حریم خصوصی اینترنت: مرورگر امن
- #جعل وب
- #فیشینگ
- #حریم خصوصی
- #وب
وب یکی از منابع پایان ناپذیر مشکلات امنیتی و حریم خصوصی است. وب مکانی است که ذاتا غیرقابل اعتماد است، و با اینحال کاربران نه تنها انتظار دارند که بتوانند بدون هیچ آسیبی وبگردی کنند، بلکه انتظار دارند که وب پر سرعت، خوش ظاهر و تعاملی باشد – تولید کنندگان محتوا را تحریک کند تا به دنبال ویژگیهای بیشتری باشند، و اغلب این وضعیت بلند مدت جدید باید در داخل مرورگر سرویس گیرنده ذخیره شود. پنهان کردن اطلاعات مربوط به وضعیت مروگر از جملات کنجکاوانه یا مخرب برای امنیت و حریم خصوصی مرورگر حیاتی است، با اینحال در هنگام عمل، این وظیفه اغلب نادیده گرفته میشود.
یکی از مهمترین تاریخهای تصمیمگیری در مورد طراحی مرورگر که به نت اسکیپ 2.0 (Netscape Navigator 2.0) برمیگردد عبارت است از اصل "منشا یکسان"، که از تعامل سایتهایی با دامنههای مختلف جلوگیری میکند مگر به روشهایی بسیار محدود. این اصل به کوکیها و جاوا اسکریپتهای سایتهایی با قابلیت اعتماد متغیر اجازه میدهد تا بدون تداخل با یکدیگر به صورت همزمان در مرورگر کاربر وجود داشته باشند. ناتوانی برای اعمال مناسب اصل "منشا یکسان" بر تمام وضعیتهای مرورگر پایدار دلیل هشدار دهندهترین مشکلات حریم خصوصی در وب است. ما در مورد تنوع این اصل و خلاصهای از طرح راهحلهای تضمینی حریم خصوصی که توسط سیاست "منشاء یکسان" ارائه میشود صحبت خواهیم کرد.
کوکی چیست؟
کوکی حافظه کوچکی روی مرورگر شماست که اطلاعاتی به دستور وب سایت را ذخیره می کند. این اطلاعات برای هر سایت تفاوت دارد و سایت ها به اطلاعت یکدیگر دسترسی ندارد.
ذخیره کردن محتوای وب در حافظهی پنهان مشخصهای است که موجب ارتقاء عملکرد شده و سرعت مرورگر را افزایش، و ترافیک شبکه را کاهش میدهد. اما، از آنجایی حافظهی پنهان (کش) اطلاعات پایدار را از یک سایت روی دستگاه بومی ذخیره میکند و نمیتواند موجودیت آنها را از سایتهای دیگر پنهان کند، به همین دلیل هدفی وسوسه کننده برای حملات حریم خصوصی وب است. ما توضیح میدهیم که یک سایت چگونه میتواند از این رفتار حافظهی پنهان برای جاسوسی در فعالیتهای بازدید کننده در سایتهای دیگر که بر خلاف اصل "منشاء یکسان" است استفاده کند، و همچنین نشان میدهیم که چگونه میتوان از آن برای به اشتراک گذاشتن شناساگرهای پایدار در مرزهای دامنه استفاده کرد. ما یک افزونه برای مرورگر فایرفاکس آماده کردهایم که با اجرای اصل "منشاء یکسان" برای ذخیرهی محتوا در حافظهی پنهان موجب جلوگیری از این حملات میشود.
یکی دیگر از ویژگیهای وب تمایز لینکهای بازدید شده است که خطری مشابه برای حریم خصوصی وب دارد و حتی بدون تغییر دادن تجربهی کاربر حل آن سختتر است. یک سایت میتواند با مشاهدهی روشی که مرورگر لینکها را پرداخت میکند، در پایگاه دادهای تاریخچهی مرورگر جستجو کند و میتواند با بررسی مرورگر به منظور یافتن صفحات بازدید شده اطلاعات جدیدی وارد این پایگاه دادهای کند. ما افزونهی دیگری برای مرورگر فایرفاکس آماده کردیم که با اجرای سیاست "منشاء یکسان"، و با حداق هزینهی عملکردی برای کاربر، مانع سوءاستفاده از این مشخصه میشود.
بدون شک مشخصههای دیگری هم در وب وجود دارد که نیازمند سیاست "منشاء یکسان" هستند. اما با فرض اینکه ما تمام این مشخصهها را پیدا کنیم و یک مرورگر ایدهآل بسازیم که بر مبنای اصل "منشاء یکسان" سازماندهی شده باشد، کاربران ما میتوانند انتظار کدام نوع حریم خصوصی را داشته باشند؟ در کمال تعجب باید گفت، حریم خصوصی بسیار کم در برابر سایتهای مشارکتی. از انواع روشهای ساده مثل تغییر جهت دادن تا لینکهای مشترک در سایتها میتوان برای انتقال وضعیت "منشاء یکسان" بین سایتهایی که با هم مشارکت دارند استفاده کرد و به آنها اجازه داد که به طرز منحصر به فردی بازدیدکنندگان را شناسایی کرده و پروفایل جامع و چند-دامنهای برای فعالیتهای آنها ایجاد کنند.
بسیاری از مرورگرهای وب مثل اینترنت اکسپلورر و موزیلا فایرفاکس دارای قابلیت "مسدود کردن کوکی شخص ثالث" هستند، که محدودیتهایی را بر ردیابی اعمال میکند و از روش محتوای تعبیه شده در چندین سایت استفاده میکند. اگرچه این مرورگرها در روشهای مسدود کردن با یکدیگر تفاوت دارند، اما نمیتوانند کوکیهای شخص ثالث را به طور کامل مسدود کنند. ما مکانیسم جدیدی برای مسدود کردن کوکیهای شخص ثالث ارائه میدهیم که نقاط قوت هر دو مرورگر را با هم ادغام میکند.
اما، حتی اگر سیاست منشاء یکسان و سیاست مسدود کردن کوکیهای شخص ثالث به صورت کامل روی کوکیها و دیگر مشخصههای وب اجرا شود، باز هم این روشها نمیتوانند موجب توقف روشهایی شوند که سایتها برای اشتراک اطلاعات با یکدیگر استفاده میکنند. بجز به خواست کاربر و با غیرفعال کردن تمام مشخصههایی که موجب حفظ وضعیت بلند مدت در مرورگر میشود، و یا با ریست کردن مکرر این وضعیت، هنوز هیچ مرورگر جدید و مدرنی وجود ندارد که به صورت معنادار تضمینهایی برای حملات اشتراکی داشته باشد.
از طریق روشهای زیادی مثل طیفی از روشهای حافظهی پنهان (کش) مرورگر و تفتیش رنگ یک هایپرلینک بازدید شده، میتوان وضعیت مرورگر سرویسگیرنده را استخراج کرد و برخلاف خواستهی کاربران، آنها را ردیابی کرد. این ردیابی امکان پذیر است زیرا وضعیت مرورگر مقاوم و پایای سرویسگیرنده به درستی بر اساس هر سایت (مکان) در مرورگرهای فعلی بخش بندی نشده است. ما با اصلاح مفهوم کلی روش "منشا یکسان" و با اجرای دو افزونه در مرورگر که موجب اجرای این روش در حافظهی پنهان مرورگر و لینکهای بازدید شده میشود این مشکل را بررسی میکنیم.
همچنین درجات مختلف همکاری بین سایتها برای ردیابی کاربران را تجزیه و تحلیل میکنیم و نشان میدهیم که حتی اگر وضعیت طولانی مدت در مرورگر به خوبی بخش بندی شده باشد، باز هم سایتها میتوانند از ویژگیهای مدرن وب (شبکه) برای واگشت کاربران بین سایتها استفاده کنند و به صورت نامحسوس در ردیابیهای چند-دامنهای کاربران خود شرکت داشته باشند. حملات حریم خصوصی اشتراکی یکی از پیامدهای غیرقابل اجتناب در تمام مرورگرهای پایدار است که روی رفتار مرورگر تاثیر میگذارد و غیرفعال کردن یا خاتمه دادن مکرر به این وضعیت تنها راه رسیدن به حریم خصوصی واقعی در برابر تبانی طرفین است.این مقاله ادامه دارد.....ترجمه itrans.ir
درسیارک بخوانیم: