Как защитить вашу информацию с местным шерифм

Автор оригинала: FreeCodeCamp Community Member.

Konark Modi

Наблюдая, как они смотрят на нас

Что такое URL TalyTale?

URL является наиболее часто отслеженным информацией. Невинный выбор для структурирования URL на основе содержимого страницы может облегчить изучение истории просмотра пользователей, адрес, информацию о здоровье или более конфиденциальных деталях. Они содержат конфиденциальную информацию или могут привести к странице, которая содержит конфиденциальную информацию.

Мы называем такие URL как TellTaleurls.

Давайте посмотрим на несколько примеров таких URL.

Пример № 1:

Сайт : Donate.mozilla.org (исправлено)

После того, как вы закончите процесс оплаты на Donate.mozilla.org. Вы перенаправлены на страницу «Спасибо». Если вы внимательно посмотрите на URL, показанном на экране ниже, он содержит личную информацию, такую как Электронная почта, страна, сумма, способ оплаты.

Теперь, поскольку эта страница загружает некоторые ресурсы от третьих сторон, а URL не демонстрируют, та же информация также передается эти третьими сторонами через реферер, а также в качестве значения внутри полезной нагрузки, отправленной третьим лицам.

В этом конкретном случае было 7 сторонних сторон, с которыми была передана эта информация.

Mozilla была предсказана исправить эти проблемы, здесь можно найти более подробную информацию: https://bugzilla.mozilla.org/show_bug.cgi?id=1516699.

Пример № 2:

Сайт : Trainline.eu, Justfly.com (последний проверено: aug’18)

После того, как вы закончите покупку, как билеты на поезд/авиабилеты, вы получаете электронное письмо с помощью вашего бронирования. Большую часть времени, когда вы нажимаете на ссылку, вы отображаются детали бронирования – без необходимости ввода более подробной информации, таких как код бронирования, имена пользователя/пароль.

Это означает, что сам URL содержит какой-то токен, который уникален для пользователя, и предоставляет доступ к бронированию пользователей.

Так получилось, что эти URL также разделяются сторонними сторонами, давая эти третьим лицам Высокочувствительные данные и Доступ к вашему забронированию Отказ

Пример № 3:

Сайт : foodora.de, grubhub.com (последний проверил: aug’18)

Одним из предварительно реквизитов на заказ продуктов питания входит в адрес, в котором вы хотите доставить еду.

Некоторые популярные веб-сайты доставки еды, преобразуйте адрес, чтобы найти значения широты-долготы и добавить их в URL.

URL также передается третьим сторонам, потенциально протекает, где живет пользователь.

Риски URL-адресов TalyTale:

• Сайты небрежно протекают конфиденциальную информацию до множества третьих сторон.
• Чаще всего без согласия пользователей.
• Более опасно: большинство сайтов не знают об этих утечках при выполнении сторонних услуг.

Эти проблемы трудно исправить?

Как инженер-программист, который работал для некоторых из крупнейших компаний электронной коммерции, я понимаю необходимость использования сторонних услуг для оптимизации и расширения не только цифрового продукта, но и как пользователи взаимодействуют с продуктом.

Это не использование сторонних услуг, которые вызывают обеспокоенность в этом деле, но осуществление этих услуг. Владельцы всегда должны иметь контроль над их веб-сайтом и что на веб-сайте долится третьим лицам.

Именно этот контроль должен быть осуществлен, чтобы ограничить утечку информации о пользователе.

Это не задача Mammoth, это просто вопрос об стремлении сохранение основных право на конфиденциальность.

Например:

1. Частные страницы должны иметь Noindex Meta Tags Отказ
2. Ограничьте наличие сторонних услуг на частных страницах.
3. Референер-политика на страницах с чувствительными данными.
4. Реализуйте CSP и SRI. Даже с огромным следом сторонних услуг CSP , Шри не включены на большинство сайтов.

Представляем местного шерифа:

Учитывая, что такая утечка информации опасна как для пользователей, так и для организаций, то почему это широко распространена проблема?

Одной из причин, что эти проблемы существуют, является отсутствие осознания.

Хорошая отправная точка для веб-сайтов состоит в том, чтобы увидеть, какая информация утечка или обнаружение наличия CellTaleurls.

Но для того, чтобы выяснить, если происходит то же самое с веб-сайтами, которые вы поддерживаете или посещаете, вам необходимо изучить некоторые инструменты для проверки сетевого трафика, понять первые – сторонние отношения, а затем убедитесь, что у вас есть эти инструменты, открытые во время процесс транзакции.

Чтобы помочь мостику этого пробела, мы хотели построить инструмент со следующими рекомендациями:

• Легко установить.
• Мониторы и хранит все данные, которые обмениваются между веб-сайтами и третьими лицами – локально на пользовательской машине.
• Помогает идентифицировать пользователей, которые компании отслеживают их в Интернете.
• Интерфейс для поиска информации, пропущенной на третьих сторон.

Учитывая вышеуказанные руководящие принципы, расширение браузера казалось разумным выбором. После установки локального шерифа на заднем плане:

1. Используя API WebRequest, он контролирует взаимодействие между первой партией и сторонней.
2. Классифицирует, какой URL является первой партией и сторонней.
3. Корабли с копией базы данных из Whotracksme Отказ На карту какого домена принадлежит какую компанию.

4. Предоставляет интерфейс, который вы можете искать значения, которые, по вашему мнению, являются частными для вас, и посмотрите, какие веб-сайты теряют ее, к которым третьим лицам. Например: имя, электронная почта, адрес, дата рождения, cookie и т. Д.

Редактирующий пример № 1

Веб-сайт: Donate.mozilla.org.

• У пользователей установлено локальный шериф и пожертвовать на Mozilla.org.

• Нажмите на значок, чтобы открыть интерфейс поиска.

• Входит в адрес электронной почты, используемый на сайте donate.mozilla.org.

Видно, что адрес электронной почты, используемый во время пожертвования, был передан ~ 7 сторонних доменов.

Вы можете попробовать себя, установив его:

• Firefox: https://addons.mozilla.org/de/firefox/addon/local-sheriff/
• Chrome: https://chrome.google.com/webstore/detail/local-sheriff/ckmkiloofgfalfdhcfdllaaacpjejejeg

Ресурсы:

• Подробнее : https://www.ghacks.net/2018/08/12/LOCAL-SHERIFF-REVEALS-IFSITES-Leak-personal-Information-with-third-
• Исходный код : https://github.com/cliqz-oss/local-sheriff.
• Конференции: Defcon 26 Демо-лаборатория , Фосдем 2019.
• Код: https://github.com/cliqz-oss/local-sheriff.
• Хром магазина: https://chrome.google.com/webstore/detail/local-sheriff/ckmkiloofgfalfdhcfdllaaacpjejejeg

Спасибо за чтение и деление!:)

Если вам понравилась эта история, не стесняйтесь ??? Несколько раз (до 50 раз. Шутки в сторону).

Счастливого взлома!

– Konark Modi

Кредиты:

• Особая благодарность Ремин , Паллави Для просмотра этого поста:)
• Название «Наблюдение за ними, наблюдая за нас», происходит от совместного разговора между местным шерифом и Тренажер на Fosdem 2019.

Оригинал: “https://www.freecodecamp.org/news/local-sheriff-watching-them-watching-us-5eacf3eb00ca/”