Безопасность IIS
[+]
Опубликован: 16.10.2006 | Доступ: свободный | Студентов: 2186 / 313 | Оценка: 4.44 / 4.23 | Длительность: 26:41:00
Темы: Интернет-технологии, Безопасность
Специальности: Специалист по безопасности, Архитектор программного обеспечения
Теги: asp, computer management, cookies, ERD, iis, ISAPI, NIDS, privacy, security policy, активное содержимое, анонимный доступ, аутентификация, безопасность, вирусы, группы новостей, интернет, интранет, каталоги, клиенты, политика, приложения, протоколы, серверы, шифрование, электронная почта
Лекция 12:

Секретность данных в интернете
A
|
версия для печати
< Лекция 11 || Лекция 12: 123456789101112 || Дополнительный материал 1 >

Платформа проекта предпочтений секретности

Одним из средств, занимающих свой собственный сектор, является Platform for Privacy Preferences Project (Платформа проекта предпочтений секретности) или P3P. Это не такая глобальная разработка, как технология, разработанная Консорциумом World Wide Web (W3C). Цель данного продукта – обеспечение стандартизированного набора вопросов с несколькими вариантами ответов, покрывающего основные аспекты политик секретности веб-сайта. Объединенные вместе, эти данные представляют собой четкую картину того, каким образом на сайте осуществляется обработка личной информации о пользователях сайта. Веб-сайты с поддержкой P3P форматируют эту информацию в стандартном, понятном для компьютерных систем, виде.

Это означает, что при посещении веб-сайта с поддержкой P3P посредством браузера, также поддерживающего P3P, браузер сопоставляет картину секретности сайта с собственным набором настроек секретности потребителя. Таким образом, P3P повышает уровень контроля посредством "размещения политик секретности в том месте, где они могут быть найдены пользователем, в форме, понятной пользователю и, что самое главное, с возможностью пользователя действовать в соответствии с увиденной информацией".

W3C описывает P3P как "простой, автоматизированный метод повышения контроля над использованием личной информации пользователей на посещаемых ими веб-сайтах", хотя здесь наблюдается некоторое противоречие между предпочтениями секретности пользователя и выполнением пользователями этого действия для самих себя. Это привело к критике от правозащитников, заявлявших, что P3P не будет работать, так как пользователи не будут читать все встречающиеся им политики секретности, а включат автоматическое согласование с широким рядом параметров, подобно тому, как они поступают в отношении элементов cookie и параметров безопасности.

Они понимают, что P3P поднимает вопрос о том, какими должны быть стандарты онлайновой секретности, и это может быть истолковано как попытка сосуществования широкого спектра подходов к обработке личных данных, некоторые из которых могут быть навязчивыми. Более того, P3P не соответствует последнему из пяти принципов информационных взаимодействий (принуждение/компенсация). На сайте будет заявлено соответствие определенным стандартам, однако на практике они могут игнорироваться, а проверка P3P, тем не менее, будет проведена.

Остается непонятным, станет ли P3P полезным средством управления секретностью информации на веб-сайте. Тем не менее, если на сайте не размещена P3P-политика, то может потребоваться подтверждение того, что приложения функционируют корректно при доступе к ним через браузер Internet Explorer 6 с настройками по умолчанию. Чтобы ознакомиться со средствами, предназначенными для реализации этой цели, посетите сайт http://eprivacygroup.com/sources.

P3P в Internet Explorer 6

Чтобы читателю было понятно, чем же является P3P на практике, расскажем о том, в каком виде этот компонент присутствует в Internet Explorer 6 (IE6) (последняя версия браузера Internet Explorer на момент написания книги), веб-браузере от компании Microsoft. IE6 поддерживает стандарт P3P и широко рекламируется как браузер с новыми возможностями по обеспечению секретности и улучшенной фильтрацией элементов cookie. Пользователи могут настраивать параметры секретности IE 6 на вкладках Privacy (Секретность), Content (Содержание) и Advanced (Дополнительно) в диалоговом окне Internet Options (Свойства интернета), что позволяет им контролировать элементы cookies, а также узнать больше о политиках секретности веб-сайтов. Эти параметры определяют, каким образом IE6 обрабатывает определения секретности в формате P3P, встречающиеся на веб-сайтах.

При просмотре веб-сайта IE6 проверяет, имеется ли на сайте информация о секретности P3P. Если такой информации нет, пользователь не получает никакого уведомления, но IE6 будет блокировать любые элементы cookie согласно параметрам секретности пользователя. Если на сайте имеется информация о секретности P3P, IE6 сравнивает пользовательские предпочтения секретности с политикой P3P сайта и определяет, разрешить или запретить установку сайтом элементов cookie. Если элементы cookie блокируются по причине несоответствия пользовательских предпочтений политике сайта, то появляется уведомление о том, что элемент cookie заблокирован. В следующий раз при блокировке элемента cookie отобразится значок в строке состояния. Сообщение с уведомлением выглядит так.


IE6 содержит шесть параметров обработки элементов cookie, начиная с параметра Accept All Cookies (Разрешить все элементы cookie) и заканчивая параметром Block All Cookies (Блокировать все элементы cookie), причем параметром по умолчанию является Medium (Средний). Можно импортировать особые настройки секретности, однако подразумевается, что все пользователи используют параметр по умолчанию. Параметр Medium автоматически блокирует элементы cookie, использующие персонально идентифицируемую информацию для вторичных целей или передающие такую информацию получателям вне посещаемого сайта. Тем не менее, данный параметр позволяет сайтам использовать элементы cookie для сбора данных, которые могут понадобиться службам доставки продуктов. В параметр Medium входят следующие настройки.

  • Блокировка сторонних элементов cookie, не имеющих компактную политику секретности.
  • Блокировка сторонних элементов cookie, использующих персонально идентифицируемую информацию без разрешения ее обладателя.
  • Блокировка принадлежащих сайту элементов cookie, использующих персонально идентифицируемую информацию без отдельного разрешения.

Каждый раз при блокировке элементов cookie после начального уведомления о секретности в строке состояния браузера появляется значок, говорящий о том, что IE6 предпринял действие по защите секретности, заблокировав соответствующий элемент cookie. Пользователь может щелкнуть на значке, чтобы просмотреть отчет Privacy Report (Отчет о секретности) (см. рис. 12.2), в котором приводится содержимое веб-страницы.

Отчет о секретности отображает адрес, с которого поступило веб-содержимое, со ссылкой на сведения о секретности

увеличить изображение
Рис. 12.2. Отчет о секретности отображает адрес, с которого поступило веб-содержимое, со ссылкой на сведения о секретности

Отчет о секретности содержит ссылку на сведения о секретности относительно содержимого для каждого элемента списка (см. рис. 12.3). Пользователи могут в любое время отобразить отчет о секретности через меню View (Вид).

Итоговые сведения отчета о секретности: обратите внимание на ссылку для регистрации спорной ситуации и для подписки на сертификат секретности

Рис. 12.3. Итоговые сведения отчета о секретности: обратите внимание на ссылку для регистрации спорной ситуации и для подписки на сертификат секретности

Так как IE6 призван повысить внимание пользователей к аспектам секретности (особенно к использованию элементов cookie), а также облегчить блокировку определенных типов элементов cookie, руководство компании, которой принадлежит защищаемый сайт, может запретить ненужные вызовы функций IE6 от веб-приложений.

Дальше >>
< Лекция 11 || Лекция 12: 123456789101112 || Дополнительный материал 1 >

Вопросы и ответы

вопросов: 0