VIII Международная студенческая научная конференция Студенческий научный форум - 2016

В работе рассмотрены особенности функционирования наиболее популярных веб-сервисов для работы с заметками. Основное внимание уделено Проанализированы механизмы обеспечения конфиденциальности, целостности, доступности обрабатываемой личной информации пользователей. Рассмотрены юридические особенности предоставления услуг подобных веб-сервисов.

Ключевые слова: Конфиденциальность, целостность, доступность, сервисы работы с заметками

В наше время все более популярными становятся различные сервисы работы с заметками, которые, с одной стороны, имеют богатый функционал для работы с информацией различных типов, а с другой стороны дают возможности для синхронизации данных и их использования на различных источниках. Для того, чтобы понимать, какие данные стоит хранить в подобных системах, а какие нет, необходимо разобраться в особенностях их организации

Прежде всего, рассмотрим продукт одного из наиболее именитых разработчиков Microsoft OneNote — сервис для создания быстрых заметок и организации личной информации, блокнот с иерархической организацией записей, который может служить аналогом обычного канцелярского блокнота. Сервис является одним из самых популярных для работы с заметками.

Данный сервис включает в себя:

1. клиентское ПО, которое поддерживается для Microsoft Windows и Mac OS X, а так же Windows Phone (7; 8; 8.1), Apple iOS, Symbian Belle (Nokia Belle) и Android;

2. тонкий клиент, работающий в большинстве браузеров, разработанный с использованием Active Server Pages для .NET;

3. серверная часть приложения.

Поскольку эта работа, в наибольшей степени, касается вопросов рассмотрения безопасности веб-сервисов, мы не будем останавливаться на удобстве интерфейса и методах работы с программой.

Первое, на что необходимо обратить внимание, так это используемая лицензия на программное обеспечение сервиса: проприетарное программное обеспечение. Это означает, что исходные коды сервиса недоступны для пользователей и нельзя подробно рассмотреть внутренние механизмы работы сервиса. Это приводит к тому, что единственным способом удостовериться, что сервис не нарушает прав неприкосновенности частной жизни, а так же тайны связи - довериться юридическим документам, предоставленным корпорации Microsoft.

На первых страницах заявлении о конфиденциальности Microsoft, располагающихся на официальном сайте, можно узнать, что корпорация собирает информацию о пользователях с целью повешения качества предоставляемых услуг. Такой информацией может являться:

1. имя и контактная информация;

2. учётные данные;

3. интересы и любимые занятия;

4. платёжные данные;

5. данные об использовании;

6. данные о местоположении;

7. контакты и отношения;

8. содержимое (содержимое ваших документов, фотографии, музыка или видео, загружаемые в службу Майкрософт).

Также Microsoft оповещает, что личные данные могут быть раскрыты по следующим причинам:

1. требование закона, судебного процесса;

2. защита жизни людей;

3. в целях защиты собственности Microsoft.

4. другое;

Можно даже не прилагать большого количества усилий, дизассемблируя исходный код клиентского приложения или изучения алгоритмов работы тонкого клиента, чтобы прийти к выводу, что сервис предоставляет низкий уровень конфиденциальности. Например, если не обладающий достаточной информацией в этой области работник Министерства обороны ВС РФ разместит свои размышления о приказе переразмещения атомных подводных лодок в сервисе OneNote от MS, то корпорация (или государство USA, которому оно принадлежит), может интерпретировать такую заметку, как угрожающую жизни людей и данные могут быть раскрыты. Нельзя также оставить без внимания, тот факт, что в продуктах от MS часто находят критические уязвимости. И даже, несмотря на то, что разработчики корпорации максимально быстро, буквально в течении суток, выпускают исправления (для получения которых, необходима сеть интернет), злоумышленники успевают эксплуатировать уязвимости на большом количестве ЭВМ.

При этом сервис все-таки поддерживает технологии, повышающие уровень безопасности:

1. использование защищённого HTTPS соединения, предотвращающее атаку посредника и прослушивание сетевого соединения;

2. двухэтапная аутентификация, требующая при авторизации не только пароль аккаунта, но и фрагмент данных, присылаемых на телефон пользователя;

Также реализован функционал для защиты выбранных заметок паролем, однако данный метод нельзя применить в браузерном приложении и некоторых версия десктопных клиентов. Нельзя установить пароль на запуск клиентского приложения.

Следующий сервисEvernote — веб-сервис и набор программного обеспечения для создания и хранения заметок. Evernote поддерживает несколько компьютерных и мобильных платформ, включая OS X, iOS, Chrome OS, Android, Microsoft Windows, Windows Phone, BlackBerry и webOS, а также предлагает онлайн-синхронизацию и резервное копирование. Первый выпуск сервиса состоялся в 2008 году, а в 2014 набрал свыше 100 млн. пользователей.

Сервис включает в себя:

1. серверную часть;

2. тонкий клиент, работающий в большинстве браузеров, разработанный с использованием JS, без каких либо общественных фреймворков;

3. клиенты для персональных компьютеров и для портативных устройств.

Распространяется по лицензии freemium, модель которая заключается в бесплатном использовании ПО, которое может быть расширено, улучшено за оплату.

Разработчики реализовали достаточно много технологий, повышающих защищенность сервиса: данные между клиентом и сервером передаётся по защищённому протоколу HTTPS, который предотвращает перехват данных, а также атаку человек-по-середине. Также возможно использование двухэтапной аутентификации, используя которую, для входа в учётную запись, необходимо предъявить пароль и часть данных, передающихся по другому каналу пользователю. В качестве дополнительного канала передачи данных используются SMS-сообщения. Кроме того, возможно шифровать отдельные заметки. Клиенты для Android и iOS позволяют установить пароль на запуск приложения.

Однако, исходный код сервиса недоступен для пользователя и является коммерческой тайной. Поэтому нам приходится довериться разработчикам и органам, сертифицирующим продукт, рассмотреть безопасность сервиса с юридической стороны.

Раздел сервиса Evernote, описывающий конфиденциальность данных пользователя, перечисляет следующие ситуации, при которых личная информацию пользователя может быть передана третьим лицам:

1. для расследования возможных нарушений наших Условий обслуживания, обеспечения соблюдения Условий обслуживания или для расследования, предотвращения или пресечения незаконной деятельности, мошенничества или возможной угрозы в отношении каких-либо лиц, собственности или систем, обеспечивающих работу Сервиса;

2. Мы делаем это в связи с продажей или реорганизацией всего нашего бизнеса или его части (в этом случае передача осуществляется лишь в той мере, в какой это разрешено применимым правом);

3. Evernote также может просматривать ваши заметки, если это будет необходимо для защиты прав, имущества или личной безопасности Evernote и ее пользователей;

4. просмотр возможен в том случае, если мы сочтем, что были нарушены наши Условия обслуживания.

Одно из описанных выше условий раскрытия личной информации пользователя: «защита имущества или личной безопасности Evernote и ее пользователей». В каких случаях заметка будет угрожать личной безопасности Evernote в соглашении не указано, а значит, компания, владеющая сервисом, может использовать это правило, так, как будет удобно. Так же нельзя обойти стороной ещё один интересный пункт соглашения: «Однако при передаче данных по Интернету, проводному или беспроводному, невозможно обеспечить 100-процентную защиту. В связи с этим мы не можем гарантировать безопасность передаваемой между нами информации, и вы осведомлены, что передаете ее на свой страх и риск».

Ещё один интересный факт безопасности Evernote является возможность подключения сторонних расширений к сервису, используя которые, пользователь предоставляет доступ к своим заметкам. Злоумышленник может создать такого рода расширение или использовать его уязвимости.

Продукт еще одного технологического гиганта GoogleKeep — бесплатный сервис, созданный компанией Google Inc. в 2013 году, который предназначен для создания и хранения заметок. Google Keep доступен в виде интернет-приложения с доступом через любой совместимый браузер, подключаемого модуля (plug-in) для браузера Google Chrome и приложений для устройств на iOS и Android.

Лицензия: проприетарное программное обеспечение. Исходный код недоступен. Сервис включает в себя:

1. серверную часть;

2. тонкий клиент, работающий в большинстве браузеров, разработанный с использование JS, без каких либо общественных фреймворков;

3. PC клиенты и для портативных устройств.

Как и большинство аналогичных сервисов, Google предоставляет возможности двухэтапной аутентификации, поддерживается защищённое соединение по HTTPS. Google Keep не позволяет защищать паролем отдельные заметки.

Google передаст заметки третьим лицам в следующих случаях:

1. Требование закона;

2. Нарушение условий сервиса;

3. выявить, пресечь или иным образом воспрепятствовать мошенничеству, а также устранить технические неполадки или проблемы с безопасностью;

4. защитить права, собственность или безопасность компании Google.

Google утверждает, что постоянно совершенствует способы сбора, хранения и обработки данных, включая физические меры безопасности, для противодействия несанкционированному доступу к системам.

Результаты сравнения сервисов приведены в следующей таблице.

Таблица сравнения веб-сервисов

	Microsoft OneNote	Evernote	Google Keep
Защищённое соединение	+	+	+
Шифрование заметок на сервере	-	-	-
Двухэтапная аутентификация	+	+	+
Защита заметки паролем	±	-	-
Передача заметки третьим лицам при некоторых условиях	+	+	+
Организация общего доступа к заметкам	+	+	+
Синхронизация	+	+	+
Клиент браузер	+	+	+
Клиент desktop	Windows, OS X	Windows, OS X	-
Клиент мобильный	Android, iOS	Android, iOS	Android, Chrome OS

Таким образом, можно сделать вывод, чтонаиболее популярные веб-сервисы для организации заметок ограничиваются стандартизированными решениями для обеспечения безопасности, такие, как защищённое соединение, двухфакторная авторизация. Однако стоит заметить, что исходные алгоритмы таких сервисов закрыты, а личная информация пользователей, в некоторых случаях, может быть передана компанией-владельцем третьим лицам.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Microsoft. Заявление о конфиденциальности корпорации Майкрософт [Электронный ресурс]: Электрон. дан. – [Б. м.], 2015. – URL: https://www.microsoft.com/ru-ru/privacystatement/default.aspx (дата обращения: 10.12.2015).

2. Google. Политика конфиденциальности и Условия использования [Электронный ресурс]: Электрон. дан. – [Б. м.], 2015. – URL: https://www.google.com/policies/privacy/ (дата обращения: 11.12.2015).

3. Evernote. Конфиденциальность [Электронный ресурс] – Электрон. дан. – [Б. м.], 2015. – URL: https://evernote.com/intl/ru/legal/privacy.php (дата обращения: 12.12.2015).

Код для цитирования: Скопировать