privacidade na web
Download
Skip this Video
Download Presentation
Privacidade na Web

Loading in 2 Seconds...

play fullscreen
1 / 55

Privacidade na Web - PowerPoint PPT Presentation


  • 71 Views
  • Uploaded on

Privacidade na Web. Sérgio Donizetti Zorzo Robson Eduardo De Grande. Mecanismos de Privacidade. Máscaras de anonimato MASKS. Políticas de Privacidade P3P. MASKS. Managing Anonymity while Sharing Knowledge to Servers . Arquitetura que mantém as características:

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Privacidade na Web' - dante-donovan


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
privacidade na web

Privacidade na Web

Sérgio Donizetti Zorzo

Robson Eduardo De Grande

mecanismos de privacidade
Mecanismos de Privacidade
  • Máscaras de anonimato
    • MASKS.
  • Políticas de Privacidade
    • P3P
masks
MASKS
  • Managing Anonymity while Sharing Knowledge to Servers.
  • Arquitetura que mantém as características:
    • garantia de privacidade com anonimato sem deixar de permitir personalização;
    • evitar a armazenagem de informação;
    • tornar flexível a quantidade de informação que o usuário deseja divulgar;
    • deve ser eficiente e adaptável;
    • permitir a existência dos cookies;
masks1
MASKS
    • não necessita nenhuma modificação nos protocolos Web existentes:
      • HTTP;
      • TCP;
      • IP;
      • e outros.
  • Criação de máscaras ou pseudônimos.
  • Usuário é caracterizado por um perfil que é regido por seus interesses durante sua navegação.
  • Um pefil é associado a um grupo.
masks2
MASKS
  • Detectar o perfil do usuário é dificultoso.
    • Usuário varia interesses enquanto navega.
    • Muito difícil de predizer seu comportamento.
  • Cada requisição representa um interesse.
    • De acordo com o destino dela e sua semântica.
  • O usuário não precisa divulgar nenhum tipo de informação pessoal
    • Os dados privados não são mantidos no servidor do site.
    • Não há como um site perceber se o acesso a ele é feito por um grupo de interesses similares ao invés de um único usuário.
masks3
MASKS
  • Ele é responsável pelo gerenciamento dos grupos de interesse:
    • a criação de um grupo;
    • a associação das requisições dos usuários a um determinado grupo;
    • e criação das requisições do grupo.
  • Cada grupo de interesse pode possuir diversas máscaras.
    • Uma para cada acesso ou requisição a um site.
masks4
MASKS
  • Sites Web tem acesso ao padrão de navegação de um grupo.
  • Eles não podem identificar os usuários e nem traçar seus perfis.
  • Os grupos de interesse se desenvolvem de acordo com a mudança dos tópicos de interesses dos usuários.
  • Várias máscaras podem ser atribuídas a um mesmo site.
masks6
MASKS
  • A arquitetura do sistema é composta por:
    • PSA (Privacy and Security Agent);
      • Agente do usuário;
      • Entidade intermediária entre navegador e servidor MASKS;
      • Redireciona as requisições dos usuários;
      • Mantém os usuários informados sobre sobre suas máscaras;
      • Permite mudar as máscaras;
      • Permite interação direta com os sites por desligar o processo de mascaramento.
masks7
MASKS
    • Proxy de anonimato, servidor MASKS.
      • Responsável pela criação de grupos;
      • Possui um seletor de grupos;
      • Encaminha as requisições dos usuários mascaradas e as respostas dos sites seguem o mesmo caminho.
  • Podem existir diferentes situações no processo de mascaramento:
    • Diferentes grupos (máscaras) podem levar para um mesmo site;
    • Um mesmo grupo, mas com diferentes máscaras, pode levar a diferentes sites;
    • Um usuário pode possuir várias máscaras em sua navegação;
    • Uma máscara é atribuída para somente uma única página.
masks9
MASKS
  • MASKS aceita cookies.
    • Eles são utilizados no processo de mascarar as requisições.
    • Eles contêm o perfil da máscara no grupo de interesse.
  • Como qualquer outro sistema de anonimato ele não garante anonimato quando o usuário divulga dados explicitamente.
    • Essas informações não podem ser aplicadas a todo um grupo
    • Não garante privacidade do usuário.
masks10
MASKS
  • Grande parte da navegação dos usuários se resume em buscas e acessos a documentos.
masks11
MASKS
  • O ponto principal da arquitetura de MASKS é o algoritmo de designação de grupo.
    • Sendo que se o processo de designação é efetivo e semanticamente significante.
    • As requisições designadas para cada grupo serão direcionadas a páginas que estão associadas com o mesmo assunto.
    • As sessões formadas por essas requisições podem ser usadas como base para uma variedade de técnicas de personalização.
    • A cada grupo é atribuído somente páginas correlacionadas.
masks12
MASKS
  • O algoritmo separa as requisições de acordo com suas semânticas.
  • Uso de classificação de assunto feita por humanos.
    • Árvore de categorias;
      • Usada como base no processo de determinação de grupo.
    • Open Directory Project (http://www.dmoz.org)
masks13
MASKS
  • A árvore de categorias contém uma listagem de sites Web:
    • organizada em categorias
    • e constantemente atualizada e revisada por editores voluntários por todo mundo.
    • Sua criação é fundamentada nas características do movimento de código aberto, sendo totalmente livre o seu uso.
    • Ela representa um ponto inicial para definir os grupos e seus relacionamentos para cada um.
masks14
MASKS
  • Um nó da árvore representa uma categoria semântica ou um grupo.
    • Composto por um conjunto de termos ou páginas relacionadas.
    • Os filhos são especializações semânticas de um grupo.
    • As ligações são especializações que apontam para um grupo pré-existente.
    • Um grupo vai possuir um ou mais caminhos.
masks16
MASKS
  • A partir dessa árvore de categorias podem ser obtidas duas outras estruturas:
    • tabela de termo:
    • contém palavras discriminadas no campo Termos dos grupos.
    • tabela de conteúdo:
      • faz a correlação entre as URLs presentes na árvore e seus respectivos grupos.
masks18
MASKS
  • O algoritmo somente necessita ter conhecimento da requisição corrente. Sem nenhum conhecimento prévio.
  • A escolha do grupo é realizada na seguinte ordem:
    • determinar o grupo, de acordo com os termos da consulta, presentes na URL;
    • selecionar o grupo que indexa a URL, na árvore de categorias;
    • selecionar o grupo de acordo com algum termo existente na URL;
    • escolher o grupo raiz (Root group)
slide22
P3P
  • Platform for privacy police preferences.
  • Consórcio da World Wide Web.
  • Método automático de análise de políticas de privacidade.
  • Insere um contrado de privacidade entre o usuário e os sites que ele acessa.
  • Viabiliza ao usuário preferências de privacidade.
slide23
P3P
  • Em uma navegação sem a plataforma 3P:
    • todo usuário que se preocupa com a sua privacidade deve procurar as políticas de privacidade de cada site que ele visita;
    • observar as práticas de privacidade do site com relação às suas próprias preferências;
    • continuar acessando o site ou não.
    • trabalhoso o processo de busca e análise de políticas.
    • Compete com sua navegação.
  • P3P visa automatizar esse processo.
slide24
P3P
  • Para isso a plataforma disponibiliza:
    • um formato padrão de leitura das políticas de privacidade;
    • um protocolo que capacite os navegadores acessarem essas mesmas páginas;
    • permite que as políticas possam ser encontradas automaticamente por navegadores Web;
    • ferramentas que possam utilizar essa plataforma para informar os usuários através de símbolos ou tomar ações apropriadas.
slide25
P3P
  • Seu protocolo é projetado em um formato XML.
    • A especificação do P3P define:
      • um esquema padrão para dados que sites Web podem desejar coletar;
      • um conjunto de padrões de uso, “receptores”, categoria de dados, e outras divulgações de privacidade;
      • um formato XML para expressar uma política de privacidade;
      • uma maneira de associar políticas de privacidade com páginas Web e cookies;
      • um mecanismo de transporte de políticas P3P sobre o protocolo HTTP 1.1.
slide26
P3P
  • Uma política P3P pode cobrir todo o site ou podem haver diferentes políticas para diferentes partes dos sites.
  • Uma política P3P deve cobrir toda a informação gerada ou trocada como parte de uma interação HTTP de um site com os visitantes.
slide27
P3P
  • P3P não fornece um método que assegure que o comportamento dos sites esteja de acordo com suas políticas.
  • Ferramentas podem implementar essa especificação apresentando alguma assistência para isso.
  • P3P pode ser considerado como um complemento e um mecanismo de reforço a leis e programas de auto-regulamentação.
p3p arquivo de refer ncias
P3P: arquivo de referências
  • Localizar uma política P3P é um dos primeiros passos na operação do protocolo P3P.
  • Referências de política:
    • Relatam a localização das políticas;
    • Atribuem as políticas ao endereço ou conjunto de endereços de algum recurso, como páginas, figuras, e outros elementos.
  • Referências de políticas são usadas extensamente como uma otimização de desempenho.
p3p arquivo de refer ncias1
P3P: arquivo de referências
  • Essas referências também reduzem a necessidade de computação:
    • políticas podem ser unicamente associadas com endereços.
  • A administração se torna simplificada colocando informação em uma localização centralizada.
p3p arquivo de refer ncias2
P3P: arquivo de referências
  • O arquivo de referência de política é um arquivo XML com nomes espaçados.
  • O arquivo de referência de política pode referir a um ou mais políticas P3P.
  • Essas referências às políticas podem indicar:
    • o endereço onde a política P3P se encontra,
    • o endereço ou regiões de espaço de endereçamento do site coberto por uma política,
p3p arquivo de refer ncias3
P3P: arquivo de referências
  • o endereço ou regiões de espaço de endereçamento do site não coberto pela política,
  • as regiões de espaço de endereçamento para conteúdo embutido em outros servidores que estão cobertos pela política,
  • os cookies que estão ou não cobertos pela política,
  • os métodos de acesso para os quais essa política é aplicável
  • e o período de tempo para a validade das declarações.
p3p arquivo de refer ncias4
P3P: arquivo de referências
  • É essencial saber localização do arquivo de referências.
  • A especificação da plataforma P3P apresenta basicamente três formas de localizar esse arquivo de referências:
    • localização bem conhecida (predefinida)
      • /w3c/p3p.xml
      • políticas P3P estão acessíveis para os agentes de usuários antes que qualquer outro recurso seja requerido.
p3p arquivo de refer ncias5
P3P: arquivo de referências
  • referência de política pode ser apontada por trazido pelo protocolo HTTP:
    • construção de um novo cabeçalho de resposta, o cabeçalho P3P.
    • O cabeçalho P3P contém uma ou mais diretivas separadas por vírgulas para designar o local onde se encontra o arquivo.
    • A diretiva “policyref” do cabeçalho P3P contém o endereço de localização.
p3p arquivo de refer ncias6
P3P: arquivo de referências
  • O usuário faz uma requisição GET para o site catalog.example.com:
    • GET /index.html HTTP/1.1

Host: catalog.example.com

Accept: */*

Accept-Language: de, en

User-Agent: WonderBrowser/5.2 (RT-11)

  • O servidor retorna o conteúdo e o cabeçalho P3P apontando para a política do recurso.
    • HTTP/1.1 200 OK

P3P: policyref="http://catalog.example.com/P3P/PolicyReferences.xml"

Content-Type: text/html

Content-Length: 7413

Server: CC-Galaxy/1.3.18

p3p arquivo de refer ncias8
P3P: arquivo de referências
  • Indicação no código HTML.
    • Servidores podem servir conteúdo HTML com link tags embutidos indicando a localização do arquivo de referência
    • Esse uso de P3P não requer qualquer mudança no comportamento do servidor.
    • O atributo href delimita o endereço:
      • <link rel="P3Pv1" href="http://catalog.example.com/P3P/PolicyReferences.xml">
p3p arquivo de refer ncias11
P3P: arquivo de referências
  • Exemplo:
    • <META xmlns="http://www.w3.org/2002/01/P3Pv1">

<POLICY-REFERENCES>

<EXPIRY max-age="172800"/>

<POLICY-REF about="/P3P/Policies.xml#first">

<INCLUDE>/*</INCLUDE>

<EXCLUDE>/catalog/*</EXCLUDE>

<EXCLUDE>/cgi-bin/*</EXCLUDE>

<EXCLUDE>/servlet/*</EXCLUDE>

</POLICY-REF>

<POLICY-REF about="/P3P/Policies.xml#first">

<COOKIE-INCLUDE name="*" value="*" domain="*" path="*"/>

<COOKIE-EXCLUDE name="obnoxious-cookie" value="*" domain=".example.com" path="/"/>

</POLICY-REF>

</POLICY-REFERENCES>

</META>

p3p pol ticas p3p de privacidade
P3P: políticas P3P de privacidade
  • As políticas no P3P consistem em indicações feitas com base no vocabulário do P3P para expressar práticas de privacidade de cada site.
  • São uma codificação XML com nomes espaçados do vocabulário P3P.
p3p pol ticas p3p de privacidade1
P3P: políticas P3P de privacidade
  • A especificação inclui
    • um mecanismo para definição de novos elementos de informação e conjunto de informação.
  • P3P não é a única especificação de políticas.
    • A linguagem formal EPAL foi criada pela IBM para especificar políticas.
    • Asseguram que nessa linguagem as políticas são reforçadas por uma máquina de coação para assegurar a coleta de informação
p3p pol ticas p3p de privacidade2
P3P: políticas P3P de privacidade
  • Essas políticas:
    • identificam os receptores de dados;
    • informam sobre resolução de discussões;
    • indicam o endereço para um texto de uma política de privacidade;
    • fornecem informação de contato para a entidade legal;
    • fazem a representação das práticas de privacidade em uma política;
    • enumeram os tipos de dados ou elementos de dados coletados;
    • explicam uso que será designado à informação coletada;
    • e uma variedade de outras divulgações.
p3p pol ticas p3p de privacidade3
P3P: políticas P3P de privacidade
  • As políticas P3P são aplicadas para recursos Web específicos (páginas Web, images, cookies, etc).
  • P3P deve ser usado para melhor representar o comportamento do site sem fazer declarações falsas ou equivocadas.
  • A plataforma apresenta uma codificação compacta para as políticas P3P de privacidade:
    • no caso de <ACCESS> haverá as diretivas NOI, ALL, CAO, IDC, OTI, NON.
p3p agente do usu rio
P3P: agente do usuário
  • Os agentes do usuário do P3P podem ser construídos:
    • em Web browsers;
    • como browser plug-ins;
    • ou como servidores proxy.
  • Eles podem ser implementados como Java aplets ou Javascript, ou outras ferramentas de gerenciamento de dados do usuário.
  • Os agentes procuram por referências à política P3P em:
    • lugar bem conhecido;
    • cabeçalhos P3P de respostas HTTP;
    • e em links P3P colocados em conteúdo HTML.
p3p agente do usu rio1
P3P: agente do usuário
  • Com a política de privacidade é realizada a comparação entre as práticas de privacidade e as preferências feitas pelo usuário, e pelo resultado obtido tomar ações apropriadas.
  • O agente do usuário P3P vai autorizar liberação de dados somente se a política é consistente com as preferências do usuário e se a requisição de transferência de dados é consistente com a política.
  • Se alguma dessas condições não é seguida o usuário pode ser informado da discrepância e ele opinar em autorizar a troca de informação.
p3p agente do usu rio2
P3P: agente do usuário
  • A interface do agente do usuário é especificada com poucos requisitos.
  • Obedecendo à especificação da plataforma P3P é flexível a implementação do agente, podendo inserir novas funcionalidades, até mesmo de segurança.
  • As preferências de privacidade são essenciais para o funcionamento do agente.
  • O agente é regido segundo essas preferências de privacidade.
p3p agente do usu rio4
P3P: agente do usuário
  • Plugin criado pela AT&T denominado Privacy Bird.
    • www.privacybird.com
    • versão beta.
    • utiliza sinalização visual sonora para informar o usuário.
    • faz controle de janelas pop-up.
    • impede envio de informações através de formulários que não estejam conformes com as preferências de usuários.
    • as preferências do usuário podem ser configuradas por uma janela que o plugin dispõe.
ad