Этот инструмент защищает ваши личные данные во время просмотра



Высокоуровневая иллюстрация того, как SugarCoat модифицировал код в API для защиты личных данных.


Команда компьютерных ученых из Калифорнийского университета в Сан-Диего и Brave Software разработали инструмент, который повысит защиту личных данных пользователей во время просмотра веб-страниц.


Инструментпод названием SugarCoat нацелен на сценарии, которые наносят ущерб конфиденциальности пользователей—например, отслеживая историю их посещений в Интернете,—но при этом необходимы для функционирования веб-сайтов, которые их внедряют. SugarCoat заменяет эти сценарии сценариями, обладающими теми же свойствами, за вычетом функций, нарушающих конфиденциальность. SugarCoat предназначен для интеграции в существующие браузеры, ориентированные на конфиденциальность, такие как Brave, Firefox и Tor, а также браузерные расширения, такие как uBlock Origin. SugarCoat имеет открытый исходный код и в настоящее время интегрируется в браузер Brave.


"SugarCoat-это практичная система, разработанная для решения дилеммы" потерять-потерять", с которой сталкиваются сегодня инструменты, ориентированные на конфиденциальность: блокировать сценарии, наносящие ущерб конфиденциальности, но взламывать веб-сайты, которые полагаются на них; или поддерживать работу сайтов, но отказываться от конфиденциальности", - сказал Дейан Стефан, доцент кафедры компьютерных наук и инженерии Калифорнийского университета в Сан-Диего. "SugarCoat устраняет этот компромисс, позволяя сценариям запускаться, тем самым сохраняя совместимость, в то же время предотвращая доступ сценариев к личным данным пользователей".


Исследователи опишут свою работу на конференции ACM по компьютерной и коммуникационной безопасности (CCS), которая пройдет в Сеуле, Корея, с 14 по 19 ноября 2021 года.


"SugarCoat интегрируется с существующими инструментами блокировки контента, такими как блокировщики рекламы, чтобы дать пользователям возможность просматривать веб-страницы, не нарушая их конфиденциальность", - сказал Майкл Смит, аспирант исследовательской группы Стефана, который возглавляет проект.


Большинство существующих инструментов блокировки контента принимают очень грубые решения: они либо полностью блокируют, либо полностью разрешают запуск сценария в зависимости от того, включен ли он в общедоступный список сценариев, нарушающих конфиденциальность. Однако на практике некоторые сценарии наносят ущерб конфиденциальности и необходимы для функционирования веб-сайтов, и большинство инструментов неизбежно решают сделать исключение и разрешить запуск этих сценариев. Сегодня существует более 6000 правил исключений, позволяющих использовать эти сценарии, нарушающие конфиденциальность.


Однако есть и лучший подход. Вместо того, чтобы полностью блокировать сценарий или разрешать его запуск, средства блокировки контента могут заменить его исходный код альтернативной версией, сохраняющей конфиденциальность. Например, вместо загрузки популярных сценариев аналитики веб-сайтов, которые также отслеживают пользователей, инструменты блокировки контента заменяют эти сценарии поддельными версиями, которые выглядят одинаково. Это гарантирует, что средства блокировки контента не будут нарушать работу веб-страниц которые встраивают эти сценарии и что сценарии не могут получить доступ к личным данным (и, следовательно, сообщать об этом аналитическим компаниям). На сегодняшний день разработка таких сценариев замены, сохраняющих конфиденциальность, была медленной и ручной задачей даже для специалистов по разработке конфиденциальности. Например, uBlock Origin поддерживает замены только для 27 сценариев по сравнению с более чем 6000 правилами исключений.


Как SugarCoat меняет игру


Исследователи разработали SugarCoat именно для устранения этого пробела, автоматически генерируя сценарии замены, сохраняющие конфиденциальность. Инструмент использует фреймворк отслеживания страниц—Смит был ключом к разработке фреймворка—для отслеживания поведения сценариев, нарушающих конфиденциальность, во всем движке браузера.


SugarCoat сканирует эти данные, чтобы определить, когда и как сценарии взаимодействуют с API веб-платформы, которые предоставляют конфиденциальные данные. Затем SugarCoat переписывает исходный код сценариев, чтобы вместо этого общаться с поддельными API-интерфейсами "с сахаром", которые выглядят как API веб-платформы, но на самом деле не предоставляют никаких личных данных.


Чтобы оценить влияние SugarCoat на функциональность и производительность веб-страниц, команда интегрировала переписанные сценарии в браузер Brave; они обнаружили, что SugarCoat эффективно защищает личные данные пользователей, не влияя на функциональность или производительность загрузки страниц. В настоящее время SugarCoat внедряется в производство в Brave.


"Brave с нетерпением ждет начала развертывания результатов годичного исследовательского проекта SugarCoat",-сказал Питер Снайдер, старший исследователь конфиденциальности и директор по конфиденциальности в Brave Software. "SugarCoat предоставляет Brave и другим проектам по защите конфиденциальности новые мощные возможности для борьбы с онлайн-трекерами и помогает пользователям контролировать Интернет".


Обсудить:

0 comments:

Всегда рады услышать ваше мнение!