Ei varmastikaan mistään Internetiin, verkkomainontaan ja verkkoliiketoimintaan liittyvästä asiasta liiku niin paljon väärää tietoa ja vääriä uskomuksia kuin cookeista eli evästeistä. Niin uskomattomalta kuin se tuntuukin, myös viranomaiset, tietoturva-ammattilaiset ja tietosuojasta valistavat tiedotteet levittävät usein täysin virheellistä tietoa evästeistä, ja siten ovat olleet omiaan lietsomaan aiheetonta pelkoa niitä kohtaan. Tässä blogissa kumotaan yleisimmät harhakäsitykset, ja kerrotaan selkokielellä, mistä evästeissä oikeasti on kyse.
"Evästeillä voi kerätä melkein mitä tahansa tietoa"
Tuollaisen lausahduksen päästi suustansa erään tietoturvayhtiön "tietoturva-asiantuntija" muutama vuosi takaperin, joten ihmekös se, että vastaavia väitteitä löytää milloin mistäkin viranomais-tiedotteista ja lehtikirjoituksista. Yleisin harhakäsitys evästeistä on sen sotkeminen ajatuksellisesti lokitiedon ja kävijäseurannan tiedonkeruuseen, vaikka eväste on vain yksi tämän tiedonkeruun tunnistetieto. Evästeillä ei siis mitään tietoja voi kerätä, sen sijaan eväste on verkkopalvelun selaimelle lähettämä tunniste, joka mahdollistaa käyttäjästä kerättyjen ja tallennettujen tietojen yhdistämisen tiettyyn selaimeen myös käyttäjän palatessa verkkopalveluun uudelleen. Kuten vaikkapa Amazon.com tekee; kun menet Amazonin sivulle, Amazonin verkkopalvelu räätälöi asiakkaasta kerätyn ja tallennetun tiedon perusteella sivun yksilöllisesti personoidun sisällön, ja evästeen avulla Amazon tietää ohjata nämä tiedot selaimeen juuri oikealle käyttäjälle - siis jo ennen, kuin käyttäjä kirjautuu palveluun oman käyttäjätunnuksen ja salasanansa avulla.
Toki evästettä hyödynnetään myös kävijämäärämittauksessa identifioimaan selaimia, jolloin voidaan laskea vierailut eri selaimilta (nettokontaktit, kun vierailukerrat ovat bruttokontakteja), vierailutiheyksiä ja kävijäuskollisuutta (uudet ja palaavat kävijät tilastoissa). Mutta toisin kuin jatkuvasti virheellisesti väitetään, eväste ei käyttäjätietoja kerää - ja miten se voisikaan, kun eväste ei ole mikään itsenäisesti toimiva ohjelma, vaan pelkkä merkkijono, jossa on numeroita ja/tai kirjaimia. Evästeen tehtävä kävijäseurannassa on "numeroida" selain, jotta voidaan laskea, kuinka monta eri selainta on palvelussa vieraillut vaikkapa vuorokauden, viikon tai kuukauden aikana, ja kuinka tiheästi palvelun käyttäjät vierailevat palvelussa.
Kuka tahansa voi tarkastella oman tietokoneensa kiintolevylle tallennettuja evästeitä ja niiden sisältöjä esimerkiksi selainohjelmansa avulla, ja siten päätellä minkälainen riski ne ovat. Niinpä esim. eräiden tunnettujen mittausjärjestelmien evästeet näyttävät omalla koneellani sisällöltään tältä:
SWNZx0VQyNQAACwWKyo (IMR Worldwide, Nielsen NetRatings)
1268344873 (Hitbox, Omniture)
4IzrDFqcshaOmMOtb2W3Zfx7 (Gemius)
Jokaisella selaimella, joka on siis vieraillut sivustolla, joka on päättänyt valita mittausjärjestelmäkseen jonkin yllämainituista, on siis selaimen evästeen arvona vastaavanlainen merkkijono, ja kun selaimella palataan ao. palveluun, mittausjärjestelmä pystyy laskemaan kävijän paluukävijäksi. Eväste ei siis sellaisenaan kerää mitään, vaan tiedonkeruu tapahtuu täysin evästeestä riippumatta, ja jatkuu aivan ennallaan, vaikka eväste estettäisiin kokonaan tai tuhottaisiin...
Mitä tietoa oikeasti tallennetaan verkkopalvelujen käyttäjistä?
Se, että evästeiden yhteydessä puhutaan usein "tiedonkeruusta", liittyy siihen, että eväste on yksi tunnistetieto niiden tietojen joukossa, joita tallennetaan verkkopalvelujen käyttäjistä ns. lokitiedon keruun yhteydessä. Aivan kuten IP-numerokin, joka identifioi Internetiin kytketyn koneen tai verkkoyhteyden.
Jokainen, jolla on Internetissä Web-sivu, voi tallentaa (joko omalta palvelimeltaan tai web-hotellista/operaattorilta, jolta on vuokrannut palvelintilaa) lokitiedot, jotka sisältävät tietoja niistä kutsuista, joita sivustoon on sen käyttäjiltä tullut. Edellä maintut mittausjärjestelmät toki tekevät ihan samaa, eli tallentavat tätä lokitietoa, kun sivustot ovat liittäneet sivuilleen kutsun myös mittauspalvelimelle. Tässä esimerkki lokitiedostosta ja millaista tietoa sieltä löytyy:
#Date: 2006-05-07 09:42:00
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query
s-port cs-username c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer)
sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken
Esimerkki lokitiedoston tietueesta:
2006-05-07 09:41:59 W3SVC1794499098 10.216.12.76 GET /index.htm - 80 -
192.49.240.6 HTTP/1.1
Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fi;+rv:1.8.0.3)+Gecko/20060426+Firefox/1.5.0.3
- - 200 0 0 3844 395 156
Maallikolle tuo ei juuri sano mitään, mutta selkokielellä sanottuna Internet-palvelimelle on siis mahdollista määritellä kentät, joita lokitiedostoon haluaa tallentaa, ja niitä ovat mm.
- päivä ja sekunnin tarkkuudella kellonaika, jolloin palvelua on kutsuttu, esim. 2006-05-07 09:41:59
- kutsuttu sivu verkkopalvelusta (esim. index.htm)
- ip-numero, josta kutsu tullut ja jonne siis kutsuttu sivu lähetetty: esim. 192.49.240.6
- tietoja selaimesta ja käyttöjärjestelmästä
- cookien arvo
Tämän jälkeen sitten vain erilaisilla tilastointiohjelmistoilla on mahdollista analysoida näitä eri kenttien arvoja ja laatia niistä sen tyyppisiä palvelimen käyttötilastoja kuin:
- sivupyyntöjen määrä eri ajanjaksoina
- eri käyttäjien määrä (cookien tai ip-numeroiden perusteella laskettuna) eri ajanjaksoina
- ladatuimmat eli suosituimmat sivut
- suosituimmat selainversiot ja käyttöjärjestelmät
- linkkisivut, joilta oltiin saavuttu palveluun, esim. Google
- viimeksi mainittu on ns. referenssitieto, eli se kertoo linkin, jota klikkaamalla oli saavuttu www.konversio.fi -sivulle. Koska linkissä on mukana myös hakukoneen avainsana, jota on käytetty hakua tehdessä, on siten lokidatasta mahdollista analysoida myös niitä hakusanoja, joita käyttäjät ovat tehneet hakukoneissa, mutta tietenkin vain siltä osin kuin nuo hakusanat ovat johtaneet käyttäjän sille sivustolle, jonka lokidataa analysoidaan.
Mutta se olennainen pointti siis on siinä, että kaikki tämä lokitiedon tallennus on täysin mahdollista myös ilman cookeja, ja jos cookien käyttö lakkautettaisiin huomenna, mikään muu ei muuttuisi, kuin että eväste-tietoa ei olisi tuon kaiken muun kerättävän ja tallennettavan lokitiedon mukana. Siispä lause, että "evästeet keräävät Internet-käyttäjistä tietoa" on yhtä looginen ja järkevä, kun sanoisi, että "ip-numerot keräävät Internet-käyttäjistä tietoa". Eivät ne numerot ja tunnisteet mitään kerää, vaan ne ovat kerättävää tietoa!
Tiedon keruu sinänsä tapahtuu vain palvelinasetuksilla, että asennetaan Internet-palvelin tallentamaan palvelimeen (sivustoon) saapuvat kutsut. Internetin käyttö kun ei ole mitään tv- tai radiolähetyksen vastaanottoa, vaan Internet-käyttäjä klikatessaan linkkejä tai kirjoittaessaan selaimeen web-osoitteita (urleja) kaiken aikaa siis lähettää kutsuja (request) verkkopalvelimille. Tietenkin näissä kutsuissa on pakko olla mm. kutsuttu sivu sekä kutsujan tunnisteet (ip-numero), jolle kutsuttu sivu palautetaan. Tähän kutsujen lähettämiseen koko Web rakentuu.
Verkkosivujen käyttämät mittauspalvelut, kuten Google Analytics, käynnistyvät puolestaan samalla, kun mitattaville sivuille lisätään koodi, joka lähettää sivun lataajalle kutsun myös mittauspalvelimelle. Tälle asennetaan tallennettavaksi samat lokitiedot kuin edellä, ja välittömästi alkaa dataa kertyä analysoitavaksi. Eli käyttäjien kutsuista sivustolle välittyy sama tieto myös mittauspalvelimelle, joka lähettää tietysti omat cookiensa käyttäjän selaimelle.
Tiedonkeruu jatkuisi vaikka evästeet kiellettäisiin
Tähän nähden on suorastaan naurettavaa, että Suomessa tietosuojavaltuutetun toimisto jakaa edelleen verkossa tiedotetta, joka vilisee kömpelöitä asiavirheitä, ja jossa selkeästi syyllistetään evästeet ja niiden käyttö ja rinnastetaan ne tiedon keruuseen tyyliin:
"Miksi olet huolissasi evästeistä? Et ehkä halua muiden keräävän tietoja siitä, miten liikut webissä, millä sivuilla käyt, mitä tietoa tai palvelua haet niiltä."
Olisiko ollut täysin ylivoimaista tarkistaa teksti ennen sen julkaisua yhdellä asiantuntijalla, joka olisi kertonut, että nuo evästeet eivät tuota tietojen keruuta suorita, vaan ilman ensimmäistäkään evästettä jokainen verkkopalvelun ylläpitäjä voi oman palvelunsa lokitiedostoista analysoida mainitut tiedot. On tosiaan hyvä, että kuluttajaa ja maallikkoa tiedotetaan Internetin luonteesta ja siitä, että käyttäjä aina jättää jälkensä verkossa liikkuessaan, mutta miksi sen täytyy tapahtua näin harhaanjohtavasti ja tosiasioita vääristäen?
Onko kävijäseuranta vakoilua?
Kun lukee erilaisia keskustelupalstoja, joissa maallikot kauhistelevat Internet-sivuilla tapahtuvaa "vakoilua", kyse on siis todellisuudessa yleensä pelkästään verkkopalvelun kutsujen yhteydessä kertyvän lokitiedon analysoinnista ja sen tarkastelusta. Ainoana ongelmana on oikeasti siis se, että tästä Internetin perusominaisuudesta, käyttäjien palvelimille lähettämien kutsujen lokitiedon tallennuksesta ja kertyneen tiedon analysoinnista, on tehty asiantuntemattomien keskustelupalstavierailijoiden tai toimittajien ja muiden höperöiden puheissa "vakoilua", ja sotkettu tämä asia ensinnäkin evästeisiin ja kaiken huippuna jopa vakoilu- ja haittaohjelmiin.
Kaikkien käsittämättömintä on, että samaan ovat sortuneet monet viranomaiset ja tietoturvaohjelmistojen edustajat. Muutama vuosi sitten esim. IAB teki rajusti töitä puhdistaakseen tavanomaiset mittausjärjestelmä-cookiet eräiden tietoturva-ohjelmistojen "haittaohjelma"-listauksista, kun tietoturvaohjelmistot raportoivat virheellisesti mittausjärjestelmien evästeet haittaohjelmiksi. Haittaohjelmien levittäminen on nykyisin kriminalisoitu, eli raportoimalla mittaus-cookiet haittaohjelmiksi tietoturvaohjelmistojen raportit siis leimasivat täysin laillisia ja normaaleja mittausjärjestelmiä rikolliseksi toiminnaksi. Puhumattakaan siitä absurdiudesta, että yksinkertainen merkkijono numeroita ja kirjaimia ei voi olla "ohjelma", vielä vähemmän haittaohjelma.
Oikeat vakoiluohjelmat ovat siis haittaohjelmia, joiden tarkoitus on vahingoittaa käyttäjän konetta tai oikeasti vakoilla esim. salasanoja tai kaikkia näppäinpainalluksia, joita käyttäjä koneellaan tekee. Lokitiedon tallennuksen ja analysoinnin sekä evästeiden sotkeminen tähän on järkyttävää asiantuntemattomuutta, ja tuollaisilla "pikku sekaannuksilla" eli mittaus-evästeiden leimaamisilla haittaohjelmiksi itse asiassa tehdään jo itse rikos, koska syytetään laillista toimintaa rikollisuudeksi.
Evästeet ja yksityisyyssuoja
On hyvä asia, että kansalaisia ja esim. koululaisia jo koulussa valistetaan siitä, että Internetissä liikkuminen ja sen keskustelupalstoille kirjoittelu ei ole täysin "salaista" ja anonyymiä silloinkaan, kun käyttäjä kirjoittaa nimimerkillä. Rikoskynnyksen ylityttyä nimittäin poliisilla on valtuudet selvittää operaattorilta, kenen käytössä mikäkin IP-numero on ollut tietyllä hetkellä, jolloin tietenkin poliisi selvittää myös esim. kotitaloudesta tai yrityksestä, kuka on rikoksen takana. Eväste ei ole tässä siis tunniste, vaan IP-numero, koska operaattorilla pitää jo laskutussyistä olla tietenkin tiedossa, kenelle liittymänhaltijalle mikäkin IP-numero on kulloinkin annettu. Poliisivaltuuksin sitten selvitetään tietokoneelta, kuka on ollut käyttäjänä tietyllä hetkellä, kun rikos on tapahtunut.
Yritykset ja yksityisetkin henkilöt, jotka ylläpitävät verkossa sivustoja, ovat puolestaan vastuussa siitä, mitä tietoja verkkopalvelussaan keräävät ja miten tietoja säilyttävät ja tallentavat. On itsestään selvää, että esim. henkilö- ja osoiterekisterien (esim. asiakasrekisterit verkkokaupassa), luottokorttitietojen jne. tallentamisessa täytyy noudattaa voimassaolevaa lainsäädäntöä henkilötietolain osalta.
Eväste kytkeytyy tähän asiaan vain sitä kautta, jos verkkopalvelun haltija on riittävän typerä talleentaakseen käyttäjilleen jakamiin evästeisiin henkilötietoja. Koska evästeen normaali tyypillinen sisältö on harmiton merkkijono, esim. satunnaisluku, eväste ja sen sisältö ei millään tavalla paljasta verkkopalvelun käyttäjää ja tämän henkilöllisyyttä. Henkilötiedoksi eväste kuitenkin muuttuu silloin, jos verkkopalvelun haltija päättää tallentaa evästeeseen sellaisen tiedon, joka identifioi käyttäjän henkilöllisyyden, esimerkiksi sähköpostiosoitteen. Toki tämä on teknisesti mahdollista, mutta siis käytännössä näin ei kukaan menettele, koska se olisi tietosuojan kannalta äärimmäisen typerää.
Sen sijaan asia, mitä yllättävän moni - mukaanlukien moni tietoturvayhtiö - tekee, on se, että tallentaa evästeeseen myös käyttäjän ip-numeron. Useimmissa tapauksissa ip-numero ei toki paljasta käyttäjän henkilöllisyyttä, koska ip-numero on mahdollista jäljittää vain operaattoriin tai yritykseen, joka ip-numeron on varannut, mutta ei tietokonetta käyttävään henkilöön. Yksittäistapauksissa kuitenkin on täysin mahdollista, että esim. yksityisyrittäjä on varannut itselleen operaattorilta kiinteän ip-numeron omiin nimiinsä, jolloin julkisista rekistereistä, joita Internetissä on lukuisia, on kaivettavissa yrittäjän itsensä nimi, osoite ja puhelinnumero - siis henkilötietoja IP-numeron haltijasta. Siksi ei ole kovinkaan fiksua tallentaa evästeisiin ip-numeroita!
Henkilötietojen keruu
Henkilötietojen keruu on luonnollinen ja välttämätön osa monia verkkopalveluja, kuten verkkopankit ja -kaupat, muut palvelut joissa myydään jotain, Internet-tutkimuspaneelit jne. Verkkopalvelun tai -kaupan rekisteröitymisen yhteydessä käyttäjistä voidaan kysellä myös monenlaista muuta tietoa, esim. käyttäjän mieltymyksistä, harrastuksista jne. Usein markkinoija myös naamioi tämän tiedonkeruun kilpailuksi, koska niiden avulla on näppärä kerätä tietoa käyttäjien mieltymyksistä ja samalla rekisteriä suoramarkkinointia varten. Siihen on kuitenkin saatava käyttäjän suostumus, eli sähköpostia voi lähettää vain niille kuluttaja-asiakkaille tai kilpailuvastaajille, jotka eivät ole kieltäneet suoramainontaa.
Mutta edelleenkään - toisin kuin em. tietoturva-asiantuntija lausahti, niin se eväste ei näitä mainittuja henkilötietoja kerää. Sen sijaan verkkopalvelut voivat toki itse tallentaa mitä tahansa tietoja, joita käyttäjä on itsestään antanut verkkopalvelussa, sekä yhdistää näitä tietoja lokitietoihin - teknisesti myös evästeen sisältöön, joskaan sellaiseen ei koskaan törmää. Tällä henkilötietojen keruulla ja tallentamisella ei siis ole varsinaisesti yhteyttä evästeisiin, sillä kaikki tämä tiedon tallentaminen ja yhdistelymahdollisuus lokitietoihin luonnollisesti säilyisi, vaikka lainsäädännöllä kiellettäisiin kokonaan evästeet.
Evästeiden hyödyntäminen palvelun personoinnissa
Ilman muuta puhutuin ja kauhistelluin asia evästeiden osalta on siinä, miten niiden avulla voidaan personoida ja muokata verkkopalvelua - mukaanlukien markkinointiviestit ja mainonta.
Koska eväste identifioi selaimen, ja sitä kautta tunnistaa verkkopalveluun palaavan käyttäjän paluukävijäksi, verkkopalvelu voi tämän tiedon selaimelta saatuaan yhdistää omista tietokannoistaan käyttäjästä tallennetut tiedot. Tämä mahdollistaa tietenkin myös verkkopalvelun sivujen ja sisällön räätälöinnin juuri tälle käyttäjälle. Harmittomimmillaan tämä on esim. kielivalinta; kun menen HMV Japanin sivulle, sivu tulee minulle englanniksi eikä japaniksi, koska olen kerran vaihtanut kielen englanniksi, ja evästeen avulla verkkopalvelu tunnistaa selaimeni ja toteuttaa aiemmin palvelulle ilmoittamani kielivalinnan. Vastaavasti kun menen Amazon.com:in sivuille, tervehtii sivu minua omalla nimelläni, ja koko sivun sisältö on räätälöity juuri minulle, eli kukaan muu maailman Amazon-asiakas ei saa täysin samanlaista sivua.
Tämä tietysti myös rakentuu evästeeseen sitä kautta, että vaikka selaimeni Amazon-eväste on pelkkä merkkijono 65342455-cca3-4169-8b20-8d8a93f5f9a5, Amazonin tietokannassa tuo merkkijono osataan yhdistää omiin tietoihini, mukaanlukien tietysti asiakkaan nimi, jonka verkkopalvelu syöttää etusivun tervehdystekstiin, sekä kaikki Amazonin tietokantoihin tallennettu tieto ostohistoriasta ja preferensseistäni. Niinpä Amazonin etusivu minun selaimestani avattuna on täynnänsä juuri sen tyyppisiä tuotteita, joita olen aiemminkin palvelusta ostanut tai muuten niitä klikkaillut, arvioinut, pisteyttänyt jne. Itse koen tämän aivan erinomaisena palveluna, koska löydän tämän avulla itseäni kiinnostavia uusia tuotteita, aiemmin tilaamieni artistien uusia levyjä tai kirjailijoiden uusia teoksia jne. Eli suomeksi sanottuna palvelu hyödyntää keräämäänsä ja tallentamaansa tietoa minusta ja käyttäytymisestäni Amazonin palvelussa, ja räätälöi palvelun juuri minulle. Joku herkkähipiäinen kokee tämän ehkä hyökkäyksenä yksityisyyttään vastaan, koska haluaa liikkua mieluummin verkossa anonyyminä ja tunnistamattomana - ja tuhoaa säännöllisesti evästeensä. Jokainen voi kokeilla, miten tylsältä Amazonin etusivu näyttää sen jälkeen, kun tuhoaa oman Amazon-cookiensa!
Evästeiden hyödyntäminen mainonnan kohdentamisessa
Verkosta löytää helposti lukuisia kirjoituksia, joissa tuomitaan nimenomaan evästeiden hyödyntäminen mainonnan kohdentamiseen. Aikakauslehtien ja yleensä printtilehtien osaltahan "kohdentaminen" tapahtuu siten, että mainostajat mainostavat paikallislehdissä paikallisille tarkoitettuja palveluja tai myymälöitä (parturiliikkeen ei ehkä kannata mainostaa valtakunnallisesti), harrastelehdissä ko. harrasteeseen liittyviä asioita, naisille kohdistettuja tuotteita naistenlehdissä, nuorille kohdistettuja tuotteita nuortenlehdissä jne. Verkkopuolelle tietysti kopioitiin ensin sama logiikka, ja niinpä matkailualan mainostajat mainostivat matkailupalveluissa, golf-maahantuojat golf-palveluissa, naisten kosmetiikka-ala naisten verkkopalveluissa jne.
Evästeet mahdollistavat kuitenkin sen, että verkkomainontaa voidaan ohjata eri kohderyhmille silloinkin, kun he vierailevat jossain muualla kuin juuri noissa palveluissa, joiden perusteella käyttäjän intressejä on tunnistettu ja tallennettu mainonnanhallintajärjestelmään. Eli jos Internet-selaimella vieraillaan golf-palvelussa, niin on aika ilmeistä, että selaimen käyttäjä on kiinnostunut golfista, jolloin teknisesti hänelle voidaan ohjata golf-sivustosta saadun evästeen perusteella golf-alan mainos silloinkin, kun hän vierailee jossain muussa verkkopalvelussa, joka hyödyntää saman mainonnanhallintajärjestelmän evästeitä. Siispä eväste mahdollistaa tässä mainonnan kohdentamisen.
Mikähän tässä asiassa on niin kamalaa? Ei varmaankaan se, että golf-mainos ajoitetaan ja sijoitetaan eri aikaan ja paikkaan, kuin sivustolle, jossa kävijä alun perin vieraili (golf-sivusto), vaan ajatus siitä, että "minua seurattiin ja tätä tietoa hyödynnettiin mainostajan hyväksi". Mutta aivan samaahan tapahtuu koko ajan verkon ulkopuolella, eikä siitä ole kukaan närkästynyt! Jos käyt matkatoimiston tai laivayhtiön matkalla, pidät todennäköisesti hyvänä palveluna sitä, että saat puolen vuoden päästä esitteen, katalogin tai suoramarkkinointikirjeenä erikoistarjouksen ko. matkatoimistosta tai laivayhtiöstä. Eli mainosviesti kohdennetaan eri aikaan ja paikkaan kuin jolloin viimeksi matkustit ja käytit ko. yhtiön palveluja, ja nyt yhtiön markkinoinnissa hyödynnetään tätä käyttäytymishistoriaasi. Miksi nyt, kun evästeet mahdollistavat tämän saman verkossa, asiasta nousee kohu, ja puhutaan "vakoilusta", "käyttäytymisseurannasta" ja "yksityisyyteen kajoamisesta"! Verkossahan kohdistaminen tapahtuu täysin anonyymisti, kun verkon ulkopuolella tuo tarjous tai esite postitetaan nimellä ja osoitteellasi, eli henkilötiedoillasi varustettuna. Verkossa mainoseväste ei tiedä mitään käyttäjästä ja tämän henkilöllisyydestä, mutta ohjaa golf-mainoksen golfista kiinnostuneelle sen tiedon perusteella, että selaimella oli aiemmin vierailtu golf-sivustolla.
Lainsäädäntö ja evästeet
Tämän kummemmasta tai "salaisemmasta" asiasta ei siis evästeiden kohdalla ole kyse, mutta silti verkko on täynnä mitä eriskummallisempia väitteitä evästeistä ja niiden avulla tapahtuvasta "vakoilusta" tai "urkkimisesta". Lainsäädäntö menee siten, että evästeiden käyttö on täysin sallittua ja lain mukaista, kunhan niiden käytöstä tiedotetaan, ja mahdollistetaan myös evästeiden torjuminen, jollei niiden käyttö ole palvelun kannalta täysin välttämätöntä. Tällaista ovat esim. verkkokaupan ostokori- ja tilaustoiminnot, verkkopankissa asiointi jne. koska on pakko tietää, että peräkkäiset sivupyynnöt samalta selaimelta kuuluvat juuri samalle käyttäjälle - muuten ostoskorit ja pankkitiedot menisivät sekaisin käyttäjältä toiselle!
Tämä on juuri se syy, miksi evästeiden kehittäminen Internetin verkkopalveluihin oli välttämätöntä, mutta evästeiden käyttö on sitten laajentunut myös hyötykäytöksi mittaus- ja mainonnanhallintaan. Eli asioihin, jotka eivät ole suoranaisesti välttämättömiä, mutta kyllä yleensä hyödyllisiä sekä verkkopalveluille itselleen niiden palvelun kehittämiseksi, että käyttäjälle itselleen, joka saa evästeiden avulla itselleen personoituja palveluja ja mainoksia. Mainoksethan eivät verkosta poistu evästeitä torjumalla, vaan päin vastoin niitä tulisi sitten ilman mitään toistorajoituksia esimerkiksi loputtomasti sama mainos uudelleen. Evästeiden avulla rakennetaan myös siis mainonnan toistorajoitukset, eli esimerkiksi ettei koko sivun mainosta esitetä kuin yhden kerran, ja jotain banneria kuin esim. 5 kertaa samalle selaimelle.
En epäile yhtään sitä, että tietoturva-asiantuntijat pystyvät maalailemaan myös erilaisia väärinkäytön mahdollisuuksia ja uhkakuvia käyttäjistä kerättävien tietojen ja evästeiden osalta, mutta jälleen ihan samat uhkakuvat vaanivat kyllä myös verkon ulkopuolella. Ilman että niistä jatkuvasti pelotellaan ihmisiä.
- Ismo Tenkanen