Embed Size (px)
Citation preview
20. - 22. studenog 2006.
Zavod za telekomunikacije
1 od 13CUC 2006, Dubrovnik
Analiza implementacije privatnostiAnaliza implementacije privatnostiWeb sjediWeb sjediššta kataloga ta kataloga www.hrwww.hr
Fakultet elektrotehnike Branko Majer, dipl.inBranko Majer, dipl.inžž..i računarstva Hrvoje Belani, dipl. inHrvoje Belani, dipl. inžž..Sveučilište u Zagrebu doc. dr. sc. doc. dr. sc. ŽŽeljka Careljka Car
20. - 22. studenog 2006.CUC 2006, Dubrovnik 2 od 13
Zavod za telekomunikacije
SadrSadržžajaj
♦ Uvod♦ Protokol P3P♦ Analiza privatnosti Web sjedišta♦ Aplikacija za analizu P3P privatnosti♦ Funkcijska arhitektura aplikacije♦ Analiza kataloga www.hr♦ Rezultati analize♦ Zaključak
20. - 22. studenog 2006.CUC 2006, Dubrovnik 3 od 13
Zavod za telekomunikacije
UvodUvod
♦ PrivatnostPravo osobe da kontrolira javnost osobnih podataka
♦ Sigurnost i privatnostSigurnost u određenoj mjeri može jamčiti privatnostU nekim se slučajevima može kositi s načelima privatnosti
♦ Postojeće tehnologijePAT (Privacy-Aware Technologies)
Protokol P3PPET (Privacy-Enhancing Technologies)
Enkripcijska pomagala (SSL Explorer)Pomagala za filtriranje (Spyware, Popup Blockers)Pomagala za postizanje anonimnosti (Anonymizer, iPrivacy)
20. - 22. studenog 2006.CUC 2006, Dubrovnik 4 od 13
Zavod za telekomunikacije
Protokol P3P (1/2)Protokol P3P (1/2)
♦ Platform for Privacy Preferences Project (P3P)Protokol i norma W3C, inačica 1.1
♦ Mogućnosti protokola P3PAutomatizirano upravljanje privatnošću putem Web preglednika (s ugrađenim P3P korisničkim agentom)Mogućnost korisnika da sam upravlja vlastitim postavkama o privatnosti preko definiranih policaInformiranje korisnika koji se njegovi osobni podaci prikupljaju i u koju svrhuOslanja se na dobronamjernost, bez ikakvog jamstva
20. - 22. studenog 2006.CUC 2006, Dubrovnik 5 od 13
Zavod za telekomunikacije
Protokol P3P (2/2)Protokol P3P (2/2)
P3P police
Web preglednik
Web poslužitelj
Ručno generiranje polica u XML-ovskoj sintaksi
1. HTTP GET zahtjev za datotekom s policama
2. Slanje datoteke s policama
3. HTTP GET zahtjev za Web stranicom
4. Slanje datoteke s policama Web poslužitelj
Web preglednikKorisnik
Vlasnik
5. Prikaz korisniku Web stranice i police
Automatsko generiranje polica pomagalom
P3P police
P3P Builder, P3P Edit, P3P Display, ...
Poznavanje specifikacije P3P
20. - 22. studenog 2006.CUC 2006, Dubrovnik 6 od 13
Zavod za telekomunikacije
Analiza privatnosti Web sjediAnaliza privatnosti Web sjedišštata
♦ IstraživanjeGdje: laboratorij Zavoda za telekomunikacije FER-aKada: tijekom lipnja 2006. godineSvrha: analiza P3P implementacije na hrv. dijelu Weba
♦ P3P validacijaProvjera podržava li Web sjedište protokol P3P
♦ APPEL evaluacijaA P3P Preference Exchange Language (APPEL)Postavke o vrstama podataka definiraju se u 16 pravilaAnaliza koji i kakvi podaci se prikupljaju od korisnika
20. - 22. studenog 2006.CUC 2006, Dubrovnik 7 od 13
Zavod za telekomunikacije
Aplikacija za analizu P3P privatnostiAplikacija za analizu P3P privatnosti
♦ FunkcionalnostP3P validacija zadanih Web sjedišta i stranicaAPPEL evaluacija Web sjedišta i stranica s P3P-om
♦ Implementirani mehanizmiVišenitnost kod P3P validacije, zbog ubrzanja analizePrimjena tehnike Server Push za prikaz više odgovora
♦ Razvojne tehnologijeApache Tomcat 4.1Java 1.4 SE / Servlet 2.3APPEL evaluator modul 2.0
20. - 22. studenog 2006.CUC 2006, Dubrovnik 8 od 13
Zavod za telekomunikacije
Funkcijska arhitektura aplikacijeFunkcijska arhitektura aplikacije
20. - 22. studenog 2006.CUC 2006, Dubrovnik 9 od 13
Zavod za telekomunikacije
Analiza kataloga Analiza kataloga www.hrwww.hrDatum dohvata: 20.6.2006.
19.245 Web stranica
20. - 22. studenog 2006.CUC 2006, Dubrovnik 10 od 13
Zavod za telekomunikacije
Rezultati analize (1/2)Rezultati analize (1/2)P3P validacijaP3P validacija
♦ Nedostupno 55 Web stranica (0,29%)♦ 595 stranica podržavaju protokol P3P♦ 595 / 19.245 = 0,031 ili 3,1%
20. - 22. studenog 2006.CUC 2006, Dubrovnik 11 od 13
Zavod za telekomunikacije
Rezultati analize (2/2)Rezultati analize (2/2)APPEL evaluacijaAPPEL evaluacija
♦ Gotovo sva Web sjedišta: 9 pravila♦ Oko 2/3 Web sjedišta: 9 + 6 pravila♦ Nijedno ne uzima podatke o lokaciji
20. - 22. studenog 2006.CUC 2006, Dubrovnik 12 od 13
Zavod za telekomunikacije
ZakljuZaključčakak
♦ Pozitivni pomaciSvijest o važnosti implementacije protokola P3PKonstantan rast broja Web stranica s podrškom za P3PNajveći porast bilježe Web sjedišta velikih korporacija
♦ IzazoviRješava li P3P u potpunosti privatnost na Webu?Ne postoji podrška državnih zakona za te tehnologijeNema jamstva korisnicima da se privatnost poštujeSlaba zainteresiranost tvrtki za uvođenje P3P-a
20. - 22. studenog 2006.CUC 2006, Dubrovnik 13 od 13
Zavod za telekomunikacije
Pitanja?Pitanja?
♦ Zahvaljujemo na pažnji!
♦ Kontakti:[email protected]@[email protected]
20. - 22. studenog 2006.CUC 2006, Dubrovnik 14 od 13
Zavod za telekomunikacije
PriPriččuva:uva:PodrPodržžane police privatnostiane police privatnosti
♦ Veliki broj tehničkih pogrešaka u policama privatnosti♦ Problem malog broja polica na velikom broju sjedišta
20. - 22. studenog 2006.CUC 2006, Dubrovnik 15 od 13
Zavod za telekomunikacije
PriPriččuva:uva:LiteraturaLiteratura
♦ Branko Majer: Analiza implementacije privatnosti Web sjedišta, diplomski rad br. 2791, FER, Zagreb, listopad 2006.
♦ Lorrie F. Cranor: Web Privacy with P3P, AT&T - O’Reilly, Semastopol, 2002
♦ J. C. Cannon: Privacy – What Developers and IT Professionals Should Know, Addison-Wesley, Boston, 2005
♦ Mary J. Culnan, George R. Milne: The Culnan-Milne Survey on Consumers & Online Privacy Notices: Summary of Responses, University of Massachusetts, December 2001
♦ W3C, Platform for Privacy Preferences (P3P) Project. URL: http://www.w3.org/P3P/
♦ www.hr – početna stranica Republike Hrvatske. URL: http://www.hr/♦ W3C, P3P Validator. URL: http://www.w3.org/P3P/validator.html♦ APPEL Evaluator. URL: http://p3p.jrc.it/♦ Opinion Surveys. URL:
http://www.privacyexchange.org/iss/surveys/surveys.html
