16.04.2007 11:50

Evästeet ja tietoturva

Nettiä käyttäessä törmää ennemmin tai myöhemmin käsitteeseen nimeltään eväste. Tämä tapahtuu yleensä silloin, kun jokin nettisivu valittaa niihin liittyvien asetusten olevan pielessä. Evästeet ovat seikka, johon kannattaa kiinnittää huomiota myös tietoturvan kannalta. Mitä evästeet käytännössä ovat?

Eväste on varsin nokkela käännös englanninkielisestä cookie-termistä. Evästeitä kutsutaan joskus myös pipareiksi tai kekseiksi. Netinkäyttäjä törmää käsitteeseen yleensä silloin, kun joku nettisivu valittaa, että evästeet tulee kääntää päälle.

Evästeet kehitettiin ratkaisuksi siihen ongelmaan, etteivät nettisivut teknisen toteutuksensa takia pysty muistamaan, mitä käyttäjät ovat niillä vieraillessaan aiemmin tehneet. Ilman evästeitä käyttäjä joutuisi jokaisella vierailulla esimerkiksi valitsemaan nettisivulle haluamansa kieliasetukset. Kiusallisempaa on, että ilman evästeitä esimerkiksi nettikaupan ostoskorin tekeminen olisi hankalampaa, sillä sivusto ei muistaisi, mitä tuotteita käyttäjä on koriin lisännyt.

Käytännössä eväste on pieni tietokoneelle tallennettava tekstitiedosto, joka sisältää jotain nettisivun kannalta olennaista tietoa. Se on kaikessa yksinkertaisuudessaan muistilappu, josta sivusto voi tarkistaa, mitä asetuksia käyttäjä on aiemmin tehnyt. Nettisivua pyörittävä palvelin tallentaa evästeen automaattisesti selaimeen, josta se lähetetään takaisin palvelimelle aina käyttäjän vieraillessa sivustolla. Kun napsautat jollain sivustolla rastin "muista tämän nettisivun salasana" -ruutuun, tiedot tallennetaan nimenomaan evästeeseen.

Evästeet eivät sisällä ajettavaa ohjelmakoodia, joten niiden kautta koneelle ei pääse livahtamaan haittaohjelmia. Evästeeseen voidaan tallentaa vain tekstimuotoista tietoa, joka voi olla mitä tahansa. Jokaisella evästeellä on voimassaoloaika, jonka jälkeen se poistetaan. Usein voimassaoloaika kestää vain selailusession ajan, eli eväste poistetaan kun käyttäjä sulkee selaimen. Jotkut evästeet jäävät käytännössä pysyvästi koneelle, ellei niitä poisteta käsin.

Evästeet ja tietoturva

Vaikka on kätevää, että sivusto muistaa käyttäjän tekemät asetukset, evästeisiin voi tallentua myös yksityisyyden kannalta hankalaa tietoa. Julkisilla ja yhteiskäytössä olevilla koneilla riittää yleensä, ettei naksuttele rasteja salasanan muistamista tarjoavaan ruutuun, muistaa kirjautua ulos nettipalveluista ja sammuttaa selaimen käytön päätteeksi. Mikäli haluaa olla tarkka, evästeet voi myös poistaa koneelta, josta lisää seuraavassa kappaleessa.

Evästeiden varsinainen tietoturvariski liittyy siihen, että niiden avulla voidaan seurata sitä, millä sivuilla käyttäjä vierailee. Tätä hyödyntävät erityisesti mainostajat, jotka voivat tarkkailla, mitkä sivustot selailijaa kiinnostavat. Käytännössä tämä toimii vain tapauksissa, jossa saman tahon mainoksia on useilla eri sivuilla.

Nettisivuilla olevat mainokset eivät yleensä sijaitse samalla palvelimella kuin sivuston varsinainen sisältö. Sen sijaan sivustolla on mainoksille varattu kohta, jonka sisältö haetaan mainostajan palvelimelta, siis täysin eri paikasta netissä. Mainostaja voi toimia esimerkiksi niin, että aina kun mainos ladataan, käyttäjän koneella olevaan evästeeseen lisätään tieto siitä, millä sivustolla käyttäjä on. Tuloksena on lista kaikista sivuista, joilla käyttäjä vieraili ja joilla oli kyseisen mainostajan materiaalia. Tällaisia evästeitä kutsutaan kolmannen osapuolen evästeiksi. Ensimmäisen osapuolen evästeet tulevat siltä nettisivulta, jolla käyttäjä vierailee, kolmannen osapuolen evästeet jostain muualta.

Evästeiden tarkastelu ja poistaminen

Ajoittain kannattaa vilkaista, millaisia evästeitä koneelle on tallennettu. Selaimet tarjoavat vaihtelevanlaatuisia työkaluja evästeiden hyväksymiseen ja estämiseen. Yleensä kolmannen osapuolen evästeet kannattaa oletusarvoisesti estää. Mikäli jokin nettisivu ei toimi ilman niitä, ne voi kääntää takaisin päälle.

Evästeiden poistaminen on useimmiten melko turvallinen operaatio. Jos sattuu erehdyksessä poistamaan väärät evästeet, ainoa seuraus on se, että nettisivulle joutuu naputtelemaan uudelleen käyttäjätunnukset ja salasanat, minkä lisäksi joitain muita asetuksia voi joutua määrittämään uudelleen. Mikäli evästeistä haluaa poistaa vain epäilyttävät, huomio kannattaa kiinnittää sellaisiin, joista löytyy esimerkiksi sanoja ad, ads tai adserv. Tunnettuja mainosevästeiden asettajia ovat esimerkiksi fastclick, doubleclick ja Red Sheriff.

Evästeet ja Firefox

Hieman yllättäen Firefox 2.0:ssa ei ole valmista työkalua kolmannen osapuolen evästeiden estämiseen. Niitä pääsee kuitenkin tarkastelemaan valitsemalla Työkalut-valikosta Asetukset… ja sieltä Tietosuoja. Poistamalla rastin Evästeet-osion Sivustot voivat asettaa evästeitä -ruudusta evästeet voi kääntää kokonaan pois päältä. Pudotusvalikossa voi määrittää, pidetäänkö evästeet tallessa kunnes ne vanhenevat, ainoastaan selaamisen sulkemiseen asti vai varmistetaanko niiden poistaminen käyttäjältä.

Napsauttamalla Näytä evästeet… pääsee tarkastelemaan evästeiden luetteloa ja yksittäisten evästeiden sisältöä sisältöä. Tämä tapahtuu auki evästekansion ja valitsemalla sen sisällä olevan tiedoston. Evästeitä voi poistaa ruudun alalaidan painikkeiden avulla.

Poikkeukset… -painikkeen avulla pääsee määrittämään tarkasti, mitkä evästeet hyväksytään tai hylätään aina.

Internet Explorerin evästetyökalut

Internet Explorerissa evästeet poistetaan valitsemalla Työkalut-valikossa Poista Selaushistoria…

Seuraavassa valikossa napsautetaan Poista evästeet…, joka pyyhkii selaimesta kaikki evästeet.

Evästeasetuksia pääsee virittelemään valitsemalla Työkalut-valikosta Internet-asetukset ja sieltä Tietosuoja-välilehden. Evästeasetuksia on helpointa ja selkeintä säätää ruudun vasemmassa ylälaidassa olevalla pystysuoralla liukukytkimellä. Tarkemmin asetuksia pääsee virittelemään napsauttamalla Lisätiedot-painiketta.

Lisäasetukset-ikkunassa voi valita, millä ehdoilla ensimmäisen ja kolmannen osapuolen evästeet hyväksytään, sekä hyväksytäänkö evästeet, jotka ovat voimassa vain siihen asti, että selain suljetaan.

Napsauttamalla Tietosuoja-välilehdellä Sivustot-painiketta pääsee määrittelemään evästeasetuksia yksittäisille sivustoille.

Janos Honkonen