Privacidade na Web
Ségio Donizetti Zorzo
Robson Eduardo De Grande
1
Invasão de privacidade

O que é invasão de privacidade?



Uma invasão pode ser caracterizada como
acesso não autorizado a algo.
Pode ocorrer perda de privacidade se
informações pessoais estão envolvidas na
invasão.
Além do acesso indevido, uma divulgação não
autorizada de informação também pode ser visto
como invasão.
2
Invasão de Privacidade

No contexto computacional, de informática, ou
mais especificamente da Web (protocolo HTTP) a
invasão pode ser o acesso indevido à:



um host ou;
um meio de comunicação entre dois hosts.
A partir desse contexto podem haver diversas
“formas de invasão de privacidade”.
3
Invasão de Privacidade
4
Formas de invasão de privacidade

a invasão de privacidade pode ocorrer pelo acesso
de um terceiro ao computador do usuário ou do
servidor do site, o meio de comunicação entre os
dois, e pelo site.

a invasão nos hosts (computador do usuário ou servidor)
pode ser contida utilizando:






Firewalls (filtro de pacotes TCP/IP);
anti-vírus;
anti-spywares;
anti-adwares;
e protocolos de acesso.
Essas ferramentas dificultam o acesso, mas não evitam
totalmente as invasões.
5
Formas de invasão de privacidade

a invasão no meio de comunicação pode ser evitada pelo
uso de:

técnicas de criptografia simétrica




e assimética



RC5;
DES;
AES.
RSA.
Diffie-Hellman.
Ferramentas que utilizam essas técnicas para construção
de canais e túneis de comunicação seguros são:


PGP;
OpenSSL.
6
Formas de invasão de privacidade

A invasão de privacidade pelo site é a mais difícil de ser
detectada e impedida.




Análise de navegação para definição de perfil de usuário que
não pode ser detectada;
Mal uso de informações.
Técnicas de criptografia e outros não podem ser utilizados
para evitar esse tipo de invasão.
Ferramentas de coleta de informações são utilizadas:




Clickstream;
cookies;
web bugs;
Códigos maliciosos: JavaScript, ActiveX, VBScript.
7
Formas de invasão de privacidade

a partir desses tipos de invasão de privacidade
podem ser definidas 6 níveis de proteção de
privacidade.
8
Níveis de proteção de privacidade

Notificação:




consistindo em sistemas que informam o usuário sobre as
técnicas de coleta de informação e manuseio delas.
Ela auxilia em uma conscientização do que é aceitável
para cada usuário, devido a subjetividade da privacidade.
Algumas técnicas são essenciais para o funcionamento da
Web (cookies), mas podem ter um mal uso.
Como exemplo há:


Privacy Critics;
Ferramenta de fornecimento de informação relacionada a
contexto.
9
Níveis de proteção de privacidade

controle:



São ferramentas utilizadas para aumentar o
controle do usuário de sua privacidade.
Elas evitam que técnicas maliciosas de coleta de
informação pessoal do usuários sejam utilizadas.
Executam filtragem de conteúdo recebido pelo
usuário para detecção desses códigos:


JavaScripts;
Web bugs.
10
Níveis de proteção de privacidade

ferramentas para proteção de privacidade:

envolve ferramentas que melhoram o nível de
privacidade do usuários. Elas visam a não
detecção da identidade do mesmo durante a
navegação da Web.
11
Níveis de proteção de privacidade

políticas de privacidade:

declarações de práticas de privacidade do site para a
coleta e uso das informações.




Técnicas de coleta, propósito, divulgação, armazenamento e
outros.
Essas políticas de privacidade são documentos que
informam o comportamento do site.
O usuário escolhe realizar transação com site de acordo
com elas.
Ferramentas:

P3P;
12
Níveis de proteção de privacidade

certificação de privacidade:



Instituições criadas com o intuito de realizar auditoria de
privacidade e supervisão de práticas de privacidade
relacionadas às declarações de privacidade.
Essas instituições entregam certificados de privacidade
que podem ser identificados pelos usuários como um selo
de garantia de privacidade.
Instituições:



TRUSTe - www.truste.org;
WebTrust - www.cpawebtrust.org;
BBBOnline - www.bbbonline.org.
13
Níveis de proteção de privacidade

Leis de privacidade:


É o uso da legislação para impor ordem à coleta e
o manuseio de informações pessoais ou
confidenciais.
Não tem o papel de punir os sites, mas de fazer
com que eles sigam uma linha de não invasão e
de respeito à privacidade dos usuários.
14
Níveis de proteção de privacidade

Esses seis níveis de proteção de privacidade
podem ser classificados em duas categorias:


coleta implícita de informações (camadas ou
níveis 1, 2 e 3);
e coleta explícita e o uso dado às informações
coletadas (camadas ou níveis 4, 5 e 6).
15
Níveis de proteção de privacidade
16
Métodos de coletas de informações

A coleta explícita de informações:



A técnica mais usual é o uso de formulários.
Por essa técnica nada pode ser dito com relação
à invasão na coleta de dados
o simples envio das informações pelo usuário
envolve o seu consentimento.
17
Métodos de coletas de informações

A coleta implícita:


O usuário pode não estar ciente da análise de
sua navegação para definição de perfil.
Ela pode ser classificada como uma invasão de
privacidade.
18
Coleta implícita

O clickstream ou clickspath:



Uma técnica de análise de acesso de usuário a
páginas, que consiste um caminho de navegação.
O caminho pode ser caracterizar um determinado
perfil para o usuário.
O uso do perfil é vantajoso para ser utilizado no
processo de personalização no contexto de
marketing de e-commerce.
19
Coleta implícita


A técnica de clickstream se utiliza de logs de
servidor que contém todo um histórico de
requisições de usuário ou
Uso de painéis que são uma camada composta
por uma matriz que define por onde ocorrem
acessos de um determinado usuário ao site.
20
Coleta implícita

Web bugs:



São gráficos em uma página Web ou em uma
mensagem de e-mail.
São designados a monitorar quem está lendo a
página ou e-mail.
São frequetemente invisíveis ou imperceptíveis


são tipicamente imagens do tamanho de 1x1 pixel.
Eles são representados como HTML IMG tags.
21
Coleta implícita

Códigos maliciosos:




Eles podem acessar informações pessoais computador
sem o usuário perceber.
São programas executáveis transmitidos automaticamente
pela Internet em um acesso a uma página.
Podem conter vírus, worms e cavalos de tróia.
Podem ser gerados por:



JavaScript;
ActiveX;
VBScript.
22
Coleta implícita

Cookies:



RFC 2965;
foram criados para incrementar o protocolo HTTP
que não incorpora estados de navegação.
Eles podem ser utilizados para armazenar
qualquer informação.
23
Coleta implícita: cookie

De acordo com sua especificação:




Um computador pode comportar um número máximo de
300 cookies em geral;
No máximo 20 cookies para um único host ou nome de
domínio;
Cada cookie pode conter no máximo 4096 bytes de
texto.
O cookie é armazenado no computador do
usuário e recuperado pelo site através de um
cabeçalho cookie no início de um pacote HTTP.
24
Coleta implícita: cookie

Funcionamento:
25
Coleta implícita: cookie

Sintaxe do cabeçalho de resposta:
26
Coleta implícita: cookie

Exemplo de cabeçalho de resposta.

Set-Cookie2: Cookielogin=Robson Eduardo De
Grande; Comment=Saber quem está logado no
site;
CommentURL=”http://www.dc.ufscar.br/~robson/in
tencoes.html”; Discard;
Domain=www.dc.ufscar.br; Max-Age=1000;
Path=/~robson/; Port=”80”; Secure; Version=2
27
Coleta implícita: cookie

Sintaxe do cabeçalho de envio:
28
Coleta implícita: cookie

Exemplo de cabeçalho de envio.



Cookie: $Version=2; Cookielogin=Robson Eduardo De
Grande; /~robson/; http://www.dc.ufscar.br; $Port=”80”
Nem todos os campos armazenados pelo
navegador são retornados para o site origem.
O cookie somente pode ser recuperado se os
atributos Domain e Path casarem com o domínio e
caminho da URL requisitada pelo usuário.
29
Coleta implícita: cookie

Qualquer linguagem de construção de
páginas dinâmicas comporta a especificação
para cookies.





Java por Servlets ou JSP;
CGI;
PHP;
e outras.
Nos exemplos a seguir a linguagem utilizada
é PHP.
30
Exemplos de cookies
…
31