В последние дни было много разговоров про существование тотальной слежки американских спецслужб. Не говоря уже о том, что многие известные сервисы грешат наплевательским отношением к приватности своих пользователей, не предоставляя даже HTTPS доступ.
Для многих тема приватности важна. И речь вовсе не идет о сокрытии каких-то злых намерений пользователей. Приватность и персональность данных — это вполне законное право современного человека.
Существует несколько распостраненных вариантов защитить себя от слежки:
- использовать HTTPS
- чистить cookies
- использовать proxy-сервер
- использовать анононимный VPN
- использовать сеть TOR
- использовать сеть I2P
- …
Каждый из вариантов имеет свои недостатки, преимущества и определенную степень защиты. Давайте рассмотрим их подробнее:
Очистка Cookies, запрещение плагинов (flash, java и т.д.) и javascript
Удалять обычные и flash cookies полезно, если вам не нужна персонализация сервиса и таргетирование рекламы. В этом случае вы удаляете только свою связь с вашим профилем/сессией на сайте, и что хранится в cookies зависит сугубо от сервиса. В случае наличия XSS уязвимостей на сайте, который использует cookies для сессий, сторонние сайты могут вас легко деанонимизировать через профиль на таких сайтах. Например, если вы залогинены на linkedin, то поместив на свой сайт ссылку на просмотр своего профиля в виде картики, впоследствие вы сможете просмотреть, кто из пользователей linkedin смотрел вашу страницу. Также важно знать, что некоторые плагины, которые запускаются вашим браузером, могут раскрыть ваш настоящий IP-адрес, даже если вы используете proxy/TOR/I2P и прочие средства анонимизации.
Использование HTTPS
(+) защищает от перехвата или подмены содержимого сайта,
(−) DNS-запросы остаются незашифрованными. Например, если вы вдруг используете нешифрованный WiFi канал, то ваши соседи и ваш провайдер могут узнать сайты, которые вы посещаете.
(−) cайт, который вы открыли в браузере, знает ваш IP адрес.
Использование proxy-сервера
Proxy cервера бывают нескольких видов:
- HTTP — ретранслируют GET/POST запросы и могут добавлять в заголовок запроса ваш оригинальный ip-адрес, а также хранить у себя полную историю вашего взаимодействия с сайтом.
(+) анонимность клиента (при правильном использовании)
(+) поддерживается почти всеми браузерами
(+) DNS запросы от имени сервера
(−) История на сервере
(−) Возможность фильтрации и подмены данных proxy-сервером
(−) работает только для HTTP протокола
(−) не спасает от атаки через плагины и XSS - В случае с SOCKS proxy браузер открывает все TCP (и иногда UDP) сокеты от имени сервера. При этом (взависимости от браузера), вы можете использовать свой локальный DNS сервер, и сайт сможет вас по нему отследить, путем выдачи на каждый запрос уникального имени в своем поддомене и запоминая с каких адресов к ним приходят DNS-запросы.
(+) анонимность клиента (при правильном использовании)
(+) возможность пробросить произвольное TCP соединение (например SSH)
(+) DNS запросы от имени сервера (google chrome)
(−) DNS запросы от имени клиента (firefox)
(−) Возможность фильтрации и подмены данных proxy-сервером
(−) История на сервере
(−) не спасает от атаки через плагины и XSS
Анононимные VPN
По сути дают такую же защищенность, что и SOCKS proxy.
(+) анонимность клиента (при правильном использовании)
(+) у вас будет сетевой интерфейс с «анонимным» адресом, и не нужно отдельно настраивать браузер и другие программы для его использования
(−) это дороже, так как требует выделения каждому клиенту отдельного IP-адреса
(−) не спасает от атаки через плагины и XSS
Аренда dedicated-сервера
(+) анонимность клиента (при правильном использовании)
(+) возможность настроить SOCKS и HTTP прокси самостоятельно, зная, что история запросов никуда не утечет
(+) спасает от атаки через плагины и XSS, если запускать браузер удаленно
(−) сильно дороже и в некоторых странах требует деанонимизации (паспорт, использование кредитной карты и т.д.)
(−) хостер может отслеживать ваши IP-адреса, с которых вы делаете соединения на сервер
Использование TOR
(+) анонимность клиента (при правильном использовании)
(−) трафик может проходить через другой континент и/или через IP адрес из черного списка, и многие интернет сервисы будут открываться медленнее или не открываться вообще
(−) если вы не используете HTTPS, то выходные узлы могут просмотривать/фильтровать ваши запросы
(−) сайт должен быть доступен в интернете. То есть анонимен только клиент, но не сервер.
(−) не спасает от атаки через плагины и XSS
I2P
Аналогом TOR сети является I2P сеть, которая также скрывает сетевую активность пользователей. Помимо этого, можно создать свой ресурс и проанонсировать его в сети I2P, при этом не будет известен реальный IP адрес сайта или сервиса.
(+) анонимность клиента (при правильном использовании)
(+) анонимность сервера (при правильном использовании)
(−) трафик может проходить через другой континент (причем, не один раз), и как следствие — низкая скорость и большое время отклика
(±) отсутствие привычного DNS (ввиду полной децентрализации) и необходимость в подписке на «правильный» сервер имен или внесения сайта в адресную книгу
(±) внутренние сайты не доступны через интернет и наоборот (за исключением использования шлюзов, на которых можно частично потерять анонимность)
(−) не спасает от атаки через плагины и XSS
Выводы
Очевидно, что обеспечение своей приватности — это комплексная задача, и что никакие сети и средства не дают гарантированной анонимности: нужно учитывать XSS/сookies, ошибки в ПО, запросы к DNS серверу, HTTP заголовки, неправильно настроенные узлы в сети I2P и TOR, так называемые «отпечатки браузера» и многое другое, о чем я напишу в следующих статьях.
Различного рода «продвинутые законы» о закрытии анонимайзеров и сетей типа TOR и I2P, делают эти сети все более популярными, поскольку ввиду архитектурных особенностей их практически невозможно закрыть.
За последние 10 лет сеть I2P выпосла из академического проекта в широко используемый продукт с рядом «неубиенных ресурсов» (например, freezone.i2p, lib.i2p, btdigg.i2p)
ссылка на оригинал статьи http://habrahabr.ru/post/191316/
Добавить комментарий