Mastersam
Опытный user
- Регистрация
- 20 Июл 2021
- Сообщения
- 188
- Реакции
- 8
Поговорим о том, как Большой брат кормит нас печеньками. Да кормит до того сытно, что знает каждый наш поход в уборную. Сейчас мы просто и наглядно поговорим о “кукисах”, или просто о “куках”, которые тоннами загружаются в наш браузер и являются мощным инструментом слежки за активностью в интернете. В официальных заявлениях корпораций речь всегда идет о розовых пони, удобстве, персональной адаптации сайтов и прочем. Мы копнем чуть глубже и чуть менее радужно.
Начнем с положительных моментов. Куки позволяют нам пользоваться интернет-сервисами в том виде, в каком мы их знаем: с функцией авторизации и интерактива. Введя пароль от аккаунта, в дальнейшем мы пользуемся сервисом без повторной аутентификации, даже если перезапустим браузер. В интернет-магазинах куки обеспечивают корректную работу покупательской корзины, которая надолго запоминает все добавленные в нее позиции. Для таких целей, плюс-минус, и были придуманы куки в далеких девяностых. Удобство, новшество, восторг.
Не вдаваясь в справочную терминологию, описать работу этих “печенек” можно следующим образом. При загрузке веб-страницы, браузер получает от сайта специальные данные для загрузки в свое локальное хранилище, которое привязывается к определенному сайту, имеет конкретное имя и значение. Например, после корректного ввода пользовательского пароля, сервер говорит браузеру сохранить себе уникальный идентификатор (например, user=hashmashsplash123456789), после чего при каждой загрузке по просьбе сервера браузер сообщает это значение, по которому сайт идентифицирует пользователя. Это предотвращает ввод логина и пароля при загрузке каждой новой страницы.
Если вдруг значение “user” (как в примере) оказалось пустым, сервер понимает, что на него зашел новый пользователь, которому надо авторизоваться. Следовательно (в идеале), без авторизации нельзя получить доступ к каким-либо личным данным и персонализированным функциям сайта. Грубо говоря, этим удобством начинаются и заканчиваются плюсы кукисов. Что же плохого в этих безобидных фрагментах информации? Для начала необходимо развеять слухи о якобы самоисполняемых вредоносных куках.
Куки - это фрагменты информации, которые локально хранятся браузером на нашем устройстве. Это не полноценные скрипты и исполняемые файлы. Скорее, это нечто вроде бейджиков (нагрудных знаков с именами). Помимо них у нас есть лицо, одежда, походка, голос и привычки, по которым нас легко узнать, но табличка с именем сильно упрощает эту задачу.
Согласитесь, далеко не всегда мы хотим, чтобы нас знали по имени. Однако существует риск кросс-доменных куков, когда один сайт запрашивает у нашего браузера куки другого сайта. Такая атака позволяет злоумышленнику узнать персональные данные пользователя, вплоть до того какие сайты и какие страницы он открывал, со всеми отсюда вытекающими. Современные браузеры начали блокировать такие вольности неэтичных сайтов, но это не является панацеей по предотвращению слежки. Важную роль в оставшейся дыре безопасности играет встраиваемая реклама. А реклама - это двигатель продаж и чума нашего времени.
Рекламный баннер, если не принадлежит полностью владельцу сайта, является встраиваемым продуктом сторонних площадок. Благодаря чему, заходя на любой сайт, браузер загружает куки всех доменов, встроенных в страницу. В первую очередь, это целевой сайт, а следом целый набор адресов, с которых подгружается реклама, счетчики и прочие внешние ссылки. С позиции браузера это воспринимается как загрузка нескольких страниц, у каждой из которых есть своя папка с кукисами. На практике оказывается, что встроенный баннер загружает пользователю информацию, не связанную напрямую с открываемым сайтом, а мертвый в большей степени для нас “коммерческий” груз. Самым безобидным может быть идентификатор, который в будущем будет сообщать рекламному агентству о просмотренных нами баннерах, если вдруг у кого-то есть задача не показывать одно и то же дважды…
На деле все еще хуже. Никто не брезгует показывать нам одну и ту же рекламу. Более того, современная реклама является таргетированной, т.е. теоретически рассчитанной именно на нас. А как корпорации узнают, что нам нравится? Это происходит благодаря сбору информации… Каждый встроенный паразит, обещающий прибыль владельцам сайтов, фактически способен на отслеживание пользователей в сети. Сейчас мы открыли сайт с котиками, позже посмотрели видео про взрыв петард, потом почитали оппозиционные СМИ и так далее. Если на всех посещенных сайтах был хотя бы один трекер конторы, она в состоянии разложить наш веб-серфинг по секундам. Отдельной фатальной опасностью являются поисковые системы. Они являются практически неотвратимым злом нынешнего интернета. Поисковые системы помнят наши запросы и переходы по ссылкам, что делает их наилучшими шпионами. А добавить сюда соответствующий почтовый сервис, так все данные априори перестают быть безличными, связываясь с личностью владельца аккаунта. Больше всех в этом вопросе преуспели ребята из Google. У большой части пользователей интернета есть почта на их сервере, некоторые аккаунты были заведены принудительно из-за использования Android-смартфонов, но сам факт это никак не исключает, даже наоборот.
Всюду заявляется об обезличенном использовании куков, т.е. наш браузер, говорится, выступает в роли некоторого пользователя, самостоятельно хранящего информацию о себе, исходя из которой интернет-гиганты предлагают нам наиболее интересные предложения потратить кровные накопления или просто слить личную информацию о себе для участия в очередном флеш-мобе. Мы, естественно, таким сказкам не верим и вам не советуем. О дырах в безопасности корпораций обычно узнают наглядно, по появившемся в сети сливам. Хочется ли нам проверять этичность куков на своей личности? Нет, спасибо.
Мы не можем отрицать, что некоторая часть куков является безопасными. Такие “печеньки” теоретически не хранят в себе личной информации о нас и используются их разработчиками для полноценной работы сайтов. Также имеет место быть большая угроза перехвата незашифрованного трафика, в котором могут содержаться приватные куки авторизации и что-нибудь подобное. Этот вопрос встал ребром достаточно давно, поэтому сегодня подавляющее большинство уважающих себя проектов имеют сайты с защищенным соединением (https вместо http), что сняло с главной повестки проблему перехвата трафика между нами и веб-сервером. Несмотря на перечисленные глобальные меры безопасности, грань между опасными и безопасными куками настолько тонкая, что почти не существует. При полной анонимизации понятие допустимых куков вовсе стремится к нулю, потому что даже небольшой фрагмент информации об интернет-активности является компрометирующим.
К сожалению, сесть на жесткую диету, т.е полностью отказаться от “печенек”, в настоящее время практически невозможно. Такая роскошь доступна только очень дисциплинированным и грамотным людям, имеющим твердую позицию по отношению к глобальной сети. Однако ряд рекомендаций все же поможет если не избавиться от “хвоста”, то его контролировать.
1. Двуличность.
Самый простой вариант подразумевает использование двух браузеров, в одном мы смотрим только котиков и, если позволяет вера, ставим лайки. Во втором полностью отключаем куки и смотрим только этот сайт, либо еще какие-то проекты, которые, гипотетически, не очень хорошо сказываются на карме порядочного пользователя. Для второго браузера лучше завести VPN и использовать другие средства анонимизации, вплоть до дополнительной операционной системы. Таким образом мы будем иметь цифровой портрет, но портрет будет до того мил, что нами не заинтересуются. Вторая наша личность вовсе портрета иметь не будет, но по нашему трафику у оператора вопросов не возникнет, потому что наша чистая, пушистая и прозрачная активность сделает свое дело.
2. Поисковики.
Это самые большие шпионы, которых мы в лоб уже не видим. Следует использовать этичные, которые не будут собирать и складывать в наше личное дело наши поисковые запросы. Благодаря этому нам не придется никому объяснять, что мы искали по слову “переворот” инструкцию по тройному сальто в жерло вулкана, а не что-то такое, что они там себе напридумали. Если никогда не слышали о таких поисковиках, познакомьтесь с DuckDuckGo.com и StartPage.com.
3. Куки - далеко не единственный инструмент деанонимизации.
Внимательно отнеситесь к настройке браузера, настроив политику cookies и установив достойные расширения вроде uBlock (блокировщик рекламы с открытым исходным кодом, нечто вроде старого AdBlock+), CanvasBlocker (предотвращает попытки создания уникального отпечатка браузера через Canvas), Privacy Badger (блокирует скрытые отслеживающие трекеры), HTTPS Everywere (предустановлен в Tor Browser, следит за тем, чтобы мы открывали только те сайты, которые предоставляют зашифрованное соединение). Список не исчерпывающий.
4. Продолжать свое развитие и следить за новостями.
Начнем с положительных моментов. Куки позволяют нам пользоваться интернет-сервисами в том виде, в каком мы их знаем: с функцией авторизации и интерактива. Введя пароль от аккаунта, в дальнейшем мы пользуемся сервисом без повторной аутентификации, даже если перезапустим браузер. В интернет-магазинах куки обеспечивают корректную работу покупательской корзины, которая надолго запоминает все добавленные в нее позиции. Для таких целей, плюс-минус, и были придуманы куки в далеких девяностых. Удобство, новшество, восторг.
Не вдаваясь в справочную терминологию, описать работу этих “печенек” можно следующим образом. При загрузке веб-страницы, браузер получает от сайта специальные данные для загрузки в свое локальное хранилище, которое привязывается к определенному сайту, имеет конкретное имя и значение. Например, после корректного ввода пользовательского пароля, сервер говорит браузеру сохранить себе уникальный идентификатор (например, user=hashmashsplash123456789), после чего при каждой загрузке по просьбе сервера браузер сообщает это значение, по которому сайт идентифицирует пользователя. Это предотвращает ввод логина и пароля при загрузке каждой новой страницы.
Если вдруг значение “user” (как в примере) оказалось пустым, сервер понимает, что на него зашел новый пользователь, которому надо авторизоваться. Следовательно (в идеале), без авторизации нельзя получить доступ к каким-либо личным данным и персонализированным функциям сайта. Грубо говоря, этим удобством начинаются и заканчиваются плюсы кукисов. Что же плохого в этих безобидных фрагментах информации? Для начала необходимо развеять слухи о якобы самоисполняемых вредоносных куках.
Куки - это фрагменты информации, которые локально хранятся браузером на нашем устройстве. Это не полноценные скрипты и исполняемые файлы. Скорее, это нечто вроде бейджиков (нагрудных знаков с именами). Помимо них у нас есть лицо, одежда, походка, голос и привычки, по которым нас легко узнать, но табличка с именем сильно упрощает эту задачу.
Согласитесь, далеко не всегда мы хотим, чтобы нас знали по имени. Однако существует риск кросс-доменных куков, когда один сайт запрашивает у нашего браузера куки другого сайта. Такая атака позволяет злоумышленнику узнать персональные данные пользователя, вплоть до того какие сайты и какие страницы он открывал, со всеми отсюда вытекающими. Современные браузеры начали блокировать такие вольности неэтичных сайтов, но это не является панацеей по предотвращению слежки. Важную роль в оставшейся дыре безопасности играет встраиваемая реклама. А реклама - это двигатель продаж и чума нашего времени.
Рекламный баннер, если не принадлежит полностью владельцу сайта, является встраиваемым продуктом сторонних площадок. Благодаря чему, заходя на любой сайт, браузер загружает куки всех доменов, встроенных в страницу. В первую очередь, это целевой сайт, а следом целый набор адресов, с которых подгружается реклама, счетчики и прочие внешние ссылки. С позиции браузера это воспринимается как загрузка нескольких страниц, у каждой из которых есть своя папка с кукисами. На практике оказывается, что встроенный баннер загружает пользователю информацию, не связанную напрямую с открываемым сайтом, а мертвый в большей степени для нас “коммерческий” груз. Самым безобидным может быть идентификатор, который в будущем будет сообщать рекламному агентству о просмотренных нами баннерах, если вдруг у кого-то есть задача не показывать одно и то же дважды…
На деле все еще хуже. Никто не брезгует показывать нам одну и ту же рекламу. Более того, современная реклама является таргетированной, т.е. теоретически рассчитанной именно на нас. А как корпорации узнают, что нам нравится? Это происходит благодаря сбору информации… Каждый встроенный паразит, обещающий прибыль владельцам сайтов, фактически способен на отслеживание пользователей в сети. Сейчас мы открыли сайт с котиками, позже посмотрели видео про взрыв петард, потом почитали оппозиционные СМИ и так далее. Если на всех посещенных сайтах был хотя бы один трекер конторы, она в состоянии разложить наш веб-серфинг по секундам. Отдельной фатальной опасностью являются поисковые системы. Они являются практически неотвратимым злом нынешнего интернета. Поисковые системы помнят наши запросы и переходы по ссылкам, что делает их наилучшими шпионами. А добавить сюда соответствующий почтовый сервис, так все данные априори перестают быть безличными, связываясь с личностью владельца аккаунта. Больше всех в этом вопросе преуспели ребята из Google. У большой части пользователей интернета есть почта на их сервере, некоторые аккаунты были заведены принудительно из-за использования Android-смартфонов, но сам факт это никак не исключает, даже наоборот.
Всюду заявляется об обезличенном использовании куков, т.е. наш браузер, говорится, выступает в роли некоторого пользователя, самостоятельно хранящего информацию о себе, исходя из которой интернет-гиганты предлагают нам наиболее интересные предложения потратить кровные накопления или просто слить личную информацию о себе для участия в очередном флеш-мобе. Мы, естественно, таким сказкам не верим и вам не советуем. О дырах в безопасности корпораций обычно узнают наглядно, по появившемся в сети сливам. Хочется ли нам проверять этичность куков на своей личности? Нет, спасибо.
Мы не можем отрицать, что некоторая часть куков является безопасными. Такие “печеньки” теоретически не хранят в себе личной информации о нас и используются их разработчиками для полноценной работы сайтов. Также имеет место быть большая угроза перехвата незашифрованного трафика, в котором могут содержаться приватные куки авторизации и что-нибудь подобное. Этот вопрос встал ребром достаточно давно, поэтому сегодня подавляющее большинство уважающих себя проектов имеют сайты с защищенным соединением (https вместо http), что сняло с главной повестки проблему перехвата трафика между нами и веб-сервером. Несмотря на перечисленные глобальные меры безопасности, грань между опасными и безопасными куками настолько тонкая, что почти не существует. При полной анонимизации понятие допустимых куков вовсе стремится к нулю, потому что даже небольшой фрагмент информации об интернет-активности является компрометирующим.
К сожалению, сесть на жесткую диету, т.е полностью отказаться от “печенек”, в настоящее время практически невозможно. Такая роскошь доступна только очень дисциплинированным и грамотным людям, имеющим твердую позицию по отношению к глобальной сети. Однако ряд рекомендаций все же поможет если не избавиться от “хвоста”, то его контролировать.
1. Двуличность.
Самый простой вариант подразумевает использование двух браузеров, в одном мы смотрим только котиков и, если позволяет вера, ставим лайки. Во втором полностью отключаем куки и смотрим только этот сайт, либо еще какие-то проекты, которые, гипотетически, не очень хорошо сказываются на карме порядочного пользователя. Для второго браузера лучше завести VPN и использовать другие средства анонимизации, вплоть до дополнительной операционной системы. Таким образом мы будем иметь цифровой портрет, но портрет будет до того мил, что нами не заинтересуются. Вторая наша личность вовсе портрета иметь не будет, но по нашему трафику у оператора вопросов не возникнет, потому что наша чистая, пушистая и прозрачная активность сделает свое дело.
2. Поисковики.
Это самые большие шпионы, которых мы в лоб уже не видим. Следует использовать этичные, которые не будут собирать и складывать в наше личное дело наши поисковые запросы. Благодаря этому нам не придется никому объяснять, что мы искали по слову “переворот” инструкцию по тройному сальто в жерло вулкана, а не что-то такое, что они там себе напридумали. Если никогда не слышали о таких поисковиках, познакомьтесь с DuckDuckGo.com и StartPage.com.
3. Куки - далеко не единственный инструмент деанонимизации.
Внимательно отнеситесь к настройке браузера, настроив политику cookies и установив достойные расширения вроде uBlock (блокировщик рекламы с открытым исходным кодом, нечто вроде старого AdBlock+), CanvasBlocker (предотвращает попытки создания уникального отпечатка браузера через Canvas), Privacy Badger (блокирует скрытые отслеживающие трекеры), HTTPS Everywere (предустановлен в Tor Browser, следит за тем, чтобы мы открывали только те сайты, которые предоставляют зашифрованное соединение). Список не исчерпывающий.
4. Продолжать свое развитие и следить за новостями.
