Eväste

Wikipedia
Loikkaa: valikkoon, hakuun

Eväste (joskus myös keksi, engl. cookie) on dataa, jonka web-palvelin tallentaa käyttäjän tietokoneelle. Selain lähettää evästeet vain kyseiselle palvelimelle.

Evästeellä tarkoitetaan sellaista tietoa, jonka palvelun tarjoajan palvelin lähettää käyttäjän selainohjelmalle pyytäen selainta tallentamaan tiedon käyttäjän päätelaitteelle ja jota kyseinen palvelun tarjoajan palvelin voi myöhemmin pyytää takaisin. Kyse on käytännössä pienestä tietomäärästä, tyypillisesti lyhyestä tekstistä.[1]

Evästeitä on kahta lajia, istuntokohtaisia engl. session cookie ja pysyviä engl. persistent cookie. Istuntokohtaiset evästeet vanhenevat kun käyttäjä lopettaa istunnon web-palvelussa, ja pysyvät evästeet säilytetään tiettyyn aikarajaan asti tai kunnes käyttäjä ne tuhoaa. Selaimet lähettävät evästeen vain sille palvelimelle, joka on sen alun perin käyttäjälle lähettänyt.

Käyttötavat[muokkaa | muokkaa wikitekstiä]

Istunnonhallinta[muokkaa | muokkaa wikitekstiä]

Evästeet ovat ratkaisu HTTP-protokollan tilattomuuteen. Kaikki HTTP-kutsut ovat täysin riippumattomia toisistaan. Tämä vaikeuttaa istunnon seuraamista ja käyttäjän yksilöimistä: käyttäjätunnus pitää piilottaa piilotettuihin CGI-kutsujen kenttiin. Evästeen avulla palvelin voi tallentaa dataa käyttäjälle joko tilapäisesti kyseisen istunnon ajaksi tai pitemmäksi aikaa, mikä helpottaa istuntoseurannan toteutusta. Tämä mahdollistaa esimerkiksi myös sen, että käyttäjä voi kirjautua WWW-palveluun ilman, että hänen tunnisteitaan tallennetaan minnekään käyttäjän tietokoneelle. Käyttäjän puolella tallennetaan ainoastaan istunnon tunnus (session identifier), joka voi olla tilapäinen tai pitemmäksi ajaksi tallennettu.

Evästeitä käytettäessä käyttäjän istunto tunnistetaan HTTP-pyynnon otsikkotiedoissa välitetyn evästeen avulla, jolloin palvelimella voidaan tunnistaa käyttäjän pyyntojen liittyvän tiettyyn istuntoon. Tällaisessa käytössä evästeen tarkoitus on tunnistaa käyttäjän istunto.

Seuranta[muokkaa | muokkaa wikitekstiä]

Evästeiden avulla voidaan myös seurata käyttäjää. Kun palvelin asettaa heti yhteyden alussa käyttäjän selaimeen evästeen, lähettää selain tämän evästeen aina osana HTTP-pyyntöjä. Näin ollen palvelimen päässä voidaan seurata mitä sivuja käyttäjä avaa ja missä järjestyksessä. Tätä tietoa voidaan hyödyntää esimerkiksi palvelun kehityksessä tai käyttäjien toimintamallien tutkimisessa.

Personointi[muokkaa | muokkaa wikitekstiä]

Evästeiden avulla voidaan myös tallentaa ja välittää käyttäjän tekemiä personointivalintoja. Jos käyttäjä esimerkiksi valitsee web-sivulla kielekseen suomen, voidaan tämä tieto tallentaa käyttäjän selaimeen evästeen muodossa. Tämän jälkeen kaikissa käyttäjän tekemissä HTTP-pyynnöissä kyseiselle palvelimelle välitetään tieto siitä, että käyttäjä haluaa käyttää sivua suomeksi.

Kolmannen osapuolen evästeet[muokkaa | muokkaa wikitekstiä]

Evästeitä on toisaalta myös pidetty riskinä käyttäjälle, mikä johtuu siitä, että niitä voidaan tietyissä tapauksissa käyttää sivustojen ulkopuolella ja ne mahdollistavat käyttäjän seurannan ulkopuolisien palvelimien kautta. Monet banner-mainokset sekä webanalytiikka-komponentit ladataan toiselta palvelimelta kuin miltä varsinainen sivu, ja samalla voidaan välittää eväste, joka koskee banner-palvelinta eikä sitä palvelinta, miltä käyttäjä varsinaisesti lukee sivua. Kun sama palvelin tarjoaa mainoksia toisillekin sivuille, käyttäjän liikkeitä voidaan seurata sitä kautta. Sivuston ulkopuolelta tulevista evästeistä käytetään nimitystä kolmannen osapuolen evästeet. Monissa WWW-selaimissa on toiminto, jonka avulla kolmannen osapuolen evästeet voidaan estää ja sallia vain sellaiset evästeet, jotka tulevat suoraan käytettävästä verkkopalvelusta.

Tekninen toteutus[muokkaa | muokkaa wikitekstiä]

Evästeiden asettaminen, käyttö ja toteutus tapahtuu tyypillisimmin seuraavasti:

  1. . Pyydät web-selaimella web-sivua palvelimelta (esimerkiksi example.org)
  2. . Sivuston palvelin huomaa, että HTTP-pyyntösi otsikossa ei ole evästettä
  3. . Sivuston palvelin lähettää selaimellesi sivun ja sen mukana sivun evästeen, joka jää selaimesi muistiin
  4. . Selain lähettää evästeen kaikkien niiden pyyntöjen mukana, jotka kohdistuvat domainiin example.org kunnes eväste vanhenee tai poistetaan
  5. . Palvelin saa evästeen, tunnistaa sen avulla istuntosi ja muut evästeelle ja sen perusteella palvelimelle tallentetut tiedot

Lainsäädäntö[muokkaa | muokkaa wikitekstiä]

Suomen lainsäädännössä evästeet mainitaan Sähköisen viestinnän tietosuojalaissa (SVTSL) 516/2004 (1.6.2009). Säännös vastaa sisällöllisesti Sähköisen viestinnän tietosuojadirektiivin evästeiden käyttöä koskevaa sääntelyä (5 artikla 3 kohta)

Käytön edellytykset[muokkaa | muokkaa wikitekstiä]

SVTSL: 7.1 ja 2 §:ssä säädetään evästeiden käytön edellytyksistä:

Palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö

Viestintäverkkojen avulla toteutettu evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta. Samalla palvelun käyttäjälle on annettava mahdollisuus kieltää tässä momentissa tarkoitettu tallentaminen tai käyttö.

Edellä 1 momentissa säädetty palvelun tarjoajan tietojen antamisvelvollisuus ja käyttäjän kielto-oikeus ei koske tietojen sellaista tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa tai helpottaa viestin välittämistä viestintäverkoissa tai joka on välttämätöntä sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt."[2]

Säännöksen mukaan evästeitä saa käyttää, kunhan käyttäjälle annetaan ymmärrettävät ja kattavat tiedot niiden käytön ja tallennuksen tarkoituksesta sekä samalla annetaan mahdollisuus kieltää evästeiden käyttö. Käytännössä tällainen ohjeistus tai mahdollisuus ei ole käyttäjlle useinkaan tarjolla.[1] Suomalainen Snoobi.fi, joka on erikoistunut www-sivujen kävijämittauksiin, toimii yhtenä esimerkkinä sivustosta, joka tuo kyseiset asiat esiin varsin selkeästi. Snoobin Yksityisyydensuoja-sivulla kuvataan selkeästi kerättävä data, sen mahdolliset vaikutukset ja annetaan ohjeet siitä, miten tästä voi kieltäytyä.[3]

Evästeiden käytön pääsääntö perustuukin 7 §:n 2 momenttiin, jonka mukaan edellä mainitut evästeiden käytön edellytykset eivät koske tilannetta, jossa niiden ainoana tarkoituksena on toteuttaa tai helpottaa viestinnän välittämistä viestintäverkossa tai joka on välttämätöntä sellaisen palvelun toteuttamiseksi, jota käyttäjä on nimenomaisesti pyytänyt. Näin on esimerkiksi tilanteessa, joissa käyttäjä tekee ostoksia, kirjautuu sivustolle tai ylipäätään käyttää sivua, jolla tarvitaan istuntoja.

Miten määritellään tilanteet, joissa eväste toteuttaa, helpottaa tai on välttämätön tiedon välityksessä? Terminologisesti välttämättömyysvaatimuus vaikuttaa ankarammalta, kuin mitä esimerkiksi tarpeellisuusvaatimus. Välttämättömyydelle ei kuitenkaan anneta mitään selkeitä kriteerejä ja ottamalla huomioon säännöksen perustana olevan direktiivin vastaava epäselvyys ja tulkinnanvaraus, säännöstä ei tulkita kovin tiukasti. Käytännössä vaatimus täyttyisi siten varsin helposti.[1]

Esimerkiksi sähköisen viestinnän tietosuojadirektiivin perusteluosan kappaleessa 25 todetaan, että "esimerkiksi evästeiden, käyttö saattaa kuitenkin olla oikeutettua ja hyödyllistä esimerkiksi tutkittaessa Internet-sivuston suunnittelun ja mainonnan tehoa ja tarkistettaessa verkossa tehtäviin liiketoimiin osallistuvien käyttäjien henkilöllisyyttä"[4]

Evästeiden käytön rajoja[muokkaa | muokkaa wikitekstiä]

Käytön rajoja määritellään Sähköisen viestinnän tietosuojalain 7.3§:ssä:

Edellä tässä pykälässä tarkoitettu tallentaminen ja käyttö on sallittua ainoastaan palvelun vaatimassa laajuudessa ja sillä ei saa rajoittaa yksityisyyden suojaa enempää kuin on välttämätöntä.

Evästeiden käyttöä rajoitetaan lainsäädännöllisesti vastaavasti kuin esimerkiksi viestinnän tunnistetietoja. Pykälä rajoittaa oikeutta käyttää käytäjien evästeitä. Evästeitä ei saa käyttää tarpeettomasti enempää kuin on välttämätöntä, vaikka käyttäjälle olisikin kerrottu käsittelyn yksityiskohdista ja käyttäjälle olisi annettu evästeiden kieltomahdollisuus. Määritelmä ei ole tarkka, mutta rajaa kuitenkin evästeiden käyttöä niin, että niiden käyttö ei ole missään olosuhteissa sallittua laajemmassa mielessä kuin on aivan välttämätöntä alkuperäisen tarkoituksen toteuttamiseksi. Mahdollinen 7 §:ssä säädettyjen velvollisuuksien laiminlyönti saattaa johtaa säihköisen viestinnän tietosuojarikkomukseen, josta voidaan tuomita sakkoihin.[1]

Vaikutukset yksityisyydelle[muokkaa | muokkaa wikitekstiä]

On huomattava, että eväste ei sinänsä vielä yksilöi käyttäjää luonnolliseksi henkilöksi, mutta yhdistelemällä käyttäjän kirjautumisen ja sivuston käytön aikana antamaa dataa, on mahdollista yhdistää eväste yhteen luonnolliseen henkilöön.

Evästeitä voidaan käyttää myös käyttäjän seurantaan. Mikäli esimerkiksi useat eri web-palvelut käyttävät samaa mainospalvelutarjoajaa, tai esimerkiksi kävijämittaus-toimintoa, voivat nämä tahot seurata käyttäjän toimintaa usealla eri sivustolla. Tällöin käyttäjästä tallentunutta tietoa voidaan käyttää esimerkiksi kohdennettuun mainontaan.[1] Merkkejä tallaisesta käytöstä on ollut, ja esimerkiksi TNS Gallupin Ismo Tenkanen on todennut Tietokone-lehden haastattelussa, että "Suomessakin on kuumia myyntikontakteja myyviä yrityksiä, jotka yhdistelevät online-mittaustietoja kontaktitietoihin. Nämä harmaan alueen yritykset ovat niitä oikeita yksityisyysongelmia".[5] Periaatteessa kattavalla evästeiden tallentamisella ja keräämisellä yksittäisen käyttäjän toimia voidaan seurata pitkän aikaa ja varsin kattavasti, sillä tyypillinen peruskäyttäjä ei tunne evästeitä, eikä osaa niitä myöskään poistaa. Lisäksi mainos/seurantakäyttöön asetettavat evästeet eivät yleensä myöskään vanhene.

Käyttäjä voi kieltää evästeiden käytön kaikissa nykyisissä web-selaimissa. Tällä toiminnolla on kuitenkin haittapuolensa, ja monet sivustot eivät toimi kunnolla ilman evästeitä, mikäli niiden käyttö estetään. Selaimen asetuksista saattaa olla mahdollista myös estää vain kolmannen osapuolten (eli muiden sivujen kuin alkuperäisen kohdesivun) evästeiden tallentamisen. Lisäksi monet seurantapalvelut ja mainostoimijat tarjoavat (lain pakottamina) mahdollisuutta tallentaa selaimen seurantaevästeen tilalle toinen eväste, jolla estetään seuranta. Suomalaisista toimijoista tällainen mahdollisuus löytyy esimerkiksi Snoobilta.[3] Vastaavasti jotkin toimijat tarjoavat sivuillaan vain ohjeen evästeiden kieltämiseksi[6]

Vaihtoehtoja evästeelle[muokkaa | muokkaa wikitekstiä]

Evästeiden lisäksi käyttäjän istunnon erottamiseen on käytettävissä myös muita keinoja:

Lähteet[muokkaa | muokkaa wikitekstiä]