Privacidade na web
This presentation is the property of its rightful owner.
Sponsored Links
1 / 55

Privacidade na Web PowerPoint PPT Presentation


  • 42 Views
  • Uploaded on
  • Presentation posted in: General

Privacidade na Web. Sérgio Donizetti Zorzo Robson Eduardo De Grande. Mecanismos de Privacidade. Máscaras de anonimato MASKS. Políticas de Privacidade P3P. MASKS. Managing Anonymity while Sharing Knowledge to Servers . Arquitetura que mantém as características:

Download Presentation

Privacidade na Web

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Privacidade na web

Privacidade na Web

Sérgio Donizetti Zorzo

Robson Eduardo De Grande


Mecanismos de privacidade

Mecanismos de Privacidade

  • Máscaras de anonimato

    • MASKS.

  • Políticas de Privacidade

    • P3P


Masks

MASKS

  • Managing Anonymity while Sharing Knowledge to Servers.

  • Arquitetura que mantém as características:

    • garantia de privacidade com anonimato sem deixar de permitir personalização;

    • evitar a armazenagem de informação;

    • tornar flexível a quantidade de informação que o usuário deseja divulgar;

    • deve ser eficiente e adaptável;

    • permitir a existência dos cookies;


Masks1

MASKS

  • não necessita nenhuma modificação nos protocolos Web existentes:

    • HTTP;

    • TCP;

    • IP;

    • e outros.

  • Criação de máscaras ou pseudônimos.

  • Usuário é caracterizado por um perfil que é regido por seus interesses durante sua navegação.

  • Um pefil é associado a um grupo.


  • Masks2

    MASKS

    • Detectar o perfil do usuário é dificultoso.

      • Usuário varia interesses enquanto navega.

      • Muito difícil de predizer seu comportamento.

    • Cada requisição representa um interesse.

      • De acordo com o destino dela e sua semântica.

    • O usuário não precisa divulgar nenhum tipo de informação pessoal

      • Os dados privados não são mantidos no servidor do site.

      • Não há como um site perceber se o acesso a ele é feito por um grupo de interesses similares ao invés de um único usuário.


    Masks3

    MASKS

    • Ele é responsável pelo gerenciamento dos grupos de interesse:

      • a criação de um grupo;

      • a associação das requisições dos usuários a um determinado grupo;

      • e criação das requisições do grupo.

    • Cada grupo de interesse pode possuir diversas máscaras.

      • Uma para cada acesso ou requisição a um site.


    Masks4

    MASKS

    • Sites Web tem acesso ao padrão de navegação de um grupo.

    • Eles não podem identificar os usuários e nem traçar seus perfis.

    • Os grupos de interesse se desenvolvem de acordo com a mudança dos tópicos de interesses dos usuários.

    • Várias máscaras podem ser atribuídas a um mesmo site.


    Masks5

    MASKS


    Masks6

    MASKS

    • A arquitetura do sistema é composta por:

      • PSA (Privacy and Security Agent);

        • Agente do usuário;

        • Entidade intermediária entre navegador e servidor MASKS;

        • Redireciona as requisições dos usuários;

        • Mantém os usuários informados sobre sobre suas máscaras;

        • Permite mudar as máscaras;

        • Permite interação direta com os sites por desligar o processo de mascaramento.


    Masks7

    MASKS

    • Proxy de anonimato, servidor MASKS.

      • Responsável pela criação de grupos;

      • Possui um seletor de grupos;

      • Encaminha as requisições dos usuários mascaradas e as respostas dos sites seguem o mesmo caminho.

  • Podem existir diferentes situações no processo de mascaramento:

    • Diferentes grupos (máscaras) podem levar para um mesmo site;

    • Um mesmo grupo, mas com diferentes máscaras, pode levar a diferentes sites;

    • Um usuário pode possuir várias máscaras em sua navegação;

    • Uma máscara é atribuída para somente uma única página.


  • Masks8

    MASKS


    Masks9

    MASKS

    • MASKS aceita cookies.

      • Eles são utilizados no processo de mascarar as requisições.

      • Eles contêm o perfil da máscara no grupo de interesse.

    • Como qualquer outro sistema de anonimato ele não garante anonimato quando o usuário divulga dados explicitamente.

      • Essas informações não podem ser aplicadas a todo um grupo

      • Não garante privacidade do usuário.


    Masks10

    MASKS

    • Grande parte da navegação dos usuários se resume em buscas e acessos a documentos.


    Masks11

    MASKS

    • O ponto principal da arquitetura de MASKS é o algoritmo de designação de grupo.

      • Sendo que se o processo de designação é efetivo e semanticamente significante.

      • As requisições designadas para cada grupo serão direcionadas a páginas que estão associadas com o mesmo assunto.

      • As sessões formadas por essas requisições podem ser usadas como base para uma variedade de técnicas de personalização.

      • A cada grupo é atribuído somente páginas correlacionadas.


    Masks12

    MASKS

    • O algoritmo separa as requisições de acordo com suas semânticas.

    • Uso de classificação de assunto feita por humanos.

      • Árvore de categorias;

        • Usada como base no processo de determinação de grupo.

      • Open Directory Project (http://www.dmoz.org)


    Masks13

    MASKS

    • A árvore de categorias contém uma listagem de sites Web:

      • organizada em categorias

      • e constantemente atualizada e revisada por editores voluntários por todo mundo.

      • Sua criação é fundamentada nas características do movimento de código aberto, sendo totalmente livre o seu uso.

      • Ela representa um ponto inicial para definir os grupos e seus relacionamentos para cada um.


    Masks14

    MASKS

    • Um nó da árvore representa uma categoria semântica ou um grupo.

      • Composto por um conjunto de termos ou páginas relacionadas.

      • Os filhos são especializações semânticas de um grupo.

      • As ligações são especializações que apontam para um grupo pré-existente.

      • Um grupo vai possuir um ou mais caminhos.


    Masks15

    MASKS


    Masks16

    MASKS

    • A partir dessa árvore de categorias podem ser obtidas duas outras estruturas:

      • tabela de termo:

      • contém palavras discriminadas no campo Termos dos grupos.

      • tabela de conteúdo:

        • faz a correlação entre as URLs presentes na árvore e seus respectivos grupos.


    Masks17

    MASKS


    Masks18

    MASKS

    • O algoritmo somente necessita ter conhecimento da requisição corrente. Sem nenhum conhecimento prévio.

    • A escolha do grupo é realizada na seguinte ordem:

      • determinar o grupo, de acordo com os termos da consulta, presentes na URL;

      • selecionar o grupo que indexa a URL, na árvore de categorias;

      • selecionar o grupo de acordo com algum termo existente na URL;

      • escolher o grupo raiz (Root group)


    Privacidade na web

    P3P

    • Platform for privacy police preferences.

    • Consórcio da World Wide Web.

    • Método automático de análise de políticas de privacidade.

    • Insere um contrado de privacidade entre o usuário e os sites que ele acessa.

    • Viabiliza ao usuário preferências de privacidade.


    Privacidade na web

    P3P

    • Em uma navegação sem a plataforma 3P:

      • todo usuário que se preocupa com a sua privacidade deve procurar as políticas de privacidade de cada site que ele visita;

      • observar as práticas de privacidade do site com relação às suas próprias preferências;

      • continuar acessando o site ou não.

      • trabalhoso o processo de busca e análise de políticas.

      • Compete com sua navegação.

    • P3P visa automatizar esse processo.


    Privacidade na web

    P3P

    • Para isso a plataforma disponibiliza:

      • um formato padrão de leitura das políticas de privacidade;

      • um protocolo que capacite os navegadores acessarem essas mesmas páginas;

      • permite que as políticas possam ser encontradas automaticamente por navegadores Web;

      • ferramentas que possam utilizar essa plataforma para informar os usuários através de símbolos ou tomar ações apropriadas.


    Privacidade na web

    P3P

    • Seu protocolo é projetado em um formato XML.

      • A especificação do P3P define:

        • um esquema padrão para dados que sites Web podem desejar coletar;

        • um conjunto de padrões de uso, “receptores”, categoria de dados, e outras divulgações de privacidade;

        • um formato XML para expressar uma política de privacidade;

        • uma maneira de associar políticas de privacidade com páginas Web e cookies;

        • um mecanismo de transporte de políticas P3P sobre o protocolo HTTP 1.1.


    Privacidade na web

    P3P

    • Uma política P3P pode cobrir todo o site ou podem haver diferentes políticas para diferentes partes dos sites.

    • Uma política P3P deve cobrir toda a informação gerada ou trocada como parte de uma interação HTTP de um site com os visitantes.


    Privacidade na web

    P3P

    • P3P não fornece um método que assegure que o comportamento dos sites esteja de acordo com suas políticas.

    • Ferramentas podem implementar essa especificação apresentando alguma assistência para isso.

    • P3P pode ser considerado como um complemento e um mecanismo de reforço a leis e programas de auto-regulamentação.


    P3p arquivo de refer ncias

    P3P: arquivo de referências

    • Localizar uma política P3P é um dos primeiros passos na operação do protocolo P3P.

    • Referências de política:

      • Relatam a localização das políticas;

      • Atribuem as políticas ao endereço ou conjunto de endereços de algum recurso, como páginas, figuras, e outros elementos.

    • Referências de políticas são usadas extensamente como uma otimização de desempenho.


    P3p arquivo de refer ncias1

    P3P: arquivo de referências

    • Essas referências também reduzem a necessidade de computação:

      • políticas podem ser unicamente associadas com endereços.

    • A administração se torna simplificada colocando informação em uma localização centralizada.


    P3p arquivo de refer ncias2

    P3P: arquivo de referências

    • O arquivo de referência de política é um arquivo XML com nomes espaçados.

    • O arquivo de referência de política pode referir a um ou mais políticas P3P.

    • Essas referências às políticas podem indicar:

      • o endereço onde a política P3P se encontra,

      • o endereço ou regiões de espaço de endereçamento do site coberto por uma política,


    P3p arquivo de refer ncias3

    P3P: arquivo de referências

    • o endereço ou regiões de espaço de endereçamento do site não coberto pela política,

    • as regiões de espaço de endereçamento para conteúdo embutido em outros servidores que estão cobertos pela política,

    • os cookies que estão ou não cobertos pela política,

    • os métodos de acesso para os quais essa política é aplicável

    • e o período de tempo para a validade das declarações.


    P3p arquivo de refer ncias4

    P3P: arquivo de referências

    • É essencial saber localização do arquivo de referências.

    • A especificação da plataforma P3P apresenta basicamente três formas de localizar esse arquivo de referências:

      • localização bem conhecida (predefinida)

        • /w3c/p3p.xml

        • políticas P3P estão acessíveis para os agentes de usuários antes que qualquer outro recurso seja requerido.


    P3p arquivo de refer ncias ta errada a figura

    P3P: arquivo de referências (ta errada a figura)


    P3p arquivo de refer ncias5

    P3P: arquivo de referências

    • referência de política pode ser apontada por trazido pelo protocolo HTTP:

      • construção de um novo cabeçalho de resposta, o cabeçalho P3P.

      • O cabeçalho P3P contém uma ou mais diretivas separadas por vírgulas para designar o local onde se encontra o arquivo.

      • A diretiva “policyref” do cabeçalho P3P contém o endereço de localização.


    P3p arquivo de refer ncias6

    P3P: arquivo de referências

    • O usuário faz uma requisição GET para o site catalog.example.com:

      • GET /index.html HTTP/1.1

        Host: catalog.example.com

        Accept: */*

        Accept-Language: de, en

        User-Agent: WonderBrowser/5.2 (RT-11)

    • O servidor retorna o conteúdo e o cabeçalho P3P apontando para a política do recurso.

      • HTTP/1.1 200 OK

        P3P: policyref="http://catalog.example.com/P3P/PolicyReferences.xml"

        Content-Type: text/html

        Content-Length: 7413

        Server: CC-Galaxy/1.3.18


    P3p arquivo de refer ncias7

    P3P: arquivo de referências


    P3p arquivo de refer ncias8

    P3P: arquivo de referências

    • Indicação no código HTML.

      • Servidores podem servir conteúdo HTML com link tags embutidos indicando a localização do arquivo de referência

      • Esse uso de P3P não requer qualquer mudança no comportamento do servidor.

      • O atributo href delimita o endereço:

        • <link rel="P3Pv1" href="http://catalog.example.com/P3P/PolicyReferences.xml">


    P3p arquivo de refer ncias9

    P3P: arquivo de referências


    P3p arquivo de refer ncias10

    P3P: arquivo de referências


    P3p arquivo de refer ncias11

    P3P: arquivo de referências

    • Exemplo:

      • <META xmlns="http://www.w3.org/2002/01/P3Pv1">

        <POLICY-REFERENCES>

        <EXPIRY max-age="172800"/>

        <POLICY-REF about="/P3P/Policies.xml#first">

        <INCLUDE>/*</INCLUDE>

        <EXCLUDE>/catalog/*</EXCLUDE>

        <EXCLUDE>/cgi-bin/*</EXCLUDE>

        <EXCLUDE>/servlet/*</EXCLUDE>

        </POLICY-REF>

        <POLICY-REF about="/P3P/Policies.xml#first">

        <COOKIE-INCLUDE name="*" value="*" domain="*" path="*"/>

        <COOKIE-EXCLUDE name="obnoxious-cookie" value="*" domain=".example.com" path="/"/>

        </POLICY-REF>

        </POLICY-REFERENCES>

        </META>


    P3p pol ticas p3p de privacidade

    P3P: políticas P3P de privacidade

    • As políticas no P3P consistem em indicações feitas com base no vocabulário do P3P para expressar práticas de privacidade de cada site.

    • São uma codificação XML com nomes espaçados do vocabulário P3P.


    P3p pol ticas p3p de privacidade1

    P3P: políticas P3P de privacidade

    • A especificação inclui

      • um mecanismo para definição de novos elementos de informação e conjunto de informação.

    • P3P não é a única especificação de políticas.

      • A linguagem formal EPAL foi criada pela IBM para especificar políticas.

      • Asseguram que nessa linguagem as políticas são reforçadas por uma máquina de coação para assegurar a coleta de informação


    P3p pol ticas p3p de privacidade2

    P3P: políticas P3P de privacidade

    • Essas políticas:

      • identificam os receptores de dados;

      • informam sobre resolução de discussões;

      • indicam o endereço para um texto de uma política de privacidade;

      • fornecem informação de contato para a entidade legal;

      • fazem a representação das práticas de privacidade em uma política;

      • enumeram os tipos de dados ou elementos de dados coletados;

      • explicam uso que será designado à informação coletada;

      • e uma variedade de outras divulgações.


    P3p pol ticas p3p de privacidade3

    P3P: políticas P3P de privacidade

    • As políticas P3P são aplicadas para recursos Web específicos (páginas Web, images, cookies, etc).

    • P3P deve ser usado para melhor representar o comportamento do site sem fazer declarações falsas ou equivocadas.

    • A plataforma apresenta uma codificação compacta para as políticas P3P de privacidade:

      • no caso de <ACCESS> haverá as diretivas NOI, ALL, CAO, IDC, OTI, NON.


    P3p pol ticas p3p de privacidade4

    P3P: políticas P3P de privacidade


    P3p pol ticas p3p de privacidade5

    P3P: políticas P3P de privacidade


    P3p pol ticas p3p de privacidade6

    P3P: políticas P3P de privacidade


    P3p pol ticas p3p de privacidade7

    P3P: políticas P3P de privacidade


    P3p agente do usu rio

    P3P: agente do usuário

    • Os agentes do usuário do P3P podem ser construídos:

      • em Web browsers;

      • como browser plug-ins;

      • ou como servidores proxy.

    • Eles podem ser implementados como Java aplets ou Javascript, ou outras ferramentas de gerenciamento de dados do usuário.

    • Os agentes procuram por referências à política P3P em:

      • lugar bem conhecido;

      • cabeçalhos P3P de respostas HTTP;

      • e em links P3P colocados em conteúdo HTML.


    P3p agente do usu rio1

    P3P: agente do usuário

    • Com a política de privacidade é realizada a comparação entre as práticas de privacidade e as preferências feitas pelo usuário, e pelo resultado obtido tomar ações apropriadas.

    • O agente do usuário P3P vai autorizar liberação de dados somente se a política é consistente com as preferências do usuário e se a requisição de transferência de dados é consistente com a política.

    • Se alguma dessas condições não é seguida o usuário pode ser informado da discrepância e ele opinar em autorizar a troca de informação.


    P3p agente do usu rio2

    P3P: agente do usuário

    • A interface do agente do usuário é especificada com poucos requisitos.

    • Obedecendo à especificação da plataforma P3P é flexível a implementação do agente, podendo inserir novas funcionalidades, até mesmo de segurança.

    • As preferências de privacidade são essenciais para o funcionamento do agente.

    • O agente é regido segundo essas preferências de privacidade.


    P3p agente do usu rio3

    P3P: agente do usuário


    P3p agente do usu rio4

    P3P: agente do usuário

    • Plugin criado pela AT&T denominado Privacy Bird.

      • www.privacybird.com

      • versão beta.

      • utiliza sinalização visual sonora para informar o usuário.

      • faz controle de janelas pop-up.

      • impede envio de informações através de formulários que não estejam conformes com as preferências de usuários.

      • as preferências do usuário podem ser configuradas por uma janela que o plugin dispõe.


    P3p agente do usu rio5

    P3P: agente do usuário


    P3p agente do usu rio6

    P3P: agente do usuário


  • Login