Juuri tätä kirjoittaessa Ilta-Sanomien etusivu kirkuu: KÄYTTÄJIEN RAIVO RÄJÄHTI: Facebook - paholaisen palvelin!
Alaotsikkoina näkyvät mm.
- Näin kierrät Facebook-tiedonkeruuta
- Raju uudistus: Facebook tietää liikkeesi, vaikka olisit uloskirjautunut
Laskin tänään IS:n nettisivuilta kaikkiaan yli 10 Facebook-uutista, jotka lähes järjestään olivat negatiivisia sisällöltään. Mitä ylettömän pahaa siis Facebook on tehnyt - muuta kuin ilmeisestikin vienyt IS:ltä mainostuloja...
Paljon melua tyhjästä
Kaikki kohu lähti yhdestä australialaisesta blogaajasta, jota Ilta-Sanomat kutsuu "tietoturva-asiantuntijaksi" (oikeasti hän itse esittäytyy hakkerina, koodarina ja bloggaajana), ja hänen yhdestä blogistaan http://nikcub.appspot.com/logging-out-of-facebook-is-not-enough, jossa hän esittää mm. seuraavia "aivan huikeita" paljastuksia:
- Facebook käyttää cookeja (kuten kaikki muutkin verkkomediat, jotka esittävät mainontaa tai mittaavat sivustonsa liikennettä, mukaanlukien iltasanomat.fi)
- Facebook kommunikoi aktiivisesti jokaisen verkkomedian - kuten iltasanomat.fi - kanssa, joka on liittänyt omille sivuilleen Facebook-toiminnallisuuksia, kuten sivun suositteleminen linkin kera omille Facebook-ystäville (eikös tuo ole noiden verkkomedioiden oma asia, jos ovat tuollaisen päätöksen tehneet - markkinoidakseen Facebookin suuren käyttäjäkunnan avulla omaa sivustoaan?)
- Facebook pystyy saamaan tietoa sivustoista, joissa Facebook-käyttäjät vierailevat, myös silloin, kun käyttäjä ei juuri parhaillaan ole kirjautunut Facebookiin (kuten myös esim. jokainen mittausjärjestelmä, mainonnanhallintajärjestelmä, mainosverkko, joka käyttää 3. osapuolen cookieta jne. - mukaanlukien maailman laajin mainosverkko Google)
Viimeksi mainittu seikka oli suurin piirtein tuossa muodossa myös alkuperäislähteessä, eli siinä EI tarkennettu, että tietenkin tämä Facebookin tietojen saanti ladatuista Facebookin ulkopuolisista sivuista koskee ainoastaan ja vain näitä sivustoja, jotka ovat itse lisänneet Facebook-koodit omille sivuilleen. Sillä mistäs muualta Facebook sen tiedon itselleen saisi, kuin näiltä omilta partnereiltaan? Ei ole vielä Facebookilla satelliitteja taivaalla tähyämässä mattimeikäläisen nettisurfailua, eikä vakoiluohjelmistoja ujutettu loppukäyttäjien koneille.
Mutta viis siis faktatietojen tarkistamisesta, itse väitteen totuudenmukaisuudesta ja sen selvittämisestä, kuinka poikkeuksellisesta vaiko peräti tavanomaisesta toiminnallisuudesta on kyse, kun Ilta-Sanomat sai asiasta MEGALUOKAN uutisen ja suomalaiset Facebook-käyttäjät kiihkoilemaan "röyhkeästä yksityisyysrikkomuksesta".
Suuresta kohu-uutisesta nopeasti kehitetyt jatko-osat olivat IS:n kannalta jo vähemmän mairiteltavaa luettavaa. F-Securen "tietoturva-asiantuntija" kuittaa asian toteamalla, että "Tietojen keräys kuuluu yhteisöpalveluiden bisneslogiikkaan" ja muistuttamalla, että "kaikki mitä verkossa tekee, tallentuu yleensä jonnekin". Facebookin oma vastaus, jonka mukaan palvelulla "ei ole kiinnostusta seurata käyttäjiään tai tallentaa näiden verkkovierailuja, eikä myydä käyttäjien tietoja eteenpäin mainostajille", julkaistiin sivujuttuna. Mitäs sitä nyt mehevää skuuppia tappamaan!
Mistä oikeasti on kyse?
Kuinka ainutlaatuisen röyhkeästä toiminnasta on siis kyse - ja mitä tuossa tapahtuu, aivan maallikolle ymmärrettävällä kielellä?
Kaikki verkkopalvelut Internetissä toimivat siten, että käyttäjä lähettää niihin kutsuja, klikkailemalla linkkejä tai kirjoittamalla verkko-osoitteita selaimeensa. Kutsun mukana lähtee kutsuttavalle palvelimelle AINA tietoja käyttäjästä, mukaanlukien käyttäjän IP-numero, joka yksilöi käyttäjän. Mistäs muuten palvelu tietäisi, kenelle palauttaa kutsuttu sivu??? Ei Internetiä olisi olemassakaan ilman tätä perustoiminnallisuutta...
Jos verkkopalvelu, kuten Iltasanomat.fi, päättää sitten liittää sivulleen mainoksia, mittausjärjestelmiä, mainonnanhallinnanjärjestelmiä, tai erilaisten yhteistyökumppanien - kuten Huuto.net, Facebook, Twitter, Google etc. - tageja eli koodinpätkiä, jotka hakevat partnerin sisältöä sivustolle, kuten mainoksia, vaihtuvaa sisältöä, kerro kaverille -toimintoja jne. - niin tiedot sivun latautumisesta lähtevät jokaisella sivulatauksella myös ko. yhteistyöpartnerille. Näin tapahtuu automaattisesti, ilman että kukaan tekee asialle mitään.
Vastuu on medialla itsellään, joka valitsee partnereita
Media eli verkkopalvelu on itse toki vastuussaan siitä, mitä sisältöä ja yhteistyökumppaneita valitsee sivuilleen. Ei Facebook siis suinkaan pääse ujuttautumaan "salaa" millekään verkkosivulle, ja kaivamaan sieltä käyttäjien tietoja, ellei kyseinen verkkopalvelu ITSE PÄÄTÄ liittää Facebook-tageja ja "suosittele tätä Facebookissa"-toiminnallisuuksia sivuilleen.
Kaikki, mitä hakkeri Nik Cubrilovic esittää sivuillaan, on mahdollista yhtä lailla kaikille verkkopalvelun partnereille, eli Googlelle, mittaus- ja mainosjärjestelmille, siis kaikille yhteistyökumppaneille, joita media on päättänyt liittää omille sivuilleen.
Cookien rooli tietojen välityksessä
Kuten aina verkon yksityisyyskohuissa, "yksityisyystietojen vuotamisesta" syy on vyörytetty cookielle eli selaimen lähettämän evästeelle. Evästeitä käytetään mm. verkkopalvelujen personointiin sisällön muokkaamiseksi käyttäjän aiemman historian mukaiseksi (vrt. Amazon, jonka etusivu on kullekin käyttäjälle personoitu aiempien klikkien ja ostojen mukaisesti), sekä pakollisen sisäänkirjoittautumisen korvaajaksi, eli kun klikkaat yhteisöpalvelusta "muista minut", niin käytännössä palvelu lähettää cookien, jossa on tunnistenumero, jolla palvelu tietää, kuka olet, ja lähettää sen koneellesi, ja koneesi tallentaa sen evästekansioon. Kun palaat ko. verkkopalvelun sivuille, se tarkistaa, onko sinulla aiempaa cookieta, ja saa siitä tunnisteesi, jonka perusteella osaa jälleen avata juuri sinulle räätälöidyn sivun.
Mutta yllätys yllätys: vaikka torjuisit kaikki cookiet joko selaimesi tai tietoturvaohjelmasi avulla, selaimesi lähettää edelleen jokaisen kutsun yhteydessä kaikki tavanomaiset tunnistetietosi palvelulle, jota kutsut, mukaanlukien IP-numerosi. Eli oletetaan, että estät cookiet, ja menet Facebook-sivulle. Se kohtelee silloin sinua kuten ketä tahansa uutta, rekisteröitymätöntä käyttäjää, ja pyytää käyttäjätunnusta ja salasanaa. Jos kirjaudut sisälle, ja menet saman session aikana toiselle verkkosivuille, joilla on Facebook-toiminnallisuuksia (peukut ja kuka kavereistasi suositteli mitäkin), kuten Iltasanomat.fi, lähettää verkkopalvelu kutsusi yhteydessä tiedot kutsusta myös Facebookille, jonka perusteella Iltasanomat.fi näyttää omilla sivuillaan mm. mitä Ilta-Sanomien uutisia ja artikkeleja omat Facebook-kaverisi ovat suositelleet.
Mikä tässä on niin mystistä? Eikö olisi paljon karmeampaa yksityisyyden kannalta, jos Facebook näyttäisi Ilta-Sanomien eri kävijöille satunnaisesti aivan kenen tahansa Facebook-suosituksia? Nyt toiminnallisuus on räätälöity juuri siten, että jokainen Facebook-käyttäjä näkee ainoastaan ja vain oman kaveripiirinsä suosituksia. Ja omat suosituksesi näkyvät Facebookin ulkopuolellakin ainoastaan ja vain niille, jotka itse olet hyväksynyt Facebook-ystäviksesi.
Miten estää Facebookin toiminnallisudet Facebookin ulkopuolella?
Facebookin toiminnallisuudet muilla verkkosivustoilla, kuten Iltasanomat.fi:ssä, ovat siis median oma markkinointikeino oman suosionsa lisäämiseksi ja kävijäkuntansa palvelemiseksi siten, että Facebook-käyttäjät näkevät IS:n sivuilla, mitä IS:n juttuja omat Facebook-kaverit ovat suositelleet. Ilta-Sanomat on itse tehnyt tietoisen päätöksen lisätä Facebook-toiminnallisuudet sivuilleen - Facebook on vain tarjonnut sovelluksen tähän.
Facebook-toiminnallisuudet on äärimmäisen helppo torjua, yhtä helppo kuin minkä tahansa evästeen torjuminen. Siihen ei tarvita tietoturvaohjelmistoja, vaan pelkästään oman selaimen asetuksilla voi poistaa evästeet. Sen jälkeen kuitenkin joudut kirjoittautumaan joka kerran omalla tunnuksellasi ja sanasanallasi Facebookiin uudelleen - ja taas käynnin jälkeen poistamaan Facebook-evästeet. Tai voit toki säätää selaimesi asetukset niin, ettei se vastaanota lainkaan evästeitä. Silloin loppuu kyllä pääsy mm. verkkokauppoihin ja -pankkeihin, ja juuri mikään ei verkossa toimi - en suosittele!
Miksi nähdä turhaa vaivaa?
Mutta miksi nähdä turhaa vaivaa estääksesi Facebook-toiminnallisuuksia verkkopalvelun ulkopuolella? Miksi ylipäänsä sitten suosittelet mitään juttua tai linkkiä Facebookissa, jollet halua, että oma kaveripiirisi näkisi omia suosittelujasi? Eikö ole fiksumpaa silloin kokonaan lopettaa suositttelujen painallukset, jollei halua omien kaveriesi näkevän suosittelujasi?
Tietenkin torjumalla kaikki evästeet ja jatkuvasti poistamalla niitä estät samalla sen, ettei Facebook saa tietää juuri sinun vierailleen vaikkapa Iltasanomat.fi:ssä, mutta jos IS tarjoaa Facebook-suosittelumahdollisuuden, Facebook saa joka tapauksessa tiedon siitä, että ko. sivu oli ladattu - ja mm. IP-numerosi. Tämä kun on Internetin perustoiminnallisuus, ja sitä on melkoisen hankala välttää!
Ja ne Ilta-Sanomien motiivit tehdä asiasta turha häly...
Miksi siis Ilta-Sanomien kannatti nostataa täysin jokapäiväisestä, normaalista Internet-toiminnalisuudesta - johon se itse on osavastuussa liitettyään Facebook-toiminnallisuudet myös omilla sivuilleen - valtaisa kohu? Menisivätkö kenties verkkomainonnan rahat uusjakoon, jos Facebookin suosio romahtaisi - ja ihmiset eivät enää uskaltautuisi ulkomaisiin verkkopalveluihin, vaan pysyttelisivät "turvallisilla" kotimaisilla sivustoilla.
Aivan samanlainen kohujuttu voitaisiin tehdä jo huomenna vaikkapa Googlesta, joka on kolmantena osapuolena vähintäänkin yhtä monessa verkkopalvelussa kuin Facebook, tai mainonnanhallintajärjestelmästä, joka jakelee mainoksia tuhansille eri sivustoille. Ja verkon mittausjärjestelmistä vastaavaa kohua on jo koettukin, mutta sitä tuskin suuri yleisö muistaa, kun kiistan osapuolina olivat verkkomediat ja mittausyritykset vastaan tietoturvayhtiöt. Silloin tietoturvayhtiöt olivat jo aktiivisesti poistamassa täysin harmittomia mittausjärjestelmän evästeitä asiakkaidensa tietokoneilta, koska evästeet mahdollistivat tietojen yhdistämisen siitä, että sama selain on vieraillut palvelussa A ja B. Aivan samaa tekevät nyt Google, Facebook ja monet muut - mutta mitä tekevät tietoturvayhtiöt? Eivät mitään. Miksi? Koska ne eivät halua tapella isompiaan vastaan asiassa, jossa itsekin tietävät, että kukaan ei edes tee mitään laitonta. Business as usual.
- Ismo Tenkanen
P.S. Tätä kirjoittaessa iltasanomat.fi lähettää etusivultaan 5 Ilta-Sanomien omaa ja 22 kolmannen osapuolen evästettä, mm. Googlelta, useammalta eri mainonnanhallintajärjestelmältä tai mainosverkolta ja mittausjärjestelmältä tai yhteistyökumppanilta - mutta ei yhtään Facebookilta! Estämällä kaikki evästeet sivu ei sitten enää latautunut IE-selaimelle lainkaan...