İnternette dolaşırken herhangi bir websitesinde aşağıdaki gibi bir mesajla ne sıklıkla karşılaşıyorsunuz?
“Bu Sitede, kullanıcı deneyimini geliştirmek ve internet sitesinin verimli çalışmasını sağlamak amacıyla çerezler kullanılmaktadır. Daha detaylı bilgi almak isterseniz gelişmiş gizlilik ve cookie politikası metnini okumak için tıklayınız.”
Anımsayalım ya da anımsamayalım, yukarıda ilettiğim Cookie metninin versiyonları (ya da banner hali) ziyaret ettiğimiz neredeyse tüm sitelerde karşımıza çıkıyor. Kimi zaman sayfanın en üstünde, kimi zaman ortasında bazen de en köşede. Biz ise bunlara çoğu zaman onay verip vermediğinizi bile hatırlamayabiliyoruz. Tıpkı reklam körlüğünde olduğu gibi “Cookie Körlüğü” kavramı da burada devreye giriyor. Nasıl reklam körlüğünde web kullanıcısı karşısına sürekli çıktığı için bir reklam formatına alışıyor, cookielerde de aynı durum söz konusu. Peki nedir bu karşımıza çıkıp çokça zaman bizi rahatsız eden, bazen de farkında olmadan onaylayıp geçtiğimiz Cookieler, bir göz atalım:
Cookie (Çerez) Nedir?
Türkçe’ye çevrildiğinde “Çerez” anlamına gelen Cookie’ler isminden de anlaşılabileceği gibi ufak yapıdaki bazı dosyalara verilen isim. Bir web sayfasını ziyaret ettiğinizde başka bir kaynak tarafından (çoğunlukla girdiğiniz websitesi) size gönderilen bu çerezler sayesinde sistem sizin pek çok tercihinizi hatırlıyor. Site üzerinde gerçekleştirdiğiniz belli başlı aksiyonları aklında tutan çerezler ağırlıklı text dosyası şeklinde depolanıyor ve belirli bir süre kayıt altında kalıp ihtiyaç olduğunda ortaya çıkıyor. Başka bir deyişle bilgisayarınıza bellek uyarıcısı etkisi yapıyor. (Örn: Twitter’a girerken kullanıcı adı-şifresi kısmındaki “Beni Hatırla” butonu da çeşit çerezdir ve sonraki girişinizde bilgilerinizi hatırlayacaktır)
Text dosyası şeklinde depolanan bu küçük boyutlu verilerin çok büyük bir kısmı sonsuza kadar kullanıcının depolama alanında kalmıyor elbette. Çerezler kendi kendini silebiliyor ancak bu süre çerezin size yollandığı kaynağa göre farklılaşıyor. Bazen kabul ettiğiniz bir cookie metni aylarca aktif olacak şekilde kullanıcı adı / şifrenizi hatırlarken bazen bu süre saatlere indirgenen bir aralık olarak ortaya çıkıyor. Bazen de kendi kendini silmesini beklemeden manuel olarak da browser üzerindeki çerezleri silebiliyorsunuz.
Çok da yeni olmayan tarihine göz attığımızda ilk olarak 1994 yılında Netscape için kullanılmaya başlanan çerezler günümüze kadar farklı evrelerden geçti. Tasarlanan ilk versiyonun asıl amacı site ziyaretçisinin aynı siteye tekrardan gelip gelmediğini hatırlamaktı. Sonrasında kullanıcının pek çok kişisel bilgisini, internet davranışlarını, tercihlerini bile hatırlayabilecek kadar geliştirildiler. Günümüzü değerlendirdiğimizde pek çok farklı versiyonu olan çerezlerin birbiriyle benzer özellikleri olmasına rağmen aynı olmayabileceğini bilmek gerekiyor. Örnek verecek olursak kullanıcının ziyaret ettiği site tarafından yerleştirilen 1. Parti çerezler, ziyaret edilen sitelerin dışındaki networkler tarafından yerleştirilen 3. Parti çerezlerden tamamen farklı olabiliyor. Çerezler konusuna derinlemesine inmeden önce kafa karıştıran bir noktaya da değinmek gerekiyor. Çerezler kendi aralarında çok farklı şekilde ayrışabilirler demiştik. Bu noktada Session ve Cookie (Çerez) sıklıkla karıştırılabiliyor. Bakalım aralarındaki fark neymiş?
Session ile Cookie Farkı nedir?
Session Türkçe’ye çevrildiğinde “Oturum” kelimesine denk geliyor. Session tarafında bilgileriniz sunucu tarafında geçici dizin içerisinde depolanıyor. Bu veri site ziyareti esnasında tüm sayfalarda geçerli olarak güncel şekilde kaynağa akış sağlar. Genellikle sanal sepet uygulamalarında kullanılan sessionlar kullanıcının browserı kapatması ya da siteden ayrılması sonucunda sunucu tarafından sonlandırılır. (Bu süre ortalama 30 dakika civarı)
Çerezler ise text dosyaları şeklinde kullanıcının bilgisayarında depolanır ve sonraki ziyaretleri takip amaçlı kullanılır. Kullandığınız browser çerezlerinizi sonradan ihtiyaç halinde olabileceği nedeniyle cihazınıza kaydeder. Aynı siteye tekrar girdiğinizde ise browser yerel depolama cihazınıza kaydettiği verileri server tarafına gönderir.
Yani Session’da ziyaretçi değişkenleri sunucu içerisinde tutuluyorken, cookie oluşturulduğunda ise cookie verileri kullanıcı (istemci) tarafında tutulur. Cookie’ler kullanıcıya ait kişisel bilgiler içermesi, değiştirilebilmesi, virüsler yoluyla ele geçirilebilmesi nedeniyle sessionlara göre daha tehlikelidir. Sessionlar ise daha kısa süreli oluşu, serverda depolanması gibi özelliklerinden ötürü çerezlerden daha güvenli olarak kabul edilir. (Birileri Serverları hacklemediği takdirde) Sessionlar da bilgisayarınıza çerez oluşturup gönderir ancak bu session olayında gönderilen çerez hashlenmiş (şifrelenmiş) bir şekildedir. Bu bilgilere ulaşmak isteyen kötü niyetli yazılımların kullanıcının bilgisayarındaki hashlenmiş verileri kırması gerekir. Bu hashlenmiş veriyi kırmak yıllar alabilir. Tarayıcınız kapandığında kendini otomatik sileceği için Session’ların güvenilir yönü daha ağır basar. Ek olarak unutmamak gerekiyor ki Cookie’ler Sessionlardan bağımsız ancak Sessionlar Cookie’lere bağımlı olarak çalışır.
Ancak şunu da kabul etmeliyiz ki çerezler hayatımızın büyük bir kısmını kaplıyor. Her ne kadar birbirine benzese de farklı amaca hizmet eden çokça versiyon da mevcut.
Çerez Türleri ve Kullanım Alanları
Yazının girişinde de bahsettiğim gibi çerezler kullanım alanlarına ve temel yapılarına göre birbirinden ayrışır. Temel özelliklerini baz alırsak Cookie’leri şu şekilde ayrıştırabiliriz:
Session Cookies (Geçici Çerezler)
Yukarıda değindiğimiz Session yani oturumlar da bir çeşit Cookie aslında. Bu noktada kafanız biraz karışabilir. Çünkü Cookie ve Session’u birbirinden ayırırken depolama alanları ve geçerlilik sürelerini ayrıştırmıştık şimdi ise Session’ları da bu kategoriye sokuyoruz. Ancak temelindeki kullanım yöntemine baktığımızda birbirinden çok da ayrışmadığı için Sessionlar da çerezler olarak görülebiliyor. Geçici çerezler olmasaydı her tıkladığınız sayfada sistem sizi yeni bir kullanıcı olarak görürdü. Özellikle E-Ticaret sitelerinde Check-Out sayfasına gelene kadar devamlı olarak sepete atılan ürünü tekrar tekrar yenilemek gerekebilirdi. Bu ve bunun gibi hayatımızı kolaylaştıran sistem hatırlamaları geçici çerezler yoluyla sağlandığını unutmamak gerekiyor. Bu çerezler bilgisayarınızdan herhangi bir veriyi alamaması ve kişisel bilgilerinize ulaşamaması bakımından güvenlik anlamında da büyük fayda sağlıyor.
Persistent Cookies (Kalıcı Çerezler)
Geçici çerezlerden farklı olarak kalıcılar adından da anlaşılacağı gibi tarayıcıyı kapattığınızda kaybolmaz. Özellikleri kullanıcının tekrardan bir websitesi ya da uygulamaya girdiğinde onu tanımasıdır.
Secure Cookies
Bu tür çerezler browserınıza şifrelenmiş bağlantı aracılığıyla çağrılır. Yani sunucu Session ID’yi şifreleyerek tarayıcıya iletir. HTTPS olarak bilinen bu şifrelenmiş ağ ile çağrılan çerezler “güvenli” ibaresi aktif oldukça başka bir kaynak tarafından bozulamaz, değiştirilemez. Secure flag denilen bu yapı olmadığı sürece text dosyası şeklindeki verileriniz yetki verilmemiş 3. Partiler tarafından değiştirilebilir.
HttpOnly Cookies
Yukarıda bahsettiğim Secure Cookies tarafının çalışma mekanizmasına benzer bir durum Http Only tarafında var. Javascriptler cookieleri değiştirebilmeye müsait bir yapıya sahiptir. HttpOnly flagi etkin edildiğinde javascriptler bu özelliğini yerine getiremeyecek hale gelir. Ayrıca sizi XSS Attack denilen saldırıya karşı korur. XSS yani cross-site scripting saldırısında hacker güvenli gibi görünen bir websitesine kötü bir kod tanımlar. Kötü niyetli bu script kod browser tarafından tanımlanamadığı durumda cookiler dahil tüm sitenin bilgilerini ele geçirebilir. HttpOnly bazlı çerezlerde bu tarz saldırılara karşı siteyi korur.
Third-party Cookies
Third-Party çerez türleri için cookie kavramının zaman zaman kötü anılmasının başlıca sebebi diyebiliriz. Bunlar içerisinde bulunduğunuz siteden değil başka bir siteden gelir. First-Party’lerde kullanıcının onayına sunulan çerezler sitenin domaininden gelmesine rağmen Third-Party versiyonunda bu kaynak başka bir yerden gelir. Buradaki çerezlerin amacı ise sizi demografik özellikleriniz, online davranışlarınız, satın alma alışkanlıklarınız gibi konularda takip etmesidir. Pek çok browser bu tür çerezlerin faaliyetlerini engellemek için özellikler koyar.
Supercookies
Bu tür çerezler internet servis sağlayıcıları tarafından http başlığının içine entegre edilerek kullanıcı davranışlarını izleyen bir görev üstlenir. Ancak diğerlerinden farklı olarak tarama verilerini temizlemek Supercookie’lerin kaybolmasına sebep olmaz. Çünkü bunlar tam olarak çerez sayılmaz, tarayıcınızda saklanmaz. O yüzden diğerlerine göre daha tehlikeli sayılabilir. Bu tür, genellikle tek bir websitesine bağlıdır ve diğer sitelerle bilgilerinizi paylaşmaz. Diğer yandan başka bir browsera geçiş yapmanız Supercookie’yi etkisiz kılmaz. Diğer çerezlere ait login bilgiler, cachelenen görseller ve dosyalar da Supercookieler de tutulabilir. Çoğu zaman Ad Blockerların kullanmanın da bu tür çerezlere karşı etkili olmadığını görüyoruz. Bilinen tek çözüm yolu HTTPS bazlı güvenli bir ağ ya da VPN kullanımıdır.
Zombie Cookies
Zombiler adından da anlaşılabileceği gibi silinmesi sonucunda tekrardan ortaya çıkan http çerez türüdür. Normal çerez depolama alanı dışında saklandıklarından dolayı kolayca silinemezler. Yaşayan ölüler olarak adlandırılan bu tür çok farklı depolama alanlarını kullanabilir ve herhangi bir websitesi tarafından bulunduğu takdirde yeniden diriltilme denilen etkinliğini gösterip aktifleşebilir. Browserlar bu türe karşı son zamanlarda gizlilik ve temizleme paketleri geliştiriyor ve kullanıcılara sunmaya devam ediyor.
Cookie-less Bir Dünya için İlk Adımlar
Bir önceki başlıkta da gördüğümüz gibi bazı cookiler zararsızken bazıları tehlike teşkil edebiliyor. Ki bu tehlikeler zaman zaman bilgisayarınıza virüs bulaştırıp geri dönülmez zararlar vermeye kadar gidebiliyor. İşin içinde kimi zaman kimlik ya da kredi kartı bilgilerinin çalınması gibi son derece vahim sonuçlar bile olabiliyor ki hiçbir kullanıcı işin bu noktaya gelmesini istemez. Bazıları ise “zarar verme” kısmını bu kadar ciddi olmasa bile farklı boyutlarda yapabiliyor.
Online davranışlarınızı takip eden ve “zararlı” sayılabilecek türlerin de olabileceğini yazımızda konuşmuştuk. Tüketicinin çoğunlukla farkında olmadığı kısım ise bu tür bilgilerin yeterince depolandıktan sonra herhangi bir 3’rd Party şirkete satılması. Bu durum son dönemde oldukça konuşulan GDPR ve KVKK maddelerini ihlal eder nitelikte. Bu denli kritik bir durumun farkında olan browserlar da konu hakkındaki şikayetlere daha fazla kulak tıkayamayacağını kabul edip, harekete geçtiler ve bu yönde bazı adımlar atmaya karar verdiler. Dünyada %64 civarı kullanım oranına sahip olan Chrome’un yanı sıra Safari ve Firefox’un bu konudaki stratejisini yakinen takip etmek gerekiyor. Çünkü Safari, Mozilla ve Chrome’un total kullanıcılarına baktığımızda toplamdaki browserların %85’ini oluşturuyor.
Şubat 2020 itibariyle Google, Apple ve Firefox ; Cookie takibi ve gizlilik politikalarını güncelleme kararı aldı. İlk atılan somut adımlar olarak da Safari “Intelligent Tracking Protection” (ITP) ve Firefox “Enhanced Tracking Protection” (ETP) ile 3. Parti cookileri default şekilde engelleyeceklerini ve bu durumun en kısa sürede hayata geçeceğini açıkladı. Bu özellikler sadece 3’rd Party cookieler için değil aynı zamanda diğer çerezlerin bilgisayarınızda ne kadar süre barınabileceğine dair de zaman kısıtlaması getirdi. Hatta Safari, ITP2 ile beraber first-party’lerin ömrünü 7 günden 1 güne düşürecek kadar radikal adımlar attı.
İlk adımların ardından düzenli aralıklarla cookie korumalı stratejilerini geliştiren bu şirketlerin aksiyonlarına Google da daha fazla sessiz kalamadı. Geçtiğimiz senenin Ocak ayında Google Chrome, kademeli de olsa konuyla ilgili atacağı adımları açıkladı. 4 Şubat 2020’de “SameSite Update” duyurusuyla websitesi sahiplerinin bünyesinde bulundurdukları third-party çerezleri doğru şekilde etiketleme ve kullanıcılara bunu bildirme zorunluluğu getirdi.
Yakın gelecekte neler olacak?
Şu ana kadar konuştuğumuz gelişmelerle alakalı şunu belirtmekte fayda var: Atılan adımların pek çoğu Desktop odaklı ancak mobil tarafta da Cookie konusu önem arz ediyor. Mobil taraf desktop tarafına kıyasla bu konuda daha sınırlı role sahip çünkü desktop kadar etkin bir alana sahip değiller. Mobile Web tarafında Desktop’ta olduğu gibi çerezler var. Ancak kullanıcı browser ya da telefonu kapatırsa bu veriler otomatikman siliniyor. Uygulama tarafında ise her uygulama kullanıcı cookiesini kendi tutuyor ve başka uygulamayla paylaşamıyor.
Google, 2022 itibariyle kullanıcıların tarayıcı trafiğini izlemeyi bırakacağını ve 3’rd partylerin olmayacağını duyurdu. Yapılan açıklamada Chrome internet tarayıcısında bulunan mevcut web sayfası trafiğini izleme teknolojisinin kaldırılacağı ifade edildi. Kullanıcılar için olumlu ancak reklamverenler için olumsuz olan bu gelişmenin küçük çaptaki reklam firmalarının kapanmasına neden olabileceği konuşuluyor. Google’ın bu hamleyle Chrome’u reklamverme sürecinin merkezine koymayı amaçladığı da kulislerde dolaşan dedikodular arasında. Google, Federated Learning of Cohorts (FLoC) adı verilen makine öğrenimine dayalı sistem ile sizi web geçmişinizdeki ilgi alanlarına göre gruplara ayrılıp bu şekilde size reklam gösterimi yapabilecek. Şu anki sistemden farkı ne diye soracak olursanız FLoC ile sadece ilgi alanlarınıza göre reklam gösterimi alacaksınız, bir nevi Netflix gibi. Bildiğiniz gibi Netflix’te size ilgi alanlarınız ve izlediğiniz içeriklere göre öneriler yapıyor. FLoC’da tüm 3’rd Party veriler Chrome tarafından kontrol edilecek ve daha az kişisel veri içerecek. Yani insanların ırk,cinsiyet gibi özel verileri bu veri tabanında olmayacak ya da olsa bile buna göre hedefleme yapılmayacak.
Google ayrıca kanalların müşterileriyle birebir ilişkisini yürütmeye devam etmesi amacıyla 1’st Partylere dokunmayacağını da belirtti. Bu noktada son olarak markalara düşen sorumluluklara da değinmek gerekiyor. Öncelikle 1’st Party data olarak CRM verilerini içeren veri havuzları oluşturmak olmazsa olmaz. Havuzun kurulması da yetmiyor; bu verilerin yönetimi ve teknoloji sağlayıcılarıyla işbirlikleri geliştirilip yeni teknolojileri üzerine fikirler geliştirmek oldukça kritik bir konu. Markaların müşterilerin ayak izlerini takip etmesi (gerekli izinler dahilinde), bu izleri doğru şekilde kullanacak yapay zeka ve veri yönetimi teknolojileri geliştirilmesi yönünde araştırmalar yapmak gerekiyor. Google henüz 3’rd partileri yasaklamamışken işbirliği yapılan ve 3’rd party data kullanan platformlar ile süreci yakından değerlendirmek de önemli olabilir.
2022 yılına az bir süre kala hem browserler hem reklamverenler hem de reklam platformları bakımından sürecin nasıl gelişeceğini merakla bekliyoruz.
Bir sonraki yazıya dek hoşçakalın!
