Ющук Евгений Леонидович (yushchuk) wrote,
Ющук Евгений Леонидович
yushchuk

Categories:

"Стучит" ли Mozilla в Google? И нет, и да. Но предупреждает.

Mozilla and GoogleПродолжаю обрабатывать материалы лондонской конференции Online Information 2007. На конференции регулярно обсуждались вопросы прайвеси в Интернете и поэтому нередко поднимался вопрос "Гугл - Большой Брат?".
Причин тому было немало. В том числе и выявленные нами в ходе эксперимента обмены зашифрованной информацией между программами, устанавливаемыми на компьютер и сервером Гугла (там можно скачать логи эксперимента), и куки с многолетним сроком действия. и судебные процессы над людьми, в основу обвинений которых были положены результаты их поисковых запросов в Гугл.

Надо отметить, что Гугл вносит некоторые коррективы. Те же куки в Гугле теперь имеют срок годности два года, что ощутимо меньше, чем у российских поисковиков (например, у Яндекса сегодня выставляется 2038 год). Кстати, на конференции выяснилось, что тема куков, обсуждение которой вызывает у некоторых отечественных вэбадминистраторов приступы ярости, наших западных коллег высокого уровня - как, например Криса Шермана - интересует не меньше, чем меня :)

Президенту Mozilla Europe Тристану Нитоту (Tristan Nitot) я задал вопрос: правда ли, что Мозилла сообщает в Гугл о посещенных пользователями страницах, тем самым информируя его о том, какие страницы более популярны, а заодно рассказывая, кто куда ходил? Тристан сперва сказал, что Мозилла очень защищена и для борьбы с хакерами надо своевременно устанавливать обновленную версию браузера. Однако меня не устроил такой ответ и я уточнил, что речь идет именно о передаче браузером в Гугл сведений о посещенных пользователем страницах, а не о хакерах.

Тристан помолчал некоторое время, а потом ответил, что такое было, но это был баг, который теперь исправлен.
Высококвалифицированный российский специалист по защите информации, выступающий на форуме портала бизнес-разведчиков под ником Vinni, исследовал этот вопрос. и пришел к выводу, что Мозилла по собственной инициативе в Гугл ничего не передает, однако при включении антифишинговой защиты Гугл оказывается проинформирован о страницах, посещенных пользователем. Правда опция это отключаемая и при этом Гугл честно предупреждает пользователя о передаче ему данных. Ниже приведу мою беседу с Vinni по этому поводу, проведенную здесь.

Vinni
Надо просто поставить локальный прокси (я использую 3proxy - www.3proxy.ru), так как мне его за глаза хватает), сконфигурировать браузер работать через него и посмотреть, что в логах.
Если я правильно понял Евгения, имелось в виду, что есть конспирологическая теория, что каждый раз, когда в адресной строке Firefox 2 указывается новый URL, параллельно обращению к этому URL, идет скрытое обращение куда-то в mozilla.com (или куда-то еще) с указанием этого URL (IP клиента при этом, понятное дело, становится известен автоматически).

Я ради интереса посмотрел в логи своего локального прокси и увидел следующее (POST-запросов не было, а параметры GET-запроса в логе прокси видны, поэтому отправку информации от браузера я увидел бы smile14.gif ).
1) так как у меня включена проверка веб-сайтов на фишинг-сайта (Options/Security/Tell me if the site...) в режиме "Check using a downloaded list...", то каждые полчаса браузер обращается по следующей ссылке (числа после 1: увеличиваются со временем)
http://sb.google.com/safebrowsing/update?c...enchash:1:39555
Попытка вручную скачать этот URL выявила, что там действительно список фишинг-сайтов.
2) зашел на новый бюллетень SANS - http://isc.sans.org/diary.html?n&storyid=3722. Увидел, что там стоит модификация Google Analytics и добавил правило в AdBlockPlus (/_utm.gif/). Никаких подозрительных запросов я не увидел.

Потом я решил посмотреть, что будет, если выбрать другой вариант антифишинговой защиты (онлайн-проверка).
При настройке я получил предупреждение от Гугла ( http://www.google.com/tools/firefox/firefox_privacy.html ) - он честно предупреждает, что будет получать информацию об URL посещаемых страниц

Цитата
If you choose to check with Google about each site you visit, Google will receive the URLs of pages you visit for evaluation. When you click to accept, reject, or close the warning message that Phishing Protection gives you about a suspicious page, Google will log your action and the URL of the page. Google will receive standard log information, including a cookie, as part of this process. Google will not associate the information that Phishing Protection logs with other personal information about you. However, it is possible that a URL sent to Google may itself contain personal information. Please see the Google Privacy Policy for more information.


После этого браузер один раз обратился к Гуглу по SSL ( CONNECT sb-ssl.google.com:443 ) и отправил туда 272 байта (считаются и байты SSL-пакетов установления соединения и заголовки HTTP-запросов). Видимо, он согласовывал ключ шифрования. smile2.gif

Потом было собственно обращение к http://isc.sans.org/diary.html?n&storyid=3722 и ряду вспомогательных файлов. Причем к гуглу обращение было всего один раз -
http://sb.google.com/safebrowsing/lookup?
sourceid=firefox-antiphish&
features=TrustRank&
client=navclient-auto-ffox&
appver=2.0.0.11&
encver=1
&nonce=-1355297189&
wrkey=MTr9GWjAgET0cEv1w1lY0xq2&
encparams=ov%2FiGR0rc6vMYXK0RUTTodj%2F%2BZTgsdIRX4jlMb7FUy5Z6s4D9ziXOQ95rk%2BpU3xebCLz6%2BnHQsQFts86Lpg%3D&

Аналогично - при ображении к it2b-forum.ru обращение к Гуглу с аналогичной строкой было один раз...

Интересно отметить, что информация передается в зашифрованном виде, что наводит на размышления (что они там передают? может, не только URL - так как длина зашифрованного URL в ДВА раза больше и постоянно немного меняется. Даже base64-кодирование даст коэффициент увеличения длины 1.3, а не 2 )... smile2.gif

После отключения онлайн-проверки такие обращения к Гуглу прекратились

Мои слова
Спасибо, уважаемый Vinni! Я это и имел в виду.
А что это за онлайновая проверка? можно чуть подробнее? И правильно ли я понял, что Мозилла что-то передает, но только при определенных обстоятельствах и, скорее всего, по инициативе Гугла? Если да, то как этого избежать и чем мы рискуем, отказываясь от этой проверки? И какое отношение Гугл имеет к it2b?

Vinni
1)Гугл не имеет никакого отношения к it2b - просто я перечислял те URL, на которые зашел просто для примера в ходе исследования. Понятно, что я зашел именно на it2b smile3.gif

2)это проверка страницы, на которую зашел пользователь, на принадлежность достаточно большому списку страниц, имитирующих страницы для входа в те и ли иные онлайн-системы платежей (интернет-банкинг, eBay и т.д.). С помощью этой фальсификации (атака называется фишингом) хакеры пытаются выудить у пользователя его персональные данные (логины, пароли, номера кредитных карт и т.д.), чтобы потом совершать финансовые транзакции от его имени. Проще всего понять, как это работае, на примере - попробуйте зайти, например, на сайт http://abbey-onlinebanking.co.uk/account/C...onWeb/Logon.htm и увидите, что рядом с полем для ввода URL возникнет выноска с предупреждением, что на этой странице нельзя вводить свою персональную информацию. Подробнее - см. http://en-us.www.mozilla.com/en-US/firefox...ing-protection/

3) При переходе на новую страницу Мозилла проверяет принадлежность ее "черному списку" страниц. При онлайн-проверке для этого делается запрос к Гуглу - формат его я привел. По собственной инициативе Мозилла к Гуглу не обращается (можете проверить по логам прокси, когда вы в браузере не делаете никаких запросов).

4) Чем рискует пользователь? Если он использует кредитную карту для платежей в Интернет и/или различные платежные системы в Интернет, без этой системы он рискует передать свои персональные данные хакерам и понести определенные финансовые убытки. Если же он не использует ничего из этого, он может спокойно отключить эту антифишинговую систему.

Мои слова
Так Мозилла все же передает информацию о посещемой странице Гуглу? Пусть с самыми лучшими намерениями, но Гугл все же знает о том, куда ходят пользователи мозиллы, даже если они идут не из Гугла?

Vinni
Да. Именно об этом я и писал. Гугл в предупреждении, выдаваемом при включении этой опции, сам честно признается в этом (http://www.google.com/tools/firefox/firefox_privacy.html) smile5.gif

Мои слова
Ясно. Спасибо. Эта опция, как я понял, называется антифишингом и ее в принципе можно отключить? А где она включается-отключается?

Vinni
Инструменты/Настройки/Защита/Информировать, не подозревается ли...
Tags: google, mozilla, privacy, Интернет
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments