Проекты Collusion и HTTPS Everywhere 2.0 для обеспечения безопасности и приватности пользователей в Web | ||
Безопасность | ||
Разработчики проекта Mozilla представили проект Collusion, в рамках которого подготовлено дополнение для выявления и наглядной оценки фактов отслеживания перемещений пользователя между сайтами. ... |
Разработчики проекта Mozilla представили проект Collusion, в рамках которого подготовлено дополнение для выявления и наглядной оценки фактов отслеживания перемещений пользователя между сайтами. Дополнение анализирует передачу Cookie рекламным сетям и различным web-сервисам в процессе посещения различных сайтов в сети, размещающих на своих страницах код данных рекламных сетей и сервисов. В итоге, формируется наглядный и интерактивный граф для оценки взаимодействия различных сайтов, позволяющий выявить сторонние сайты, отслеживающие перемещения пользователей. Выявив подобные сайты, пользователь может легко блокировать передачу им идентификационных Cookie при помощи таких дополнений, как TrackerBlock.
Как правило рекламные сети используют данные о посещаемых пользователями сайтах и страницах для повышения релевантности показа рекламы. В будущем планируется расширить функции Collusion возможностью накопления и анонимной отправки данных об отслеживающих перемещения пользователя сервисах на отдельный сайт, на котором планируется сформировать единую базу данных с информацией о состоянии отслеживания перемещений пользователей в глобальной сети. Наглядно оценить возможности Collusion можно на специально подготовленной демонстрационной странице.
Одновременно некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) представила релиз HTTPS Everywhere 2.0 - дополнения к Firefox, позволяющего на всех сайтах где это возможно использовать шифрование трафика. Дополнение призвано решить проблему с сайтами, по умолчанию предоставляющими доступ без шифрования, но тем не менее поддерживающими HTTPS, а также ресурсами, использующими ссылки из безопасной области на незашифрованные страницы. Для таких сайтов HTTPS Everywhere обеспечивает автоматическое перенаправление запросов на HTTPS-области. Проектом поддерживается база данных с набором правил, отражающих особенностей использования HTTPS на сайтах и сервисах, включая ресурсы Google, Wikipedia, Twitter, Flickr, Facebook и еще около 1400 сайтов.
Среди мотивов создания дополнения HTTPS Everywhere отмечаются участившиеся случаи сниффинга в локальных сетях: появление таких инструментов, как Firesheep, сделало доступным для любого желающего процесс перехвата паролей и сессионных cookie к различным социальным сетям и web-сервисам. HTTPS Everywhere также позволяет защититься от участившихся попыток провайдеров вклиниться в трафик клиента, например, некоторые провайдеры были уличены в подстановке своего рекламного контента на открываемые страницы.
В новой версии добавлено 404 новых правила перенаправления на HTTPS-области. Добавлен перевод интерфейса на русский язык. Сформирован экспериментальный вариант дополнения для браузера Chrome. Представлен опциональный режим "Decentralized SSL Observatory", при включении которого производится анализ проблем с шифрованием и корректности оформления SSL-сертификатов. В случае выявления проблем пользователю будет выведено уведомление о наличии риска при работе с текущим сайтом, например, потенциальной возможности проведения атак "man in the middle". Кроме прочего, новая версия позволяет выявить ненадёжные RSA-ключи, как правило используемые в марштутизаторах, точках доступа и VPN-шлюзах, и из-за использования при создании ключа некорректного генератора случайных чисел, позволяющие подобрать закрытый ключ на основе данных о публичном ключе.