Куки

Cookies (куки) — это небольшие текстовые файлы, которые сайт сохраняет в браузере посетителя для запоминания состояния между визитами: авторизация, корзина, язык интерфейса, предпочтения.

Что такое cookies в SEO-контексте — инструмент аналитики и персонализации, через который Google Analytics, Яндекс.Метрика и рекламные системы собирают данные о поведении пользователей.

С 2018 года европейский GDPR и аналогичные законы в России (152-ФЗ) и Беларуси (Закон «О защите персональных данных» от 7 мая 2021 года) требуют обязательного согласия посетителя на установку cookies для аналитики и рекламы — отсюда повсеместные cookie-баннеры в верхней или нижней части сайтов. По типу хранения куки делятся на сессионные (живут до закрытия браузера), постоянные (с фиксированным сроком жизни), first-party (от самого сайта) и third-party (от внешних доменов, преимущественно рекламных сетей).

Google неоднократно объявлял о планах поэтапного отказа от third-party cookies в Chrome — первоначально к 2022 году, затем сроки переносились; в апреле 2024 года Google пересмотрел подход в сторону опционального отключения через настройки пользователя.

Что такое cookies

Cookies — небольшие пары ключ-значение, которые веб-сервер передаёт браузеру при ответе на HTTP-запрос. Браузер сохраняет эти данные локально и при каждом следующем запросе к тому же домену автоматически отправляет cookies обратно на сервер. Это позволяет сайту «узнавать» постоянного посетителя и сохранять состояние между визитами.

Технически cookie — это запись вида:

session_id=abc123def456; Expires=Wed, 09 Jun 2027 10:18:14 GMT; Path=/; Secure; HttpOnly

В этой строке session_id — имя cookie, abc123def456 — значение, остальное — атрибуты (срок жизни, область применения, ограничения доступа). Сервер задаёт cookies через заголовок HTTP Set-Cookie, браузер хранит их в локальном хранилище и подмешивает в каждый последующий запрос через заголовок Cookie.

Без cookies невозможна работа большинства интерактивных функций сайта: вход в личный кабинет, корзина в интернет-магазине, запоминание выбранного языка, отслеживание пути пользователя по страницам. HTTP-протокол сам по себе stateless — он не помнит, кто и когда обращался к серверу, и cookies решают эту проблему.

Откуда взялось название

Термин HTTP cookie придумал американский программист Лу Монтулли в июне 1994 года во время разработки браузера Netscape Navigator. Название отсылает к концепции magic cookie из ранних UNIX-систем — небольшого пакета данных, который программа передавала другой программе без изменений для последующего возврата.

В русскоязычной среде слово прижилось в двух вариантах: «куки» (более частый, прижился в обиходе) и «куки-файлы» (формальный, в юридических документах). Множественное число cookies в русском часто остаётся без склонения: «настройки куки», «согласие на куки», «удалить куки».

Изначально cookies задумывались для базовых сценариев: запомнить корзину, сохранить настройки, удержать пользователя в сессии. Использование для отслеживания поведения через рекламные сети началось во второй половине 1990-х и привело к развитию приватных режимов в браузерах и затем к законодательному регулированию через GDPR.

Виды cookies

На типичном коммерческом сайте используется 5–30 cookies одновременно: 2–4 сессионных от самого сайта (корзина, авторизация), 1–2 от Google Analytics (_ga, _gid), 1–3 от Яндекс.Метрики (_ym_uid, _ym_d, _ym_isad), несколько от рекламных сетей (Google Ads, Facebook Pixel, Яндекс.Директ), от виджетов чата (Jivo, Tidio), от платёжных систем при оформлении заказа. First-party cookies от самого домена составляют 3–6 штук, остальные — third-party от рекламной и аналитической инфраструктуры.

Cookies и SEO

Прямого влияния на ранжирование cookies не оказывают — поисковые роботы Googlebot и YandexBot при сканировании не принимают и не отправляют cookies. Косвенные эффекты в SEO:

1. Аналитика поведения. Через cookies Google Analytics и Яндекс.Метрика определяют уникальных посетителей, сессии, источники трафика, конверсии. Без cookies аналитика работает в режиме «без идентификации пользователя» и теряет точность.
2. Персонализация контента. Если сайт показывает разный контент посетителям на основе cookies (по согласию или истории посещений), важно не нарушить клоакинг — Googlebot должен видеть тот же базовый контент, что и анонимный пользователь.
3. Скорость загрузки. Cookies-баннеры с тяжёлыми скриптами замедляют LCP и FCP — два из главных показателей Core Web Vitals.
4. Поведенческие сигналы. Сложные cookie-баннеры, перекрывающие контент, вызывают отказы — пользователи закрывают страницу, не дочитав до основного материала.
5. Безопасность сессий. Cookie без атрибутов Secure и HttpOnly уязвимы к XSS-атакам и краже сессий. Утечки приводят к взломам сайта и последующим SEO-проблемам.

Cookies-баннер на сайте — обязательный элемент с точки зрения GDPR и российского/белорусского законодательства, но при неправильной реализации он сам становится SEO-проблемой. Главное правило: баннер должен закрываться одним кликом, не мешать пользователю читать контент с первой секунды, не блокировать индексацию страницы.

Cookies, GDPR и согласие пользователя

GDPR (General Data Protection Regulation) — европейский регламент по защите персональных данных, действующий с 25 мая 2018 года. Распространяется на любой сайт, который собирает данные граждан ЕС, независимо от того, где физически находится владелец сайта. Для cookies GDPR требует:

• Информирование. Посетитель должен знать, какие cookies используются и для каких целей.
• Согласие. Установка cookies сверх строго необходимых требует активного согласия пользователя.
• Возможность отказа. Отказ должен быть таким же простым, как согласие — нельзя прятать кнопку «отклонить».
• Документирование. Сайт обязан хранить записи о полученных согласиях с указанием времени, версии баннера, выбранных категорий.

В Беларуси действует Закон от 7 мая 2021 года № 99-З «О защите персональных данных» с аналогичными требованиями. Уполномоченный орган — Национальный центр защиты персональных данных. Штрафы за нарушения — от 5 базовых величин для физических лиц до 200 базовых величин для юридических.

В России регулирует Федеральный закон № 152-ФЗ «О персональных данных» (с поправками 2022 года, требующими локализации данных российских пользователей на серверах в РФ). Cookies-баннер с возможностью отказа — формальное требование для коммерческих сайтов с российской аудиторией.

Cookie banner — как правильно реализовать

Корректный cookie-баннер содержит:

1. Краткое объяснение. 1–2 предложения: какие данные собирает сайт и для чего.
2. Кнопки выбора. «Принять все», «Отклонить все», «Настроить» — три равноправных опции.
3. Категории cookies. Разделение на необходимые, аналитические, маркетинговые с возможностью включить/отключить каждую группу.
4. Ссылка на политику. Развёрнутый документ с описанием всех cookies и сроков их хранения.
5. Возможность вернуться к настройкам. Кнопка «Управление cookies» в подвале сайта для последующего изменения выбора.

Технические решения для баннера:

• Cookiebot. Платный сервис с автоматическим сканированием cookies на сайте, многоязычными баннерами, согласованием с GDPR/CCPA. От 7 EUR/мес.
• OneTrust. Корпоративное решение, лидер европейского рынка. От 500 EUR/мес.
• Termly. Бесплатный план для малого бизнеса.
• Cookie Notice & Compliance for GDPR (плагин WordPress). Бесплатный плагин, базовая функциональность.
• Cookie Consent (Insites). Open-source библиотека для самостоятельной интеграции.
• Самописная реализация. 200–800 BYN на разработку в Беларуси, при наличии готового дизайна баннера.

Антипаттерны cookie-баннеров: полное перекрытие экрана без возможности закрытия, кнопка «отклонить» в три раза мельче кнопки «принять», скрытая кнопка отказа в выпадающем меню «настройки», автоматическое согласие после нажатия на любую часть страницы (так называемая «подразумеваемое согласие»).

Будущее без third-party cookies

Третьесторонние cookies — главный инструмент рекламного отслеживания между сайтами — постепенно теряют поддержку браузеров:

• Safari. Блокирует third-party cookies по умолчанию с 2017 года через Intelligent Tracking Prevention.
• Firefox. Блокирует с 2019 года через Enhanced Tracking Protection.
• Brave. Блокирует с момента запуска (2016).
• Chrome. Google неоднократно переносил сроки отказа от third-party cookies. В апреле 2024 года было объявлено о пересмотре подхода — вместо полного отключения дать пользователям возможность выбора через настройки.

Альтернативы third-party cookies для рекламной индустрии:

• Google Privacy Sandbox. Набор технологий для рекламы без отслеживания на уровне пользователя — Topics API, Protected Audience API, Attribution Reporting.
• First-party data. Сбор данных через регистрацию на сайте, рассылки, программы лояльности.
• Контекстный таргетинг. Реклама на основе контента страницы, а не профиля пользователя.
• Server-side tracking. Перенос отслеживания с клиента на сервер — обходит ограничения браузера.
• Universal IDs. Единые идентификаторы пользователей на основе хэшей email — ID5, Unified ID 2.0.

Для SEO будущее без third-party cookies означает усиление роли first-party данных: подписки, регистрации, прямой трафик из поиска и закладок. Сайты, которые умеют собирать данные напрямую через ценность для пользователя, получают конкурентное преимущество.

Часто задаваемые вопросы

Влияют ли cookies на ранжирование в Google?

Прямо — нет. Googlebot не принимает cookies при сканировании. Косвенно влияют через скорость загрузки (тяжёлые cookies-баннеры замедляют LCP) и поведенческие сигналы (агрессивные баннеры повышают отказы). Корректно реализованный cookie-banner с быстрой загрузкой и понятной кнопкой согласия SEO не вредит.

Можно ли не показывать cookies-баннер белорусским посетителям?

Технически — да, но юридически Беларусь с 2021 года имеет собственный закон о защите персональных данных, аналогичный GDPR. Для коммерческого сайта с белорусской аудиторией баннер с согласием на аналитические и маркетинговые cookies — формальное требование. Штрафы за нарушения относительно невысокие, но репутационный риск и блокировка по жалобе пользователей могут быть существенными.

Как Googlebot работает без cookies?

Googlebot сканирует сайт как анонимный пользователь без сессии. Каждая страница должна быть доступна без авторизации и без cookies. Контент, доступный только после установки cookie (например, после клика «согласен»), Googlebot не увидит. Поэтому критично, чтобы основной контент страницы был доступен сразу — баннер согласия не должен блокировать показ материала.

Что такое HttpOnly и Secure cookies?

HttpOnly — атрибут, который запрещает доступ к cookie через JavaScript на странице. Защищает от XSS-атак, при которых злоумышленник пытается украсть сессионный токен через внедрённый скрипт. Secure — атрибут, который заставляет браузер передавать cookie только по HTTPS. Без Secure cookie передаётся в открытом виде по HTTP и может быть перехвачена в общественной Wi-Fi-сети.

Сколько хранятся cookies?

Зависит от атрибута Expires или Max-Age. Сессионные cookies удаляются при закрытии браузера. Постоянные могут жить до 400 дней (с 2022 года Chrome ограничил максимальный срок) или до явного удаления пользователем. Аналитические cookies Google Analytics обычно живут 2 года, Яндекс.Метрики — год, рекламные cookies — 30–180 дней.

Можно ли удалить cookies с компьютера?

Да. В любом современном браузере: Настройки → Конфиденциальность → Очистить данные → выбрать «Файлы cookie и другие данные сайтов». После удаления все авторизации сбрасываются, корзины интернет-магазинов очищаются, аналитические системы перестают опознавать пользователя как возвращающегося. Браузеры также предлагают режим инкогнито — в нём cookies удаляются сразу после закрытия окна.

Что такое supercookies?

Supercookies — общее название для технологий отслеживания, которые работают на уровне ниже браузерных cookies и не удаляются стандартной очисткой кэша. Примеры: ETag, IP-адрес, отпечаток браузера (fingerprint), LocalStorage. Современные браузеры борются с supercookies через блокировку отпечатков пальцев (Firefox Fingerprinting Protection, Safari Privacy Report), но полностью исключить отслеживание этими способами пока не получается.