Приватный режим браузера сделали еще приватнее

Программисты из MIT представили систему, которая позволяет защитить данные о посещении сайтов и действиях пользователя на них. Система шифрует данные при посещении сайта и временно расшифровывает их во время отображения элемента сайта на экране для минимизации риска утечки информации из кэша или файла подкачки, а также использует несколько других механизмов. Для удобства оптимизации сайтов под эту систему разработчики создали специальную программу, сообщается в докладе, представленном на симпозиуме NDSS 2018.

Почти во всех современных браузерах есть приватный режим. Предполагается, что после выхода из него браузер удаляет всю информацию о том, какие страницы посещал пользователь и что именно он на них делал. Однако, из-за некоторых особенностей работы операционных систем, часть этой информации может все же остаться на компьютере, например, в файле подкачки или в кэше DNS. Как правило, разработчики программного обеспечения для защиты данных в интернете концентрируются на защите передачи данных между сервером и клиентом, но не защите данных от подобных утечек на самом компьютере пользователя.

Исследователи в области компьютерной безопасности под руководством Николая Зельдовича (Nickolai Zeldovich) из Массачусетского технологического института разработали систему Veil, которая минимизирует риски утечки данных на компьютере после использования приватного режима браузера. Для работы системы владелец сайта должен добавить в него специальный компилятор, который превращает обычную страницу в совместимую с системой. В частности, он шифрует URL и часть контента ключом пользователя.

Компилятор загружает совместимую версию страницы на специальные «ослепляющие» сервера. При обращении к ним пользователь открывает почти пустую страницу с адресной строкой и строкой для ввода пользовательского ключа шифрования. После ввода адреса сервер передает браузеру данные страницы, причем, при каждом обращении сервер посылает немного измененную версию страницы, которая выглядит одинаково для пользователя, но синтаксически отличается. За счет этого в случае утечки данных злоумышленникам сложно понять, какую страницу открывал пользователь.

Помимо этого система устроена таким образом, что она расшифровывает контент только на время, в которое он отображается на экране. Также она периодически обращается к данным страницы в памяти и не дает операционной системе выгружать их в файл подкачки, данные из которого могут не удалиться при выходе из приватного режима.

Для особо приватных сайтов разработчики предусмотрели специальный режим, при котором браузер пользователя получает не исходный код страницы, а изображения элементов, отрисованные на стороне сервера. В таком режиме браузер лишь посылает на сервер расположение элемента, на который кликнул пользователь, после чего получает новое изображение.

Разработчики считают одним из главных преимуществ такого подхода отсутствие необходимости в дополнительных действиях со стороны пользователя — ему не нужно устанавливать специальные программы или расширения для используемого браузера. В то же время, на разработчиков ложится дополнительная обязанность в виде поддержки дополнительных серверов.

В прошлом году исследователи в области информационной безопасности выяснили, что некоторые системы интернет-аналитики, установленные на популярных сайтах могут записывать конфиденциальную информацию. При этом часть из них затем передает данные владельцам сайтов по незащищенному протоколу, даже если сам сайт использует шифрование.

Григорий Копиев