İnternetin en büyük rahatsızlığı: Çerez yasaları web sitelerini değil tarayıcıları hedeflemeli

 (nednex.com/en)
9 puan yazan GN⁺ 2025-10-23 | 2 yorum | WhatsApp'ta paylaş
  • Her web sitesinde tekrarlanan çerez bannerı onay süreci kullanıcı yorgunluğuna yol açıyor ve gerçekte gizliliği koruyamayan başarısız bir düzen olarak değerlendiriliyor
  • Mevcut yapı, her web sitesinin onay sürecini ayrı ayrı uygulamasını gerektirdiği için küçük ölçekli site işletmecilerine aşırı yük bindiriyor
  • Yazar, çözüm olarak çerez onayını tarayıcı ayarları aşamasında toplu olarak yönetme yöntemini öneriyor
  • Kullanıcılar tek bir ayarla veri kullanım kapsamını bütüncül biçimde kontrol edebiliyor ve tarayıcı bunu tüm sitelere uyguluyor
  • Bu yöntem, kullanıcı deneyimini iyileştirme, düzenleyici verimliliği artırma ve geliştirici yükünü azaltma olmak üzere üç açıdan daha makul bir çözüm olarak sunuluyor

Çerez bannerlarının başarısız gerçeği

  • GDPR ve CCPA gibi gizlilik yasaları iyi niyetle oluşturulmuş olsa da, uygulanma biçimleri verimsiz
    • Sayısız web sitesinin ayrı ayrı “Accept All” ya da “Manage Preferences” gibi açılır pencereler göstermesi gereken bir yapı söz konusu
    • Kullanıcıların çoğu, yorgunluk nedeniyle düşünmeden “tümünü kabul et”e tıklıyor
  • Bu yaklaşım, kullanıcının gerçek seçim hakkını anlamsızlaştırıyor ve internet deneyimini daha rahatsız edici hale getiriyor
  • Yazar, sorunun özünün ‘neyin korunacağı’ değil, ‘nerede yönetileceği’ olduğunu vurguluyor

Mevcut yapının sorunları

  • 1) Onay yorgunluğu (Consent Fatigue): Tekrarlanan onay talepleri nedeniyle kullanıcı duyarsızlaşıyor ve gerçek anlamda ‘gönüllü onay’ verilmiyor
  • 2) Küçük işletmeciler için dezavantaj: Büyük şirketler hukuk ekipleri ve CMP (Consent Management Platform) ile yanıt verebilirken, bireysel blog yazarları ve küçük-orta ölçekli işletmeler hukuki ve teknik yükü üstlenmek zorunda kalıyor
  • 3) Kontrol eksikliği: “Accept All” dışında seçenek sunulsa bile, karmaşık hukuki terimler ve uzun menü yapıları pratikte kullanıcının seçimini kısıtlıyor

Yeni öneri: tarayıcı merkezli onay yönetimi

  • Kullanıcı, tarayıcının ilk kurulumunda yalnızca bir kez veri kullanımı tercihlerini seçiyor
    • Essential Only: Yalnızca zorunlu çerezlere izin ver
    • Performance & Analytics: Anonim veriye dayalı performans analizine izin ver
    • Personalized Experience: Kişiselleştirilmiş içerik ve reklamlara izin ver
    • Custom: Ayrıntılı öğeleri tek tek ayarla
  • Tarayıcı, kullanıcının seçimine göre site bazında çerezleri otomatik olarak izinliyor ya da engelliyor
    • Amacı net olmayan çerezler tarayıcı tarafından otomatik olarak engelleniyor
  • Hukuki düzenlemenin odağı milyonlarca web sitesi → birkaç büyük tarayıcı geliştiricisi şeklinde kaydırılarak gerçekçi denetim mümkün hale geliyor

Beklenen değişimler

  • Kullanıcı için: Tek ayarla daha sade ve hızlı bir internet deneyimi, ayrıca veri üzerinde gerçek kontrol
  • Web sitesi işletmecileri için: Çerez bannerı ve CMP yönetim yükünün kalkmasıyla web performansında iyileşme ve geliştirme verimliliğinde artış
  • Düzenleyici kurumlar için: Sayısız site yerine yalnızca tarayıcı geliştiricilerini denetlemenin yeterli olduğu sadeleştirilmiş yapı sayesinde yasa uygulamasında daha yüksek verim

Karmaşık sistemden basit standarda

  • Bugünün interneti, her sitenin kendi CMP’sini ekleyip kullandığı karmaşık bir ekosistemin içinde sıkışmış durumda
    • Sayısız araç, reklam ağı ve analiz hizmeti birbiriyle etkileşerek tekrarlanan çaba ve kafa karışıklığı yaratıyor
  • Tarayıcı tabanlı yaklaşım bunu tek bir ortak standarda dönüştürüyor
    • Kullanıcı seçimi → tarayıcı → tüm sitelerde aynı biçimde uygulanır
  • Yazar, bu fikrin yeni bir sistem kurmak değil, tam tersine gereksiz yere karmaşıklaşmış mevcut yapıyı sökmek anlamına geldiğini özellikle belirtiyor

İlgili okumalar

2 yorum

 
shakespeares 2025-10-24

Tarayıcıda önceden işlenebilse gerçekten oldukça kullanışlı olurdu.
 
GN⁺ 2025-10-23
Hacker News görüşü

  • Bu sorunun özünün yasanın kendisi değil, takibi bırakmak istemeyen web sitelerinin kasıtlı olarak yasayı eziyet verici biçimde uygulaması olduğunu söylemek istiyorum
    “Yasal olana onay ver” menüsünde 5 dakika kaybolmanın arzu edilen alternatif değil, “tümünü reddet” seçeneğinin asıl niyet olduğunu vurguluyor
    Son zamanlarda mahkemeler bunu aktif biçimde uyguluyor, bu yüzden “tümünü reddet” düğmesi giderek ortadan kayboluyor
    Nihai olarak en iyi sonuç, web sitelerinin Do-Not-Track başlığını uygulaması ve hiç takip ya da banner gösterimi olmayan bir web ortamı olur
    İlgili bağlantı

    • Sorunun %100 kötü yazılmış bir yasadan kaynaklandığını ve bu yüzden böyle kötü niyetli uyumun mümkün olduğunu düşünüyorum
      İyi bir sonuç isteniyorsa, yasanın kendisi suistimal edilemeyecek şekilde düzgün yazılmalı
      Web siteleri öngörülebilir biçimde kârı maksimize etmeye çalışır; fikir, daha iyi yasa yazmaktır

    • Yasanın, yönergelerin ve niyetin açık olduğunu düşünüyorum
      Aslında geriye kalan en büyük sorun, az sayıdaki “dev şirketin” tarayıcıları kontrol etmesi
      Apple ya da Google da takibi opt-in yapısına dönüştürmeye istekli değil
      Tarayıcı ekosistemindeki büyük oyuncuların etkisi azaltılmalı ve DMA gibi politikalar daha da genişletilerek tekelci hakimiyete karşı geri tepme önlenmeli; gelecekte ancak böyle iyileşme olabilir
      ABD tarzı dava kültürü ile Avrupa’daki kültürel farkların da bu sorunda payı olduğunu düşünüyorum
      Eğer sadece bir Google Font yüklemek bile verilerin yüzlerce “partnere” açılması anlamına gelmeseydi, bu onay açılır pencerelerinin çoğuna gerek kalmazdı

    • Karşı argüman: her web sitesinin çerez onayı sorması da başlı başına eziyet
      Yasal uyumun kendisi kullanıcı deneyimini bozuyor ve internet kullanımını daha yorucu hale getiriyor
      Sonuçta bu yasaları yapanların gerçek kullanıcı deneyimi ya da mahremiyetten çok şirketlerin bakış açısına yakın olduğu anlaşılıyor

    • Varsayılan olarak takip eden yapı başlı başına kabul edilemez
      Do-Not-Track isteği mutlaka yasal olarak zorunlu olmalı ve küresel cironun belli bir yüzdesi oranında ceza kesilmeli diye düşünüyorum

    • Sorumluluğun tek tek web sitesi sahiplerinden çok reklam sağlayıcılarda olduğunu düşünüyorum
      Reklam şirketleri, reklam sunabilmek için reklam takibi onay yöneticisi kullanılmasını zorunlu kılıyor
      Kendi onay formumu yapmaya çalıştım ama TCF fazla karmaşık; reklam şirketinin sunduğu onay banner’ı dışındaki çözümler ise neredeyse hiç desteklenmiyor
      Sonuçta sunucu masrafını reklam gelirinin karşıladığı bir düzende, böyle karmaşık sistemleri hobi olarak site işleten birinin kaldırması zor
      Kullanıcı mahremiyetine daha çok saygı duyan basit bir seçenek olsa iyi olurdu; ideal olanın, tarayıcıyı hedef alan kolay bir kontrol yapısı olduğunu düşünüyorum

  • Bu tür veri toplamanın tamamen yasaklanması gerektiğini düşünüyorum
    “Verilerinizi 500 partner web sitesiyle paylaşmamıza izin veriyor musunuz?” sorusuna gerçekten onay verecek biri var mı emin değilim

    • Şirketlerin verileri spamcilere devretmesini “partnerlerle paylaşım” diye adlandırmasının yasaklanması gerektiğini düşünüyorum
      “Partner” kelimesinde güven ve eşitlik çağrışımı var, ama gerçekte hiç öyle değil
      Eğer bu veri satışıysa, bunun metinde açıkça böyle belirtilmesi yasal zorunluluk olmalı; spam sızıntısı riski de somut biçimde anlatılmalı
      “Verilerinizin herhangi bir şirkete satılmasına izin veriyor musunuz? Gelecekte spam ya da suç faaliyetlerinde kullanılma riskini kabul ediyor musunuz? Evet/Hayır” diye sorulmalı bence

    • Hedefli reklamların normal reklamlardan 3 kat daha fazla gelir getirdiğini duydum
      Kişisel olarak, verilerim takip edilse bile reklam miktarı 1/3’e düşecekse buna razı olurum diye düşünüyorum
      Klavye, erkek giyimi gibi ilginç reklamlar görmek ve işe yaramayan şeylerle karşılaşmamak fena olmaz

    • Reklam ve gözetim meselesinde mantık hep benzer
      Kimse reklam almak istemez ama güçlü lobi grupları ekonomik darbe ve GDP düşüşü argümanıyla reklamın kaldırılmasına karşı çıkar
      Gözetimde de durum benzer; “daha fazla güvenlik” söylemi siyasette işe yarıyor

    • Web sitesi, konu vb. bağlamın bile yeterince ilgili reklam göstermek için yeterli olduğunu düşünüyorum
      Örneğin bir hackerspace sitesinde Raspberry Pi reklamı, rock müzik sitesinde plak ya da gitar tab reklamı gösterilebilir

    • Birçok kullanıcı reklam-gözetim temelli içerik erişimini istediği için onay veriyor; çok basit bir sebep bu

  • Yaş doğrulama meselesi de aynı
    DNT başlığı bir zamanlar önerildi ama aşırı derecede basitti ve fiilen benimsenemedi ilgili belge
    Sektör, kullanıcı onay oranını maksimize etmek için bu kadar karmaşık bir yapıyı koruyor
    Tarayıcı merkezli yaklaşım teknik olarak da kullanıcı açısından da en iyisi olurdu, ama reklam ve veri toplama sektörü tarayıcı tabanlı kontrolü kökten engellemek için güçlü bir teşvike sahip
    Sonuçta web’in çoğunu bunlar kontrol ederken, tarayıcı tabanlı çözümün hayata geçmesi zor görünüyor

    • DNT özelliği aslında tarayıcılarda vardı ama siteler bunu görmezden geldi
      Chrome yardımına göre DNT isteği gönderilebiliyor, ancak çoğu web sitesi “güvenliği artırmak”, “içerik, hizmet ve reklam sunmak”, “istatistik raporlama” gerekçeleriyle yine de veri topluyor
      Google dahil neredeyse hiçbir web hizmeti DNT isteğine yanıt vermiyor; tarayıcı tarafında gerçekten kullanılabilir tek şey de tarayıcı kapanınca tüm çerezleri silmek gibi görünüyor
      İlgili belge

    • Yaş doğrulama ve mahremiyet onayı en iyi tarayıcı tarafında işlendiğinde çalışır
      P3P örneğinde olduğu gibi, tarayıcı/OS tabanlı kontrol gerçek izleme endüstrisine ağır darbe vurabilir; bu yüzden büyük şirketler böyle çözümler büyümesin diye bilerek görmezden geliyor ya da engelliyor olabilir
      Sonuç olarak tek tek site sahipleri yine aşırı karmaşık düzenlemelerle baş başa kalıyor

    • Esprili ama doğru olan şu ki, DNT başlığı düzgün işlense onay ekranına hiç gerek kalmaz
      Onay gerektiren özelliği baştan kullanmazsın, mesele biter

    • Tarayıcıların artık kamusal altyapı haline gelmesi gerektiğini düşünüyorum
      Özel mülkiyette kalmasının kayda değer bir faydası yoksa, kamusal bir mal olarak kabul edilmesi daha doğru olur

  • “Tarayıcı mahremiyet uygulayıcısı rolünü üstlensin ve kullanıcı tarayıcıda bir kez seçim yaptıktan sonra tüm web siteleri bunu otomatik uygulasın” görüşüne karşı
    tarayıcının sonuçta kullanıcının kurduğu bir yazılım olduğunu hatırlatarak, devlet müdahalesinin ne kadar uygun olduğunu sorguluyor
    Bu mantıkla gidersek, web sitelerinin her çerez amacını metadata ile belirtmesini zorunlu kılan ek düzenleme gerekir; sonuçta bu da yine site yöneticilerine ek yük getirir
    Zaten gizli mod, multi-account containers gibi tarayıcı özelliklerinin mevcut olduğu da belirtiliyor
    İlgili bağlantı

    • Devlet müdahalesinin neden yanlış olacağını soruyor
      Web sitesi kodunu düzenlemekle tarayıcı kodunu düzenlemek arasında pratikte anlamlı bir fark olup olmadığını soruyor

    • En çok kullanılan tarayıcı sağlayıcısının aynı zamanda bir reklam şirketi olması nedeniyle burada açık bir çıkar çatışması olduğunu düşünüyorum

  • Tarayıcının bu sorunu çözmemesi gerektiğini düşünüyorum
    Çerez banner’ları pratikte takip çerezlerine onay meselesiyle bilinse de, aslında teknik olarak zorunlu olmayan her türlü üçüncü taraf müdahalesi için onay gerektiren bir yapı söz konusu
    Tarayıcı hangi 3rd party unsurun gerçekten teknik olarak gerekli olduğunu bilemez; sonuçta bunu tek tek sitelerin bildirmesi gerekir
    Site sağlayıcısı ile üçüncü tarafın sorumlulukları iç içe geçtiği için sorun daha da karmaşıklaşıyor

    • Web siteleri DNT başlığını yasal olarak uygulamak zorunda olsa sorun hemen çözülür diye düşünüyorum
      Basit sorunlara basit çözümler gerekir

    • Web tarayıcısının, bir sitedeki öğelerin hangi amaçla yerleştirildiğini (teknik olarak zorunlu mu, takip için mi) bilmesinin bir yolu yok
      Bunu doğrulayabilecek bilgi yalnızca web sitesi işletmecisinde var
      Çerez yasası yalnızca çerezleri değil, piksel gif’leri, JS fingerprinting’i ve diğer kişisel tanımlayıcı takip araçlarını da kapsıyor

    • Çerezler için yasal olarak “third-party” ve “strictly necessary” etiketleri zorunlu hale getirilse, yanlış etiketleme bugün GDPR ihlalinde olduğu gibi cezalandırılabilir
      Tarayıcı da bu etiketlere bakıp kullanıcının tercihine göre site bazında takibi açıp kapatabilir
      URL çubuğunda HTTP/HTTPS kilidi gibi bir durum göstergesi konularak, siteden siteye onay değiştirilen kişiselleştirilmiş bir politika da mümkün olabilir
      Küçük site sahipleri için bile, kullandıkları reklam ağı ya da analiz araçlarının hangi çerezleri nasıl kullandığını bilmek ve doğru etiketlemek önemli

  • Çerez onay açılır pencereleri rahatsız edici çalıştığında ben genelde sekmeyi kapatıp geçiyorum
    Çerez uyarılarıyla düşük kaliteli içerik arasında neredeyse doğrusal ilişki olduğunu fark ettim; bu yüzden hatta zaman kazandırıyor

    • Peki o zaman uçak bileti rezervasyonu ya da önemli işler nasıl halloluyor diye soruyor
      Doktor sitelerinde bile çerez banner’ı çıkan bir gerçeklik var
      Böyle yerlerden de vazgeçip vazgeçmeyeceğini soruyor

  • Global Privacy Control (GPC)’nin bu sorunu zaten çözmeye başladığını düşünüyorum; Firefox’ta da Do Not Track yerine şimdiden uygulanıyor
    Artık geriye sadece web sitelerinin buna uymasını yasal zorunluluk haline getirmek kalıyor
    GPC bağlantısı
    Firefox resmi açıklaması

    • DNT zaten AB’de hukuki etkiye sahipti; sadece adı değişmiş GPC ile çözülen temel bir fark yok gibi görünüyor
      ABD’de bazı eyalet yasalarında, tarayıcının varsayılan ayarla sinyal göndermesi durumunda bunun “geçerli sinyal” sayılmaması şeklinde ifadeler var; yasal yükümlülükler güçlenirse GPC de aynı şekilde etkisizleştirilebilir diye düşünüyorum
      Sonuçta yasanın tracker’ların lehine yazılmış olduğunu vurguluyor

    • Firefox’un yasal zorunluluk gelmeden önce teknik olarak GPC’yi uygulamaya almasına katılıyorum

  • Şirketler takibi bıraksa bu onay pencerelerinin hiçbirine gerek kalmaz diye düşünüyorum

    • Önce AB’nin öncülük etmesi gerektiğini düşünüyorum
      Resmî AB Komisyonu sitesinde bile çerez banner’ı var; bu da AB’nin ya web sitelerindeki tracker’ları kaldırması ya da yasanın pratikte fazla zor olduğunu kabul etmesi gerektiğini gösteriyor
      Yapılacak çok iş var
      AB Komisyonu sitesi örneği

    • Ama şirketler her zaman kâra göre hareket eder
      Kullanıcıların beklentisinin aksine, takip konusunda da istisnasız biçimde önce kârı koyarlar

    • Gerçekçi olmak gerekirse şirketler bunu gönüllü olarak bırakmaz; “çerez” yasaklansa onun yerine tarayıcı fingerprinting gibi başka takip yöntemlerine geçerler

    • Tüm bu takibi doğrudan yasadışı ilan etmek daha köklü çözüm olabilir diye düşünüyorum
      Sonuçta buna gönüllü olarak onay verecek kullanıcı sayısı çok az olurdu

    • Yasalaştırmadaki sorun, “takip” tanımının belirsiz olması; bu yüzden site sahipleri yasa ihlalinden kaçınmak için mecburen onay ekranı koyuyor

  • California, 2027’den itibaren tarayıcılarda opt-out ayarı zorunluluğu getiren bir yasayı yürürlüğe koydu; şu anda California, Connecticut ve Colorado gibi eyaletler de tarayıcılar/uzantılar üzerinden gelen opt-out taleplerine saygı gösterilmesini şart koşuyor
    New Jersey de aynı durumda
    California ile ilgili yasa
    Connecticut & Colorado resmî duyurusu
    New Jersey veri mahremiyeti SSS

  • Bu yasaların gerçekten başlangıçta hedeflenen etkiyi üretip üretmediğinden emin değilim
    Üretmiyorsa neden yürürlükte kalıyorlar; neden tüm yasalar meşruiyetini sürekli kanıtlamazsa otomatik olarak yürürlükten kalkmıyor, bunu merak ediyorum

    • Ben de benzer şekilde merak etmiştim; kişisel olarak bu yasaların hayatımı ve interneti biraz daha zahmetli hale getirdiğini hissettim ama ciddi bir olumlu etkisini pek görmedim

    • “Hedefe ulaşıyor” derken ölçütün ne olduğunu soruyor
      “Çerezleri reddedince site gerçekten takibi durduruyor mu?” → bazıları durduruyor, bazıları durdurmuyor
      Yine de amacın kendisinin hâlâ geçerli olduğunu düşünüyor

    • GDPR’nin etkili olup olmadığı sorulursa, evet diyebilirim
      Onu tamamen görmezden gelenler yalnızca güvenilmez şirketler; kötü niyetle uyan şirketlerin de itibarı giderek bozuluyor ve değişmeye başlıyor
      Kullanıcı verilerinin korunmadığı dönemlerin sona erdiğine inanıyorum