V prostredí digitálneho sveta, kde sa každý klik, pohyb kurzora a otvorená stránka môže stať predmetom analýzy, sú otázky ochrany súkromia čoraz naliehavejšie. Kým bežní používatelia poznajú pojmy ako „cookies“ a vedia ich v nastaveniach prehliadača jednoducho vymazať, len málokto si uvedomuje existenciu takzvaných supercookies – vysoko perzistentných (odolných) identifikátorov, ktoré sa nedajú odstrániť bežnými spôsobmi a predstavujú vážnu hrozbu pre online súkromie.

Supercookies, známe aj ako „perzistentné identifikátory“ alebo „nevymazateľné cookies“, sú špeciálne typy sledovacích mechanizmov, ktoré umožňujú webovým stránkam a poskytovateľom internetových služieb (ISP) sledovať aktivitu používateľa aj po tom, čo si vymaže bežné cookies, resetuje prehliadač alebo dokonca zmení niektoré nastavenia ochrany osobných údajov. Na rozdiel od tradičných cookies, ktoré sú uložené v prehliadači používateľa a môžu byť vymazané kliknutím v nastaveniach, supercookies sú často zabudované na úrovni internetového protokolu alebo v rámci technológií ako Flash, ETags či HTML5 Local Storage.

Jedným z najznámejších prípadov, keď sa existencia supercookies dostala do pozornosti verejnosti, bol incident z roku 2014, keď sa ukázalo, že americký telekomunikačný gigant Verizon vkladá do HTTP požiadaviek svojich používateľov jedinečné identifikátory (tzv. UIDH – Unique Identifier Header), ktoré umožňovali sledovanie ich online aktivít aj tretími stranami, vrátane reklamných sietí. Aj keď používateľ nepovolil ukladanie cookies alebo vymazal históriu prehliadača, tento identifikátor bol stále aktívny. Tento spôsob sledovania bol označený za zásadné porušenie ochrany súkromia a podnietil tlak regulačných orgánov vrátane americkej Federal Communications Commission (FCC), ktorá v roku 2016 udelila Verizonu pokutu vo výške 1,35 milióna dolárov.

Z technického hľadiska sú supercookies extrémne odolné. Niektoré z nich využívajú tzv. ETagy – súčasť HTTP protokolu, ktorá slúži na optimalizáciu ukladania do cache (dočasnej pamäte). Webové servery môžu zneužívať ETagy na vytváranie jedinečných identifikátorov pre každého návštevníka. Iné supercookies sú ukryté v Local Storage alebo IndexedDB – moderných technológiách HTML5, ktoré umožňujú webovým aplikáciám uchovávať väčšie množstvo údajov priamo v prehliadači. Dokonca aj Flash cookies (známe ako Local Shared Objects), ktoré sa už takme nepoužívajú,  sa v minulosti využívali na opätovné vytvorenie už vymazaných cookies – ide o techniku známu ako „respawning“.

Hrozba, ktorú supercookies predstavujú, nie je len teoretická. Ich hlavné riziko spočíva v tom, že umožňujú vytváranie extrémne detailných profilov používateľov bez ich vedomia alebo súhlasu. Tieto profily môžu obsahovať informácie o tom, ktoré stránky navštevujete, ako dlho na nich zotrváte, na čo klikáte alebo aké produkty vyhľadávate. Tieto dáta sú následne cenným tovarom pre reklamné siete a marketingové spoločnosti, ktoré ich môžu zneužiť na cielenú reklamu, ale aj na manipuláciu správania používateľov, cenovú diskrimináciu či dokonca politickú propagandu.

Ako sa teda brániť proti supercookies? V prvom rade je potrebné si uvedomiť, že tradičné nástroje ako vymazanie histórie prehliadača či cookies nestačia. Používateľ by mal siahnuť po pokročilejších opatreniach. Jedným z riešení je používanie anonymizačných nástrojov, ako je prehliadač Tor alebo siete VPN, ktoré šifrujú internetový prenos a sťažujú identifikáciu používateľa. Vhodné je tiež pravidelne čistiť Local Storage a IndexedDB (pri HTML5 dva hlavné mechanizmy na ukladanie dát na strane užívateľa priamo v prehliadači) a zakázať Flash v prehliadači (Adobe Flash Player bol oficiálne ukončený a je nepodporovaný od 31. decembra 2020. Od 12. januára 2021 spoločnosť Adobe zablokovala spúšťanie Flash obsahu vo Flash Playeri, čím sa stal prakticky nepoužiteľným v moderných prehliadačoch). Niektoré bezpečnostne orientované prehliadače, ako napríklad Brave, ponúkajú vstavané mechanizmy na blokovanie sledovacích technológií vrátane supercookies. Firefox od Mozilly zas zaviedol funkciu „Total Cookie Protection“, ktorá izoluje cookies podľa domén, čím sa zabraňuje ich zneužitiu naprieč stránkami.

Dôležitú úlohu zohráva aj legislatíva. V Európskej únii sú takéto praktiky priamo v rozpore s nariadením GDPR, ktoré vyžaduje informovaný súhlas používateľa pred akýmkoľvek zberom osobných údajov. Problémom však ostáva detekcia a dokazovanie takéhoto sledovania, pretože supercookies sú často ukryté hlboko v technickej infraštruktúre a bežný používateľ ich nemá šancu odhaliť.

Supercookies sú jedným z najzákernejších nástrojov online sledovania, predstavujú systémové ohrozenie súkromia, pretože fungujú bez vedomia a súhlasu používateľov a ich eliminácia si vyžaduje technické znalosti, ktoré presahujú bežné používateľské zručnosti.