Translate

Защита сайта

Благодаря обширности Web, а также способности этой сети быстро распространять информацию по всему миру, этика Интернета играет важную роль в любой коммерческой деятельности. Интернет предоставляет широкие возможности для совершения самых разнообразных неэтичных поступков, начиная от фальшивых пресс-релизов и ложных предупреждений о вирусных атаках, и до компрометации персональных данных и рассылки спама. Как участник сообщества электронной коммерции, вы несете определенную ответственность перед заказчиками (в том числе - потенциальными) за их онлайновую безопасность. Вероятно, в этом отношении наибольшую озабоченность вызывают вопросы безопасности и защиты личных или уязвимых данных от алчущих взоров взломщиков, а также отслеживание посетителей сайта. Чуть менее важна конфликтная проблема получения согласия или отказа от различных сервисов, предлагаемых на сайте. Чтобы добиться доверия заказчиков, вы должны приложить все усилия, чтобы доказать им крайне малую вероятность нарушения их конфиденциальности на вашем сайте. В этом разделе мы обсудим уязвимые компоненты сайта, рассмотрим способы защиты пользователей и покажем, как следует создавать политику безопасности, гарантирующую соблюдение личных прав посетителей вашего сайта. Кроме того, мы предложим вам список онлайновых ресурсов, где вы можете ознакомиться с текущими этическими проблемами.
Зашита конфиденциальности данных
В настоящее время онлайновая конфиденциальность относится к горячим темам, в особенности благодаря огромному числу нарушений конфиденциальности со стороны разного рода мошенников. Число мошеннических проделок в Интернете, начиная от самозванства и заканчивая кражей номеров кредитных карточек, непрерывно растет. Нарушения конфиденциальности встречаются слишком часто, и многие такие случаи получают широкую огласку, особенно когда в них прямо или косвенно повинны компании, которые гарантировали своим заказчикам защиту конфиденциальности.
Зашита личных данных. В августе 2000 года организация TRUSTe, которая утверждает политики и стандарты защиты конфиденциальности коммерческих сайтов, подверглась нападкам критики, когда компании, консультирующие по вопросам безопасности, нашли cookie-файлы на сайте TRUSTe. Эти cookie-файлы отслеживали трафик сайта. Политика защиты конфиденциальности, провозглашенная TRUSTe, о такой слежке не упоминала. Кроме того, бреши в системе защиты безопасности были обнаружены на медицинских сайтах. Например, в августе 2000 года сайт Kaiser Permanente On-Line случайно разослал по неверным адресам электронной почты уязвимые личные данные, компрометирующие личности своих заказчиков. И хотя ущерб оказался сравнительно невелик, несколько сообщений все же содержали личную информацию, касающуюся не только проблем со здоровьем пациентов, но также и контактную информацию с номерами счетов. Сайт Kaiser Permanente On-Line - не единственный медицинский сайт, который стал жертвой таких случайностей или брешей в защите. В феврале того же года организация California HealthCare Foundation (Калифорнийский фонд здравоохранения) обследовала 19 сайтов, чтобы оценить надежность их системы защиты конфиденциальности. Проверку выдержали только три сайта, а остальные 16 нарушали свою собственную политику защиты конфиденциальной информации о здоровье пациентов. Очевидно, происшествия с этими медицинскими сайтами относятся к крайностям, поскольку в данном случае разглашенная конфиденциальная информация носила весьма чувствительный характер. К сожалению, такие происшествия вовсе нередки и не исчерпывают весь спектр проблем защиты конфиденциальности. Большинство пользователей Web, размышляя о проблемах онлайновой конфиденциальности, вовсе не задумываются об общераспространенных и более изощренных способах сбора информации, которые могут серьезно нарушить их конфиденциальность. Независимо от объема и уязвимости данных, которые вы храните на онлайновом носителе, надежность их защиты должна быть максимально возможной. Оценим объем данных о заказчиках, который может храниться на вашем сайте. Здесь могут быть их полные имена, номера телефонов, адреса электронной и обычной почты, и даже номера кредитных карточек. Что там еще вы собрали? Возможно, в вашей базе данных хранятся истории покупок каждого заказчика. В ней могут быть списки с пожеланиями, рекомендации, количество служащих, имена и фамилии и прочая конфиденциальная информация, рассеянная по всей базе данных. Теперь представьте, что кто-то взломал вашу систему и выгрузил номера 100000 кредитных карточек и теперь взломщик угрожает разгласить эти номера, если вы не заплатите $1 за каждый номер. Задумайтесь, что предпримут ваши заказчики, если эта история всплывет наружу. А когда она всплывет?
Чем опытен пользователь Web, тем большее значение он придает этому вопросу. Почему покупатели Web-магазинов так озабочены проблемой конфиденциальности и безопасности? Возможно, пользователей Web настораживает то широкое внимание средств массовой информации, которое привлекают случаи утечки конфиденциальной информации и взлома системы защиты. И эта обеспокоенность исчезнет только тогда, когда онлайновое сообщество приложит дополнительные усилия для защиты уязвимой конфиденциальной информации от алчущих глаз орудующих в Web злоумышленников.
Соблюдение этических норм при отслеживании действий посетителей
Как вы отреагируете, если совершенно незнакомый вам человек наймет частного детектива, который будет следовать за вами при каждом выходе из дома? Этот детектив будет фотографировать вас на выходе из дома, наблюдать, как вы идете по улице, чтобы отвести детей в школу, и следовать за вами в лавку и записывать все, к чему вы проявили хотя бы слабый интерес. Вы придете в замешательство. Возможно даже, что вас разозлит такое внезапное нарушение конфиденциальности. Многие люди именно так себя и чувствуют во время просмотра Web. Им не нравится, что кто-то следит за каждым их движением, записывает в поток щелчков (т.е. в поток данных, фиксирующих выборы пользователей на страничках Web) товары, к которым они проявили интерес, а затем передает эти данные на изучение группе любопытных специалистов по маркетингу. И не надо быть луддитом, чтобы разделить это мнение. В сети Web конфиденциальность стала большой роскошью, поскольку здесь мы крупицу за крупицей рассеиваем личную информацию. При работе в Web конфиденциальные данные извлекаются из информации, которую можно собрать по крупицам, отслеживая ваши перемещения в сети. Эти данные можно похитить из сообщений электронной почты, либо отслеживая наши покупки и даже собирая сведения из заполненных нами форм. Разумеется, вы можете легкомысленно относиться к возможности такого вторжения в личную жизнь. Однако достаточно почитать газеты, как вы сразу поймете, что подобная практика давно и широко применяется правительствами, взломщиками и участниками электронной коммерции. Ход мыслей специалистов по слежке, действующих на манер сыщиков, напоминает сюжет мерзкого детективного фильма, полного козней и паранойи. Однако угрозы конфиденциальности в сети Web становятся повседневной реальностью. В результате появилась масса адвокатов, специализирующихся на вопросах защиты конфиденциальности, компаний, занимающихся обеспечением анонимности Web-путешественников, и так называемых «информационных посредников» (последние предоставляют конфиденциальную информацию о вас? соответственно рейтингу, который они назначили политике защиты конфиденциальности сайта). Возможно, как Web-профессионал, вы не понимаете, вокруг чего ведется вся эта суета. Вам нужно отслеживать посетителей своего сайта, чтобы улучшить их обслуживание. Вас ужасают статические страницы, которые не могут обращаться к посетителям по имени
Исключение сомнительной тактики электронной коммерции. Некоторые люди прилагают неимоверные усилия ради сохранения анонимности работы в сети. Опыт работы в Web позволяет им оставаться безвестными и безымянными. Они хотят просматривать содержимое сайтов, не беспокоясь о том, что их почтовый ящик будет наводнен рекламой средств для отращивания волос. Им нужна уверенность, что никто и никогда не узнает, что они затратили три часа на чтение новостей сайта мыльных опер. Проблемами конфиденциальности посетителей сайта следует заниматься даже в том случае, если ваша компания не собирается шпионить за посетителями. Почему? Во-первых, Web-путешественники стали лучше разбираться в вопросах конфиденциальности, и если ваш сайт ее нарушает (даже если вы не используете информацию, которую вы, по их мнению, собираете), вы потеряете репутацию и потенциальных заказчиков. Во-вторых, вы можете передать решение каких-нибудь задач дочерней компании. Тем самым эта компания получает доступ к собранной вами конфиденциальной информации. И если эта дочерняя компания злоупотребит полученной информацией и сведения получат огласку, то порицать станут вас. Наконец, если вы все же решите использовать собранную информацию, то перед вами во весь рост встанет проблема защиты конфиденциальности. Как профессионал Web, вы обязаны уважать пожелания посетителей, жаждущих сохранить конфиденциальность. В самом крайнем случае допустимо отделить личную информацию о посетителях или любой идентифицирующий их признак от сведений о действиях этих людей. Если вам нужно отслеживать переходы визитера по сайту для учета событий по ходу сеанса (чтобы, например, определить, какие рекламные объявления заинтересовали посетителей), не сохраняйте эту информацию, чтобы воспользоваться ею в будущем. Храните информацию только временно и удаляйте ее сразу же, как только посетитель покидает сайт или закрывает свой браузер. В идеале, вы должны предлагать анонимный просмотр сайта тем посетителям, которые хотят сохранить в тайне свои переходы по сайту. Те же посетители, для которых удобства и эффективность работы превыше всего, могут зарегистрироваться в системе и разрешить запись своих перемещений по сайту. Каковы бы не были потребности вашего сайта и большинства его посетителей, всегда придерживайтесь норм этики при отслеживании посетителей сайта. Некоторые люди могут воспринять эту слежку как вторжение в частную жизнь, подобное слежке детектива, подглядывающего за вами при посещении соседней бакалейной лавки.
Исключение сомнительной тактики электронной коммерции
Как и в обычных магазинах, для построения своего бизнеса вы можете использовать множество инструментов. Технология позволяет делать множество поразительных вещей, многие из которых совершенно незаметны посетителям Web-сайта. Однако доступность таких технологий вовсе не означает, что вы должны использовать их для продвижения своего электронного предприятия. В этом разделе перечислены некоторые моменты, которые, хотя и могут принести вам немедленный успех как владельцу бизнеса, в долговременном плане ведут к утрате деловой репутации и остракизму пользователями Web.
Смысл понятий согласия или отказа на участие
Что такое согласие на участие (opt-in) и отказ от участия (opt-out)? В двух словах, это предоставление посетителям возможности принять или отказаться от какой-нибудь вашей услуги.
Если посетитель должен физически выбрать неучастие в том, что предлагает ваш сайт, он должен отказаться. Если посетитель должен приложить усилия, чтобы принять предложение, он должен дать согласие. Таким образом, если вы примете эту форму такой, какая она есть, то вы будете получать информационные бюллетени Widgets Weekly (Товары еженедельно), Sometimes? (Иногда?) и Nothing (Ничего). Мы выбрали их рассылку ненамеренно. Однако мы можем изменить отклик на тот, что нам нужен, если согласимся или откажемся от рассылки других бюллетеней. Как видите, все это слишком запутанно. А запутывание служит хорошей тактикой, если вы хотите обманным путем завлечь кого-нибудь в рассылку своих бесплатных бюллетеней. Именно здесь возникает конфликт. Причина конфликта, связанного с согласием или отказом, заключается в степени контроля, который вы решили доверить посетителям сайта. Чтобы предоставить заказчикам полный контроль над рассылкой ваших бюллетеней, вы должны позволить им свободно выбирать то, что вы предлагаете. Некоторые люди рассматривают насильственный отказ как отстранение посетителей сайта от контроля. Если они неверно поймут ваши формулировки, выражающие согласие или отказ, либо даже они вообще не заметят мгновения, в который сделают свой выбор, они станут принимать «неразрешенную» электронную почту. Иными словами, они просто частично утратят контроль над своим почтовым ящиком. Поймите нас правильно никоим образом нельзя автоматически подписывать своих заказчиков на информационные бюллетени, не предоставив им возможности согласиться или отказаться от рассылки. Некоторая возможность выбора лучше, чем ее полное отсутствие. Когда заказчики предоставляют вашему сайту адреса своей электронной почты, они, вероятно, рассчитывают, что могут выбрать что-то из нескольких возможностей. Всегда предоставляйте им такую возможность выбора, даже если это вынуждает их что-либо сделать, чтобы вы оставили их в покое.
Помещение в сайт жучков Web
Иногда владельцы сайтов прибегают к весьма сомнительному средству отслеживания посетителей Web, известному как Web-жучки (Web bug). На практике Web-жучок представляет собой GIF-файл, который посылает вам информацию о появлении визитера на той странице, в которую помещен этот жучок. Чаще всего эти GIF-файлы пусты, т.е. прозрачны и не видимы; их можно обнаружить только в исходном коде HTML страницы. Web-жучки могут быть как легальными, так и нелегальными. Однако по большей части безопаснее сказать, что их установка неэтична. Когда посетители выполняют действие (хит) на Web-странице, они не могут видеть жучка Web, если он вставлен в форме пустого GIF-файла. Это GIF-изображение совершенно прозрачно. Посетители и не подозревают, что только что передали информацию о своем визите. Более того, большинство сайтов Web ничего не сообщают в своей политике защиты конфиденциальности о Web-жучках. Как работает Web-жучок?

C виду пустой GIF-файл на самом деле является сценарием Perl, который возвращает GIF-изображение размером 1x1 пиксел. Между тем, это обращение к изображению-жучку Web только что передало имя компании, конкретную страницу, к которой посетитель получил доступ, и время получения доступа. Данный сценарий Perl может также получать доступ к любой другой информации, которую ваш браузер собирает в Web в своих переменных окружениях. Еще одним спорным моментом в Web-жучках является то, что они способны связываться с любыми cookie-файлами, которые рекламная компания сумела заслать в браузер пользователя. Помните, сценарий Perl может без труда запрашивать у браузера конкретные cookie-файлы. Что вы обязаны знать, чтобы защитить конфиденциальность своих посетителей? Во-первых, если вы используете Web-жучки, соблюдайте этикет. Широко оповестите об их существовании в своем документе, описывающем политику безопасности. Не позволяйте третьей стороне обнаружить ваших хитрых Web-жучков и оповещать об их существовании онлайновое сообщество. Это только подорвет вашу репутацию и может сказаться на посещаемости сайта. Во вторых, позвольте своим посетителям соглашаться или отказываться от отслеживания их действий на сайте. Если вы динамически генерируете страницы сайта, выбрасывайте из страниц Web-жучки для тех посетителей, которые хотят оставаться анонимными. Ваши посетители одобрят возможность такого выбора, а вы, не нарушая этических норм, можете собирать сведения о тех посетителях, которых не беспокоит ваша осведомленность об их визите, либо они понимают смысл различных методов отслеживания. Наконец, не используйте в качестве Web-жучков пустые GIF-файлы. Используйте крупные, ясно видимые изображения, которые сообщают посетителям о наличии жучка. Однако, если вы используете кричащее изображение, а пустой GIF-файл в данном случае подошел бы лучше, используйте предупреждающий текст, чтобы ваши посетители знали о существовании прозрачного Web-жучка. Поддерживая на высоком уровне защиту конфиденциальности и уважая интересы своих посетителей, вы обязательно завоюете их доверие. Осторожно обращайтесь с cookie-файлами Cookie-файлы, являясь одновременно и благословенной и проклинаемой технологией, включенной в протокол HTTP (Hypertext Transfer Protocol - Протокол передачи гипертекста), пользуются явно неоднозначной репутацией. Например, поскольку протокол HTTP не отвечает за установление в течение сеанса режимов работы, cookie-файлы можно использовать для воздействия на сеанс и обновления режима работы по мере перемещения пользователей по сайту Web. Под режимом понимается просто статус соответствующего объекта. Например, если пользователь ввел свое входное имя и пароль, он переходит из одного режима работы (до регистрации) в новый режим (зарегистрированного пользователя системы). Кроме того, cookie-файлы можно использовать для хранения различной информации, например, предпочтений пользователя, входных идентификаторов, и другой специфической информации, которая может понадобиться сайту Web для отслеживания переходов и более эффективного обслуживания посетителей. С тех пор, как о существовании cookie-файлов узнало большинство пользователей Web, они осуждаются как вестники эпохи отмены конфиденциальности. Однако, несмотря на угрозу конфиденциальности, которую влекут cookie-файлы, они могут приносить пользу и делать посещение Web-сайта более приятным. Вот некоторые применения cookie-файлов, которые требуют реализации более строгих мер безопасности и тщательного манипулирования этими файлами:
• Ведение журнала сеанса, благодаря которому Web-сайты запоминают предыдущие действия посетителя и не требуют их повторения
• Запоминание регистрационной информации
• Запоминание предпочтений пользователя
• Отслеживание переходов посетителей сайта
• Управление хитами партнерских программ
• Сохранение содержимого электронных тележек покупателей
• Отслеживание многократных визитов
Очевидно, cookie-файлы могут приносить и пользу и вред. К сожалению, их могут использовать в злонамеренных целях даже посторонние сайты.


Яндекс.Метрика

Комментариев нет:

Отправить комментарий