Многие владельцы сайтов встраивают в свои веб-страницы разнообразные скрипты, отслеживающие действия пользователя. Как правило, подобные инструменты применяются для оценки посещаемости сайта и выяснения предпочтений пользователей. Однако некоторые разработчики идут дальше и пытаются отслеживать все действия посетителей в Интернете. Как сайты следят за нами? Что можно сделать, чтобы данные не попали к посторонним?
Зачем за нами следят?
Для начала кратко ответим на вопрос – зачем владельцы сайтов следят за посетителями? Чаще всего это делается для рекламирования тех или иных товаров и услуг. Крупные сайты продают специалистам по рекламе данные о поисковых запросах пользователей, используемых браузерах и операционных системах. Полученные сведения используются для показа контекстной рекламы, выработки маркетинговых стратегий и т.д. Иногда данные могут продаваться и создателям вредоносного ПО – на основании данных о распространенности различных браузеров и операционных систем среди пользователей можно понять, в каких версиях веб-обозревателей стоит искать уязвимости. В ряде случаев вообще невозможно понять, зачем сайты собирают информацию о посетителях.
Технологии слежки
Каким образом владельцы сайтов отслеживают активность посетителей? Существуют разные способы слежки. Некоторые из них вполне очевидны и безвредны, другие – «на грани фола». Рассмотрим популярные способы.
Cookie (куки)
Куки — один из простейших и самых известных способов сбора данных о посетителе. Это небольшие фрагменты информации, посылаемые сервером, – они хранятся на устройстве посетителя. В них могут содержаться аутентификационные данные, статистика заходов на страницу, настройки сайта. Сами по себе куки неопасны и используются миллионами полезных сайтов. Однако недобросовестные разработчики сайтов могут собирать слишком много информации о посетителе. К счастью, куки можно отключить, но надо помнить, что многие сайты без них работают некорректно.
Следящий пиксель
Следящий пиксель – техника, позволяющая оценить количество заходов на страницу. В код страницы встраивается прозрачное изображение размером в 1 пиксель. Когда браузер пользователя загружает страницу, он также подгружает и этот прозрачный пиксель. В результате срабатывает запрос к тому веб-серверу, где расположена незаметная картинка. Веб-сервер при получении запроса записывает в лог IP-адрес пользователя, загрузившего крохотную картинку. Таким образом владелец сайта получает данные о посетителях, загружавших ту или иную страницу.
Счетчики и метрики
С помощью различных счетчиков и метрик, таких как Google Analytics и Яндекс.Метрика, можно получить не только сведения о браузере и ОС пользователя, но и примерные данные о его местоположении (если не используется VPN, Tor и т.п.), возрасте и интересах.
Цифровые отпечатки браузера (фингерпринтинг)
Например, с помощью подмены HTML-элемента canvas владелец сайта может получить информацию об операционной системе пользователя, используемом браузере, разрешении экрана и т.п.
Скрипты рекламных сетей, социальные кнопки на сайтах
С их помощью также можно получить немало информации о посетителе, начиная от используемого браузера и заканчивая адресом странички в социальной сети. Разумеется, такое «подглядывание» может действовать не только в пределах одного веб-ресурса: практикуется и межсайтовое отслеживание действий пользователя.
Скрипты повторения сеанса, записывающие все действия пользователя
Способ трудоемкий, но он позволяет получить подробную информацию о каждом посетителе. Недобросовестные разработчики могут таким образом считывать пароли пользователей, записывать текст, введенный в формы на сайте (даже если данные не были отправлены), и т.п.
Существуют и другие способы получения данных о пользователе. Они имеют разную сложность и эффективность, однако объединяет их одно – разными способами разработчики сайтов незаметно получают данные о посетителях, чтобы распоряжаться информацией самостоятельно или продать ее.
Защищаемся от слежки
От многих способов наблюдения можно защититься.
Избавиться от нежелательного наблюдения помогут специальные расширения для браузеров, блокировщики рекламы, качественные антивирусы. Ни одно из имеющихся средств не может гарантировать стопроцентного результата, но все равно защита от излишне любопытных веб-разработчиков весьма полезна и эффективна.
Перечислим некоторые наиболее простые способы защиты.
Использование расширений, блокирующих рекламу
Например, uBlock Origin, Adblock Plus и других. Хотя основная их функция – отключение рекламы, эти расширения также блокируют следящие скрипты.
Использование браузерных плагинов, защищающих от слежения
К ним относятся Privacy Badger, Ghostery и т.д. Их основная задача как раз и заключается в блокировке разнообразных трекеров, собирающих данные о пользователях.
Использование защиты от слежения, встроенной в антивирусный продукт
Здесь выбор поистине огромен – сейчас почти все популярные антивирусы имеют модули, защищающие от слежки при посещении сайтов.
Ручное изменение hosts-файлов
Изменение hosts-файлов позволит перенаправлять попытки соединения с небезопасными и шпионящими сайтами на немаршрутизируемый адрес 0.0.0.0 или в localhost. Например, можно воспользоваться hosts-файлом от проекта MVPS, в нем указан перечень шпионящих сайтов и ресурсов, распространяющих вредоносные программы. Отметим, однако, что антивирусы могут блокировать попытки ручного изменения hosts-файлов, и вообще коррекцию системных файлов стоит производить осторожно, только если вы понимаете, что делаете.
Нельзя не заметить, что и сами браузеры все лучше защищают пользователей от слежки. Речь идет не только о встроенном во все популярные веб-обозреватели режиме приватного просмотра. Так, например, команда Firefox уже приступила к бета-тестированию новой защиты от слежения, которая будет встраиваться в браузер. Возможно, примеру Firefox в ближайшем будущем последуют и другие браузеры.
Итак, от слежения в Интернете вполне можно защититься. Впрочем, существует немало сайтов, использующих куки и различные метрики только для сбора обезличенной статистики и предоставления посетителям более удобных сервисов. Сайты добросовестных разработчиков можно и нужно добавлять в исключения различных плагинов-блокировщиков.
