Больной WWW: прекратить использование веб-служб Google

  1. 1. Карцинома Google широко ассоциируется с концепцией осьминога данных, чей основной интерес заключается в сборе и оценке как можно большего количества данных. На мой взгляд, слово «осьминог» почти не описывает вездесущность Google в Интернете или желание проникнуть во все сферы нашей жизни - это «злокачественное» распространение больше похоже на рак . Google добился успеха в завоевании рынка с помощью простых в использовании продуктов и услуг. В этом нет никаких сомнений, рынок прав. Но в этой истории успеха также важно помнить, какую цену заплатили реальные пользователи. Они платят и платят данными, «произведенными» ими. В этой статье я не хочу выделять всеобъемлющую мощь Google или показывать, в какие сферы жизни Google уже проникла повсюду, но акцентирую внимание на веб-сервисах Google. Это создает угрозу безопасности и конфиденциальности любого пользователя, который путешествует по Интернету, независимо от того, являетесь ли вы клиентом или пользователем Google или нет. В основном не отраженная интеграция веб-служб Google операторами веб-сайтов может иметь непредвиденные последствия для прав и свобод посетителя веб-сайта. 2. Невидимая опасность
  2. 2.1 Вызов сайта
  3. 2.2 Вебболл
  4. 2.3 Webboll в действии
  5. 3. Веб-сервисы Google
  6. 3.1 Часто используемый контент
  7. 3.2 Рак Google
  8. 3.3 Сервисы Google / Веб-сервисы
  9. 4. Риски для безопасности и конфиденциальности
  10. 4.1 (веб) отслеживание с помощью Google Analytics
  11. 4.2 Доставка рекламы через DoubleClick
  12. 4.3 Другие сервисы Google
  13. 5. Так что ты делаешь?
  14. 6. Заключение
  15. Об авторе

1. Карцинома

Google широко ассоциируется с концепцией осьминога данных, чей основной интерес заключается в сборе и оценке как можно большего количества данных. На мой взгляд, слово «осьминог» почти не описывает вездесущность Google в Интернете или желание проникнуть во все сферы нашей жизни - это «злокачественное» распространение больше похоже на рак .

Google добился успеха в завоевании рынка с помощью простых в использовании продуктов и услуг. В этом нет никаких сомнений, рынок прав. Но в этой истории успеха также важно помнить, какую цену заплатили реальные пользователи. Они платят и платят данными, «произведенными» ими.

В этой статье я не хочу выделять всеобъемлющую мощь Google или показывать, в какие сферы жизни Google уже проникла повсюду, но акцентирую внимание на веб-сервисах Google. Это создает угрозу безопасности и конфиденциальности любого пользователя, который путешествует по Интернету, независимо от того, являетесь ли вы клиентом или пользователем Google или нет. В основном не отраженная интеграция веб-служб Google операторами веб-сайтов может иметь непредвиденные последствия для прав и свобод посетителя веб-сайта.

2. Невидимая опасность

Каждый из нас должен выходить в Интернет хотя бы раз в день с помощью нашего браузера. Тем не менее, мы часто не осознаем, что технически происходит в этой повседневной деятельности. Тем не менее, знание технических процессов необходимо для того, чтобы можно было самостоятельно оценить риск, связанный с просмотром веб-сайтов в сети.

2.1 Вызов сайта

После ввода домена в адресной строке браузера соответствующая веб-страница вызывается браузером. После перехода на веб-сайт браузер содержит соответствующую информацию о том, какой контент он должен загружать. После завершения загрузки браузер представляет содержимое веб-страницы в удобочитаемой форме.

Какие сложные процессы в фоновом режиме необходимы для отображения веб-страницы в браузере, большинство пользователей, вероятно, даже не догадываются. Скорее, базовый метод работает в основном бесшумно и предлагает пользователю ощущение свободы, чтобы иметь возможность добраться до каждого мыслимого фрагмента информации на сайте или пропустить что-либо на сайте.

Лишь очень немногие знают, как операторы веб-сайтов могут интегрировать внешние ресурсы , такие как: B. JavaScript или Кнопки Социальные медиа , что ставит под угрозу конфиденциальность и особенно безопасность их посетителей. Независимо от связанных с этим последствий, «увлечение сетью» продвигается дальше путем интеграции все большего количества внешних ресурсов в веб-сайт и связывания их с ним. Тем не менее, пользователь фактически подвергается (оператором сайта) риску, которого можно избежать.

Для того, чтобы сделать сетевое заблуждение операторов веб-сайта представительным и, таким образом, в частности, связанных с ним рисков, подходят различные инструменты, например Webbkoll на счет.

2.2 Вебболл

Webbkoll это финансируемый из Интернета и IIS проект из Швеции, разработанный dataskydd.net. Проще говоря, Webbkoll моделирует то, что происходит в фоновом режиме, когда веб-страница вызывается браузером. Информация, собранная во время симуляции вызова веб-страницы, редактируется инструментом и отображается вместе с дополнительной информацией.

В статье » Webbkoll: насколько безопасен ваш сайт? «И» Онлайн сканеры: инструменты безопасности и конфиденциальности «Я уже представил этот инструмент, поэтому я подробно остановился на нем и сосредоточился на самом главном.

Благодаря методам, используемым Webbkoll, вы как пользователь способны печенье сделать третью сторону видимой. Webbkoll отображает их в виде графика в соответствии с графиком. Запись и представление таких cookie-файлов особенно актуальны, поскольку сторонние cookie-файлы обычно хранят cookie-файлы в браузере или в своей памяти без ведома пользователя. Нередко такие файлы cookie используются для отслеживания , то есть отслеживания и анализа поведения пользователей в Интернете.

При посещении веб-сайта браузер загружает различные ресурсы, такие как тексты, изображения или видео, и отображает их, которые обычно интегрируются непосредственно в сайт оператором веб-сайта и доставляются непосредственно через его веб-сайт. При выборе источника для этих ресурсов операторам веб-сайтов не обязательно размещать эти ресурсы на своем сервере и доставлять их в браузер пользователя. Скорее, они также могут объединять ресурсы из других источников. В дополнение к изображениям и видео эти внешние интегрированные ресурсы часто включают JavaScript, типы шрифтов или предложения социальных сетей. Если посетитель посещает веб-сайт, ему изначально неясно, какие внешние ресурсы интегрировал оператор веб-сайта, а какие исходят от его сервера. Webbkoll может сделать эти " доверительные отношения " со сторонними поставщиками видимыми.

2.3 Webboll в действии

Чтобы проиллюстрировать функциональность и возможность получения информации через Webbkoll, это будет объяснено ниже на основе яркого примера, страницы новостей ZEIT ONLINE - протестировано 10.11.2017.

Общий результат для ZEIT ONLINE был следующим:

  • Файлы cookie : при посещении ZEIT ONLINE в браузере пользователя сохраняется / обновляется в общей сложности 44 файла cookie. Речь идет о файлах cookie от ZEIT ONLINE или третьих лиц.
  • Сторонние запросы : при посещении ZEIT ONLINE браузер инициирует в общей сложности 99 соединений, которые перезагружают ресурсы не с сервера ZEIT ONLINE, а со сторонних сайтов (серверов).
  • Сторонние контакты : 99 внешних подключений распределены по 39 различным доменам. Таким образом, ресурсы 39 доменов встроены.

Файлы cookie особенно вредны для конфиденциальности. Тем не менее, мы концентрируем наше внимание на интеграции внешних источников, которые особенно важны с точки зрения безопасности и конфиденциальности:

Как показано на рисунке, во время посещения ZEIT ONLINE браузером было инициировано 99 внешних подключений, которые принадлежали 39 различным доменам. С этих доменов различные ресурсы, такие как изображения, видео, JavaScript, реклама и т. Д., Были интегрированы в контекст веб-сайта ZEIT ONLINE.

С каждым ресурсом, который интегрирует оператор веб-сайта, он вступает в доверительные отношения с соответствующим источником или доменом. Это, в свою очередь, означает, что фактический контроль над доставленным ресурсом принадлежит исключительно третьей стороне. Однако компрометация или взлом стороннего поставщика может привести к тому, что злоумышленник изменит ресурс для доставки и, например, доставит искаженный код JavaScript посетителю ZEIT ONLINE вместо поврежденного.

В связи с этим следует помнить, что при посещении ZEIT ONLINE браузер инициировал в общей сложности 39 ссылок на иностранные домены, которые фактически не находятся под контролем оператора сайта. Другими словами, при посещении ZEIT ONLINE пользователи должны доверять 39 сторонним поставщикам в отношении их безопасности и конфиденциальности. Плохая вещь в заблуждении о сети, однако, заключается в том, что пользователь часто даже не знает о том, что в него дополнительно вовлечены 39 сторонних провайдеров. На мой взгляд, Политика конфиденциальности ZEIT ONLINE пользователь только недостаточно об интеграции этих (39) сторонних поставщиков и связанных сбора данных.

Из общего количества 99 ссылок Webbkoll, классифицируемых как 60 «небезопасных», то есть незашифрованных ссылок данных, все еще остается под вопросом.

3. Веб-сервисы Google

Что делает приведенный выше пример ZEIT ONLINE с веб-сервисами Google для операторов веб-сайтов? Проще говоря: пример является примером увлечения сетью (Google) , срок действия которого у многих владельцев веб-сайтов истек в настоящее время. Это увлечение сетью - также исследование Разоблачение скрытой сети: анализ сторонних HTTP-запросов на одном миллионе веб-сайтов с 2014 года, в котором было рассмотрено 1 миллион самых популярных сайтов:

Из четвертого столбца (со сторонним элементом) видно, что около 87% проверенных веб-сайтов перезагружают ресурсы от сторонних поставщиков и контактируют в среднем с 9,5 (среднее количество контактируемых доменов) (чужими) доменами. 63% веб-сайтов используют файлы cookie от сторонних поставщиков, а 83% используют JavaScript из внешних источников (значения округлены).

Аналогичная картина возникает для рассматриваемых сторон из таких стран, как США (com, edu, gov) или Германия (de), Россия (ru) или Англия (Великобритания).

Согласно исследованию, в общей сложности 7 564 492 миллиона файлов cookie и 21 214 652 различных ресурса были использованы 1056 533 миллионами сторонних поставщиков.

3.1 Часто используемый контент

В ходе исследования также выяснилось, какие внешние ресурсы чаще всего включаются в веб-страницы:

  • JavaScript : JavaScript позволяет, HTML документы динамически изменять при просмотре в браузере, оценивать взаимодействие с пользователем или перезагружать новый контент. Поэтому в число типичных областей применения JavaScript входит проверка данных при вводе формы, отображение диалоговых окон или отображение предложений поиска во время ввода. JavaScript не небезопасен как таковой. Однако из-за его многочисленных функций и возможностей безопасность JavaScript неоднократно обсуждалась неоднозначно, поскольку большинство уязвимостей, которые стали известны в браузерах, часто тесно связаны с JavaScript и его функциональностью.
  • Изображения : изображения, аудио и видео являются одними из мультимедийных элементов в WWW. В частности, изображения часто включаются третьими лицами для доставки рекламы или как невидимые веб ошибки злоупотребляют тем, кто любит, чтобы его использовали в сфере онлайн-маркетинга для отслеживания посетителя.
  • Шрифты . Современные браузеры сегодня поддерживают перезагрузку шрифтов с веб-сайтов или сторонних источников, главным образом с целью достижения единообразного внешнего вида сайта в браузерах и операционных системах.
  • Таблицы стилей . Использование языка таблиц стилей Каскадные таблицы стилей (CSS) взаимодействуют с HTML, чтобы влиять на внешний вид веб-страниц. CSS позволяет максимально разделить презентацию и контент веб-сайта.
  • Другие ресурсы : помимо уже упомянутых, есть и другие ресурсы, которые могут быть встроены в контекст веб-страницы. К ним относятся ресурсы, указанные в пятой версии HTML, т. Е. Z. В качестве математических формул, векторной графики, саундтреков или интерактивного контента. По сути, оператор веб-сайта может использовать практически любой (внешний) контент. Поэтому неудивительно, что в ходе исследования было выявлено 38% элементов, которые нельзя отнести ни к одному из вышеупомянутых ресурсов.

В исследовании не различается, является ли встроенный JavaScript, например, плагином для социальных сетей или классическим трекером, анализирующим поведение в Интернете. Классические трекеры включают, например. веб ошибки , 1 × 1 пиксель или как кнопки в социальных сетях, таких как Facebook.

3.2 Рак Google

Исследование Отслеживание в режиме онлайн: измерение и анализ на 1 миллион сайтов проанализировано более 1 миллиона веб-страниц в 2016 году. В этом исследовании заслуживает внимания оценка, которая показывает, какие компании чаще всего связывались с веб-сайтами через свои сервисы и имеют возможность предоставлять просмотр веб-страниц, JavaScript, надстройки социальных сетей или другие ресурсы, а также поведение при поиске в Интернете. Записывать посетителей - особенно Google:

Исследование показывает, что операторы веб-сайтов с более чем 80% используют сервисы Google (Google Analytics, DoubleClick, типы шрифтов и т. Д.), Которые, в свою очередь, должны быть интегрированы в веб-сайт оператора:

3.3 Сервисы Google / Веб-сервисы

Согласно исследованию, операторы веб-сайтов включают службы Google в контекст своего веб-сайта с числом случаев выше среднего . Среди наиболее известных из этих услуг:

  • Google Analytics : операторы веб-сайтов анализируют с помощью Google Analytics, в частности, продолжительность пребывания на отдельных страницах или эффективность рекламных материалов. С точки зрения защиты данных, сервис очень спорный, но что более 50% операторов сайта Во всем мире не мешает анализ посетителей в руках Google.
  • Шрифты Google . Чтобы обеспечить единообразный внешний вид веб-сайта, многие операторы веб-сайтов включают шрифты в контекст страницы. Однако вместо того, чтобы размещать и доставлять их локально, многие шрифты интегрируются непосредственно через Google, что часто экономит ценную полосу пропускания, а интеграция чрезвычайно удобна для оператора.
  • Google DoubleClick : DoubleClick - одна из крупнейших компаний по показу рекламы в мире. Что касается отображения рекламы, Google может следить за пользователем практически через (весь) Интернет, так как всегда получает рекламу с IP-адреса браузера, домена и другой информации браузера.
  • Карты Google : онлайн-картографический сервис предлагает подробный картографический материал, который также можно интегрировать непосредственно в веб-сайт. Многие операторы веб-сайтов используют Google Maps в выходных данных или контактную информацию для направления.
  • Google+ : аналогично кнопке «Нравится» Facebook, владельцы веб-сайтов надеются расширить охват за счет включения социальных сетей, поскольку каждый «лайк» в основном расширяет аудиторию и гарантирует, что другие подписчики узнают о своем веб-сайте.
  • Ускоренные мобильные страницы Google (AMP) . Сложные страницы загружаются дольше, особенно на относительно слабых смартфонах и планшетах. с AMP Веб-страницы должны загружаться быстрее, особенно на смартфонах - за счет сокращения объемных данных рекламных форм и использования JavaScript. Логичная мера, которую в принципе каждый оператор сайта может выполнить сам. В любом случае, Google AMP не нуждается в этом.
  • [...]

Интеграция внешних сервисов Google на сайтах обычно преследует разные цели. Для многих операторов веб-сайтов просто удобно встроить библиотеку JavaScript из внешнего источника, не заботясь о размещении ресурсов, необходимых для функциональности самой веб-страницы. Несомненно, упомянутые сервисы Google удобны для пользователя и могут быть интегрированы каждым оператором веб-сайта всего за несколько шагов в контекст их собственного веб-сайта.

Удобство и отсутствие осведомленности о риске, безусловно, являются двумя причинами, по которым сети увлекаются современными веб-сайтами. Но часто существуют другие причины интеграции служб Google, которые, к сожалению, часто не могут быть согласованы с безопасностью и конфиденциальностью.

4. Риски для безопасности и конфиденциальности

В частности, в WWW неотраженная интеграция внешних ресурсов, таких как изображения или JavaScript, в веб-сайт создает риски, которые могут иметь непредвиденные последствия для прав и свобод посетителя веб-сайта. Как мы уже видели, Google является лидером на рынке предоставления (веб) услуг - не в последнюю очередь благодаря простоте использования.

Далее я хотел бы подробнее остановиться на службах Google, интеграция которых сопряжена с риском для безопасности и конфиденциальности посетителей веб-сайта.

4.1 (веб) отслеживание с помощью Google Analytics

веб-отслеживание был вокруг с начала интернета. Цель состоит в том, чтобы зафиксировать поведение посетителей на веб-сайте, а затем проанализировать их поведение. Полученные из этого знания обычно используются для оптимизации и управления веб-сайтом или предоставления важной информации, особенно в электронной коммерции. B.

  • об эффективности отдельных рекламных носителей
  • на количество посетителей интернет-магазина или статьи
  • доля посетителей, которые поместили определенный товар в корзину
  • к средней стоимости корзины или
  • Условия поиска, с помощью которых был найден интернет-магазин

Для захвата отдельных просмотров страниц посетителем или для распознавания возвращающихся посетителей операторы сайтов используют разные технологии. К числу наиболее часто используемых методов относятся, среди прочего Файлы журнала с веб-сервера , печенье , веб ошибки или решения JavaScript, такие как Google Analytics.

Первоначально метод отслеживания был в первую очередь предназначен для того, чтобы позволить оператору веб-сайта анализировать действия посетителя, чтобы получить представление о том, как он (в дальнейшем) может оптимизировать / улучшить свой веб-сайт. Но методы отслеживания становятся все более и более коварным инструментом для отслеживания поведения пользователей при просмотре веб-страниц за пределами одной веб-страницы, практически по всей WWW. Эта проблема межсайтового отслеживания усугубляется, в частности, тем, что операторы веб-сайтов даже не хотят сами получать и оценивать своих посетителей, но в этом отношении все чаще прибегают к внешним поставщикам услуг, таким как Google, которые освобождают их от этой работы.

Однако передача этого анализа посетителей в Google требует от оператора веб-сайта интеграции, например, внешних ресурсов, которые затем могут быть использованы. Например, вы можете фиксировать и анализировать поведение посетителей с помощью веб-ошибок или JavaScript. Интеграция Google Analytics обычно удобна для оператора веб-сайта и требует небольших усилий (это можно сделать несколькими щелчками мыши), поэтому эта практика в целом преобладает.

Еще одним преимуществом Google Analytics является, по-видимому, в основном бесплатное использование оператора веб-сайта, которое заключается только в том, чтобы «заплатить» - взамен - данными своих посетителей.

Интегрируя сторонних поставщиков услуг в свой веб-сайт, оператор веб-сайта вступает в доверительные отношения , возможно, не решив в достаточной мере возникшую проблему отслеживания или записи конфиденциальной информации третьими лицами.

Наконец, следует помнить, что, например, при посещении новостного портала в среднем около 45 внешних поставщиков услуг «отслеживают» поведение в Интернете и позволяют крупным поставщикам, таким как Google, почти полностью подключить пользователя через Интернет. независимо от того, является ли IP-адрес «анонимным» до передачи. В кабинете Отпечатки в браузере через операционную систему и аппаратный уровень Это показывает, что функции браузера (разрешение экрана, глубина цвета, любые плагины или шрифты, установленные в браузере) позволяют распознавать 99,24% посетителей. Поэтому это также возможно без использования файлов cookie или полной передачи IP-адреса, который Google отслеживает / просматривает поведение пользователя.

4.2 Доставка рекламы через DoubleClick

Интеграция внешних ресурсов для доставки рекламы является одним из самых распространенных приложений на WWW. В большинстве случаев реклама доставляется через поставщика услуг, который оператор сайта интегрирует в веб-сайт в различных формах, таких как баннеры, текстовая реклама или всплывающие окна. В частности, новостные сайты, блоги или другие бесплатные сервисы финансируют большую часть их предложения.

Одним из преимуществ Google DoubleClick для оператора страницы является то, что обычно можно точно узнать, сколько людей увидели и нажали на рекламу. Однако эта информация интересна не только для оператора, но особенно для поставщика услуг, который доставляет рекламу. Почти каждый просмотр страницы регистрируется Google и анализируется поведение серфинга. Из поведения в серфинге можно сделать вывод с помощью соответствующей корреляции и сочетания с другими данными, которые сравнительно легко определяются по возрасту и полу или даже по вероятностному заявлению о хобби и интересах пользователя. Таким образом, записанная информация может быть использована для создания индивидуальных профилей, которые позволяют отображать рекламные предложения с учетом потребностей пользователя.

Тем не менее, размещение или показ рекламы имеет значение не только для конфиденциальности посетителя, но и с точки зрения его безопасности. Google всегда борется с проблемой, которая широко распространилась в последние годы. С помощью дефектной интернет-рекламы, так называемой вредоносный Все чаще используются уязвимости в браузерах, надстройках и т. Д., Которые, помимо прочего, приводят к тому, что компьютеры посетителей могут быть полностью угнаны. В частности, злоумышленники используют браузер для распространения вредоносного программного обеспечения, и это не случайно. Потому что это ключ к Интернету или WWW, с помощью которого мы выполняем как частные, так и профессиональные задачи. Если злоумышленнику удастся использовать соответствующую уязвимость в браузере или в программном обеспечении, используемом браузером, загружается дополнительный вредоносный код, который, помимо прочего, может зашифровать жесткий диск или шпионить за конфиденциальными данными доступа с зараженных компьютеров.

Как показывают некоторые заголовки из соответствующего отчета, злоумышленникам все чаще удается обойти меры безопасности поставщиков рекламных услуг, включая Google, и распространять их вредоносные программы:

Особенно, если вредоносный код может быть размещен в рекламе крупных рекламных сетей, таких как DoubleClick, это значительно увеличивает вероятность успешного заражения соответствующего браузера / компьютера. Как показано, доставка рекламы обычно включает в себя интеграцию готовых JavaScript-кодов, которые оператор сайта получает от поставщика рекламных услуг и должен быть интегрирован в его веб-сайт в подходящем месте.

Однако встраивание иностранного кода JavaScript, используется ли он сейчас для доставки рекламы или презентации слайдера, негативно сказывается на доступность , а также безопасность веб-сервера и, таким образом, в конечном итоге влияет на его посетителей:

  • Внешний код JavaScript . Предположим, что владелец сайта включил внешний код JavaScript «example.com/slider.js». Всегда следует помнить, что оператор «example.de» может вносить изменения в файл JavaScript практически в любое время. Он также может быть взломан, и злоумышленники изменяют код JavaScript, например, для перезагрузки вредоносного кода из другого домена. Вредоносная модификация кода JavaScript также может быть использована не по назначению, помимо прочего, для кражи файлов cookie из контекста веб-сайта или для доступа к данным для входа (имя пользователя и пароль). Для этого процесса злоумышленнику даже не нужен доступ к веб-сайту оператора, но только к JavaScript, который он либо контролировал сам, либо изменял соответствующим образом на сервере третьей стороны. Фатальная вещь во всей этой теме заключается в том, что у оператора веб-сайта практически нет шансов извлечь что-то из этого изменения. Скорее, он должен слепо доверять провайдеру и, следовательно, осознавать, что, включив внешний код с одной стороны, он может нанести огромный ущерб своим посетителям и, в конечном счете, самому себе. Между тем стоит с » Подресурсная целостность «Технология, обеспечивающая целостность скриптов JavaScript, встроенных в сторонние сайты. За этим последовали последующие и злонамеренные изменения в коде JavaScript. Тем не менее, эта технология до сих пор практически не используется оператором веб-сайта или третьей стороной.

Как показано, интеграция рекламы, следовательно, важна не только для обеспечения конфиденциальности посетителя, но и с точки зрения его безопасности, например, таких как проблемы вредоносной рекламы и привлечения внешних ресурсов JavaScript, показанных выше.

4.3 Другие сервисы Google

Включение Google Analytics или Google DoubleClick является одним из наиболее распространенных приложений, где владельцы веб-сайтов используют внешние ресурсы Google. Однако есть и другие сервисы, которые включают операторов веб-сайтов от Google и которые не менее сомнительны с точки зрения обеспечения безопасности и конфиденциальности посетителя. Поскольку большинство служб Google обычно требуют включения «чужого» кода JavaScript или требуют перезагрузки ресурсов, предоставляемых Google и неизбежно связанных с передачей IP-адреса посетителя. Именно эта передача полного IP-адреса при интеграции внешних сервисов Google, на мой взгляд, приводит к предполагаемому снижению IP-адреса в »Конфиденциальность« с помощью Google Analytics до абсурда. Кто использует «анонимизацию» IP-адреса с помощью Google Analytics, если браузер снова полностью передает IP-адрес с отображением рекламы DoubleClick или материала карты Google? Если операторы веб-сайтов интегрируют службы Google с Google Analytics, цель анонимизации IP-адресов практически аннулируется.

Как отмечено в разделе 4.2 выше, включение внешних ресурсов JavaScript связано с риском для безопасности оператора веб-сайта и, в частности, его посетителей. Однако включение JavaScript является не только потенциальной проблемой в отношении рекламы, но в принципе может быть распространено на все приложения, для которых требуется интеграция стороннего кода JavaScipt. Интеграция материалов внешней карты (Google Maps) или интерактивных графических элементов (jQuery) всегда связана с доверительными отношениями, которые оператор веб-сайта неизбежно должен вступить в контакт с Google / третьей стороной. Однако он никоим образом не контролирует, вносит ли сам Google или хакер злонамеренные изменения во встроенный код JavaScript. В результате оператор веб-сайта ставит под угрозу безопасность своих посетителей при каждом включении JavaScript через стороннего поставщика.

Инцидент с безопасностью на сайте финансовой компании Equifax подчеркивает негативное влияние использования внешнего кода JavaScript. О сайте или интегрированном JavaScript стороннего производителя было Adware доставлено до сих пор неизвестному количеству зараженных пользователей.

Однако во многих случаях недостаточно внимания уделяется еще одной проблеме , связанной с интеграцией внешних ресурсов. Поскольку каждый раз, когда браузер вызывает веб-страницу и перезагружает внешние ресурсы, он инициирует системное соединение с этим источником. Это соединение, и это технически возможно, IP-адрес передается на сервер, чтобы затем оттуда можно было получить запрошенный ресурс. IP-адреса как сейчас более или менее юридически признанный личную информацию, передаваемую третьей стороне в рамках интеграции внешнего ресурса. Однако часто неясно, хранит ли сторонний поставщик эту информацию и для каких целей он может ее использовать. Например, включение внешнего картографического материала (Google Maps) или интеграция шрифтов (GoogleFonts) всегда требует передачи IP-адреса третьей стороне, где вы не знаете и можете оценить, что это в конечном итоге с помощью переданного ему Данные (все еще) найма.

5. Так что ты делаешь?

Учитывая сложившуюся в WWW практику использования таких ресурсов, как JavaScript или интеграции очень простых шрифтов сторонних поставщиков, таких как Google, возникает вопрос о том, достаточно ли операторы веб-сайтов справились с последствиями для безопасности и конфиденциальности для себя, особенно для своих посетителей.

Если бы операторы веб-сайтов имели дело с возможными последствиями, большинство операторов, вероятно, должны были бы (наконец) признать, что теперь они интегрируют целую нагрузку сторонних поставщиков, особенно Google, в контекст своих страниц. Однако с каждым ресурсом, который включает оператор веб-сайта, он вступает в доверительные отношения с соответствующим источником или доменом. Это, в свою очередь, означает, что фактический контроль над доставленным ресурсом принадлежит исключительно третьей стороне.

Прежде всего, в интересах оператора веб-сайта было бы противодействовать этой ползучей потере контроля и, в частности, покончить с захватом «осьминогом» Google:

  • Отслеживание : Google Analytics может быть, например, с помощью дружественного варианта с открытым исходным кодом Matomo заменить.
  • Шрифты : шрифты Google или другие шрифты могут размещаться на собственном сервере. интегрированы и доставлены быть.
  • Материал карты : Google Maps пропускает себя через бесплатный проект OpenStreetMap заменить.
  • Социальные сети : кнопки социальных сетей, такие как Facebook или Google+, могут содержать, например, Shariff конфиденциальность в контексте веб-сайта.
  • [...]

Альтернативы веб-службам Google есть - вы просто должны их использовать. Однако, если операторы веб-сайтов не хотят признавать, что увлечение сетью Google и ее язвенное распространение наносят ущерб безопасности и конфиденциальности их посетителей, в конечном итоге остается только самозащита с помощью надстроек браузера, таких как надстройки браузера. UBlock Origin или (для продвинутых) Umatrix ,

6. Заключение

В частности, компании или учреждения, которые предлагают услуги по информационной безопасности или защите данных, должны иметь возможность проектировать свое присутствие в Интернете безопасным и дружественным образом. Однако во многих случаях это не тот случай, который, на мой взгляд, является признаком того, что эти главные герои, похоже, не имеют или не могут иметь дело с техническими и юридическими проблемами, возникающими в области безопасной и уважительной обработки персональных данных.

Если банки з. Например, если вы регистрируете своих клиентов в области онлайн-банкинга при входе в систему или юристы, которые посвятили себя теме защиты данных, интегрируют шрифты Google в веб-сайт, то это доказательство увлечения сетью, чьи риски, по-видимому, неизвестны ответственным лицам. являются или просто скрыты . В настоящее время в поле зрения нет тенденции к изменению, которая уменьшает или, по крайней мере, ставит под сомнение интеграцию внешних ресурсов. Знаки по-прежнему объединены в сеть без должного учета безопасности и конфиденциальности пользователей.

Сеть устала от своей нынешней формы и, в частности, доминирует Google - вопрос в том, заинтересованы ли мы в "лечении" или Структурные изменения по-прежнему остаются за провайдерами, такими как Google, Amazon или Facebook хотят.

Источники изображений :

Больной: Смайлики и люди от www.flaticon.com имеет лицензию CC 3.0 BY
WWW Нажмите: Dino Softlabs от www.flaticon.com имеет лицензию CC 3.0 BY

Об авторе

Об авторе

Меня зовут Майк Кукетц, и я пишу этот блог, чтобы сделать темы, связанные с безопасностью и конфиденциальностью, более понятными и доступными для всех.

На моей внештатной работе в качестве Пентестера ( Kuketz IT Security ), Я вхожу в роль «хакера» и ищу уязвимости в ИТ-системах, веб-приложениях и приложениях. Кроме того, я лектор по информационной безопасности на двойной университет Карлсруэ и, среди прочего, как автор для компьютерного журнала c't работает.

Блог Kuketz или мой человек регулярно в средства массовой информации (heise online, Süddeutsche Zeitung и т. д.).

Узнайте больше ➡

Следуй за мной через

Если вы хотите получать информацию о последних публикациях, у вас есть несколько вариантов подписки на блог:

Информационный бюллетень ➡