Мне в логах видно все…
АрхивУбедившись в иллюзорности защиты и легкости взлома паролей в операционных системах и корпоративных сетях, рассмотрим теперь вопросы конфиденциальности и безопасности в Сети с большой буквы.
Убедившись в иллюзорности защиты и легкости взлома паролей в операционных системах и корпоративных сетях («КТ» #391, www.softerra.ru/review/security/8563/), рассмотрим теперь вопросы конфиденциальности и безопасности в Сети с большой буквы.
Отчего оной конфиденциальности столь плохо лишиться и почему на нее все так посягают? Все просто: скажите, вам нравится, когда любопытная соседка сует нос куда не надо? А самому это делать нравится? Вот… А если серьезно, есть масса организаций, которые мечтают заполучить как можно более подробную информацию о пользователе/посетителе/покупателе, дабы ассортимент предлагаемой продукции или услуг пользовались максимальным спросом. И технология сбора этой информации, благодаря Интернету, вышла на качественно иной уровень: теперь ваши личные интересы выясняют досконально, а главное - практически незаметно для вас. Зайдем, к примеру, на сайт любимого электронного издания. Что мы скорее всего увидим в низу каждой страницы? Правильно, счетчик посещений. Более того, обычно за каждую статью можно проголосовать, что позволяет издателю узнать рейтинг автора, выяснить, интересна ли тема читателю, и сделать выводы.
Вообще же, владельцу сайта доступно гораздо больше информации. Канули в лету те времена, когда счетчики представляли собою простенькую однопиксельную картинку, по числу загрузок которой определялось и число посещений. Теперь это сложный механизм, «высасывающий» из пользователя максимально доступный объем информации. Любой популярный веб-сервер протоколирует время захода посетителя, его IP-адрес, страницу, к которой он обратился и с которой на нее зашел, тип браузера. Путем небольших ухищрений можно узнать чуть больше и о рабочем окружении клиента (разрешение экрана, глубина цвета, версия JavaScript и доступность Java) - достаточно в тело страницы вставить JavaScript, генерирующий код для выполнения программы уже на стороне сервера. Кстати, пользователю вовсе не обязательно возвращать картинку счетчика - это может быть и просто элемент оформления (так я делал у себя на сайте).
Из рисунка видно, какой минимальный объем информации можно получить, комбинируя эти два приема (исходные коды скриптов вы можете найти в полной версии статьи на сайте «SoftТерры»).
Буквально за день можно написать приличную программу для обработки всей статистики по вашему сайту. Ну а владельцы ресурсов типа счетчиков посещений или банерообменных служб вообще могут проследить практически каждый шаг пользователя. Как? Да с помощью IP-адреса посетителя, который являет собой уникальный идентификатор, поскольку во время сеанса подключения к Интернету он не меняется 1. Кто мешает по имеющимся лог-файлам составить полную картину перемещений посетителя между сайтами, проанализировать маршруты, подсчитать, сколько времени он задерживался на каждой странице, и так далее? 2 Конечно, это не абсолютно достоверная и надежная информация, но по ней уже вполне можно делать выводы. Ко всему прочему по IP-адресу можно определить страну, город и провайдера посетителя, и даже его телефон с адресом.
Хочу еще раз обратить внимание на то, что информацией, полученной серверным скриптом, владеет любой сайт, с которого вы загрузили хоть что-то - страницу, картинку, mp3-файл, видео, архив, и лежит она в логах сервера.
Однако сохранить анонимность, гуляя по Сети, все же можно: если вы хотите, чтобы никто не узнал вашего адреса, можно воспользоваться специальными «анонимизирующими» серверами и заходить на ту или иную страницу через них, а не напрямую. В этом случае в логах конечного сайта будет зафиксировано, что к нему зашел некто с адреса xxx.com (не путать с другим популярным сайтом), а не с ваш_провайдер.ru. Кроме того, сервер-посредник хранит и cookies, предназначенные для вас.
Я рекомендую воспользоваться бесплатной службой Rewebber. Похожие услуги предлагает и Anonymizer. Ну и, конечно, можно просто прописать в настройках браузера анонимный прокси-сервер 3. Только не думайте, что, если вы воспользуетесь этими услугами, вас нельзя будет вычислить. Не забывайте, ваш адрес все-таки известен посреднику!
[i39333]
1 (обратно к тексту) - Не говоря уж о пользователях, имеющих статический IP.
2 (обратно к тексту) - Так делает, например, одна отечественная банерная служба, имени которой мы, пожалуй, называть не станем.
3 (обратно к тексту) - Подробнее об анонимных прокси-серверах и особенностях их использования читайте на www.softerra.ru/review/internet/6774/.