Опрос
Вы участвуете в программе Windows Insider?
Популярные новости
Обсуждаемые новости

02.09.2008 13:10 | deeper2k

В прошлых статьях мы уже говорили о принципах надежности. Защита конфиденциальных данных - важная часть безопасной работы. В данной статье мы поговорим об очень важной части конфиденциальных данных в сети: стороннем контенте.

Многие пользователи думают, что то, что они видят в адресной строке и сам сайт - это одно и то же. Однако сегодня многие сайты объединяют контент с разных сайтов. Если говорить языком терминов, то сайт, к которому обращается пользователь (который указан в адресной строке) является первичным сайтом. Другие сайты, к которым обращается первичный сайт во время своей работы (но пользователь не обращается к ним напрямую), являются сторонними сайтами.

Когда вы обращаетесь к первичному сайту, то знайте, что он может собирать данные о том, как вы использовали сайт. Чего большинство пользователей не понимают, так это того, что технически сторонние сайты точно также могут собирать эти данные. Обычно пользователи не знают о том, какие именно сайты собирают именно данные, как они используют эту информацию сегодня и как смогут использовать ее в будущем.


Идентификация сторонних сайтов
Сегодня большинство интернет сайтов являют собой мозаику или mash-ups, или даже несколько различных сайтов вообще. Чтобы убедится в этом вы можете запустить Privacy Report в Internet Explorer (в IE7 выберите меню Page или View в IE6, и выберите Web Page Privacy Policy) находясь на любом сайте. Вот часть отчета с сайта новостей и второе изображение - часть отчета с сайта по кредитным карточкам.





В адресной строке указан первичный сайт, но данное диалоговое окно показывает все сайты, включая сторонние, с которых данный сайт использует данные. Первичный сайт посещает все указанные выше сайты, чтобы показать содержимое страницы.

Способ, с помощью которого сегодняшние сайты могут брать контент с других сайтов, прост и мощен и повсеместно используется на сайтах. Это часть базового дизайна и структуры сети, позволяющая реализовать дополнительный функционал, например, интерактивная карта в середине сайта ресторана или ссылка share this в середине новостной статьи, которую так ценят пользователи.


Сторонние сайты и конфиденциальные данные
В то же время совмещение информации из разных сайтов на одном сайте вовлекает в себя вопросы конфиденциальности. Хорошим примером данной проблемы является опыт при работе с электронной почтой. Многие системы для работы с электронной почтой особым способом помечают письма, которые пришли от неизвестного отправителя, блокируя находящиеся в них изображения и показывая предупреждения.

Тело сообщения тоже могут содержать изображения, которые помечены красным Х, а рядом написано что-то типа "Кликните здесь правой кнопкой мыши, чтобы загрузить изображения. Чтобы помочь сохранить ваши конфиденциальные данные, Outlook предотвратил автоматическую загрузку данных изображений из интернета".



Почему почтовые системы блокируют эти внешние изображения? Отправитель мог внести в отправленное изображение какую-либо информацию, которая уникальна для каждого получателя - например, имя файла или путь с электронным адресом получателя. Когда отправитель видит, что было загружено конкретное изображение, он узнает, что сообщение, отправленное на конкретную учетную запись, было открыто. Не загружая контент, получатель предотвращает раскрытие личной информации для неизвестных отправителей.

В общем любой элемент веб-контента, запрашиваемый компьютерами с веб-сайтов, раскрывает личную информацию тем сайтам. Это примитивная техника позволяет различным сторонним сайтам отслеживать посетителей на других сайтах, содержащих контент от этих сторонних сайтов. Когда несколько сайтов отображают контент (изображения или статьи) с одного и того же веб-сайта, этот вебсайт может с легкостью определить, на каком из сайтов находится конкретный посетитель.

Взять, к примеру, два совершенно несвязанных сайта - Site1.com и Site2.com, при этом и там и там используются изображения с сайта MySyndicatedPhotos.com. Пользователь просматривает Site1.com и Site2.com, а в этот момент браузер обращается к MySyndicatedPhotos.com с целью загрузить с него изображения, используемые на сайтах Site1.com и Site2.com. Сайт MySyndicatedPhotos.com может определить (различными путями), что конкретный пользователь одновременно просматривает оба сайта.

По мере посещения пользователем все большего количества сайтов, содержащих сторонний контент, авторы этого контента могут создавать некоторого рода анкеты с предпочтениями пользователя.

Несмотря на то, что cookie тоже вносят свой вклад в раскрытие персональной информации, то есть существует возможность "отслеживать cookie", по сути любой сторонний контент может функционировать в качестве cookie. Изначальное назначение контента (фотография, статья, логотип, текст или скрипт) не имеет значения, поскольку любой из этих объектов может быть использован для слежки за посетителями. Даже если пользователь заблокирует все cookie, любой иной контент может быть использован для сбора информации. Сторонний контент нельзя назвать ни плохим, ни хорошим, просто технически его можно использовать и таким путем.


Бывает ли такое на самом деле, возможно ли это чисто технически и другие вопросы
Еще раз уточню, что эта статья о том, что может делать сайт, когда несколько других сайтов используют с него контент, а не о том, что на самом деле делают сторонние вебсайты, когда на них ссылаются другие сайты. Что происходит с собранной информацией, находится на совести сторонних сайтов, но это очень сложно понять рядовым пользователям. Сторонние сайты могут иметь четкую и отлично написанную политику, которой руководствуется сайт. А может и не иметь. Сотрудник компании-владельца сайта может ведь потерять ноутбук с собранной информацией или его компьютер будет подвержен атаке, за которой последует раскрытие персональной информации сотен тысяч пользователей. У владелеца сайта могут иметься соглашения об обмене информацией с другими сайтами.

Не стоит рассматривать данную публикацию как описание техник, используемых сайтами для сбора информации, или контр-мер для борьбы с такими техниками. Просто хочется, чтобы наши читатели поняли, что, казалось бы, безобидная информация на популярных сайтах может быть использована для сбора статистики и идентификации посетителей. К примеру, многие из веб-адресов из диалога Web Page Privacy Policy достаточно длинные и содержат множество уникальных идентификаторов.

Но веб-серфинг сам по себе не может быть анонимным или абсолютно безопасным с точки зрения персональной информации. Так, к примеру, провайдеры широкополосного доступа в Интернет могут с легкостью определять, откуда подключился пользователь - из дома, с работы, с отеля или кафе. Обычно у провайдеров на сайте опубликована политика, с которой может ознакомиться любой пользователь. Любое программное обеспечение, запущенное на компьютере пользователя, может определить список посещаемых сайтов. На этом принципе основана работа таких функций, как History или панелей инструментов, которые копируют историю посещенных веб-страниц и публикуют ее в Интернете, чтобы пользователь мог в любой момент и из любого места получить к ней доступ. И тут снова важно знать условия использования таких инструментов и функций. Посещенные вебсайты могут определять многие параметры посетителя, в частности географическое местоположение пользователя). Кроме того, владельцы сайтов узнают информацию о том, какие ссылки нажимает пользователь и в какой последовательности.


Сторонние сайты и проблемы безопасности
Принимая во внимание тот факт, что веб-серфинг сам по себе не может быть анонимным ввиду специфики работы Интернета, какие проблемы это может принести обычным пользователям? Для многих пользователей надежность работы начинается с безопасности. Здесь риски безопасности очевидны: посещение одного вебсайта несет потенциальную опасность загрузки вредоносного контента с другого сайта. Пользователь посещает один сайт, который кажется ему надежным, но на сайте присутствует контент с другого сайта. Найти примеры этой проблемы не так уж сложно: это происходит с сотнями и тысячами посетителей известнейших сайтов.

Понятие "надежность" подразумевает и безопасность личной информации, которая, в свою очередь, дает пользователям право выбора и контроль над информацией. Сегодняшние пользователи не могут проконтролировать, какие вебсайты могут отслеживать их действия, а какие нет. В результате веб-сайты, которые по мнению пользователей надежны, могут безнаказанно собирать информацию о их действиях.

Основополагающим принципом Internet Explorer (и Microsoft в целом) является обеспечение контроля над ситуацией. Пользователи ждут от используемых браузеров защиты, в том числе защиты личной информации. Под контролем мы понимаем, что пользователь проинформирован о том, что за ним следят, и имеет выбор, какой информацией делиться и на каких условиях. Предотвращение раскрытия информации означает блокировку контента. Блокировка контента влияет на внешний вид и функциональность страницы.

Еще одним вопросом является сбор информации: когда пользователь посещает один за другим вебсайты, содержащими один и тот же сторонний контент, кто собирает и кто несет ответственность за собранную о посетителе информацию? В Интернете в том виде, в котором он существует сегодня, на эти вопросы очень сложно ответить.

Проблемы безопасности личной информации и надежность стороннего контента - тема достаточно сложная, но от того не менее важная. И как мы неоднократно обсуждали в этом блоге, на пути к безопасному веб-серфингу есть много сложностей, требующих взаимодействия, сотрудничества с конкурентами и различных уступок. Безопасность персональной информации - это больше, чем простая блокировка cookie. Прежде, чем обеспечить пользователей контролем, необходимо их предупредить о существовании проблем. И режим InPrivate в IE8 - лишь первый шаг в верном направлении.

Дин Хачамович (Dean Hachamovitch)
старший менеджер Internet Explorer


Источник: http://blogs.msdn.com/ie
Перевод: deeper2k

Комментарии

Не в сети

Хорошая статейка. Я так могу и профессиональному хакингу научится.

02.09.08 18:01
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
420.55 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.029 секунд (Общее время SQL: 0.015 секунд - SQL запросов: 55 - Среднее время SQL: 0.00027 секунд))
Top.Mail.Ru