbyt bolesna.

Czy VPN wpływa na pliki cookie?

VPN zmienia Twoją tożsamość sieciową, a nie stan przeglądarki. Pliki cookie zapisane przez Twoją przeglądarkę przed włączeniem VPN pozostają – i nadal identyfikują Cię w tych witrynach po nawiązaniu połączenia VPN. Aby uzyskać czystą sesję, połącz VPN ze świeżym profilem przeglądarki lub oknem przeglądania prywatnego.

Czym jest plik cookie sesji i trwały plik cookie?

Plik cookie sesji nie ma ustawionego terminu ważności/maksymalnego wieku i jest usuwany po zamknięciu przeglądarki. Trwały plik cookie ma wyraźną datę ważności i pozostaje ważny do tego czasu. Większość systemów logowania wykorzystuje trwałe pliki cookie z długim terminem ważności, dzięki czemu nie musisz logować się przy każdej wizycie.

Czy plik cookie może zawierać wirusa?

Nie. Pliki cookie to tylko ciągi tekstowe; nie mogą wykonać. Istnieje ryzyko, że plik cookie może zawierać identyfikator sesji, który atakujący, który go ukradnie, może wykorzystać do podszywania się pod Ciebie. Dlatego istnieją flagi Secure i HttpOnly.

Czy baner dotyczący plików cookie kiedyś zniknie?

Ostatecznie standardowe sygnały rezygnacji (GPC) zastępują banery w poszczególnych witrynach. Obecny narzut związany z banerami jest częściowo efektem ubocznym przepisów, które wymagają wyraźnej zgody, ale nie definiują jednego mechanizmu technicznego umożliwiającego jej wyrażenie. Sygnały na poziomie przeglądarki naprawiają ten problem. Trwa adopcja; banery będą blaknąć przez lata, a nie miesiące.

Wyjaśnienie plików cookie HTTP: strony pierwszej, strony trzeciej, SameSite i powolna śmierć śledzenia

Pliki cookie to małe wartości tekstowe, które przeglądarki przechowują i wysyłają z powrotem przy każdym żądaniu skierowanym do witryny. Obsługują sesje logowania, koszyki i preferencje językowe — i przez trzydzieści lat zasilały cały ekosystem reklam internetowych. Mechanika techniczna jest prosta. Konsekwencje polityczne wypełniają listy regulacyjne na trzech kontynentach.

Poniżej znajduje się pełna treść artykułu w języku angielskim.

An HTTP cookie to para nazwa-wartość, którą serwer wysyła do przeglądarki z nagłówkiem Set-Cookie. Przeglądarka przechowuje je i odsyła do tego samego źródła przy każdym kolejnym żądaniu za pośrednictwem nagłówka Cookie. Każdy plik cookie ma domenę, ścieżkę, datę wygaśnięcia i zestaw flag. Przeglądarki ograniczają miejsce do przechowywania według źródła i ogółem — typowe limity to 50 plików cookie na domenę, 4 KB każda.

Jakie pliki cookie do

Trzy główne przypadki użycia:

Identyfikacja sesji. Kiedy się logujesz, serwer podaje losowy identyfikator sesji przechowywany w pliku cookie. Każde kolejne żądanie zawiera plik cookie, pozwalający serwerowi zidentyfikować Cię bez ponownego uwierzytelniania.
Preferences. Wybór motywu, wybór języka, ostatnio widziane banery. Przechowywane w postaci zwykłego tekstu, bez konieczności przełączania serwera w obie strony.
Tracking. Trwały, unikalny identyfikator ustawiany wcześniej i odczytywany przez sieci reklamowe i analizy w ramach żądań — co starają się ograniczać wszystkie regulacje dotyczące prywatności od 2018 r. Własny plik cookie jest ustawiany przez odwiedzaną witrynę — example.com ustawia plik cookie dla example.com. Umożliwiają one uzasadnione zastosowanie opcji „nie wylogowuj mnie”.
A plik cookie strony trzeciej jest ustawiany przez inną domenę, której treść jest osadzona na stronie — ramka iframe reklamy, piksel śledzący, przycisk „Lubię to” Facebooka. Kiedy użytkownik później odwiedzi inną witrynę, która również zawiera ten moduł śledzący, przeglądarka odsyła ten sam plik cookie strony trzeciej, umożliwiając modułowi śledzącemu rozpoznanie użytkownika w obu witrynach. Jest to śledzenie między witrynami, na którym zbudowano kapitalizm inwigilacji.
Zagłada plików cookie stron trzecich
Safari była pierwszą dużą przeglądarką, która domyślnie blokowała pliki cookie stron trzecich (ITP, 2017). W 2019 roku Firefox wprowadził także Ulepszoną ochronę przed śledzeniem. Chrome, spółka wstrzymująca się, ponieważ od niej zależy działalność reklamowa Google, wprowadziła częściowe ograniczenia w latach 2024–2026, z planowanym pełnym blokowaniem plików cookie stron trzecich, ale wielokrotnie opóźnianym. Pod koniec 2025 r. większość sesji przeglądarek na całym świecie domyślnie blokuje pliki cookie innych firm.
Branża reklamowa zaproponowała obejścia (maskowanie CNAME, tagowanie po stronie serwera, FLoC i Topics API, odcisk palca przeglądarki), ale prosty plik cookie strony trzeciej jako mechanizm śledzenia w większości się skończył.
Pola flagi, które Matter
- Secure — plik cookie jest wysyłany wyłącznie za pośrednictwem protokołu HTTPS. Obowiązkowe dla każdego pliku cookie sesji. Niezabezpieczony plik cookie sesji jest wysyłany w postaci zwykłego tekstu do wrogiej sieci i w prosty sposób można go ukraść.
- HttpOnly — plik cookie nie jest czytelny dla JavaScript za pośrednictwem document.cookie. Chroni przed kradzieżą sesji w oparciu o XSS.
- SameSite — kontroluje, kiedy plik cookie jest wysyłany w przypadku żądań między witrynami:
  - Strict: wysyłany tylko w przypadku nawigacji i żądań w tej samej witrynie. Najbezpieczniejszy, może przerwać niektóre przepływy łączy między witrynami.
  - Lax: wysyłane w ramach nawigacji między witrynami najwyższego poziomu (kliknięcia linków), ale nie w przypadku XHR ani podzasobów między witrynami. Nowoczesne ustawienie domyślne.
  - None: wysyłane przy każdym żądaniu między lokacjami; wymaga Bezpiecznego. Używany do legalnego osadzania w różnych witrynach (np. widżet logowania hostowany przez CDN).
- Domain — kontroluje, które subdomeny otrzymują plik cookie. Plik cookie ustawiony z Domain=example.com jest wysyłany do www.example.com, api.example.com itp.
- Path — ogranicza plik cookie do adresów URL pod określoną ścieżką prefix.
- Max-Age / Expires — kiedy wygaśnie plik cookie. Sesyjne pliki cookie (bez wygaśnięcia) są usuwane po zamknięciu przeglądarki.
Cookies vs localStorage vs sessionStorage
Pliki cookie są wysyłane z każdym żądaniem HTTP do źródła, co jest przydatne do identyfikacji po stronie serwera, ale zwiększa obciążenie każdego żądania. localStorage i sessionStorage obsługują wyłącznie JavaScript — nie są przesyłane z żądaniami HTTP, są większe (typowo 5–10 MB) i są trwałe (localStorage) lub trwają tylko przez sesję karty (sessionStorage). W przypadku danych, których serwer nie potrzebuje, bardziej wydajna jest usługa localStorage.
Warstwa zgody na pliki cookie
GDPR (Europa), CCPA (Kalifornia), LGPD (Brazylia) i kilka innych wymagają od witryn ujawniania śledzących plików cookie i uzyskiwania zgody. Rezultatem jest baner dotyczący plików cookie, który w 2026 r. będzie widoczny na każdej stronie — zwykle z informacją „Zaakceptuj wszystko”, czasami oferującym szczegółową kontrolę. Standaryzowany sygnał GPC (Global Privacy Control) umożliwia użytkownikom programową rezygnację, uznawany przez prawo stanu Kalifornia i przyjęty przez Firefox/DuckDuckGo/Brave. Przestrzeganie GPC jest teraz prawnie egzekwowalne w Kalifornii; inne jurysdykcje są następujące.
Poza plikami cookie: alternatywne śledzenie
W miarę uregulowania plików cookie, zróżnicowania modułów śledzących: Evercookie umieszcza identyfikatory w ponad 20 lokalizacjach przechowywania, w tym IndexedDB, Service Workers, ETag i HSTS. Odcisk palca buduje identyfikator ze stu pasywnych sygnałów. Tagowanie po stronie serwera przenosi moduł śledzący za własną nazwę CNAME, dzięki czemu wygląda jak sama witryna. Plik cookie może umierać jako podstawowe narzędzie, ale cel — ponowna identyfikacja w trakcie sesji — spowodował pojawienie się pół tuzina zamienników.

Często zadawane pytania

Czy powinienem zablokować wszystkie pliki cookie?: Zablokowanie wszystkich plików cookie powoduje uszkodzenie każdej witryny wymagającej logowania. Blokuj pliki cookie innych firm (domyślnie w nowoczesnych przeglądarkach) i używaj opcji „wyczyść po zamknięciu przeglądarki” w przypadku plików cookie pierwszej firmy, jeśli chcesz mieć minimalną trwałość. Metoda blokowania koców jest zwykle zbyt bolesna.
Czy VPN wpływa na pliki cookie?: VPN zmienia Twoją tożsamość sieciową, a nie stan przeglądarki. Pliki cookie zapisane przez Twoją przeglądarkę przed włączeniem VPN pozostają – i nadal identyfikują Cię w tych witrynach po nawiązaniu połączenia VPN. Aby uzyskać czystą sesję, połącz VPN ze świeżym profilem przeglądarki lub oknem przeglądania prywatnego.
Czym jest plik cookie sesji i trwały plik cookie?: Plik cookie sesji nie ma ustawionego terminu ważności/maksymalnego wieku i jest usuwany po zamknięciu przeglądarki. Trwały plik cookie ma wyraźną datę ważności i pozostaje ważny do tego czasu. Większość systemów logowania wykorzystuje trwałe pliki cookie z długim terminem ważności, dzięki czemu nie musisz logować się przy każdej wizycie.
Czy plik cookie może zawierać wirusa?: Nie. Pliki cookie to tylko ciągi tekstowe; nie mogą wykonać. Istnieje ryzyko, że plik cookie może zawierać identyfikator sesji, który atakujący, który go ukradnie, może wykorzystać do podszywania się pod Ciebie. Dlatego istnieją flagi Secure i HttpOnly.
Czy baner dotyczący plików cookie kiedyś zniknie?: Ostatecznie standardowe sygnały rezygnacji (GPC) zastępują banery w poszczególnych witrynach. Obecny narzut związany z banerami jest częściowo efektem ubocznym przepisów, które wymagają wyraźnej zgody, ale nie definiują jednego mechanizmu technicznego umożliwiającego jej wyrażenie. Sygnały na poziomie przeglądarki naprawiają ten problem. Trwa adopcja; banery będą blaknąć przez lata, a nie miesiące.

Jakie pliki cookie do

Zagłada plików cookie stron trzecich

Pola flagi, które Matter

Cookies vs localStorage vs sessionStorage

Warstwa zgody na pliki cookie

Poza plikami cookie: alternatywne śledzenie

Często zadawane pytania