Web-surffailuasi seurataan

Fallback Jani Järvinen

Jani Järvinen • Kuva: Timo Simpanen

Web-surffailuasi seurataan

Web-sivujen selailu on niin arkipäiväistä, ettei siihen välttämättä edes kiinnitä huomiota. Avoin internet-teknologia kuitenkin antaa mahdollisuuden seurata jokaisen käyttäjän web-surffailua varsin tarkasti.

Web-selailu eli teknisesti maailmanlaajuisen www-palvelun (world wide web) käyttö on yksi internetin tärkeimmistä toiminnoista sähköpostin, tiedostojaon ja pikaviestinnän ohella. Julkiseen verkkoon julkaistuja web-sivustoja on lukematon määrä, ja kaikkiin näistä pääsee käsiksi omasta selaimesta.

Web-surffailun varsinainen työjuhta on http-protokolla, hypertext transfer protocol. Sen toiminta perustuu asiakas/palvelin-tyyppiseen jakoon, jossa asiakasohjelmisto (web-selain) lähettää pyyntöjä web-palvelimelle, joka vuorostaan vastaa asiakasohjelmalle. Perustapauksessa jokainen pyyntö kulkee verkossa salaamattomana, minkä lisäksi palvelimen lokitietoihin jää lähes aina merkintä pyynnöstä.

Erään pyynnön anatomia

Http-protokolla, kuten muutkin internetin ylemmän tason protokollat, käyttää varsinaiseen tietoliikenteeseen ip-protokollaa (internet protocol). Ip-protokollassa internetin osoitteet ovat numeerisia, ja niinpä käyttäjän kirjoittaessa osoitteen www.tietokone.fi selaimeensa, täytyy annetun nimen takana oleva ip-osoite selvittää nimipalvelusta (dns, domain name system).

Kun ip-osoite on selvillä, selain lähettää osoitteeseen http-protokollan mukaisen pyynnön. Pyyntö matkaa helposti kymmenienkin palomuurien ja reitittimien läpi kohti varsinaista web-palvelinta. Lopulta pyynnön vastaanottava web-palvelin palauttaa halutun html-sivun tai vaikkapa kuvan selaimelle.

Vaikka yksittäinen http-protokollan pyyntö on kooltaan pieni, usein alle kilotavun kokoinen, se sisältää kuitenkin paljon tietoa. Ip-osoite kertoo pyynnön lähdeosoitteen, ja edelleen myös selaimen fyysisestä sijainnista. Http-pyyntö taas sisältää tietoja käyttäjän selaimesta, käyttöjärjestelmästä, käyttäjän kielestä ja jopa asennetuista lisäohjelmista.

Seurantaa ajatellen web-selailuun liittyy vielä yksi mielenkiintoinen ominaisuus: evästeet (cookies). Evästeitä pidetään usein lähtökohtaisesti pahana ja ongelmallisina, mutta teknisesti ne ovat vain tapa välittää tietoja selaimen ja web-palvelimen välillä. Ne mahdollistavat monia hyödyllisiä ja tarpeellisia asioita, mutta niitä voidaan käyttää myös käyttäjien seurantaan. Esimerkiksi monen sivuston ostoskoritoiminnallisuus edellyttää tukea evästeille, joten niiden täydellinen esto rampauttaa sivustoja samaan tapaan kuin esimerkiksi flash-laajennuksen poisto.

Tieto talteen ja käyttöön

Kun käyttäjä pyytää selaintaan näyttämään tietyn sivun, on teoriassa jokaisella laitteella, jonka läpi pyyntö kulkee, mahdollisuus tallentaa siitä tietoja omiin lokeihinsa. Internetin toimintaperiaatteen mukaisesti laitteiden omistajia ei voi tietää, eikä kukaan välttämättä kerro, millaisia tietoja kerätään ja miten tietoja käsitellään.

Kotimaassa ja EU:n sisällä toimittaessa monet lait vaikuttavat siihen, miten lokitietoja voidaan käsitellä, mutta maailmanlaajuisella skaalalla takuita lokien käytöstä ei saa. Lokeja myös kerätään monella tasolla aina operaattoritasolta web-sivustojen ylläpitäjiin saakka.
Mitä pienemmässä yksikössä lokitietoja kerätään, sitä paremmat ovat mahdollisuudet käyttäjäkohtaiseen seurantaan. Tämä johtuu siitä, että esimerkiksi operaattoritasolla tietomäärät ovat niin suuria, että niiden jatkuva, tarkka käsittely vaatisi kalliita laitteistoja. Sen sijaan yksittäiselle web-sivustolle ei juuri koskaan tule niin paljon pyyntöjä, ettei lokeja voitaisi kerätä ja analysoida.

Operaattorien verkkojen läpi kulkee monenlaista tietoliikennettä, josta web-selailu on vain osa. Operaattoritasolla tietoliikenteen seuranta on käytännössä teknisen toimivuuden valvontaa, kapasiteetin varmistamista ja ongelmatilanteiden ratkomista. Operaattorit tarvitsevat tietoja verkon tilasta voidakseen selvittää, toimivatko verkon palvelut toivotulla tavalla, ja mistä mahdolliset ongelmat johtuvat. Esimerkiksi nimipalvelimen välimuistista tai lokeista on helppo katsoa, missä käyttäjät vierailevat.

Toisinaan myös viranomaiset ovat kiinnostuneita operaattorien lokeista. Esimerkiksi verkkoa tai yksittäisiä palvelujen ylläpitäjiä kohtaan tehdyt hyökkäykset voivat olla tietoliikenteen häirintää, josta säädetään rikoslain 38 luvussa. Jotta rikoksen selvittäminen onnistuisi, tarvitaan tietoja siitä, mitä verkossa on tietyllä hetkellä tapahtunut.

Verkosta palvelimeen

Operaattoritasolta siirrytään verkkojen ja yksittäisten palvelinten tasolle. Web-palvelimista puhuttaessa yksi järeä palvelin palvelee helposti kymmeniä pieniä sivustoja, mutta toisaalta suurimmat sivustot pyörivät kymmenien, jopa satojen palvelinten turvin.
Web-palvelinten lokeista löytyy paljon tietoja. Web-sivuston ylläpitäjästä riippuu, millaisia intressejä sillä on lokitietojen käyttöön. Todennäköisesti jokaista vähemmänkään vakavaa sivustoa valvotaan ainakin teknisen toimivuuden takaamiseksi. Tämä voi olla esimerkiksi toimimattomia linkkien karsintaa tai sovellusvirheiden eliminointia.

Kaupallisilla sivustoilla on yleensä paljon muitakin intressejä web-sivustojensa seuraamiseen kuin pelkkä tekninen valvonta. Myynnin edistämiseksi on hyödyllistä tietää, mitä sivuja asiakkaat katsovat ja missä järjestyksessä. Jos jokin tietty tapa hakea tuotetta tai palvelua on muita suositumpi, voidaan käyttäjien huomio kohdistaa aiempaa paremmin juuri tähän tuotteeseen.

Amazon-verkkokauppa on yksi dynaamisesti muuttuvan web-kauppapaikan pioneereista, ja se käyttääkin tehokkaasti aiempien käyttäjien valintoja ehdottaakseen suosikkeja uusille käyttäjille. Tällaisia toimintoja varten tarvitaan jo yksityiskohtaisempia sovellustason lokeja.

Ip-osoitteesta käyttäjään

Web-palvelimen lokeista katsottuna web-sivupyynnöt tulevat ip-osoitteista. Ip-osoitteen perusteella voidaan usein selvittää koneen nimi sekä maantieteellinen sijainti, jonka kautta pyyntö tuli, mutta tämä ei suinkaan aina auta yksittäisen käyttäjän tunnistamisessa. Usein on nimittäin niin, että yrityksen verkko on pystytetty siten, että ulospäin näkyy vain yksi ip-osoite. Niinpä vaikkapa sadan hengen yrityksen kaikki käyttäjät näyttävät tulevan samasta osoitteesta.

Avuksi voidaan ottaa evästeet. Evästeillä kullekin käyttäjälle voidaan antaa yksilöllinen tunniste riippumatta käyttäjän ip-osoitteesta. Evästeen avulla ja evästetiedot sisältävällä lokitiedolla voidaan yksilöidä käyttäjä, mutta käyttäjän nimeä ei näin saada vielä selville.

Nimi sen sijaan selviää, jos sivusto vaatii rekisteröintiä. Jos esimerkiksi web-kauppapaikka tarvitsee yhteystietoja tilauksen toimittamiseksi perille, saadaan asiakkaan nimi ja selailukäyttäytyminen yhdistettyä. Näitä tietoja voidaan tarvittaessa käyttää hyvinkin pitkälle personoituun markkinointiin.

Vaikka internet-teknologia antaa jopa hätkähdyttäviä mahdollisuuksia käyttäjien seurantaan, tarjoaa arkinen kaupassakäynti myyjälle täysin vastaavia tunnistamismahdollisuuksia. Tässä mielessä yksityisyyden suoja ei välttämättä ole internetissä sen huonompi kuin nykyelämässä muutenkaan. Internetin turvattomuuteen on kuitenkin syytä suhtautua vakavasti siksi, että kyseessä on avoin ja maailmanlaajuinen verkko.

Näin surffaat webissä yksityisyytesi säilyttäen

Jos yksityisyys verkossa huolettaa, voi apuna käyttää muutamia melko yksinkertaisia keinoja. Tekniseltä kannalta käyttäjän ip-osoite ja mahdolliset evästeet ovat tärkeitä tunnistamistietoja.

Ip-osoitettaan ei voi noin vain vaihtaa, mutta verkkoa voi selailla niin sanottujen avointen välitys-palvelinten kautta. Näitä on sekä täysin avoimia että maksullisia, mutta palvelimen tai palvelun myyjän valinnassa on syytä käyttää harkintaa, ettei joudu ojasta allikkoon. Evästeet voi halutessaan kokonaan estää joko selaimen tai esimerkiksi tietoturvaohjelmiston asetuksista.

Jos johonkin palveluun edellytetään kirjautumista, ei esimerkiksi työnantajan sähköpostiosoitetta ole syytä käyttää. Itselleen voi perustaa uuden maksuttoman sähköpostiosoitteen, jollaisia tarjoavat monet tahot. Suomalaisia palveluita ovat esimerkiksi Luukku.com, Suomi24.fi ja Wippies.

Arkaluontoisen tiedon leviämistä muiden käsiin voi hidastaa salaamalla tietoliikenne. Web-surffailun tapauksessa tämä tarkoittaa https-protokollan käyttöä. Kaikki sivustot eivät tue https:n käyttöä, mutta kokeilu ei maksa mitään.

Verkkoviidakon lait ja evästeet

Nettiliikenteen niin kutsutut tunnistetiedot ovat jo pitkään kuumentaneet mielialoja, koska yksityisyyden suojan pelätään vaarantuvan. Samasta syystä evästeet ovat aiheuttaneet hermoilua.

Viestintäviraston lakimiehen Jarkko Saarimäen mukaan tunnistamistiedot on yleensä hävitettävä heti, kun niiden käsittely ei enää ole välttämätöntä. Lainsäädäntö kuitenkin on muuttumassa siten, että teleyritykset velvoitetaan säilyttämään tiettyjä tunnistetietoja viranomaistarpeisiin määräajan. Teleyritykset itse saavat käsitellä tietoja joissakin tilanteissa.

”Laki sähköisen viestinnän tietosuojasta velvoittaa teleyrityksiä esimerkiksi seuraamaan tietoliikennettä ja puuttumaan siihen, jos palvelun tietoturva sitä edellyttää”, Saarimäki selvittää. Tällaisissa tilanteissa tosin on useimmiten kyse reaaliaikaisesta virusten ja roskapostin suodatuksesta, eikä tietojen tallentamistarvetta ole.

Kertyviä tunnistamistietoja ei myöskään saa tutkia sattumanvaraisesti.

”Tunnistamistietojen käsittelystä on laissa kuvatut säännöt, joten kuka hyvänsä ei voi missä tarkoituksessa tahansa kajota tietoihin”, Saarimäki huomauttaa.

Anonyymi nettisivujen kävijäseuranta tavallisten lokitietojen pohjalta ei ole ongelma lain silmissä. Evästeitä säädellään lakipykälällä sen verran, että palvelun tarjoajaa vaaditaan antamaan käyttäjälle ymmärrettävät ja kattavat tiedot evästeiden tallentamisen tai käytön tarkoituksesta.

Evästeet mittarina

Suomessa suurimmat nettisivustot seuraavat kävijä- ja käyntimääriä TNS Gallupin kehittämällä TNS Metrix -mittauksella. Mittauksissa keskeinen työkalu ovat evästeet.

”Evästeet eivät mitenkään yksilöi käyttäjiä tai paljasta henkilötietoja, vaan ne antavat selaimelle eräänlaisen numerolapun”, TNS Gallupin yksikönjohtaja Ismo Tenkanen selostaa. Käyttäjän koneelle tallennettavan pienen evästetiedoston perusteella verkkosivusto voi paitsi laskea käynnit sivustolla myös palvella kävijää esimerkiksi säilyttämällä aiemman kielivalinnan.

Tenkanen vertaa online-kävijämittausta painetun median levikintarkastukseen.

”Toimimme puhtaasti mediayleisön mittaajana, ja meille keskeinen asia ovat yhteiset säännöt, joiden pohjalta saadaan vertailukelpoisia lukuja. Toki teemme myös sitä, mikä tietoturvayhtiöille on kauhistus, eli tutkimme, miten paljon palvelulla A ja B on yhteisiä kävijöitä, mutta sehän on mediasuunnittelun lähtökohta”, Tenkanen valottaa.

Hän myöntää, että osa evästeisiin kohdistuvista peloista on aiheellisia. ”Suomessakin on kuumia myyntikontakteja myyviä yrityksiä, jotka yhdistelevät online-mittaustietoja kontaktitietoihin. Nämä harmaan alueen yritykset ovat niitä oikeita yksityisyysongelmia”, Tenkanen sanoo.

ARI SAARELAINEN

Tagit: -
Lähetä Tulosta Tilaa RSS-syöte
Takaisin ylös

Tietokone 7/2011 julkaisupäivä 10.8.2011

Yrityskannettavia ja palomuureja

Elokuun Tietokoneessa testataan uusia Intelin Sandy Bridge -suorittimen vauhdittamia tehokannettavia. Viivalle on asetettu myös uuden sukupolven palomuurit sekä 27-tuumaiset näytöt. Testipuntariin on päätynyt lisäksi muun muassa Applen käyttöjärjestelmän juuri ilmestynyt Lion-versio. Reportaaseissa paneudutaan mobiililaitteiden tietoturvaan ja sosiaaliseen mediaan työkäytössä.

Tilaa Tietokone-lehti Osta digilehti
Takaisin ylös

Fallback

Lehden uusimmat numerot ovat vain tilaajien luettavissa. Vanhemmat numerot ovat vapaasti kaikkien luettavissa.

Voit myös ostaa Tietokoneen digilehden.

Uusimmat uutiset

Näytä kaikki

Uusimmat softaesittelyt

Näytä kaikki

Uusimmat blogimerkinnät

Näytä kaikki

Uusimmat keskustelut

Näytä kaikki
Tietokone

IT-työpaikkailmoitukset

Näytä kaikki
TTL ry
Pieni kirjapuoti
Takaisin ylös