В результате расследования журналистов немецкой общественной телерадиовещательной компании NDR выяснилось, что сервис Web of Trust продавал собранные данные о своих пользователях сторонним лицам. Что такое Web of Trust? Сталкиваясь с не известным вам сайтом, вы рискуете лишиться своих личных данных, финансов либо можете случайно стать жертвой распространяемого с такого сайта вредоносного программного обеспечения. Чтобы предотвратить такую ситуацию, можно воспользоваться каким-либо существующим рейтингом сайтов, который еще до перехода к неизвестной странице сообщит вам, можно ли ей доверять. Рейтинги Web of Trust (буквально — «сеть доверия») строятся на основании мнений множества пользователей о конкретном ресурсе (утрируя, можно объяснить следующим образом: красный рейтинг сообщает, что ресурс крайне опасен, зеленый — что ресурс полезен, желтый рейтинг — с ресурсом что-то не то, малопопулярные или новые сайты обозначаются прозрачным значком).
Простейший пример использования: вашим престарелым родителям достаточно объяснить, что заходить можно только на сайты с зеленым рейтингом, и проблем с их компьютером на вашу голову будет падать намного меньше.
Что же случилось с Web of Trust? Согласно информации от Svea Eckert, Jasmin Klofta и Jan Lukas Strozyk, журналисты через подставную компанию, якобы специализирующуюся на обработке Big Data, смогли получить доступ к данным трех миллионов посещений сайтов немецкими пользователями. Как выяснилось, данные были собраны с помощью Web of Trust. Информация была предоставлена подставной компании в качестве бесплатного пробного образца — на самом деле, данных доступно гораздо больше. По полученным материалам журналисты смогли деанонимизировать около 50 человек (в качестве раскрытых данных упоминаются заболевания, сексуальные предпочтения, информация о полицейских расследованиях и употреблении наркотиков).
Информация о продаже данных Web of Trust была опубликована на немецкоязычных ресурсах еще 1 ноября, но ответ пресс-секретаря Web of Trust появился лишь 3 ноября: компания Web of Trust пообещала принять меры для защиты своих пользователей, если случаи передачи неанонимной информации имели место быть. При этом пресс-секретарь акцентировал внимание на том, что передача анонимной информации о пользователе Web of Trust третьим лицам упомянута в пользовательском соглашении:
«The information we collect is aggregated, non-personal non-identifiable information which may be made available or gathered via the users’ use of the WOT Utilities («Non-Personal Information»). We are not aware of the identity of the user from which the Non-Personal Information is collected. We may disclose or share this information with third parties as specified below and solely if applicable».
Ради интереса обратимся к официальной русскоязычной версии соглашения (хотя она явно сокращена): «WOT Services может сохранять обезличенные статистические сведения (не содержащие никакой персональной информации)», никаких упоминаний про возможность передачи этой информации третьим лицам нету.
В заключение можете почитать статью на немецком о том, что именно передает на свои сервера плагин Web of Trust. Ее автор не рекомендует пользоваться еще и Adblock Plus с Ghostery (обвинения в адрес Ghostery нередки) и говорит, что многие расширения из каталога Google Chrome могут собирать о вас информацию.
Что же в результате? На данный момент расширения Web of Trust недоступны в каталогах Mozilla и Google Chrome, а приложение Web of Trust удалено из Play Market. Пользователям рекомендовано вручную удалить дополнения Web of Trust из своих браузеров.
Update: при анализе дополнения в его коде был обнаружен бэкдор, позволяющий загрузить выполняющийся с правами дополнения вредоносный скрипт.
P.S. Я пользовался Web of Trust последние семь лет (в процессе написания этой статьи в голове даже мелькнула мысль выставить их сайту отрицательный рейтинг и написать соответствующий комментарий).
В качестве альтернативы можно использовать аналогичные сервисы от производителей антивирусного ПО, к примеру, McAfee, Norton или Avast (сам пока не пользовался, рекомендовать ничего не могу). В комментариях можете поделиться своим опытом использования расширений с рейтингом веб-сайтов.
Комментарии (48)
tmin10
08.11.2016 23:20А подскажите аналог Adblock Plus, которому можно доверять? Ghostery заменил на NoScript+RequestPolicy.
kedobear
08.11.2016 23:30Сделать вручную скрипт, который выгружает выбранные вами подписки и формирует файл hosts.
dartraiden
09.11.2016 00:55Не поможет, если реклама подгружается с того же домена, что и полезный контент.
9uvwyuwo6pqt
08.11.2016 23:36host файл на основе ruadlist+easylist https://forums.lanik.us/viewtopic.php?f=102&t=32524
dartraiden
09.11.2016 00:59+4uBlock/uBlock Origin. Версию для Firefox автор сейчас активно переписывает на новый API дополнений.
Рекомендуемый выше способ с hosts не до конца аналог, поскольку он не может применять косметические фильтры, скрывая рекламу, загрузку которой не удаётся заблокировать (например, когда реклама грузится с того же домена, что и контент — заблокировать домен попросту не получится).
Впрочем, если такой вариант вас таки устраивает, можно резать обращения к рекламным сетям прямо на роутере (если не злоупотреблять и не включать сразу все подписки, что может поставить на колени устройства с небольшим объёмом памяти и слабыми процессорами).
powerman
09.11.2016 01:00+3Посмотрите на uBlock Origin и uMatrix.
Я некоторое время назад отключил Adblock Plus, Cookie Monster, RequestPolicy Continued, а в NoScript выключил блокирование JavaScript но оставил его ради остальных защит. Вместо всего этого поставил uBlock Origin и uMatrix (настройки что блокировать/разрешать, немного повозившись, импортировал из NoScript и RequestPolicy Continued, параллельно подчистив их ручками, благо формат импорта текстовый и наглядный). В результате глюки прошли (RequestPolicy Continued периодически что-то блокировал, но увидеть что именно и разблокировать через него было нельзя, лечилось только перезапуском браузера), настраивать что и как блокировать стало заметно проще. Ещё один плюс — прошли заметные тормоза на некоторых сайтах, которые я раньше с работой этих плагинов не связывал.
Единственный недостаток — пришлось перечитать две вики по обоим плагинам плюс ещё одну по их предку чтобы понять чем они отличаются, надо ли ставить оба сразу, и как ими управлять.
P.S. Ещё до кучи я тогда же выкинул RefControl — его эти плагины не заменяют, но, по-моему, от него было больше проблем (особенно при онлайн-платежах), чем пользы.
dartraiden
09.11.2016 12:44Ещё до кучи я тогда же выкинул RefControl
Отправка реферрера настраивается штатными средствами Firfefox. Можно даже настроить отправку его между поддоменами одного сайта, и блокировать отправку между разными доменами.
RefControl нужен лишь тогда, когда хочется контролировать этот процесс для конкретного домена. Например, прямые ссылки на драйверы AMD не работают, если не подделывать реферрер, имитируя переход к закачке с их сайта.
Barafu
08.11.2016 23:25Очень трудно (невозможно?) автоматически разделить «анонимную» и «неанонимную» информацию. Например, суммарное количество посещений страницы — это анонимная информация? Нет, если страница была специально сгенерирована так, что ссылку на неё мог получить лишь конкретный человек — мы получаем информацию, открывал ли конкретный человек полученную ссылку.
Или список того, куда народ переходит с вашего сайта. Там могут быть профили соцсетей, и вот вы уже можете предположить личности своих клиентов.
Так можно долго придумывать. Получается, анонимной информации как бы и не бывает. А такие организации, как обсуждаемая, только на торговле анонимной информацией и живут. Так что верните расширение на место, а то опять начали с наименее виноватого.tmin10
08.11.2016 23:48Одно дело, когда анонимно собираются данные о сайтах, а другое, когда каждая загруженная страница отправляется разработчикам.
dartraiden
09.11.2016 00:53+7Так что верните расширение на место
Спасибо, но нет. Там ещё бекдорчик.
Кроме того, пристальное изучение кода дополнения показало, что в WOT также была предусмотрена лазейка, позволяющая загрузить и выполнить произвольный скрипт с привилегиями браузерного дополнения, получив команду в ответ на отправку проверочного запроса о репутации сайта. В том числе, если бы разработчики WOT захотели, они могли бы реализовать через подобный скрипт любую расширенную логику, от перехвата форм с номерами кредитных карт до установки вредоносного ПО на систему пользователя.
Eklykti
09.11.2016 12:17+1Было заявлено, что собираемая о пользователях информация не позволяет их идентифицировать. Оказалось что мало того что позволяет, но они ещё и продают её кому попало. Ну и кто тут верблюд?
Barafu
09.11.2016 12:29-1Абсолютно все бесплатные сервисы собирают о пользователях информацию, которая не позволяет их идентифицировать. В итоге всегда эта информация, оказывается, позволяет их идентифицировать. Любой поставщик ПО теоретически может с апдейтом загнать малварь.
Почему негатив на WoT (а потом ещё на кого-то, а до него ещё на кого-то, в общем, уничтожаем кого-нибудь раз в сезон)? Почему негатив не направлен против всей этой практики? Я так думаю потому, что эта практика в основе современного Интернета и пофиг ей, кто что там думает. А WoT маленький, заступиться некому — вот виноватый и найден на пару месяцев.dartraiden
09.11.2016 12:52Им никто не может запретить распространять своё дополнение. Но такое поведение нарушает правила репозиториев — вот их оттуда и турнули.
Одно дело, когда разработчик ПО теоретически может. Другое дело, когда он уже встроил код, который явно предназначен для выполнения произвольных команд по сигналу.
Dee3
09.11.2016 00:52+7Противнейший сервис.
Выбрал идеально подходящий домен для сайта, сделал сайт. Через какое то время получил негатив от пользователей WOT. Итог расследований: с домена шел спам 5 лет назад, рейтинг на WOT серьезно подмочен. При этом сейчас ясен фиг уже давно удалено из всех блок-листов и отзывы неактуальны. Заявка на переоценку рейтинга никому неинтересна. Начав самостоятельно с помощью людей ставить себе хорошие оценки, есть риск быть обвиненным в накрутке и рейтинг еще больше загнобят из принципа.
Почитав темы по переоценке на форуме, понял что сообщество в основном занимается самоутверждением, за счет владельцев сайтовWishlight
10.11.2016 18:58Был в аналогичной вашей ситуации. Оценки себе ставить бессмысленно, если вас оценил "авторитетный пользователь". Авторитетный, не смотря на множество негативных отзывов о нем. Просьбы о перепроверке конечно никто не читает.
jazator
09.11.2016 09:00Пользовался много лет, может быть даже больше 10… Можно сказать, что WOT иногда помогал, но это редкие случаи, а так, в основном, сам ставил оценки понравившимся сайтам. Минуса ставил очень редко, обычно сайтам с откровенным рерайтом, мусорщикам. В итоге решил лучше удалить.
iSergios
09.11.2016 09:45+2Очень, очень большая подстава. Ставил WOT всем, далеким от IT: родители, супруга, друзья, друзья-друзей и т.д. и т.п. Выручало невероятно. Самое ценное, что многие на этом дополнении учились: попав на фишинговые сайты (особенно клоны легальных сайтов) люди начинали разбираться, почему так. В итоге WOT многих моих знакомых научил внимательно смотреть на доменное имя, протокол, проверять сертификаты. А первоначальным сигналом к оному служил тот самый красный значок. Да и просто нестрашно было оставить родителей бороздить с ним просторы интернета: если что, есть хороший шанс, что WOT их предупредит. Как и автор статьи я теперь в поисках достойной замены.
Sokol666
09.11.2016 10:12то что такие обезличенные денные довольно легко превращаются в личные это факт, и от такого никуда не деться. Не передавать URL на сервис понятно, что не выйдет. Сам пользуюсь AdGuard, а он использует Web Of Trust. У родителей Web Of Trust уже пару лет бережет их от походов куда не следует. Так как я от обычного среднестатистического анонимуса в сети интернет не отличаюсь, и медийности во мне чуть меньше чем ноль волноваться не о чем. А заодно и отказываться от использования сервиса не стоит.
P.S. Хотя конечно хотелось бы чтобы WoT свои статистические данные никуда не сливала, но такое возможно только в идеальном мире.
Godless
09.11.2016 10:31+1А можно поподробнее, что не так с ghostery?
kedobear
09.11.2016 11:02+2Прошу прощения, не та ссылка на критику Ghostery в статье.
https://de.wikipedia.org/wiki/Ghostery#Kritik
https://forum.mozilla-russia.org/viewtopic.php?id=58209
Вкратце, Ghostery обвиняют в сборе информации о пользователях для показа им таргетированной рекламы (вроде бы, это решается отключением GhostRank).Godless
09.11.2016 11:19Понял. Короче ghostery просто заменяется uBlock Origin с доп подписками.
А проблема у всех одна.
Спасибо.
stardust1
09.11.2016 11:24При том там были судьи, полицейские, адвокаты, политики итд. И этой инфой их можно было бы шантажировать.
Альтернативы для ABP
mortimoro
09.11.2016 11:55Все сейчас собирают данные о пользователях, все обещают полную анонимность, все информацию о пользователях анализируют и все подвержены риску компроментации данных — это должен понимать каждый пользователь. Сегодня данные слил один из сотрудников WOT, завтра такое же может учудить обиженный сотрудник яндекса, гугла, хабра и т.д.
На самом деле, критичной информацией являются только реквизиты платежных систем и пароли, все остальное ерунда. Ну слил ресурс всем, что ты куришь траву и смотришь порно — будто раньше никто этого о тебе не знал.9uvwyuwo6pqt
09.11.2016 13:23Собранные утекшие данные могут использовать злоумышленники в виде социальной инженерии.
nyo61115
09.11.2016 11:55Никогда не любил их продукт, по сути от олицетворял власть тупого большинства. Куча леммингов всегда накручивала своим сайтам «зелёный» рейтинг, даже несмотря на его негативную направленность, и топила конкурентов, вследствие чего оценка зачастую не передавала истинное положение вещей, вызывая чувство ложной уверенности.
kedobear
09.11.2016 12:01+2Для меня удобство WoT выражалось в основном в отсечении некорректной поисковой выдачи: сразу заметны подложные сайты с красным либо «прозрачным» рейтингом, на которых ключевые слова размещаются в шизофазическом смешивании для обеспечения перехода на них из поисковых систем.
become_iron
09.11.2016 16:16Firefox, кстати, говорит, что WOT ест сравнительно много ресурсов: обычно находится в топе на странице about:performance
Regis
09.11.2016 17:13Есть ли какие-то адекватные альтернативы конкретно WOT?
kedobear
09.11.2016 18:53http://alternativeto.net/software/wot---firefox-addon-web-of-trust/
Сам пока ничего не пробовал.
odin_v_pole
10.11.2016 18:58А что не так с Adblock Plus? (Можно коротко, чтобы знать в какую сторону гуглить.)
kedobear
10.11.2016 18:58+1Выше предложили опенсорсный аналог — uBlock Origin.
odin_v_pole
11.11.2016 10:24Ну, наличие аналога — не причина менять одно на другое. Особенно на 100+ машин, как в моем случае. Есть пруфы некорректной работы или чего подобного?
Regis
12.11.2016 02:57+1Я вот после этой статьи ради интереса его попробовал — субъективно стало меньше подвисать, а также кушается меньше памяти. Собственно основная заявленная конкреентная фича uBlock — высокая производительность по сравнению с ABP.
Bolterer
11.11.2016 16:36+1Adblock Plus тоже вполне опенсорсный и меня несколько изумляет повсеместный пиар uBlock, намекающий на якобы не опенсорность ABP.
darkdaskin
11.11.2016 15:22+1В то время, как я отказался от него в пользу uBlock Origin, Adblock Plus был на первом месте по потреблению ресурсов. Где-то попадалась демо-страница, на которой разница в производительности была отчётливо видна (AdBlock Plus вешает браузер, uBlock с теми же подписками справляется), что и сподвигло меня сменить расширение.
AllexIn
Очень жаль… ИМХО самый удобный сервис с рейтингами сайтов…
DrPass
А по-моему, изначально хорошая задумка стала использоваться не по назначению. Например, сайт наших клиентов, которые продавали смазочные материалы (где ничего, кроме этих самых материалов и не было), получил негативный рейтинг с кучей какашек. Ну просто потому, что кто-то из конкурентов организовал флеш-моб по набивке такого рейтинга коллегам по рынку.