Веб-маяк
В этой статье отсутствует информация о Facebook Pixel (входящее перенаправление). ( ноябрь 2022 г. ) |
Веб -маяк [примечание 1] это метод, используемый на веб-страницах и в электронной почте , чтобы ненавязчиво (обычно незаметно) проверить, получил ли пользователь доступ к определенному контенту. [1] Веб-маяки обычно используются третьими сторонами для мониторинга активности пользователей на веб-сайте с целью веб-аналитики или маркировки страниц . [2] Их также можно использовать для отслеживания электронной почты . [3] При реализации с использованием JavaScript их можно назвать тегами JavaScript . [4] Веб-маяки — это невидимые элементы HTML , которые отслеживают просмотры веб-страницы. Когда пользователь повторно посещает веб-страницу, эти маяки подключаются к файлам cookie, установленным сервером, что облегчает скрытое отслеживание пользователя. [5]
Используя такие маяки, компании и организации могут отслеживать поведение веб-пользователей в Интернете. Поначалу компании, занимавшиеся таким отслеживанием, были в основном рекламодателями или веб-аналитики компаниями ; позже сайты социальных сетей также начали использовать такие методы отслеживания, например, с помощью кнопок , которые действуют как маяки отслеживания.
В 2017 году W3C опубликовал кандидатскую спецификацию интерфейса, который веб-разработчики могут использовать для создания веб-маяков. [6]
Обзор
[ редактировать ]Веб-маяк — это один из нескольких методов, используемых для отслеживания посетителей веб-страницы . Их также можно использовать, чтобы узнать, было ли прочитано или перенаправлено электронное письмо или была ли веб-страница скопирована на другой веб-сайт. [7]
Первые веб-маяки представляли собой небольшие файлы цифровых изображений, встроенные в веб-страницу или электронное письмо. Изображение может быть размером всего в один пиксель («пиксель отслеживания») и может иметь тот же цвет, что и фон, или быть полностью прозрачным . [8] Когда пользователь открывает страницу или электронное письмо, в которое встроено такое изображение, он может не увидеть изображение, но его веб-браузер или программа чтения электронной почты автоматически загружает изображение, требуя от компьютера пользователя отправки запроса на сервер принимающей компании , где исходное изображение сохраняется. Этот запрос предоставляет идентифицирующую информацию о компьютере, позволяя хосту отслеживать пользователя.
Этот базовый метод получил дальнейшее развитие, поэтому в качестве маяков можно использовать многие типы элементов. В настоящее время они могут включать в себя видимые элементы, такие как графика, баннеры или кнопки , а также неграфические элементы HTML, такие как рамка , стиль, сценарий, входная ссылка, встраивание, объект и т. д. электронного письма или веб-страницы.
Идентифицирующая информация, предоставляемая компьютером пользователя, обычно включает его IP-адрес , время выполнения запроса, тип веб-браузера или устройства чтения электронной почты, отправившего запрос, а также наличие файлов cookie, ранее отправленных хост-сервером. Хост-сервер может хранить всю эту информацию и связывать ее с идентификатором сеанса или токеном отслеживания, который однозначно отмечает взаимодействие.
Использование компаниями
[ редактировать ]Как только компания сможет идентифицировать конкретного пользователя, она сможет отслеживать поведение этого пользователя при многочисленных взаимодействиях с различными веб-сайтами или веб-серверами. В качестве примера рассмотрим компанию, владеющую сетью веб-сайтов. Эта компания могла бы хранить все свои изображения на одном конкретном сервере, но хранить остальное содержимое своих веб-страниц на множестве других серверов. Например, каждый сервер может быть привязан к конкретному веб-сайту и даже может располагаться в другом городе. Но компания могла бы использовать веб-маяки, запрашивающие данные со своего единого сервера изображений, для подсчета и распознавания отдельных пользователей, посещающих разные веб-сайты. Вместо того, чтобы собирать статистику и управлять файлами cookie для каждого сервера независимо, компания может анализировать все эти данные вместе и отслеживать поведение отдельных пользователей на всех различных веб-сайтах, собирая профиль каждого пользователя при навигации по этим различным средам.
Отслеживание электронной почты
[ редактировать ]Веб-маяки, встроенные в электронные письма, имеют большее значение для конфиденциальности, чем маяки, встроенные в веб-страницы. Благодаря использованию встроенного маяка отправитель электронного письма – или даже третья сторона – может записать ту же информацию, что и рекламодатель на веб-сайте, а именно время прочтения электронного письма, IP-адрес компьютера, который использовался для чтения электронной почты (или IP-адрес прокси-сервера , через который прошел читатель), тип программного обеспечения, используемого для чтения электронной почты, а также наличие любых ранее отправленных файлов cookie. Таким образом, отправитель (или третья сторона) может собрать подробную информацию о том, когда и где каждый конкретный получатель читает свое электронное письмо. Каждый раз, когда сообщение электронной почты отображается, та же информация может быть отправлена повторно отправителю или третьему лицу.
Заголовки электронной почты «Return-Receipt-to» (RRT) также могут инициировать отправку информации, и их можно рассматривать как еще одну форму веб-маяка. [9]
Веб-маяки используются продавцами электронной почты, спамерами и фишерами для проверки прочтения электронного письма. Используя эту систему, они могут отправлять похожие электронные письма на большое количество адресов, а затем проверять, какие из них действительны. В этом случае «действительный» означает, что адрес действительно используется, что электронное письмо прошло спам-фильтры и что содержимое электронного письма действительно просматривается.
В некоторой степени такого рода отслеживание электронной почты можно предотвратить, настроив программное обеспечение для чтения электронной почты таким образом, чтобы он не обращался к удаленным изображениям.
Один из способов нейтрализовать такое отслеживание электронной почты — отключиться от Интернета после загрузки электронной почты, но до прочтения загруженных сообщений. (Обратите внимание, что это предполагает, что вы используете программу чтения электронной почты, которая находится на вашем компьютере и загружает электронные письма с сервера электронной почты на свой компьютер.) В этом случае сообщения, содержащие маяки, не смогут инициировать запросы к хосту маяков. серверы, и отслеживание будет предотвращено. Но в этом случае придется удалить все сообщения, предположительно содержащие маяки, иначе вы рискуете, что маяки снова активируются после повторного подключения компьютера к Интернету.
Веб-маяки также можно отфильтровывать на уровне сервера , чтобы они никогда не доходили до конечного пользователя.
API маяка
[ редактировать ]Beacon API ( интерфейс прикладного программирования ) является кандидатом, рекомендованным Консорциумом World Wide Web , организацией по стандартизации Интернета. [10] Это стандартизированный API, который предписывает веб-клиенту бесшумно отправлять данные отслеживания обратно на сервер, т. е. не предупреждая пользователя и не нарушая тем самым его работу. [ нужна ссылка ]
Использование этого API-интерфейса Beacon позволяет отслеживать и профилировать пользователей без ведома конечного пользователя, поскольку он невидим для них, а также без задержки или иного вмешательства в навигацию внутри сайта или за его пределами. [11] Поддержка Beacon API была введена в браузер Mozilla Firefox в феврале 2014 года. [12] и в браузере Google Chrome в ноябре 2014 г. [13]
Примечания
[ редактировать ]Ссылки
[ редактировать ]- ^ Стефани Олсен (2 января 2002 г.). «Почти необнаружимое устройство слежения вызывает беспокойство» . Новости CNET . Архивировано из оригинала 7 ноября 2014 года . Проверено 23 мая 2019 г.
- ^ Ричард М. Смит (11 ноября 1999 г.). «Часто задаваемые вопросы по веб-ошибкам» . EFF.org Архив конфиденциальности . Архивировано из оригинала 29 июня 2012 года . Проверено 12 июля 2012 г.
- ^ Ричард Лоу-младший и Клаудия Аревало-Лоу. «Невидимый трекер ошибок в электронной почте собирает информацию без разрешения» . mailsbroadcast.com . Архивировано из оригинала 3 декабря 2017 года . Проверено 22 августа 2016 г.
- ^ «Негрино, Том; Смит, Дори. JavaScript для Всемирной паутины . Pearson Education, 2001. По состоянию на 1 октября 2015 г.» . Архивировано из оригинала 12 мая 2016 года . Проверено 1 октября 2015 г.
- ^ Пэйтон, Энн М. (22 сентября 2006 г.). «Обзор шпионских кампаний и стратегий борьбы с ними» . Материалы 3-й ежегодной конференции по разработке учебных программ по информационной безопасности . InfoSecCD '06. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 136–141. дои : 10.1145/1231047.1231077 . ISBN 978-1-59593-437-6 .
- ^ Джатиндер Манн; Алоис Райтбауэр (13 апреля 2017 г.). «Маяк» . Рекомендация кандидата W3C . W3C . Архивировано из оригинала 27 октября 2019 года . Проверено 7 ноября 2019 г.
{{cite web}}
: CS1 maint: несколько имен: список авторов ( ссылка ) - ^ Бугеттайя, АРА; Эльтовейси, МЮ (2003). «Конфиденциальность в Интернете: факты, проблемы и решения» . Безопасность IEEE Конфиденциальность . 1 (6): 40–49. дои : 10.1109/MSECP.2003.1253567 . ISSN 1558-4046 . Архивировано из оригинала 25 августа 2021 года . Проверено 29 марта 2021 г.
- ^ Нильсен, Янне (27 апреля 2021 г.). «Использование смешанных методов для изучения исторического использования веб-маяков в веб-отслеживании» . Международный журнал цифровых гуманитарных наук . 2 (1–3): 65–88. дои : 10.1007/s42803-021-00033-4 . ISSN 2524-7832 . S2CID 233416836 .
- ^ См. меморандум Рабочей группы по интернет-инжинирингу RFC 4021.
- ^ «Рекомендация кандидата Beacon W3C от 13 апреля 2017 г.» . Архивировано из оригинала 3 марта 2021 года . Проверено 26 июля 2017 г.
- ^ Максимальное использование нового W3C Beacon API. Архивировано 3 октября 2017 г., в Wayback Machine - NikCodes, 16 декабря 2014 г.
- ^ Navigator.sendBeacon. Архивировано 30 апреля 2021 г. в Wayback Machine - Сеть разработчиков Mozilla.
- ^ Отправка данных маяка в Chrome 39. Архивировано 13 апреля 2021 г. на Wayback Machine — Developers.google.com, сентябрь 2015 г.
Внешние ссылки
[ редактировать ]- Часто задаваемые вопросы по веб-ошибкам от EFF
- — Они это прочитали? из еженедельных новостей Linux
- Троянский маркетинг
- Slashdot on Web Bugs — ветка форума Slashdot.org, посвященная блокировке веб-ошибок.