1 privacidade na web ségio donizetti zorzo robson eduardo de grande

1

Privacidade na Web

Ségio Donizetti Zorzo

Robson Eduardo De Grande

2

Invasão de privacidade

O que é invasão de privacidade? Uma invasão pode ser caracterizada como

acesso não autorizado a algo. Pode ocorrer perda de privacidade se

informações pessoais estão envolvidas na invasão.

Além do acesso indevido, uma divulgação não autorizada de informação também pode ser visto como invasão.

3

Invasão de Privacidade

No contexto computacional, de informática, ou mais especificamente da Web (protocolo HTTP) a invasão pode ser o acesso indevido à: um host ou; um meio de comunicação entre dois hosts.

A partir desse contexto podem haver diversas “formas de invasão de privacidade”.

4

Invasão de Privacidade

5

Formas de invasão de privacidade a invasão de privacidade pode ocorrer pelo acesso

de um terceiro ao computador do usuário ou do servidor do site, o meio de comunicação entre os dois, e pelo site. a invasão nos hosts (computador do usuário ou servidor)

pode ser contida utilizando: Firewalls (filtro de pacotes TCP/IP); anti-vírus; anti-spywares; anti-adwares; e protocolos de acesso.

Essas ferramentas dificultam o acesso, mas não evitam totalmente as invasões.

6

Formas de invasão de privacidade

a invasão no meio de comunicação pode ser evitada pelo uso de: técnicas de criptografia simétrica

RC5; DES; AES.

e assimética RSA.

Diffie-Hellman. Ferramentas que utilizam essas técnicas para construção

de canais e túneis de comunicação seguros são: PGP; OpenSSL.

7


A invasão de privacidade pelo site é a mais difícil de ser detectada e impedida. Análise de navegação para definição de perfil de usuário que

não pode ser detectada; Mal uso de informações.

Técnicas de criptografia e outros não podem ser utilizados para evitar esse tipo de invasão.

Ferramentas de coleta de informações são utilizadas: Clickstream; cookies; web bugs; Códigos maliciosos: JavaScript, ActiveX, VBScript.

8


a partir desses tipos de invasão de privacidade podem ser definidas 6 níveis de proteção de privacidade.

9

Níveis de proteção de privacidade Notificação:

consistindo em sistemas que informam o usuário sobre as técnicas de coleta de informação e manuseio delas.

Ela auxilia em uma conscientização do que é aceitável para cada usuário, devido a subjetividade da privacidade.

Algumas técnicas são essenciais para o funcionamento da Web (cookies), mas podem ter um mal uso.

Como exemplo há: Privacy Critics; Ferramenta de fornecimento de informação relacionada a

contexto.

10

Níveis de proteção de privacidade controle:

São ferramentas utilizadas para aumentar o controle do usuário de sua privacidade.

Elas evitam que técnicas maliciosas de coleta de informação pessoal do usuários sejam utilizadas.

Executam filtragem de conteúdo recebido pelo usuário para detecção desses códigos: JavaScripts; Web bugs.

11

Níveis de proteção de privacidade ferramentas para proteção de privacidade:

envolve ferramentas que melhoram o nível de privacidade do usuários. Elas visam a não detecção da identidade do mesmo durante a navegação da Web.

12

Níveis de proteção de privacidade políticas de privacidade:

declarações de práticas de privacidade do site para a coleta e uso das informações. Técnicas de coleta, propósito, divulgação, armazenamento e

outros. Essas políticas de privacidade são documentos que

informam o comportamento do site. O usuário escolhe realizar transação com site de acordo

com elas. Ferramentas:

P3P;

13

Níveis de proteção de privacidade certificação de privacidade:

Instituições criadas com o intuito de realizar auditoria de privacidade e supervisão de práticas de privacidade relacionadas às declarações de privacidade.

Essas instituições entregam certificados de privacidade que podem ser identificados pelos usuários como um selo de garantia de privacidade.

Instituições: TRUSTe - www.truste.org; WebTrust - www.cpawebtrust.org; BBBOnline - www.bbbonline.org.

14

Níveis de proteção de privacidade Leis de privacidade:

É o uso da legislação para impor ordem à coleta e o manuseio de informações pessoais ou confidenciais.

Não tem o papel de punir os sites, mas de fazer com que eles sigam uma linha de não invasão e de respeito à privacidade dos usuários.

15

Níveis de proteção de privacidade Esses seis níveis de proteção de privacidade

podem ser classificados em duas categorias: coleta implícita de informações (camadas ou

níveis 1, 2 e 3); e coleta explícita e o uso dado às informações

coletadas (camadas ou níveis 4, 5 e 6).

16

Níveis de proteção de privacidade

17

Métodos de coletas de informações A coleta explícita de informações:

A técnica mais usual é o uso de formulários. Por essa técnica nada pode ser dito com relação

à invasão na coleta de dados o simples envio das informações pelo usuário

envolve o seu consentimento.

18

Métodos de coletas de informações A coleta implícita:

O usuário pode não estar ciente da análise de sua navegação para definição de perfil.

Ela pode ser classificada como uma invasão de privacidade.

19

Coleta implícita

O clickstream ou clickspath: Uma técnica de análise de acesso de usuário a

páginas, que consiste um caminho de navegação. O caminho pode ser caracterizar um determinado

perfil para o usuário. O uso do perfil é vantajoso para ser utilizado no

processo de personalização no contexto de marketing de e-commerce.

20

Coleta implícita

A técnica de clickstream se utiliza de logs de servidor que contém todo um histórico de requisições de usuário ou

Uso de painéis que são uma camada composta por uma matriz que define por onde ocorrem acessos de um determinado usuário ao site.

21

Coleta implícita

Web bugs: São gráficos em uma página Web ou em uma

mensagem de e-mail. São designados a monitorar quem está lendo a

página ou e-mail. São frequetemente invisíveis ou imperceptíveis

são tipicamente imagens do tamanho de 1x1 pixel. Eles são representados como HTML IMG tags.

22

Coleta implícita

Códigos maliciosos: Eles podem acessar informações pessoais computador

sem o usuário perceber. São programas executáveis transmitidos automaticamente

pela Internet em um acesso a uma página. Podem conter vírus, worms e cavalos de tróia. Podem ser gerados por:

JavaScript; ActiveX; VBScript.

23

Coleta implícita

Cookies: RFC 2965; foram criados para incrementar o protocolo HTTP

que não incorpora estados de navegação. Eles podem ser utilizados para armazenar

qualquer informação.

24

Coleta implícita: cookie

De acordo com sua especificação: Um computador pode comportar um número máximo de

300 cookies em geral; No máximo 20 cookies para um único host ou nome de

domínio; Cada cookie pode conter no máximo 4096 bytes de

texto. O cookie é armazenado no computador do

usuário e recuperado pelo site através de um cabeçalho cookie no início de um pacote HTTP.

25


Funcionamento:

26


Sintaxe do cabeçalho de resposta:

27


Exemplo de cabeçalho de resposta. Set-Cookie2: Cookielogin=Robson Eduardo De

Grande; Comment=Saber quem está logado no site; CommentURL=”http://www.dc.ufscar.br/~robson/intencoes.html”; Discard; Domain=www.dc.ufscar.br; Max-Age=1000; Path=/~robson/; Port=”80”; Secure; Version=2

28


Sintaxe do cabeçalho de envio:

29


Exemplo de cabeçalho de envio. Cookie: $Version=2; Cookielogin=Robson Eduardo De

Grande; /~robson/; http://www.dc.ufscar.br; $Port=”80” Nem todos os campos armazenados pelo

navegador são retornados para o site origem. O cookie somente pode ser recuperado se os

atributos Domain e Path casarem com o domínio e caminho da URL requisitada pelo usuário.

30


Qualquer linguagem de construção de páginas dinâmicas comporta a especificação para cookies. Java por Servlets ou JSP; CGI; PHP; e outras.

Nos exemplos a seguir a linguagem utilizada é PHP.

31

Exemplos de cookies

…

1 privacidade na web ségio donizetti zorzo robson eduardo de grande

Documents