Principal Otro Detenga las inyecciones de anuncios con conexiones HTTPS o una VPN
Otro

Detenga las inyecciones de anuncios con conexiones HTTPS o una VPN

Ya sabía que las conexiones web seguras evitan que los delincuentes y otros espíen los puntos entre usted y un servidor. Pero también evitan que las redes inyecten publicidad.PorGlenn Fleishman,Colaborador sénior, 26 de agosto de 2015 10:09 p.m. PDT wifi del aeropuerto de thinkstockphotos Thinkstock/Maria Dubova

AT&T fue atrapado con las manos en el proverbial tarro de galletas. Estaba probando la inyección de publicidad en una de las ubicaciones de puntos de acceso Wi-Fi de su aeropuerto, y uno de los principales defensores de la privacidad del país con competencia técnica experta estaba de paso. Jonathan Mayer escribió su experiencia el martes; AT&T dijo el miércoles que era un experimento que ya se suspendió.

La curiosidad de Mayer se despertó cuando los sitios que no tenían publicidad (académica y gubernamental) y que ya tenían algo de publicidad lucían más, incluido un banner extendido en la parte inferior y anuncios emergentes que no podían descartarse antes de que pasara un período de tiempo. .

AT&T estaba inyectando JavaScript en páginas web, interceptándolas y reescribiéndolas sobre la marcha, utilizando el código de una red publicitaria de terceros para entregar los anuncios superpuestos. En una declaración proporcionada por un portavoz, AT&T dijo:



Nuestra industria busca constantemente un equilibrio entre la experiencia y la economía de la conexión Wi-Fi gratuita. Probamos un programa de publicidad por un tiempo limitado en dos aeropuertos (Dulles y Reagan National) y la prueba ha terminado. La prueba fue parte de un esfuerzo continuo para explorar formas alternativas de brindar un servicio Wi-Fi gratuito que sea seguro y rápido.

Nunca debería haber comenzado.

Jugando con lo que vemos

Hay todo tipo de cosas mal en lo que hizo AT&T.

  • Divulgación. Por lo que puedo decir, no hubo una divulgación abierta o un proceso de aceptación para aceptar que el uso de Wi-Fi gratuito les permitiría interceptar sus páginas. AT&T no lo menciona en su declaración y no estaba en la divulgación de privacidad.

  • Riesgo. La inyección de JavaScript en una página web aumenta drásticamente el riesgo de que los usuarios responsables sean víctimas de un servidor de terceros pirateado del que no saben nada o de delincuentes que logran que sus anuncios de malware se inserten en las redes publicitarias y se distribuyan. La red publicitaria de Yahoo fue subvertido para este fin hace solo unas semanas.

  • Confianza. Una empresa de miles de millones de dólares no debería comprometerse a presionar los límites de la privacidad y la integridad en aras de cobrar unos pocos dólares. Incluso con millones de usuarios anuales de redes Wi-Fi, este tipo de anuncios no pueden generar muchos ingresos en la escala del costo de operarlos y el beneficio que AT&T obtiene de su marca.

  • Interrupción de contenido. Los sitios en los que se colocaron anuncios pueden tener una base sobre la cual presentar denuncias civiles o incluso penales, o informar el comportamiento a las agencias federales, ya que los anuncios parecen ser publicados por los sitios en cuestión, en lugar de una red de terceros. . No poder controlar lo que aparece en un sitio es una infracción significativa de responsabilidad, responsabilidad o de otro tipo. (La publicación de Mayer entra en detalles allí con una serie de enlaces para leer más).

Esto solo ayuda a que los usuarios adopten hábitos de navegación más seguros, un resultado que apoyo. Para inyectar publicidad en una página web mientras se carga, esa página debe estar desencriptada y la red debe poder cargarse en un dispositivo determinado. AT&T no es la única empresa que ha probado esto; otros se involucran regularmente en versiones más livianas, o simplemente escanean lo que está haciendo para comercializarlo de manera más efectiva.

como ocultar fotos en iphone

Navegación segura

En una era posterior a Snowden, una frase que a menudo tengo que escribir, el mundo está cambiando a conexiones siempre encriptadas en casi todos los medios. El correo electrónico era algo natural y, si bien tomó demasiado tiempo, es casi imposible configurar una conexión de correo electrónico en un dispositivo móvil moderno o en un cliente de correo electrónico de SO de escritorio moderno y no activar el cifrado para enviar y recibir.

La web se ha retrasado, porque un mayor porcentaje de usuarios visitan un conjunto de sitios más diverso que los usuarios de correo electrónico en relación con los hosts de correo electrónico. Muchos sitios de alojamiento web han tratado el cifrado https, que utiliza los protocolos SSL / TLS, como una actualización con una tarifa adicional. Implica un poco más de gastos generales, pero mucho menos que hace unos años. Eso también cambiará.

https en todas partes

HTTPS Everywhere proporciona a los usuarios de Chrome, Firefox y Opera controles para garantizar una conexión segura siempre que sea posible.

Los esfuerzos de la Electronic Frontier Foundation (EFF) han llevado a la HTTPS en todas partes plugin (desarrollado conjuntamente por Tor Project), que se puede usar con Firefox, Chrome y Opera con navegadores de escritorio y Firefox para Android. La extensión se conecta preferentemente a la versión encriptada de cualquier sitio que conozca. Lo he usado durante años.

En un nivel más fundamental de la web, los administradores del servidor pueden configurar sus sistemas para que solo se alimenten a través de https, o para indicar que tienen una versión https del sitio disponible. (Su llamado HSTS , y todos los navegadores actualmente en uso generalizado admitirlo). Los navegadores se están moviendo rápidamente para elegir esas versiones seguras primero. Muchos sitios están cambiando a solo https, y la EFF tiene otro proyecto que ayudará a reducir la complejidad y el costo de los sitios más pequeños, llamado Vamos a cifrar .

También puede optar por utilizar una conexión de red privada virtual (VPN), que coloca un contenedor encriptado alrededor de todo su tráfico. Por lo general, es recomendable como una forma de evitar el rastreo de la red local, ya sea en un café o en un aeropuerto, y evita la inyección de código para publicidad o malware. Escribí un par de servicios VPN con clientes Mac e iOS recientemente; hay docenas disponibles.

Y cuando iOS 9 se lance con extensiones de filtro de bloqueo de contenido, que también incluirá El Capitán, el bloqueo de redes publicitarias que están diseñadas para inyección será muy sencillo: probablemente instalará y dejará encendido permanentemente cualquier bloqueador de contenido diseñado estrictamente para la privacidad y reduciendo la intrusión, incluso si no bloquea todas las redes publicitarias.

Se podría considerar el paso en falso de AT&T como la última vez que es posible una inyección de código de este tipo por parte de una supuesta empresa de sombrero blanco. Entre la creciente cantidad predeterminada de conexiones web seguras y el aumento de la tecnología de bloqueo de anuncios que mejora la privacidad, solo una pequeña parte de los usuarios en un futuro cercano podrían tener sus sesiones secuestradas y reescritas de esa manera.

(Divulgación: tengo una cantidad muy pequeña de acciones de empleo en JiWire, que ya no opera con ese nombre, que en un momento dirigió una red publicitaria que en parte entregaba anuncios de suscripción voluntaria a los clientes del aeropuerto a cambio de otorgarles Wi gratis -Acceso Fi.)