Evästeet eivät ole vielä kuolleet: Googlen uusi suunnitelma pitää sinut jäljitettynä kaikkialla internetissä
Kolmannen osapuolen evästeet ovat (lähes) kuolleet Googlen Chromessa – eläköön kolmannen osapuolen evästeet?
Kysymys siitä, pitääkö tämä tosiasiassa paikkansa, herättää Googlen äskettäin käyttöön ottama ominaisuus nimeltä Related Website Sets (RWS) (jonka nimi on muutettu First-Party Setsistä).
”Yrityksen tapa ilmoittaa sivustojen välisistä suhteista”, Google tiivistää sen.
Tarkemmin sanottuna se määrittelee ryhmän ”liittyviä sivustoja”, joilla on yhteistä ”luotettavaa sisältöä”.
Kuvittele, että omistat joukon avaimia talon eri huoneisiin – jokainen huone edustaa eri verkkosivustoa, jonka omistaa sama yritys (kuten Googlen YouTube, Gmail ja Google Maps). RWS:n avulla Google ehdottaa skenaariota, jossa kun avaat yhden huoneen, muut huoneet tunnistavat sinut ja avautuvat automaattisesti tarvitsematta avainta uudelleen. Tämä ”tunnistaminen” liittyy teknisesti siihen, miten verkkosivustot tunnistavat ja jäljittävät käyttäjiä saman yrityksen omistamissa eri palveluissa.
Kun vierailet verkkosivustolla, pienet evästeiksi kutsutut tietopaketit auttavat sivustoa muistamaan tietoja vierailustasi. Perinteisesti yhden verkkosivuston evästeitä ei ole voitu jakaa toisen verkkosivuston kanssa, elleivät ne ole nimenomaisesti tehneet yhteistyötä (kuvittele, että tarvitaan erityinen sopimus saman avaimen käyttämiseksi eri henkilöiden omistamissa huoneissa). RWS muuttaa tämän sallimalla saman yrityksen omistamien verkkosivustojen ryhmän tunnistaa toistensa evästeet automaattisesti.
RWS:n kannattajat väittävät, että se parantaa käyttäjäkokemusta luomalla saumattoman vuorovaikutuksen useiden palvelujen välillä. Jos olet esimerkiksi kirjautunut Gmailiin, voit helposti käyttää YouTubea tai Google Mapsia kirjautumatta uudelleen. Heidän mukaansa kyse on mukavuudesta ja käyttäjäystävällisten palvelujen säilyttämisestä kilpailluilla markkinoilla.
Kriitikoiden näkökulma
Kriitikot näkevät RWS:n kuitenkin hienostuneena välineenä käyttäjien syvällisempään seurantaan ja profilointiin. Ensisijainen huolenaihe on, että sallimalla verkkosivustojen evästeiden jakamisen Google voisi mahdollisesti seurata käyttäjiä kattavammin eri palveluissa ja koota tietoja heidän toiminnastaan tavalla, jota käyttäjät eivät ehkä odota tai josta he eivät ole tietoisia.
Lisääntyneet seurantamahdollisuudet: RWS:n avulla kun olet vuorovaikutuksessa yhden joukon verkkosivuston kanssa, muut joukon verkkosivustot voivat käyttää näitä tietoja, mikä voi johtaa yksityiskohtaisempaan verkkokäyttäytymisen seurantaan. Esimerkiksi se, mitä haet Googlessa, voi vaikuttaa siihen, mitä näet YouTubessa ilman selkeitä rajoja.
Suostumuksen hämärtyvät rajat: Käyttäjien on vaikeampi hallita yksityisyysasetuksiaan, kun heidän tietojaan jaetaan automaattisesti useilla sivustoilla. Tämä voi hämärtää rajaa siinä, mitä käyttäjät ovat suostuneet jakamaan, jolloin heidän on vaikea ymmärtää, kenellä on heidän tietonsa ja miten niitä käytetään.
Tietojen leviämisen mahdollisuus: Useiden verkkosivustojen mahdollisuus käyttää samoja evästeitä voi johtaa henkilötietojen leviämiseen eri alustoille, mikä lisää tietomurtojen tai luvattoman tietojen jakamisen riskiä.
Yksi Google Chromen yksityisyyteen ja tietoturvaan keskittyvistä vaihtoehdoista ja Brave Browser -selaimen tekijät, Brave Software, päätti tutkia asiaa tarkemmin yhdessä St. Andrewsin yliopiston, Imperial College Londonin ja Hong Kong University of Science & Technologyn tutkijoiden kanssa.
He laativat tutkimuksen, jossa selvitettiin, mitä haittoja ja riskejä RWS voi aiheuttaa, jos ja miten se mahdollistaa kolmansien osapuolten evästeiden (joiden poistaminen käytöstä on nyt jo pitkäksi venyneessä prosessissa) ”paluun” eri muodossa ja mitätöi yksityisyyden suojaan liittyvät edut, jotka olisivat muuten hyödyttäneet käyttäjiä.
Googlen mukaan RWS:n tavoitteena on luoda uudelleen kolmannen osapuolen evästeiden aiemmin mahdollistamat ”kokemukset”, mutta tällä kertaa vain ”parannettu yksityisyys” mielessä. Google on yksiselitteinen: ”kokemukset” ovat välttämättömiä, ja ne on luotava uudelleen.
”Related Website Sets on tapa, jolla yritys voi ilmoittaa sivustojen väliset suhteet niin, että selaimet sallivat kolmannen osapuolen evästeiden rajoitetun käytön tiettyihin tarkoituksiin”, Google toteaa kehittäjille suunnatulla sivustollaan.
Ja Chrome käyttää sitten näitä tietoja ”päättääkseen, milloin se sallii tai estää sivuston pääsyn evästeisiinsä, kun se on kolmannen osapuolen yhteydessä”.
Yksi asia näyttää melko selvältä – Google lykkää jatkuvasti kolmannen osapuolen evästeiden poistamista käytöstä, kun se kehittää korvaavaa vaihtoehtoa. Ainoa todellinen kysymys on nyt, onko korvaaja parannus vai pelkkä viikunanlehti.
Brave-sivustolla tiivistetty tutkimus RWS-käyttäytymisestä väittää, että huolimatta Googlen myönteisestä suhtautumisesta ominaisuuteen, RWS aiheuttaa haittaa yksityisyydelle, koska se ”kumoaa osan kolmannen osapuolen evästeiden poistamisen yksityisyyden suojaa koskevista eduista”.
Kolmannen osapuolen evästeiden loppu
Kolmannen osapuolen evästeet ovat jo vuosia olleet verkkomainonnan selkäranka, sillä ne ovat seuranneet käyttäjien toimintaa eri sivustojen välillä, jotta voidaan tarjota yksilöllisiä mainoksia. Nämä evästeet on asetettu muilla verkkotunnuksilla kuin sillä, jolla vierailet suoraan, ja niiden avulla mainostajat voivat seurata selaustottumuksiasi eri puolilla verkkoa. Tämä käytäntö on kuitenkin herättänyt huomattavia huolia yksityisyyden suojasta, mikä on johtanut tiukempiin säännöksiin, kuten GDPR:ään Euroopassa ja CCPA:han Kaliforniassa.
Vastauksena näihin huolenaiheisiin ja kuluttajien yksityisyydensuojaa koskevien mielipiteiden muuttumiseen Google ilmoitti poistavansa kolmannen osapuolen evästeet Chrome-selaimestaan. Tätä päätöstä vauhdittivat myös muiden selainten, kuten Firefoxin ja Safarin, samankaltaiset toimet, sillä ne olivat jo alkaneet estää kolmansien osapuolten evästeet oletusarvoisesti.
RWS mahdollistaa sen, että joukko toisiinsa liittyviä verkkosivustoja tunnistaa toistensa evästeet. Tämä tarkoittaa, että vaikka kolmannen osapuolen evästeet on estetty, saman omistajan alaisuudessa olevat verkkosivustot voivat silti jakaa seurantatietoja keskenään.
Lisäksi Googlen perustelut ominaisuuden käyttöönotolle – eräänlaisena avoimuusmerkkinä Chromen käyttäjille siitä, että yksi organisaatio ylläpitää eri sivustoja – ovat suurelta osin hyödyttömiä, kun otetaan huomioon, kuinka moni käyttäjä todella kiinnittää tähän huomiota.
Miten RWS ja sen ”yksi organisaatio ylläpitää eri sivustoja” todellisuudessa toimii, voidaan selittää esimerkin avulla, jossa Google käyttää sitä yhdistämään YouTubessa katsotut videot (riippumatta siitä, onko käyttäjä kirjautunut tililleen vai ei) hänen yleiseen Google-tiliinsä. Sama pätee esimerkiksi Facebookiin ja Instagramiin, sillä molemmat kuuluvat Metalle.
Mutta miksi käyttäjä ajattelisi, että hänen yksityisyytensä on yhtään parempi kuin nyt, kun kolmannen osapuolen evästeet seuraavat häntä ja imevät hänen henkilökohtaisista tiedoistaan elämän mainosbisneksen ruokkimiseksi?
Miksi huoli?
- Seurannan jatkuminen: Kolmansien osapuolten evästeiden asteittaista poistamista pidettiin yksityisyydensuojan puolustajien kannalta voittona, mutta RWS-järjestelmän käyttöönotto saattaa tuntua askeleelta taaksepäin. Se antaa Googlelle mahdollisuuden jatkaa käyttäjien seurantaa laajassa palveluvalikoimassaan ja säilyttää mahdollisuuden luoda yksityiskohtaisia profiileja käyttäjien mieltymyksistä, kiinnostuksen kohteista ja käyttäytymisestä.
- Vallan siirtyminen: Vallan siirtymisen voidaan katsoa siirtävän vallan dynamiikkaa sellaisten suurten monialayritysten hyväksi, jotka omistavat useita alustoja. Pienemmät yritykset ja riippumattomat sivustot eivät hyödy RWS:n yhteenliitetyistä mahdollisuuksista, mikä saattaa johtaa vähemmän kilpailukykyisiin markkinoihin, joilla suurimmilla toimijoilla on entistäkin suurempi etu käyttäjien seurannassa ja kohdentamisessa.
- Yksityisyyden suojaan ja avoimuuteen liittyvät kysymykset: On huolestuttavaa, kuinka avoin Google on tämän uuden seurantamenetelmän suhteen. Käyttäjät eivät ehkä täysin ymmärrä, miten heidän tietojaan jaetaan eri alustoilla, mikä voi johtaa haasteisiin yksityisyysasetusten tehokkaassa hallinnassa useissa eri palveluissa.
Tutkimuksen mukaan käyttäjien ei pitäisi ajatella näin, ja Google ei ainoastaan hallitse odotuksia vaan pyrkii periaatteessa luomaan niitä.
”Käyttäjä odottaa jo nyt, että molemmat sivustot jakavat tietoja keskenään”, ja siksi selaimen ei tarvitse estää kolmannen osapuolen evästeitä, jos kyseiset sivustot ovat saman organisaation omistuksessa, tutkimuksessa kiteytetään Googlen RWS-pitch.
Tutkimuksen tulokset viittaavat kuitenkin siihen, että RWS on vain yksi niistä monista ominaisuuksista, joita on perinteisesti kehitetty ja otettu käyttöön Big Techin Internet-liiketoimintamallin ylläpitämiseksi, nimittäin niiden, jotka hyödyttävät mainosalaa.
Tutkijat havaitsivat, että RWS:n myötä internetin ”yksityisyysmalli” on saamassa uuden iskun, joka heikentää sitä.
”Kuten niin monet muutkin käyttäjiä vahingoittavat ja tarpeettoman monimutkaiset valinnat Chromen yleisessä ”Privacy Sandbox” -ehdotuksessa, RWS on olemassa varmistaakseen, että Chrome palvelee edelleen ensisijaisesti mainostajien tarpeita, vaikka Google olisi häpeällisesti (vihdoin) luopunut kolmansien osapuolten evästeistä”, tutkimuksen yhteenvedossa huomautetaan.
Tutkimuksessa testattiin, voisivatko (useimmat) internetin käyttäjät itse asiassa määrittää, ovatko sivustot ”sukua” ja mikä on tarkkuus, kuten RWS:n omassa sivustojen sukulaisuusluettelossa todetaan.
”Tutkimuksessamme suuri enemmistö käyttäjistä (~73 %) teki ainakin yhden virheellisen määrityksen siitä, olivatko kaksi sivustoa sukua toisilleen, ja lähes puolet (~42 %) tutkimuksen aikana tehdyistä määrityksistä (eli kaikkien käyttäjien kaikista määrityksistä) oli virheellisiä”, testitulokset osoittivat.
”Huolestuttavinta oli se, että tapauksissa, joissa molemmat sivustot liittyivät toisiinsa (RWS-ominaisuuden mukaan), käyttäjät arvelivat, että sivustot eivät liittyneet toisiinsa ~37 prosentissa tapauksista, mikä tarkoittaa, että käyttäjät olisivat luulleet Chromen suojaavan heitä, vaikka se ei suojannutkaan.”
Kun RWS-ominaisuuden peruslähtökohta on ”pohjimmiltaan virheellinen”, syntyy toinen ongelma: miksi käyttäjien pitäisi ajatella, että kahden sivuston hallinta saman organisaation toimesta tekee niistä yksityisyyden kannalta turvallisia? Tutkimuksen tekijöiden mukaan heidän ei pitäisi.
He sanovat edelleen, että toisin kuin Chrome, muut selaimet, kuten Brave, Firefox ja Safari, pystyvät estämään toisiinsa liittyviä sivustoja seuraamasta käyttäjiä (mutta heidän pitäisi rekisteröidä tilit eri sähköposteilla ja ”tiedoilla” – mikä tarkoittaa, että edes tämä ei estä Googlea ”linkittämästä” käyttäjän toimintaa eri sivustoilla).
Samalla RWS:ää myydään ”hyödyllisenä” ja merkittävänä positiivisena erona kolmannen osapuolen evästeisiin.
Huomautetaan, että jotkut yritykset pyrkivät aktiivisesti jäljittämään käyttäjiä eri sivustoilla ja ohittamaan muiden selainten yksityisyyttä suojaavat ominaisuudet, mutta Chrome mahdollistaa tällaiset pyrkimykset, vaikka nämä yritykset pyrkivätkin torjumaan niitä.
Ottaen huomioon Chromen markkinaosuuden RWS on huono uutinen verkolle, mutta siinä on myös jotain hyvää. Lähimmät kilpailijat, kuten Brave, Firefox ja Safari, ovat hylänneet RWS:n, ja lisäksi tämä ”yleinen web-ehdotus” on poistettu W3C:n yksityisyydensuojaa käsittelevästä yhteisöryhmästä – ”eikä sitä enää harkita missään W3C:n yksityisyydensuojaan keskittyvässä ryhmässä”.