Вторую неделю в Интернете громыхают скандалы, в центре которых оказался Яндекс. Сначала это были неизвестно как оказавшиеся в индексе поисковой системы тексты sms пользователей Мегафона, теперь приватная информация по заказам из секс-шопа. Далее всё следует по накатанному сценарию: взаимные упрёки веб-мастера и поисковой системы, владельцы сайта говорят о некорректном поведении ботов Яндекса, поисковая система в ответ обвиняет веб-мастеров, что у них некорректно заполнен файл robots.txt. А крайними в этом споре оказываются простые пользователи, чьи приватные данные стали общедоступны.

Чтобы обезопасить себя от конфуза, давайте определимся, как попадают конфиденциальные данные в поисковый индекс. Владимир Иванов из информационной безопасности Яндекса перечисляет лазейки, через которые Яндекс выуживает информацию. Давайте проигнорируем предположение Владимира о том, что:

Разместив в интернете свою страницу, вебмастер ждет посетителей. Как он может рассказать людям о ней? Конечно, он отправит запрос на индексирование страницы поисковым системам. Возможно, отправит ссылку друзьям и знакомым, сократит ее и выложит в Твиттер, другие блоги и соцсети. Он может поставить ссылку на эту страницу и в других местах, уже известных поисковым системам, чтобы роботы быстрее ее нашли.

По умолчанию будем считать, что никаких ссылок на приватную информацию, кроме отправляемой в браузер заказчика, не существует. Тогда остаются следующие способы, перечисленные Владимиром:

Дальше браузер открывает страницу и начинает загружать объекты – картинки, анимацию, скрипты, css, рекламу, коды счетчиков и систем статистики. Если в браузере установлен антифишинговый или антивирусный плагин (собственный есть почти во всех браузерах и почти везде включен, а некоторые антивирусные компании еще добавляют свой), он отправляет адрес посещенной страницы на проверку. В браузер могут быть встроены и другие плагины. Например, Яндекс.Бар или Google.Бар показывают ранг страницы, для чего передают ее адрес на сервер. Бывает так, что трафик пользователей в публичных местах пропускается через прокси-сервер — для защиты от атак, экономии IP-адресов или ускорения загрузки страниц. В этом случае все указанные взаимодействия пройдут через прокси-сервер, и он тоже узнает о странице.

Если на страничке есть картинки или flash-объекты с других ресурсов, то о странице будут знать все эти ресурсы. При наличии на странице iframe о ней будет известно системе показа рекламы или сервисам других систем, загруженных через iframe. Если вебмастер использовал скрипты из внешней библиотеки, счетчики и системы сбора статистики, то о новой страничке будут знать все эти сервисы и их провайдеры.

Итак, можно увидеть, что конфиденциальная информация может утекать по двум каналам: на стороне сервера и на стороне клиента. Давайте предположим, что поисковые системы по умолчанию злоумышляют против вас. Как сохранить приватную информацию?

Конфиденциальность на стороне сервера: рекомендации для веб-мастера

На стороне сервера это всевозможные системы статистики. Например, на сайте сексшопа, с которого произошла утечка информации, установлены счётчики LiveInternet и Яндекс.Метрики. Поэтому веб-мастерам, вероятно, стоит модифицировать процедуру заказа, исключив возможность появления внешних счетчиков в личном кабинете пользователя.

Ещё одним источником утечки информации о страницах может служить файл robots.txt, о чём Владимир забыл упомянуть. Если в этом файле в разделе Disallow указывать путь к конкретной странице (что является абсолютно корректным с точки зрения синтаксиса), то поисковая система, возможно, и воспримет это как рекомендацию не индексировать страницы, но случайный пользователь, открывший robots.txt в браузере, увидит полную карту секретных страниц сайта. Поэтому закрывать в robots.txt необходимо только целые разделы, но не конкретные страницы с конфиденциальной информацией.

Например добавление в robots.txt записи

Disallow: /page.htm
Disallow: /dir/page2.htm

защитит ваши страницы от индексирования поисковыми системами, но напрямую укажет на них злоумышленникам и хакерским ботам. Если странички page.htm и dir/page2.htm из этого примера просто находятся в разработке и потому закрыты от индексирования, то ничего страшного в таком синтаксисе нет, но вот если там находится приватная информация, то ужас-ужас-ужас!

И самый надежный способ защитить персональные данные вашего пользователя – это, конечно же, разрешить вход на страницу заказа только авторизованным пользователям, при этом исключив возможность введения логина и пароля методом GET (через адресную строку браузера).

Конфиденциальность на стороне клиента: рекомендации для пользователя

Однако, не всегда бдительность веб-мастера гарантирует вашу информационную безопасность. Установленные на вашем компьютере расширения для браузера видят ровно ту страницу, которую получаете именно вы, авторизовавшись под своими логином и паролем. И вполне могут отправить её на сервер. Например, в Лицензионном соглашении Яндекс.Бара есть пункты:

5.1. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции показа «Отзывов» для определения количества отзывов на просматриваемую Пользователем во время использования Программы страницу в интернете, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о просматриваемой странице, до момента отключения указанной функции.

6.3. Пользователь настоящим уведомлен и соглашается, что при использовании Программы Правообладателю в автоматическом режиме анонимно (без привязки к Пользователю) передается следующая информация: тип операционной системы компьютера Пользователя, версия Программы и идентификатор Программы, а также иная техническая информация.

«Информацией о просматриваемой странице» может быть как её адрес, так и содержание. Стоит так же отметить, что сразу после создания Яндекс.Бара он попал в антиадварную базу Касперского, но потом благополучно оттуда пропал. Поэтому, если хотите сохранить анонимность – откажитесь от установки Яндекс.Бара, Google.Бара и аналогичного шпионского программного обеспечения.

Как очистить cookies в браузере: рекомендации для параноика

Иногда требуется, чтобы была недоступна третьим лицам информация о посещенных вами сайтах. Например, вы делали заказ в том же секс-шопе, и хотите, чтобы ваша любимая половина об этом не узнала хотя бы до тех пор, пока вам не доставят заказанную плётку. Удаление логов браузера вам ничего в данном случае не даст, дело в том, что информация о посещенных сайтах хранится в так называемых cookie-файлах (от англ. «печенье»). Обнаружив у вас в служебных файлах cookie секс-шопа (или любого другого посещенного вами сайта), рекламные службы, руководствуясь алгоритмами поведенческого таргетинга, будут предлагать вам аналогичную продукцию в контекстных предложениях на всех сайтах, куда вы зайдёте со своего компьютера. Поэтому от cookie стоит избавиться.

Chrome
Меню настроек (гаечный ключ) > Параметры > Расширенные > Удалить данные о просмотренных страницах > Удалить файлы cookie и другие данные сайтов и подключаемых модулей

Internet Explorer
Сервис > Свойства обозревателя > Общие > Удалить > Выберите файлы «cookie» и нажмите OK

Fitefox
Инструменты > Настройки > Приватность > очистить вашу недавнюю историю или удалить отдельные куки

Opera
Инструменты > Настройки > Дополнительно > Cookies > Управление Cookies

Flash Cookies: рекомендации для продвинутого параноика

Однако, не ото всех cookies можно так легко избавиться. В последнее время всё более популярным стало использование локальных данных, которые использует Adobe Flash Player, которые принято называть flash cookies. В последних версиях Chrome они удаляются вместе с обычными куками (строчка «и подключаемых модулей» – это про них). Подобные же разработки есть и в последних версиях IE и Fitefox. В общем же случае удалить flash cookies можно перейдя на панель «Параметры хранения веб-сайтов».

Альтернативой ежедневной борьбы с куками может стать использование режима инкогнито в браузере Chrome. Однако в этом случае сохраняется история поиска в Google.

Соблюдая вышеперечисленные меры предосторожности, конечно, нельзя говорить о полной приватности. Существует множество способов пометить ваш компьютер, и через эту метку определить вашу личность. Однако соблюдение основных мер предосторожности поможет вам в большинстве случаев сохранить анонимность в сети.

Поисковая оптимизация безопасность в интернете