Scott Tiger Tech Blog

Blog technologiczny firmy Scott Tiger S.A.

Facebook: sprytne sztuczki zbieraczy danych

Autor: Piotr Karpiuk o 9. września 2011

Najnowszy numer magazynu CHIP donosi, że w arsenale ludzi złej woli pojawiło się narzędzie pozwalające użytkownikom Facebooka na odczytywanie prywatnych danych z cudzych kont. Wykorzystuje się tu fakt, że na ogół udostępniamy swoim znajomym znacznie więcej informacji niż osobom postronnym, więc twórcy programu znaleźli sposób na to aby stać się naszymi znajomymi wprowadzając nas w błąd. Program samoczynnie tworzy fałszywe konto i wysyła zapytania o nawiązanie znajomości do wszystkich upublicznionych kontaktów ofiary. Następnie narzędzie przechwytuje zdjęcie i nazwisko jednego ze znajomych i wysyła właściwej ofierze zaproszenie do nawiązania znajomości. Efekt: ofiara widzi pytanie o nawiązanie znajomości ze strony osoby, którą ma na liście kilku jej własnych znajomych, i zgadza się. Gdy tak się stanie, narzędzie pobiera wszystkie dane i zdjęcia od ofiary ataku. W ten sposób dane są „zabezpieczane” na wypadek, gdyby facebookowa znajomość miała się wkrótce zakończyć i bezpośredni dostęp do nich stał się niemożliwy.

Tags: ,
Napisany w Uncategorized | Brak komentarzy »

Ochrona przed śledzeniem w przeglądarkach WWW

Autor: Piotr Karpiuk o 14. czerwca 2011

Śledzenie aktywności internautów przez różne firmy dla gromadzenia statystyk – np. polski Gemius – lub „dla usprawnienia usług” (wyświetlania spersonalizowanych reklam) – np. Google – jest powszechnie znanym faktem. W poście Ciasteczka zombie opisałem jak brudne sztuczki stosowane bywają w tym kontekście wobec nieświadomych na ogół użytkowników. Dzisiaj więcej o tym co można zrobić aby wypisać się z takiej zabawy.
Niektóre najnowsze przeglądarki zawierają wbudowane mechanizmy chroniące przed śledzeniem, choć każda na swój sposób. Krótko mówiąc: nie ma standardu ochrony ochrony użytkowników przeglądarek przed śledzeniem na użytek reklam, a tym bardziej powszechnie respektowanego standardu.
Więcej, nawet jeśli przeglądarka oferuje rozwiązania na tę okoliczność to są one domyślnie wyłączone, co chyba ma związek z faktem że prawie wszystkie współczesne przeglądarki produkowane są przez firmy amerykańskie – a tam zagadnienia takie jak ochrona danych osobowych są w powijakach.

  • Mozilla Firefox 4: opcja Prywatność/Informuj witryny, że użytkownik nie chce być śledzony. Propozycja jest trywialna: po zaznaczeniu opcji przeglądarka będzie do każdego zlecenia pobrania strony dodawać nagłówek HTTP o nazwie „DNT” (ang. Do Not Track) i wartości 1, natomiast w kodzie JavaScriptu strony wyrażenie document.navigator.doNotTrack zwróci true. Wada jedna, ale olbrzymia: witryny webowe muszą chcieć to respektować, a pomysł został dopiero niedawno zgłoszony do W3C celem standaryzacji.
  • Google Chrome: nie ma mechanizmów wbudowanych, ale możesz zainstalować rozszerzenie Keep My Opt-Outs, które za pomocą ciasteczek HTTP poinformuje dostawców skupionych w Network Advertising Initiative (organizacji zrzeszającej 50 firm, w tym 15 największych w branży reklamowej), że nie życzysz sobie być śledzonym.
  • MS Internet Explorer 9: opcja Bezpieczeństwo/Ochrona przed śledzeniem. I tu niespodzianka: Microsoft potraktował problem poważnie i zaoferował internautom rozwiązanie najbardziej wartościowe i pragmatyczne. Oprócz opcji działającej dokładnie tak samo jak w Firefoksie, mamy mechanizm Tracking Protection, który opiera się na liście blokowanych domen (ang. Tracking Protection List – TPL). Na domenę z takiej listy wejdziemy bez problemu po kliknięciu na prowadzącym do niej linku lub po wpisaniu URLa w pasku adresu, ale nie wtedy gdy strona ładowana z domeny nieblokowanej zechce dociągnąć jakiś kod z domeny zablokowanej – a właśnie tak w praktyce realizowane jest śledzenie użytkowników. Oczywiście można argumentować że rozwiązanie jest kiepskie ze względu na konieczność konfiguracji: użytkownik musi mieć listę blokowanych domen i ją aktualizować. Na szczęście nie jest tak źle. Co prawda rzeczywiście można ściągnąć takie listy (pliki tekstowe), ale możemy włączyć sensowną opcję automatycznego budowania takiej listy. Jak ona działa? Jeśli strona ładowana z domeny A ładuje dodatkowo jakiś kod z domeny B, to zapamiętujemy B. Gdy po wejściu na wiele różnych stron okaże się że URL z domeny B występuje co najmniej 10 razy (wartość konfigurowalna), to domena B trafia na listę blokowania. No dobrze, raczej nie da się tego wytłumaczyć przeciętnemu internaucie – ale z punktu widzenia informatyka jest na czym oko zawiesić.
  • Opera: myszkowanie po interfejsie i w Googlu wykazuje, że można tylko określić politykę akceptacji ciasteczek – jeśli się mylę, to proszę Czytelników o poprawienie.

Niezależnie od przeglądarki której używasz, możesz na stronie Preferencje reklam poinformować Googla że nie chcesz być śledzony dla celów reklamowych. Zawsze coś, i z tego co widzę działa nawet po wyczyszczeniu cache przeglądarki. Czyżby ciasteczko zombie, tym razem użyte inaczej?

Tags:
Napisany w WWW | Brak komentarzy »

Co wie o Tobie Google?

Autor: Piotr Karpiuk o 30. maja 2011

Masz w Google’u swoje konto? W takim razie – o ile się tym dotąd nie zainteresowałeś – Google automatycznie notuje wszystkie frazy które wpisałeś w wyszukiwarce i udostępnia Ci je do wglądu i przeszukiwania, co może być równie przydatne co demaskujące gdyby trafiło w niewłaściwe ręce. Zajrzyj na stronę http://www.google.com/history, a możesz się zdziwić. Na szczęście możesz też wstrzymać śledzenie a nawet usunąć historię.

Na stronie http://www.google.com/dashboard dowiesz się jakie informacje o Tobie jako osobie prywatnej przechowuje Google na swoich serwerach, a nawet będziesz miał okazję połapać się z jakich usług Google’a zdarzyło Ci się już korzystać.

Polecam również zbiór ciekawostek na temat bezpieczeństwa na Facebooku oraz krótki ale treściwy artykuł o bezpieczeństwie Windows.

Tags: , ,
Napisany w WWW | Brak komentarzy »