Ciasteczka w sieci: jak Lou Montulli zmienił internet w 1994

Koszyk zakupów, który zmienił internet

Rok 1994. Internet dopiero raczkuje jako przestrzeń handlowa. Firma MCI zwraca się do Netscape z pozornie prostym zadaniem: stworzyć sklep internetowy, który pamięta, co klient włożył do koszyka. Problem polega na tym, że protokół HTTP jest z natury bezstanowy – każde żądanie do serwera to dla niego zupełnie nowe zdarzenie, jakby nigdy wcześniej nie rozmawiał z tą samą przeglądarką.

Lou Montulli, 23-letni inżynier Netscape, sięga po rozwiązanie znane z systemów Unix – tak zwane magic cookies, czyli małe pakiety danych przekazywane między programami jak żetony identyfikacyjne. Montulli implementuje analogiczny mechanizm dla sieci Web: serwer wysyła do przeglądarki mały plik tekstowy, przeglądarka go przechowuje i odsyła przy każdym kolejnym żądaniu do tego samego serwera. Serwer wie wtedy, z kim 'rozmawia'.

Pierwsze cookie trafia do Netscape Navigator 0.9b w czerwcu 1994 roku. Nikt nie traktuje tego jako rewolucji – to zwykłe, pragmatyczne rozwiązanie inżynierskie. Montulli i jego kolega John Giannandrea opisują mechanizm w nieformalnej specyfikacji. Nikt nie mówi wtedy o prywatności, śledzeniu ani reklamach targetowanych.

Skąd właściwie pochodzi nazwa 'cookie'?

Słowo cookie nie ma nic wspólnego z chińskimi ciasteczkami z wróżbą – choć etymologia jest równie poetycka. W żargonie programistycznym Unix termin magic cookie oznaczał od lat 70. mały, nieprzezroczysty pakiet danych, który jeden program przekazuje drugiemu jako dowód tożsamości. Użytkownicy nie musieli wiedzieć, co jest w środku – wystarczyło go odesłać.

Montulli po prostu skrócił nazwę do 'cookie'. Formalnie standard trafił do RFC 2109 w 1997 roku, a docelowy RFC 6265 opublikowano dopiero w 2011. Przez całe lata mechanizm działał więc bez oficjalnej specyfikacji – po prostu dlatego, że wszyscy go już używali i nikt nie widział potrzeby, żeby cokolwiek formalizować.

Ciekawostka: Montulli opatentował mechanizm cookie w 1998 roku (patent USA nr 5774670), ale nigdy aktywnie go nie egzekwował. W późniejszych wywiadach przyznawał wprost, że gdyby wiedział, jak pliki cookie zostaną wykorzystane do masowego śledzenia użytkowników, prawdopodobnie zaprojektowałby je zupełnie inaczej – z wbudowanymi ograniczeniami prywatnościowymi.

Trzecia strona: narodziny imperium reklamowego

Przez pierwsze lata cookie służyły dokładnie temu, do czego je zaprojektowano: sesjom logowania, koszykom zakupów, preferencjom językowym. Przełom nastąpił w 1996 roku, gdy firma DoubleClick wpadła na pomysł, który zmienił całą gospodarkę internetu.

Mechanizm był prosty i genialny zarazem: jeśli baner reklamowy na stronie A i baner na stronie B pochodzą z serwera DoubleClick, to DoubleClick może ustawić jeden plik cookie widoczny dla obu stron. Nagle reklamy zaczęły 'pamiętać' użytkownika między witrynami – bez jego wiedzy i jakiejkolwiek zgody. Narodziło się cross-site tracking, czyli śledzenie aktywności użytkownika przez wiele serwisów naraz.

Model okazał się niezwykle lukratywny. W 2007 roku Google przejął DoubleClick za 3,1 miliarda dolarów – jedną z największych akwizycji tamtej dekady. Do lat 2010. przeciętna strona informacyjna ładowała dziesiątki zewnętrznych skryptów śledzących. Badania z 2019 roku wykazały, że portale z newsami korzystają średnio z 40–60 trackerów na stronę. Cały ten ekosystem opierał się na pliku cookie, który Montulli zaprojektował jako niewinny numer sesji dla koszyka zakupowego.

Regulacyjna burza: GDPR, banery i chaos zgód

Unia Europejska reaguje jako pierwsza. Dyrektywa ePrivacy z 2002 roku – zwana potocznie Cookie Law – wymaga informowania użytkowników o plikach cookie. W 2012 roku dyrektywa zostaje zaostrzona: strony muszą uzyskać aktywną zgodę przed ustawieniem nieistotnych plików. Internet zalewa fala irytujących banerów zgód, których nikt nie czyta.

Prawdziwy przełom przynosi GDPR w 2018 roku. Pliki cookie służące do profilowania to dane osobowe – a ich przetwarzanie wymaga jednoznacznej, dobrowolnej zgody. Kary mogą sięgać 4% globalnego obrotu firmy. Organizacje wydają fortuny na wdrożenie systemów zarządzania zgodami (CMP – Consent Management Platform). Paradoksem jest, że większość użytkowników klika 'Akceptuję wszystkie' po prostu po to, żeby baner zniknął ze strony.

Badania Nielsen Norman Group pokazują, że przeciętny użytkownik poświęca na decyzję o cookie mniej niż 3 sekundy, a polityki prywatności liczą dziesiątki stron drobnego druku. Regulatorzy zaczynają kwestionować, czy model oparty na 'zgodzie' w ogóle spełnia swój cel – czy nie jest tylko fasadą, za którą nic się nie zmienia.

Koniec ery third-party cookie – i nagły odwrót Google

W 2020 roku Google ogłasza rewolucję: Chrome – używany przez ok. 65% internautów na świecie – zablokuje pliki cookie firm trzecich do 2022 roku. Termin przesuwa się na 2023, potem 2024, potem 2025. Tymczasem Firefox i Safari blokują je już od lat – bez wielkich fanfar i bez pytania branży reklamowej o zgodę.

Google proponuje alternatywę w postaci Privacy Sandbox: zestaw technologii mających zastąpić cross-site tracking przy jednoczesnym zachowaniu możliwości targetowania reklam. Jednym z pierwszych pomysłów jest algorytm FLoC (Federated Learning of Cohorts), grupujący użytkowników w anonimowe kohorty. Reklamodawcy nie są przekonani, regulatorzy w UE i Wielkiej Brytanii wszczynają dochodzenia. FLoC zostaje wycofany. Kolejna propozycja – Topics API – spotyka się z równie chłodnym przyjęciem.

W lipcu 2024 roku następuje niespodziewany zwrot: Google rezygnuje z blokowania third-party cookies w Chrome. Zamiast tego wprowadza mechanizm wyboru dla użytkownika – podobny do modelu stosowanego przez Apple w iOS. Decyzja natychmiast wywołuje oskarżenia o ochronę własnego modelu reklamowego wartego dziesiątki miliardów dolarów rocznie.

Dla firm oznacza to jedno: zależność od tradycyjnych cookie chwilowo trwa, ale długoterminowy trend ku prywatności jest nieodwracalny. Nowoczesne alternatywy to m.in.:

• First-party data – dane zbierane bezpośrednio od użytkownika, za jego wiedzą i zgodą
• Contextual targeting – reklamy dopasowane do treści strony, nie do profilu użytkownika
• Server-side tracking – śledzenie po stronie serwera, niewidoczne dla blokad przeglądarki

Historia zatoczyła koło: mechanizm stworzony dla koszyka zakupowego Lou Montulliego przez 30 lat budował i rujnował fortuny – i wciąż nie znalazł godnego następcy.