IE8 і блокування стороннього контента, Криптографія, Security & Hack, статті

Багато користувачів думають, що те, що вони бачать в адресному рядку і сам сайт – це одне і те ж. Однак сьогодні багато сайтів об’єднують контент з різних сайтів. Якщо говорити мовою термінів, то сайт, до якого звертається користувач (який вказаний в адресному рядку) є первинним сайтом. Інші сайти, до яких звертається первинний сайт під час своєї роботи (але користувач не звертається до ним безпосередньо), є сторонніми сайтами.

Коли ви звертаєтеся до первинного сайту, то знайте, що він може збирати дані про те, як ви використовували сайт. Чого більшість користувачів не розуміють, так це того, що технічно сторонні сайти точно також можуть збирати ці дані. Зазвичай користувачі не знають про те, які саме сайти збирають саме дані, як вони використовують цю інформацію сьогодні і як зможуть використовувати її в майбутньому.

Ідентифікація сторонніх сайтів
Сьогодні більшість інтернет сайтів являють собою мозаїку або mash-ups, або навіть кілька різних сайтів взагалі. Щоб переконається в цьому ви можете запустити Privacy Report в Internet Explorer (в IE7 виберіть меню Page або View в IE6, і виберіть Web Page Privacy Policy) перебуваючи на будь-якому сайті. Ось частина звіту з сайту новин і друге зображення – частина звіту з сайту за кредитними картками.


 
В адресному рядку вказано первинний сайт, але дане діалогове вікно показує всі сайти, включаючи сторонні, з яких даний сайт використовує дані. Первинний сайт відвідує всі зазначені вище сайти, щоб показати вміст сторінки.

Спосіб, за допомогою якого сьогоднішні сайти можуть брати контент з інших сайтів, простий і потужний і повсюдно використовується на сайтах. Це частина базового дизайну і структури мережі, що дозволяє реалізувати додатковий функціонал, наприклад, інтерактивна карта в середині сайту ресторану або посилання share this в середині новинний статті, яку так цінують користувачі.

Сторонні сайти і конфіденційні дані
У той же час поєднання інформації з різних сайтів на одному сайті залучає до себе питання конфіденційності. Хорошим прикладом цієї проблеми є досвід при роботі з електронною поштою. Багато систем для роботи з електронною поштою особливим способом позначають листи, які прийшли від невідомого відправника, блокуючи знаходяться в них зображення і показуючи попередження.

Тіло повідомлення теж можуть містити зображення, які позначені червоним Х, а поруч написано щось типу “Клікніть тут правою кнопкою миші, щоб завантажити зображення. Щоб допомогти зберегти ваші конфіденційні дані, Outlook запобіг автоматичне завантаження даних зображень з інтернету “.

 

 
Чому поштові системи блокують ці зовнішні зображення? Відправник міг внести в відправлене зображення будь-яку інформацію, яка унікальна для кожного одержувача – наприклад, ім’я файлу або шлях з електронною адресою одержувача. Коли відправник бачить, що було додано конкретне зображення, він дізнається, що повідомлення, відправлене на конкретну обліковий запис, було відкрито. Не завантажуючи контент, одержувач запобігає розкриття особистої інформації для невідомих відправників.

Загалом будь-який елемент веб-контенту, запитуваний комп’ютерами з веб-сайтів, розкриває особисту інформацію тим сайтам. Це примітивна техніка дозволяє різним стороннім сайтам відслідковувати відвідувачів на інших сайтах, що містять контент від цих сторонніх сайтів. Коли кілька сайтів відображають контент (зображення або статті) з одного і того ж веб-сайту, цей вебсайт може з легкістю визначити, на якому з сайтів знаходиться конкретний відвідувач.

Взяти, приміром, два абсолютно незв’язаних сайту – Site1.com і Site2.com, при цьому і там і там використовуються зображення з сайту MySyndicatedPhotos.com. Користувач переглядає Site1.com і Site2.com, а в цей момент браузер звертається до MySyndicatedPhotos.com з метою завантажити з нього зображення, що використовуються на сайтах Site1.com і Site2.com. Сайт MySyndicatedPhotos.com може визначити (різними шляхами), що конкретний користувач одночасно проглядає обидва сайти.

У міру відвідування користувачем все більшої кількості сайтів, що містять сторонній контент, автори цього контенту можуть створювати деякого роду анкети до власних уподобань.

Незважаючи на те, що cookie теж вносять свій внесок у розкриття персональної інформації, тобто існує можливість “відстежувати cookie”, по суті будь-сторонній контент може функціонувати як cookie. Початкове призначення контенту (малюнок, стаття, логотип, текст або скрипт) не має значення, оскільки будь-який з цих об’єктів може бути використаний для стеження за відвідувачами. Навіть якщо користувач заблокує всі cookie, будь інший контент може бути використаний для збору інформації. Сторонній контент не можна назвати ні поганим, ні хорошим, просто технічно його можна використовувати і таким шляхом.

Чи буває таке насправді, чи можливо це чисто технічно та інші питання
Ще раз уточню, що ця стаття про те, що може робити сайт, коли кілька сайтів використовують з нього контент, а не про те, що насправді роблять сторонні вебсайти, коли на них посилаються інші сайти. Що відбувається із зібраною інформацією, знаходиться на совісті сторонніх сайтів, але це дуже складно зрозуміти рядовим користувачам. Сторонні сайти можуть мати чітку і відмінно написану політику, якою керується сайт. А може і не мати. Співробітник компанії-власника сайту може адже втратити ноутбук із зібраною інформацією або його комп’ютер буде підданий атаці, за якою послідує розкриття персональної інформації сотень тисяч користувачів. У власник сайту можуть матися угоди про обмін інформацією з іншими сайтами.

Не варто розглядати дану публікацію як опис технік, що використовуються сайтами для збору інформації, або контр-заходів для боротьби з такими техніками. Просто хочеться, щоб наші читачі зрозуміли, що, здавалося б, нешкідлива інформація на популярних сайтах може бути використана для збору статистики та ідентифікації відвідувачів. Наприклад, багато хто з веб-адрес з діалогу Web Page Privacy Policy достатньо довгі і містять безліч унікальних ідентифікаторів.

Але веб-серфінг сам по собі не може бути анонімним або абсолютно безпечним з точки зору персональної інформації. Так, наприклад, провайдери широкополосного доступу в Інтернет можуть з легкістю визначати, звідки підключився користувач – з дому, з роботи, з готелю або кафе. Зазвичай у провайдерів на сайті опублікована політика, з якою може ознайомитися будь-який користувач. Будь-яке програмне забезпечення, запущене на комп’ютері користувача, може визначити список відвідуваних сайтів. На цьому принципі заснована робота таких функцій, як History або панелей інструментів, які копіюють історію відвіданих веб-сторінок і публікують її в Інтернеті, щоб користувач міг у будь-який момент і з будь-якого місця отримати до неї доступ. І тут знову важливо знати умови використання таких інструментів і функцій. Відвідані вебсайти можуть визначати багато параметрів відвідувача, зокрема географічне розташування користувача). Крім того, власники сайтів дізнаються інформацію про те, які посилання натискає користувач і в якій послідовності.

Сторонні сайти і проблеми безпеки
Беручи до уваги той факт, що веб-серфінг сам по собі не може бути анонімним зважаючи на специфіку роботи Інтернету, які проблеми це може принести звичайним користувачам? Для багатьох користувачів надійність роботи починається з безпеки. Тут ризики безпеки очевидні: відвідування одного вебсайта несе потенційну небезпеку завантаження шкідливого контенту з іншого сайту. Користувач відвідує один сайт, який здається йому надійним, але на сайті присутня контент з іншого сайту. Знайти приклади цієї проблеми не так уже й складно: це відбувається з сотнями і тисячами відвідувачів найвідоміших сайтів.

Поняття “надійність” має на увазі і безпека особистої інформації, яка, в свою чергу, дає користувачам право вибору і контроль над інформацією. Сьогоднішні користувачі не можуть проконтролювати, які вебсайти можуть відслідковувати їх дії, а які ні. В результаті веб-сайти, які на думку користувачів надійні, можуть безкарно збирати інформацію про їх діях.

Основоположним принципом Internet Explorer (і Microsoft в цілому) є забезпечення контролю над ситуацією. Користувачі чекають від використовуваних браузерів захисту, в тому числі захисту особистої інформації. Під контролем ми розуміємо, що користувач поінформований про те, що за ним стежать, і має вибір, якою інформацією ділитися і на яких умовах. Запобігання розкриття інформації означає блокування контенту. Блокування контенту впливає на зовнішній вигляд і функціональність сторінки.

Ще одним питанням є збір інформації: коли користувач відвідує один за іншим вебсайти, що містять один і той же сторонній контент, хто збирає і хто несе відповідальність за зібрану про відвідувача інформацію? В Інтернеті в тому вигляді, в якому він існує сьогодні, на ці питання дуже складно відповісти.

Проблеми безпеки особистої інформації і надійність стороннього контенту – тема досить складна, але від того не менш важлива. І як ми неодноразово обговорювали в цьому блозі, на шляху до безпечного веб-серфінгу є багато складнощів, які потребують взаємодії, співпраці з конкурентами і різних поступок. Безпека персональної інформації – це більше, ніж проста блокування cookie. Перш, ніж забезпечити користувачів контролем, необхідно їх попередити про існування проблем. І режим InPrivate в IE8 – лише перший крок у вірному напрямку.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*