Prywatność z protokołem P3P w transakcjach online

Podobne dokumenty
Prywatność z protokołem P3P w transakcjach online

ODKRYWANIE WZORCÓW ZACHOWAŃ UŻYTKOWNIKÓW WWW. Marek Wojciechowski

Wszechstronna anonimowość klienta HTTP

VAST metoda zapewnienia wszechstronnej anonimowości dla użytkowników systemu WWW

Adaptatywne serwery WWW

Automatyczna personalizacja serwerów WWW z wykorzystaniem metod eksploracji danych

Web Services. Bartłomiej Świercz. Łódź, 2 grudnia 2005 roku. Katedra Mikroelektroniki i Technik Informatycznych. Bartłomiej Świercz Web Services

POLITYKA PRYWATNOŚCI ORAZ POLITYKA PLIKÓW COOKIES W Sowa finanse

Zachęcamy do zapoznania się z Polityką Prywatności naszych serwisów www.

POLITYKA PRYWATNOŚCI

Ministerstwo Finansów

II. PRZETWARZANIE DANYCH OSOBOWYCH:

Polityka prywatności Spółdzielni Mieszkaniowej Słoneczny Stok

POLITYKA PRYWATNOŚCI SERWIS:

Zapewnianie anonimowości przy przeglądaniu stron WWW

Wybrane działy Informatyki Stosowanej

Cookie Policy. 1. Informacje ogólne.

Polityka prywatności stron BIP Kuratorium Oświaty w Opolu

Polityka prywatności stron BIP WIJHARS w Opolu

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)

Technologie cyfrowe semestr letni 2018/2019

Protokół HTTP. 1. Protokół HTTP, usługi www, model request-response (żądanie-odpowiedź), przekazywanie argumentów, AJAX.

Serwery LDAP w środowisku produktów w Oracle

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

P O L I T Y K A P R Y W A T N O Ś C I. 1 Jak zbieramy dane?

Polityka prywatności użytkowników systemu ICI Publishers Panel. 1.Postanowienia ogólne.

Jeżeli tutaj trafiłeś, to niezawodny znak, że cenisz swoją prywatność. Doskonale to rozumiemy,

Eksploracja danych: problemy i rozwiązania

Polityka Cookies. 1. Co to jest plik cookie? 2. Dlaczego korzystamy z Plików Cookies? 3. Z jakich rodzajów Plików Cookies korzystamy?

Technologie internetowe

systemów intra- i internetowych Platformy softwarowe dla rozwoju Architektura Internetu (2) Plan prezentacji: Architektura Internetu (1)

POLITYKA PRYWATNOŚCI. 1 Jak zbieramy dane?

Polityka prywatności. Przetwarzanie danych osobowych użytkowników

Definicje: Użytkownik w rozumieniu Polityki oznacza osobę fizyczną korzystającą z Serwisu.

1. Rodzaj przetwarzanych danych / linki do witryn zewnętrznych

Cemarol Sp. z o.o. Polityka prywatności (pliki cookies) 1. Informacje ogólne.

Polityka prywatności strony internetowej firmy P.H.U. Bobryk Sp. J.

1. Niniejsza Polityka Prywatności określa zasady gromadzenia, przetwarzania i wykorzystywania

Serwis realizuje funkcje pozyskiwania informacji o użytkownikach i ich zachowaniach w następujący sposób:

Tomasz Grześ. Systemy zarządzania treścią

Wykorzystywanie plików cookies

Polityka prywatności

Systemy pojedynczego logowania (Single Sign-On)

POLITYKA PRYWATNOŚCI

POLITYKA PRYWATNOŚCI

Tomasz Greszata - Koszalin

1 Jak zbieramy dane? 1/5

Polityka prywatności i plików cookies

Spis treści. Polityka dotycząca plików cookie

Danych Osobowych oświadcza, że za wyjątkiem sytuacji uregulowanych w prawie polskim dane dotyczące IP oraz cookies nie będą przekazywane osobom

Polityka prywatności serwisu

Serwery. Autorzy: Karol Czosnowski Mateusz Kaźmierczak

Obsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. OWASP The OWASP Foundation

Polityka prywatności w serwisie internetowym IPN

Laboratorium nr 4 - Badanie protokołów WWW

Hurtownie danych. Wstęp. Architektura hurtowni danych. CO TO JEST HURTOWNIA DANYCH

POLITYKA PRYWATNOŚCI

JĘZYK PYTHON - NARZĘDZIE DLA KAŻDEGO NAUKOWCA. Marcin Lewandowski [ mlew@ippt.gov.pl ]

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

Certyfikat. 1 Jak zbieramy dane?

Źródła. cript/1.5/reference/ Ruby on Rails: AJAX: ssays/archives/

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

POLITYKA DOTYCZĄCA PLIKÓW COOKIE

Wybrane działy Informatyki Stosowanej

Ministerstwo Finansów

Polityka prywatności strony internetowej

Polityka prywatności serwisu

Sieci komputerowe. Wstęp

O firmie» Polityka prywatności

Polityka prywatności stron www Regionalnej Dyrekcji Ochrony Środowiska w Opolu zawierająca politykę ochrony plików cookies

XML-RPC: Zdalne wykonywanie procedur

POLITYKA PRYWATNOŚCI ORAZ POLITYKA PLIKÓW COOKIES W ID FINANCE POLAND SP. Z O.O. I. Definicje

Zasady dotyczące plików cookies i innych podobnych technologii. 1. Jaki jest zakres tych Zasad?

Rozproszone systemy Internetowe

Polityka prywatności serwisów internetowych Narodowego Instytutu Architektury i Urbanistyki (NIAiU) i plików cookies

Wybrane działy Informatyki Stosowanej

4 Web Forms i ASP.NET Web Forms Programowanie Web Forms Możliwości Web Forms Przetwarzanie Web Forms...152

World Wide Web? rkijanka

Polityka prywatności i wykorzystywania plików cookies w serwisie internetowych Stena Recycling Sp. z o.o.

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Podmiot odpowiedzialny za przetwarzanie danych osobowych Klientów.

POLITYKA PRYWATNOŚCI

Protokół HTTP 1.1 *) Wprowadzenie. Jarek Durak. rfc2616 źródło

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań,

Polityka prywatności

Polityka prywatności oraz plików cookies

POLITYKA PRYWATNOŚCI Prima Pasta Spółka z ograniczoną odpowiedzialnością spółka komandytowa Prima Pasta Bistro Italiano

POLITYKA PRYWATNOŚCI STRONY INTERNETOWEJ

Polityka prywatności. Polityka prywatności POLITYKA PRYWATNOŚCI

Polityka prywatności 1. Definicje: 1.1. Administrator sesyjne stałe kontekstowa behawioralna www Urządzenie Użytkownik

POLITYKA PRYWATNOŚCI. 1 Dane osobowe. 2 Administrator Danych Osobowych

Polityka Prywatności serwisu room8.pl

Polityka prywatności

POLITYKA PRYWATNOŚCI

Skrócona wersja najważniejsze informacje

Polityka prywatności

Transkrypt:

Prywatność z protokołem P3P w transakcjach online Igor Margasiński, Krzysztof Szczypiorski Instytut Telekomunikacji PW E-mail: igor@margasinski.com, krzysztof@szczypiorski.com VIII Krajowa Konferencja Zastosowań Kryptografii Enigma 2004 Warszawa, 10-13 maja 2004 Plan prezentacji Furtki do Zarys technologii P3P Polityka P3P Struktura Najważniejsze elementy Forma skrócona Perspektywy Podsumowanie 2 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Furtki do Schemat zastosowania Cookies w profilowaniu Nawigacja WWW nie jest anonimowa Rejestrowane są zazwyczaj: adres sieciowy typ oprogramowania czas przeglądane zasoby poprzednio odwiedzana strona refer link wiele innych poprzez formularze HTML Zdarzenie wiązane są ze sobą poprzez Cookies Klient HTTP 1 Połączenia z wybranym serwerem WWW 2 www.podroze.np.pl Wymuszone i niezauważalne połączenie z AdSerwerem www.adserver.np.net www.szukaj.np.com www.ksiegarnia.np.com.pl 3 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online 4 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Furtki do cd Zarys technologii P3P Zarejestrowane ścieżki nawigacji poddawane są automatycznym procesom odkrywania wiedzy faza przetwarzania wstępnego odkrywanie wzorców statystyka matematyczna, wydobywanie wiedzy, uczenie się maszyn, rozpoznawanie obrazów analiza wzorców mechanizmy zapytań SQL, działania OLAP (Online Analytical Processing) Profile internautów: dane osobowe zainteresowania zwyczaje... 5 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online World Wide Web Consortium P3P Platform for Privacy Preferences Platforma Preferencji Prywatności Standard zapisu i przekazywania polityk w jednolity sposób Odczytywany przez maszyny XML (Extensible Markup Language) 6 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online

Schemat działania P3P Praktyki przetwarzania i udostępniania prywatnych danych o użytkownikach serwisu Klient HTTP Preferencje użytkownika określające warunki przekazywania danych 1 Zapytanie o politykę P3P 2 Polityka P3P serwisu 3 Porównanie zasad przestrzegania przez serwis WWW z preferencjami użytkownika określającymi warunki przekazywania prywatnych danych 4 Zapytanie o stronę WWW 5 Żądane pliki Polityka serwisu (XML) Polityka Pliki HTML/ serwisu XML... (XML) Serwer HTTP 7 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online 8 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Polityka P3P Powinna odzwierciedlać rzeczywiste praktyki dane identyfikacyjne organizacji identyfikator pliku lub zasobu opis zasobu czy dane są gromadzone przy pobieraniu zasobu jeśli tak jakiego rodzaju (anonimowe, pseudoanonimowe, osobowe) czy stosowany jest mechanizm Cookies jeśli tak jaki jest identyfikator oraz od kogo pochodzi zapis gdzie dane są przechowywane do jakich celów dane są wykorzystywane jakim stronom dane są przekazywane możliwość akceptowania praktyk (opt-in, opt-out) 9 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Polityka P3P cd P3P o systemie Cookies Powinna odzwierciedlać rzeczywiste praktyki nazwa (identyfikator) Cookie opis czy zapis jest usuwany po zakończeniu sesji pochodzenie bezpośrednie, czy od trzeciej strony jakie dane są gromadzone anonimowe, pseudoanonimowe, osobowe czy dane są kiedykolwiek wiązane z danymi osobowymi od jakiej strony pochodzi zapis do jakich celów uzyskane dane są wykorzystywane jakim stronom dane są udostępnianie możliwość akceptowania praktyk (opt-in, opt-out) 10 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Struktura Liczba polityk Plik odwołań (Policy Reference File) dobrze znana lokalizacja /w3c/p3p.xml wskazanie w nagłówku HTTP wskazanie w znaczniku HTML Pliki polityk PRF Za Przeciw Mała Prostota tworzenia i modyfikacji Mniejsze ryzyko błędnego przyporządkowania Bardziej inwazyjny charakter części polityk Duża Dokładny opis praktyk Zachęcenie do korzystania chociaż z części serwisu Praktyczne trudności w implementacji i aktualizacji 11 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online 12 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online

<?xml version="1.0"?> <POLICIES xmlns="http://www.w3.org/2002/01/p3pv1"> <!-- Expiry information for this policy --> <EXPIRY max-age="86400"/> <POLICY xml:lang="pl"> <ENTITY> <DATA-GROUP> </DATA-GROUP> </ENTITY> <ACCESS><nonident/></ACCESS> <STATEMENT> <EXTENSION optional="yes"> <GROUP-INFO xmlns="http://www.software.ibm.com/p3p/editor/ extension-1.0.html" name="access log information"/> </EXTENSION> <CONSEQUENCE> Our Web server collects access logs containing this information. </CONSEQUENCE> <PURPOSE> <admin/><current/><develop/> </PURPOSE> <RECIPIENT><ours/></RECIPIENT> <RETENTION><indefinitely/></RETENTION> <DATA-GROUP> <DATA ref="#dynamic.clickstream"/> <DATA ref="#dynamic.http"/> </DATA-GROUP> </STATEMENT> </POLICY> 13 </POLICIES> Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Przykład pliku polityki Najważniejsze elementy Polityka (policy) podstawowe informacje o pojedynczej polityce nazwa (name) adres URI polityki w języku naturalnym (discuri) adres gdzie podane są instrukcje w jaki sposób użytkownik może wyrazić zgodę lub niezgodę na praktyki zdefiniowane w polityce (opturi) w schemacie opt-in lub opt-out, Dane identyfikacyjne organizacji (entity) adres oraz inne informacje potrzebne do nawiązania kontaktu z organizacją Zasady dostępu (access) dostęp użytkowników do ich danych osobowych np. umożliwia poprawienie danych adresowych 14 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Najważniejsze elementy cd Narzędzia Sprawy sporne (disputes) informacje o nadrzędnych zasadach lub o innych prawach, którym podlegają praktyki serwisu, Sposoby rekompensaty (remedies) zawarty w elemencie disputes i określa sposoby rekompensaty w przypadku naruszenia zasad zdefiniowanych w polityce Cele gromadzenia danych (purpose) Zbiór odbiorców (recipient) Warunki przechowywania danych (retention) Tworzenie polityk IBM P3P Policy Editor Testowanie poprawności W3C's P3P Policy Validator 15 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online 16 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Skrócona forma zapisu Polityka kompaktowa Obejmuje tylko praktyki Cookies Przekazywana w nagłówku HTTP Ciąg trzyliterowych słów oddzielonych spacjami, każde słowo: przynależy do określonej kategorii, takiej jak np.: cele przetwarzania danych zbiór odbiorców reprezentuje określone praktyki Przeglądarki WWW obecnie bazują na politykach kompaktowych 17 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Przykład przekazania polityki kompaktowej Klient GET /bardzo_ciekawe.html HTTP/1.1 Host: np_portal_informacyjny.pl Accept: */* Accept-Language: en, pl User-Agent: WonderBrowser/1.0 Serwer HTTP/1.1 200 OK P3P: policyref="http://np_portal_informacyjny.pl/p3p/ PolicyReferences.xml", CP="NON DSP ADM DEV PSD OUR IND STP PHY PRE" Content-Type: text/html Content-Length: 1234 Server: WonderServer/1.0...dane... 18 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online

Interpretacja przykładu Dostęp Cele Odbiorcy Warunki przechowywania Kategorie NON Brak Sprawy sporne DSP sprawy sporne są określone w pełnej polityce P3P Rekompensata Brak identyfikacji ADM do administracji systemem i serwerem WWW OUR odbiorcą jest wyłącznie firma IND wraz z informacjami identyfikującymi PHY informacje o potrzebne do nawiązania fizycznej komunikacji DEV do badań i rozwoju STP dla celów stanowych PRE informacje o preferencjach PSD do celów marketingowych w oparciu o pseudoanonimową identyfikację 19 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Konfrontacja z potrzebami Wysokie oczekiwania P3P w istocie umożliwia serwerom WWW zaprezentowanie deklaracji swoich praktyk z zakresu w jednolity sposób umożliwia użytkownikom odwiedzającym serwisy WWW poznanie deklaracji: jakie dane o nich będą gromadzone jak będą użyte w jaki sposób użytkownik może wyrazić zgodę lub niezgodę na poszczególne działania nie należy do technologii rozszerzających prywatność (PET Privacy Enhancing Technologies) 20 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Postulaty P3P a prywatność Platforma (prezentacji) preferencji Nie podwyższa bezpieczeństwa Pełni jedynie rolę informacyjną Nie gwarantuje zgodności opisu z rzeczywistością Opieranie ochrony tylko na P3P jest zgubne Element pomocniczy w budowaniu technik zapewniających prywatność 21 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online 22 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Perspektywy Podsumowanie Komponent nowych technik zapewniania Rozwój semantyki protokołu Mechanizmy kontroli korelacji rzeczywistych praktyk z deklaracjami P3P systemy zarządzania ą (Privacy Manager) Uwierzytelnienie i niezaprzeczalność w oparciu o podpisy cyfrowe i certyfikaty X.509 23 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Niepełna odpowiedź na obawy internautów z zakresu WWW Technologia nie ogranicza bezpośrednio nadużyć Pozwala na prezentację deklaracji praktyk Ujednolicenie zapisu polityki to dobre narzędzie regulujące sposób informowania konsumentów o zasadach przetwarzania ich danych Środek ustalenia kompromisu pomiędzy ekonomicznymi potrzebami firm, a prawem użytkowników do Gdy strony gromadzące dane nie są wiarygodne, rozwiązanie okazuje się mało przydatne, a zaufanie do protokołu może być szkodliwe 24 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online

Koniec Czy mają Państwo pytania? (...) I know what is wrong, And I know what is right. And I d die for the truth In My Secret Life. Igor Margasiński, Krzysztof Szczypiorski Instytut Telekomunikacji PW E-mail: igor@margasinski.com, krzysztof@szczypiorski.com Leonard Cohen - In My Secret Life 26 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online Literatura [1] Agrawal, R., Imielinski, T., Swami A. Mining Association Rules Between Sets of Items in Large Databases. Materiały: ACM SIGMOD Conference on Management of Data, Washington DC, USA, May 1993 [2] Agrawal, R., Srikant, R. Fast algorithms for mining association rules. Materiały: 20th VLDB Conference, str. 487-499, Santiago, Chile, 1994 [3] Agrawal, R., Srikant, R. Mining Sequential Patterns. Materiały: 11th Int l Conference on Data Engineering (ICDE), Taipei, Taiwan, March 1995 [4] Anonymizer (http://anonymizer.com). [5] Berners-Lee, T., Fielding, R., Frystyk, H. Hypertext Transfer Protocol HTTP/1.0. RFC 1945, 1996 [6] Catledge L.D., Pitkow J.E. Characterizing Browsing Strategies in the World Wide Web. Materiały: 3rd Int l World Wide Web Conference, 1995 [7] Chaum, D. Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms. Communications of the ACM Vol. 24 no 2, str. 84 88, 1981 [8] Cooley, R., Mobasher, B., Srivastava, J. Grouping Web Page References into Transactions for Mining World Wide Web Browsing Patterns. Materiały: 1997 IEEE Knowledge and Data Engineering Exchange Workshop (KDEX), Newport Beach, California, November 1997 [9] Fayyad, U., Piatetsky-Shapiro, G., Smyth P. From data mining to knowledge discovery: An overview. Materiały: ACM KDD, 1994 [10] Ferneyhough, C. Online Security and Privacy Concerns on the Increase in Canada, Ipsos-Reid, 2001 [11] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P., Berners-Lee T. HyperText Transfer Protocol HTTP/1.1. RFC 2616, 1999 [12] Goldberg, I., Shostack, A. Freedom Network 1.0 Architecture and Protocols. Zero-Knowledge Systems. White Paper 1999 [13] Goldschlag, D. M., Reed, M. G., Syverson, P. F. Onion Routing for Anonymous and Private Internet Connections. Communications of the ACM Vol. 42 no 2, str. 39-41, 1999 [14] Hartigan, J. Clustering Algorithms. John Wiley, 1975 [15] Jamtgaard, L. P3P Implementation Guide. The Internet Education Foundation, 2003 [16] Krane, D., Light, L., Gravitch D. Privacy On and Off the Internet: What Consumers Want. Harris Interactive (2002) [17] Kristol, D., Montulli L. HTTP State Management Mechanism. RFC 2965, October 2000 [18] Cranor, L., Langheinrich, M., Marchiori, M., Presler-Marchall, M. The Platform for Preferences 1.0 (P3P 1.0) Specification, W3C Recommendation, April 2002 [19] Cranor, L. Web Privacy with P3P. O'Reilly & Associates, September 2002. [20] Margasiński, I. Zapewnianie anonimowości przy przeglądaniu stron WWW. Materiały: 18. Krajowe Sympozjum Telekomunikacji KST 2002, Bydgoszcz, 2002 [21] Margasiński, I., Szczypiorski, K. Web Privacy: an Essential Part of Electronic Commerce. Materiały: 3rd International Interdisciplinary Conference on Electronic Commerce "ECOM-03", Gdańsk, 2003, str. 65-72 [22] Margasiński, I., Szczypiorski, K.: VAST: Versatile Anonymous System for Web Users. Materiały: The Tenth International Multi-Conference on Advanced Computer Systems ACS'2003, Międzyzdroje, 2003 [23] Presler-Marshall, M. The Platform for Privacy Preferences 1.0 Deployment Guide, W3C Note, May 2001. [24] Reiter, M.K., Rubin, A.D.: Crowds: Anonymity for Web Transactions. ACM Transactions on Information and System Security, str. 66-92, 1998 [25] Scheeres, J. What They (Don't) Know About You. Wired, May 2001 [26] Six/Four System (http://www.hacktivismo.com/projects) [27] Srikant, R., Agrawal, R. Mining Sequential Patterns: Generalizations and Performance Improvements. Materiały: 5th Int l Conference on Extending Database Technology (EDBT), Avignon, France, March 1996. [28] Syverson, P. F., Goldschlag, D. M., Reed, M. G.: Anonymous Connections and Onion Routing. IEEE Symposium on Security and Privacy, 1998 [29] Weiss, S.M., Kulikowski, C.A. Computer Systems that Learn: Classification and Prediction Methods from Statistics, Neural Nets, Machine Learning, and Expert Systems. Morgan Kaufmann, San Mateo, CA, 1991 [30] Yergeau, F., Bray, T., Paoli, J., Sperberg-McQueen, C. M., Maler, E. Extensible Markup Language (XML) 1.0 (Third Edition), W3C Recommendation February 2004 27 Margasiński, Szczypiorski Prywatność z protokołem P3P w transakcjach online

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres