Kolmannen osapuolen evästeet tekevät kuolemaa. Vaan miksi toisia evästeitä jahdataan sukupuuttoon samalla kun toiset saavat kukoistaa? Lue tämä niin ymmärrät, mitä eroa eri evästeillä on, miksi toiset ovat pahempia kuin toiset ja miksi meidänkin blogissamme evästeistä on kirjoitettu niin paljon.
”Evästeet ovat pieniä tekstitiedostoja, joita verkkosivu tallentaa selaimeesi.”
Montako kertaa olet lukenut tämän selityksen? Itse olen kirjoittanut sen varmaan satoja kertoja. Vaan mitä tämä käytännössä oikein tarkoittaa? Avaan evästeiden toimintaa tässä blogitekstissä, joka olisi ansainnut tulla kirjoitetuksi jo vuosia sitten, kun evästeet nousivat puheenaiheeksi.
Evästeet kehitettiin 90-luvun puolivälissä paikkaamaan erästä suurta puutetta verkkosivujen tekniikassa: tilattomuutta (statelessness). Tilattomuudesta johtuen jokainen kutsu, jonka käyttäjän selain lähettää verkkosivua ylläpitävälle palvelimelle, on itsenäinen ja luonteeltaan anonyymi. Teknisessä mielessä siltä puuttuu ”tila” (state). Siispä käyttäjän klikatessa itsensä sivulta toiselle palvelin ei tiedä, että seuraavan sivun lataa sama käyttäjä. Verkkosivun muisti on siis lyhyempi kuin kultakalalla. Palvelin unohtaa käyttäjän heti toimitettuaan tälle pyydetyn sivun sisällön.
Perusverkkosivuilla, joiden tehtävä on vain välittää tietoa käyttäjälle, tämä on täysin riittävää. Edistyneempien sovellusten kuten verkkokauppojen kohdalla käyttäjän aiempien toimien tunteminen on kuitenkin oletusarvoisen tärkeää. Muutoin verkkokauppa ei voi tietää, kenen ostoskoria ollaan juuri maksamassa tai edes mitä tuotteita koriin on lisätty.
Evästeet ovat keino tämän aukon paikkaamiseksi. Niiden kautta verkkosivulla on mahdollisuus tallentaa tietoa käyttäjän vierailun yhteyteen, jolloin palvelin voi tunnistaa käyttäjän samaksi, joka juuri lisäsi tuotteen ostoskoriin tai lähetti viestin chattiin. Evästeiden avulla verkkosivut saivat muistin, mutta samalla osa käyttäjien anonymiteetistä menetettiin.
Eväste toimii kuin nimilappu, josta verkkosivu voi tunnistaa käyttäjän samaksi, joka vieraili hetki sitten toisella sivulla.
Suurin osa bisneslogiikasta asuu silti palvelimella. Evästeeseen riittää tallentaa vain pieni määrä tietoa, kuten lyhyt numerosarja, jonka avulla käyttäjän selaimelta tulevat uudet kutsut voidaan yhdistää aiempiin tapahtumiin. Tämän vuoksi evästeistä puhuttaessa usein mainitaan, että ne ovat pieniä tekstitiedostoja. Evästeet eivät siis sisällä suoritettavaa ohjelmakoodia, eli ne eivät voi lukea tietokoneessa olevia tiedostoja, sisältää viruksia tai tehdä muutakaan haitallista, joka rikkoisi käyttäjän tietokoneen tai varastaisi sieltä tietoja.
LocalStorage ja SessionStorage
Varsinaisten evästeiden lisäksi nykyaikaisissa selaimissa on myös muita tietovarastoja, joihin verkkosivu voi tallentaa tietoa. Selkeyden vuoksi tässä blogissa puhutaan evästeistä kattoterminä näille kaikille.
Evästeen suomenkielinen nimi onkin aika mainio. Se ”evästää” eli tarjoaa eväitä eli lisää tietoa selaimen ja palvelimen väliseen kommunikaatioon.
Kuka evästeen tallentaa? Ja miten pitkäksi aikaa?
Edellä mainitun verkkokauppaesimerkin mukaisia evästeitä kutsutaan sessioevästeiksi. Niiden elinkaari on lyhyt: ne kuolevat, kun selain suljetaan. Tällaiset evästeet ovat välttämättömiä nykyaikaisen verkkopalvelun toiminnalle, ja ne onkin rajattu myös viranomaissääntelyn ulkopuolelle.
Evästeen voi kuitenkin tallentaa selaimeen myös pidemmäksi aikaa, jopa pysyvästi. Jos evästeelle ei ole asetettu vanhenemisaikaa, sitä kutsutaan persistentiksi. Pitkäaikaiset evästeet ovat yleensä sellaisia, joiden tehtävänä on tallentaa käyttäjän asetukset tai pitää käyttäjä kirjautuneena sisään. Näin käyttäjän ei tarvitse tehdä samoja toimenpiteitä uudelleen ja uudelleen jokaisella vierailulla. Esimerkiksi suosittu Wordle-sanapeli tallentaa pelin tulokset ja käyttäjän päivittäisen edistymisen. Pidemmäksi aikaa tallennettaviin evästeisiin tulee nykyisen EU-lainsäädännön velvoittamana aina pyytää käyttäjän lupa.
Erityistä merkitystä on lisäksi sillä, kuka evästeen tallentaa. Tässä kohtaa aletaan mennä pahisevästeiden tontille. Ensimmäisen osapuolen evästeen sisältämän tiedon voi lukea ainoastaan se verkkosivu, joka evästeen on tallentanut. Tyypillisesti kaikki edellä mainitut tarpeet voidaan hoitaa ensimmäisen osapuolten evästeillä.
Kolmannen osapuolen evästeen tallentaa jokin verkkosivun ja sen käyttäjän ulkopuolinen taho eli kolmas osapuoli, esimerkiksi videontoistopalvelu, chat-palvelu, sisäänkirjautumispalvelu, analytiikkatyökalu tai mainosverkosto.
Ongelmana kolmannen osapuolen evästeiden kanssa on, että niiden sisältämät tiedot voidaan lukea käyttäjän selaimesta myös silloin, kun käyttäjä vierailee jollain toisella sivulla.
Tämä mahdollistaa sen, että tallentamalla kolmannen osapuolen evästeitä isot yritykset, kuten Google, voivat kerätä valtavan määrän tietoa käyttäjien selailuhistoriasta. Ja tämä tieto on arvokasta, sillä sen avulla voidaan kohdentaa mainoksia.
Tarvitaanko tanssiin todella kolme?
Verkkomainontaan keskittyneet yritykset huomasivat nopeasti kolmannen osapuolen evästeiden potentiaalin ja rakensivat niiden varaan kokonaisen liiketoimintamallin kasvaen valtaviksi vaikuttajiksi maailman mainosmarkkinoilla. Muistatko vielä Facebookin ”Tykkää”-napin, joita vielä muutama vuosi sitten oli kaikilla verkkosivuilla? Kyllä, evästeitä. Yli kahden vuosikymmenen ajan mainosjätit ehtivät säälimättä riistohyödyntää kolmannen osapuolen evästeitä ja tekivät samalla niiden avulla käsittämättömän määrän rahaa. Googlen tuotoista jopa 80 prosenttia tulee mainonnasta, josta valtaosassa hyödynnetään evästeitä. Nyt ratkaisua hakevan ongelman juurisyy on juurikin kolmannen osapuolen evästeiden laajalle levinnyt väärinkäyttö. Evästeet itsessään eivät ole sen kummemmin hyviä kuin pahojakaan, ne ovat vain pieniä tekstitiedostoja.
Kolmannen osapuolen evästeiden ongelmat huomattiin ja niiden käyttöä yritettiin rajoittaa heti evästeiden keksimisen jälkeen – tuloksetta. Viime vuosina ongelmiin on viimein alettu hakea ratkaisua. Sekä viranomaisten lainsäädäntötyö että tekniikkayritysten itsesääntelytoimet kaventavat evästeiden ja niitä käyttävien mainosjättien valtaa – ja tuottoja. Tilalle tulee todennäköisesti jotain uutta, sillä evästeet ovat kaikesta huolimatta tarpeellisia. Apple luopui jo evästeistä ja mainostajat pärjäävät silti. Google on kehitellyt jo viiden vuoden ajan omaa Privacy Sandbox -hankettaan. Sosiaalisen median palvelut keräävät tietoa palvelinten välisellä tiedonvaihdolla Conversions APIn tyylisten ratkaisujen kautta. Kolmannen osapuolen evästeiden kuolema saattaa hyvinkin johtaa tilanteeseen, jollaista evästeiden keksijät alun perin tavoittelivat.
Joka tapauksessa evästeillä tankattujen kohdennusjuhlien aika alkaa olla ohi ja krapula saattaa olla melkoinen.
Lue lisää evästeistä LM Somecon blogissa
Lue Emman kirjoitus mainonnan kohdentamisesta evästeiden jälkeen.
Millainen evästekyselyn tulisi olla? Katso ohjeet evästekyselyn laatimiseen.
Lue evästeettömän analytiikan mahdollisuuksista.
EU:n työkalulla voit tarkistaa, mitä evästeitä verkkosivu tallentaa. Katso ohjeet ja video.