ЗАЩИТА ОТ СКРЫТОГО СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ ПРИ ВЕБ-СЕРФИНГЕ В
ИНТЕРНЕТ
В настоящее время, такое понятие как конфиденциальность или
приватность
пользователя в сети интернет неразрывно связано со сбором персональных данных с
применением современных интернет-технологий. С их стремительным развитием
становится все труднее препятствовать сбору данных о пользователях, которые
собираются при посещении интернет-ресурсов.
Подавляющее большинство интернет-ресурсов, осуществляют сбор и накопление
данных о поведении пользователей.
К этим данным можно отнести такую информацию:
-
с какого IP-адреса пользователь посетил интернет-ресурс;
-
с какого интернет-ресурса (IP-адреса) осуществлен переход;
-
название и версию веб-браузера;
-
название, версию операционной системы устройства пользователя;
-
разрешение экрана устройства пользователя;
-
какие страницы просматривались на интернет-ресурсе;
-
сколько времени пользователь провел на странице интернет-ресурса;
-
осуществлялся ли поиск по интернет-ресурсу;
-
поиск какой информации выполнялся на интернет-ресурсе.
Сбор
этих данных осуществляется с помощью различных сервисов сбора
статистики, используемых владельцами интернет-ресурсов. Сервисы сбора статистики
на интернет-ресурсах можно разделить на два типа:
-
внешние (корпоративные - Google analytics, Easycounter, Яндекс Метрика,
Liveinternet, Hotlog, Rambler TOP100, Topmail.ru, и т.д.)
-
внутренние (встроенные непосредственно в CMS
интернет-ресурса).
Обработка сервисами статистики собираемых данных, позволяет рассчитать
такие показатели для каждого интернет-ресурса:
-
количество просмотренных страниц;
-
количество посетителей в сутки, неделю, месяц;
-
усреднённый показатель отказов;
-
показатель отказов для каждой страницы в отдельности;
-
средняя длительность просмотра каждой страницы;
-
относительная доля выходов с каждой страницы;
-
среднее время пребывания пользователя;
-
среднее время пребывания на ресурсе;
-
доля новых пользователей;
-
доля постоянных пользователей;
-
демографические показатели аудитории;
-
рейтинг посещаемости в тематическом сегменте.
Накапливаемые результаты
обработки данных представляют
ценную информацию для правительственных организаций, спецслужб, ИT-корпораций, рекламных компаний, маркетологов и т.д., так как
позволяют осуществлять не только негласный мониторинг, но и управление (через
манипуляцию) интернет-аудиторией в различных тематических сегментах и в любой
стране.
Нельзя обойти вниманием, ряд свидетельств, ставших известными мировой
общественности, показывающих, что массовое использование пользователями
бесплатных веб-браузеров от компаний
Google,
Microsoft, Apple способствует
активному участию в программах негласного сбора информации (PRISM, Upstream и
т.д.).
Эти обстоятельства диктуют необходимость
защиты пользователей от
несанкционированного сбора конфиденциальной информации - об их интересах,
действиях, возможных предпочтениях и возможностях прогнозирования их поведения.
Для решения этой задачи на практике применяются
веб-браузеры с повышенной
степенью защищенности (анонимности) от сбора персональных данных пользователя.
К числу наиболее известных из них относится веб-браузер
TOR PROJECT,
основанный на специальной версии веб-браузера Mozilla Firefox с расширенным
сроком поддержки (Extended Support Release (ESR)). Основным его достоинством
является, повышенный уровень безопасности, обуславливаемый применением
специальных мер усиления приватности пользователя:
-
не сохраняется история посещений интернет-ресурсов;
-
cookies-файлы используются только на время сеанса (режим по-умолчанию);
-
применяются встроенные расширения для безопасного просмотра
интернет-ресурсов HTTPS-Everywhere, NoScript, Torbutton;
-
применяются транспортные модули для деблокировки IP-адресов сетей
Tor с
помощью сервисов фильтрации трафика: Obfs3proxy, Obfs4proxy, meek, FTE;
-
реализован контроль за перемещением информации, ассоциированной с
пользователем, посредством передачи запрашиваемого содержимого интернет-ресурсов
через различные цепочки серверов;
-
встроена защита от передачи информации о фактическом размере экрана
устройства пользователя.
Отличительной особенностью веб-браузера
TOR PROJECT, значительно
повышающей приватность пользователя является наличие встроенного расширения
NoScript Security Suite. Его возможности включают блокирование сценариев JavaSсriрt,
Flash, WebGL, медиа-контента, до тех пор, пока пользователь не разрешит их
исполнение на посещаемом интернет-ресурсе. Важной особенностью этого расширения
является возможность защиты пользователя от
XSS атак,
с возможностью формирования отдельных списков интернет-ресурсов, для которых
необходима функциональность, схожая с XSS атакой.
Фиксация процесса сбора персональных данных при
веб-серфинге
Для оценки работы расширения NoScript Security Suite зафиксируем список
обнаруженных и заблокированных доменов, которые блокируются при обращении к
авторскому ресурсу https://zadereyko.info (см. табл.1).
Следует отметить, что в списке заблокированных доменов присутствуют
домены, к которым авторский интернет-ресурс не имеет никакого отношения (см.
таблицу 1).
Таблица 1
ИССЛЕДУЕМЫЙ ИНТЕРНЕТ-РЕСУРС |
ЗАБЛОКИРОВАННЫЕ ДОМЕНЫ |
УСТАНОВЛЕННЫЕ |
СЕРВИСЫ
СБОРА СТАТИСТИКИ |
Корпоративные |
Яндекс
Метрика |
yandex.ru,
yastatic.net |
Google
Analytics |
google-analytics.com, googletagmanager.com |
Sape RTB |
аcint.net,
sape.ru |
Relap |
relap.io |
Google
Adsense |
googlesyndication.com |
Виджеты социальных сетей |
Фэйсбоок |
facebook.com, facebook.net |
Твиттер |
twitter.com |
Вконтакте |
vk.com |
НЕ УСТАНОВЛЕННЫЕ |
Сторонние домены |
Тизерные,
маркетинговые интернет-платформы |
dircont3.com |
1dmp.io |
directadvert.ru |
Поисковая
система |
gstatic.com |
google.com |
Анализ заблокированных сторонних доменов
В результате выполненного сбора информации о сторонних доменах удалось
установить следующее:
Dircont3.com – домен находится под управлением серверов
ns-381.awsdns-47.com, ns-807.awsdns-36.net, ns-1239.awsdns-26.org,
ns-1842.awsdns-38.co.uk, принадлежащих компании Amazon.
Имеет почтовый сервер mail.dircont3.com.
Directadvert.ru – домен одной из крупнейших тизерных систем СНГ,
которая входит в состав компании "Поисковые технологии", принадлежащая компании
"Ашманов и Партнеры" и инвестиционному холдингу "Финам".
Google.com – домен
поисковой системы интернета, принадлежащий
корпорации Google Inc.
Gstatic.com – домен, принадлежит ИТ-корпорации Google Inc,
управляет статическим контентом (проиндексированными изображениями с
интернет-ресурсов) для предварительного показа пользователю до его перехода на
эти интернет-ресурсы.
1dmp.io – домен выполняет переадресацию на домен hermann.ai
(data marketing platform), заявляющий себя, как отказоустойчивая, масштабируемая
платформа для управления и обработки данных в режиме реального времени для
розничной торговли и электронной коммерции.
Выводы и рекомендации по защите персональных данных
пользователей при вебсерфинге
Выполненный анализ перечня заблокированных доменов позволяет сделать
следующие выводы:
-
Владельцы хостингов участвуют в организации сбора персональных данных
пользователей сторонним интернет-сервисам сбора статистики.
-
Владельцы интернет-ресурсов, расположенных на таких хостингах
способствуют сбору персональных данных о посетителях своих интернет-ресурсов
сторонним интернет-сервисам сбора статистики.
-
Пользователям, необходимо принимать меры для блокировки систем сбора
персональных данных:
-
выполнять установку в веб-браузеры дополнительных расширений NoScript
Security Suite и/или
uMatrix для веб-браузеров.
-
выполнять «тонкую» настройку максимального уровня приватности в
расширениях NoScript Security Suite[9] и
uMatrix [10], позволяющую осуществить блокировку доменов маркетинговых,
тизерных интернет-платформ.
Опубликовано:
21.12.2019
|