Google Safe Browsing Service w Firefoksie 3

Pod koniec roku 2005 w firmie Google powstał mechanizm Safe Browsing, który pozwala ocenić czy wybrany adres znajduje się na liście stron znanych z oszukiwania (ang. phishing). Safe Browsing jest dostępny na kilka sposobów, w tym co ciekawe także jako domyślne rozszerzenie przeglądarki Firefox 3.

Jak można dowiedzieć się w.in. w Google Online Security Blog, mechanizm Safe Browsing od 2006 roku jest używany m.in. do wyświetlania etykiet z ostrzeżeniami przy wynikach wyszukiwania w Google, a także w Google Desktop Search oraz jako rozszerzenie do Firefoksa. To ostatnie było dotąd dostępne niezależnie, jednak od wersji 3 Firefox ma ten mechanizm wbudowany. Ponadto dostępne jest także Safe Browsing API, pozwalające na użycie go praktycznie w dowolnej aplikacji.

Sam mechanizm ocenia jedynie na podstawie skrótu (ang. hash) adresu strony czy strona jest czy nie jest w porządku. W celu ochrony prywatności użytkowników, na podstawie przysłanych w ten sposób danych danych Google nie może jednak odzyskać pełnego adresu URL. Przeglądarka może być jedynie wstępnie poinformowana o wyniku oceny, po czym może zażądać dodatkowych danych aby np. móc wyświetlić wyraźne ostrzeżenie dla użytkownika.

Co ciekawe, zauważyłem fakt użycia Safe Browsing w Firefox 3 (Beta i RC) przypadkiem, gdyż mam w przeglądarce włączoną dla ciasteczek opcję pytania za każdym razem co z nimi zrobić. Podany przy tym pytaniu adres ciasteczka zainteresował mnie na tyle, żeby poszukać u źródeł. Bez kłopotu można znaleźć m.in. opis Safe Browsing API czy dokładniejszy opis działania Safe Browsing w przeglądarce. Samą zaś usługę można natomiast w Firefoksie włączyć lub wyłączyć w oknie jego ustawień, na zakładce Bezpieczeństwo.

Z innych źródeł warto wymienić witrynę z poradami komputerowymi, gdzie podany jest sposób na bezpieczne surfowanie z użyciem Google Safe Browsing Diagnostic (dla przykładu: test dla linuxnews.pl). Natomiast dla chcących dogłębniej zaznajomić się z tematem ciekawa będzie analiza danych wysyłanych i odbieranych z pierwszych wersji tej usługi: Two Things That Bother Me About Google’s New Firefox Extension.

Jak więc widać współpraca Mozilli i Google powolutku rozszerza się na różne fronty. Wszyscy znają przecież domyślną stronę domową Firefoksa (dzięki której Mozilla corocznie zarabia parę ładnych dolarów), czy pasek wyszukiwarki w prawym górnym rogu okna tej przeglądarki (domyślnie jest tam Google). Teraz kolej na integrację kolejnego mechanizmu w celu jak najbardziej słusznym, czyli dla ochrony użytkowników przed stronami nieuczciwymi i wyłudzającymi dane. Co będzie następne?

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar szczuro
    szczuro

    jest jeszcze szczęśliwy traf lub zwykłe wyniki google po wpisaniu słowa w pasku adresu 🙂

  2. Awatar ps
    ps

    To nie uzywajcie google ani firefoxa, a zamiast tego lynx + sami sobie odpalcie indexer np htdiga po calym necie.

    1. Awatar pelnalufa
      pelnalufa

      lynx…, taa…, stare dzieje:) byl jeszcze links, kolorowy, potem zas podobno pojawila sie graficzna wersja lynxa. w sumie swietna byla ta przegladarka, czlowieka nie rozpraszaly pierdoly, a skoro lynx, to do poczty koniecznie pine, ale to juz chyba dla totalnych konserwatystow, no ale jak ktos ma pentium 100, albo 486, to innego wyjscia raczej nie ma

      1. Awatar uzytkownik
        uzytkownik

        Mi się zdarza używać elinks (na serwerze nie ma X11 a i na desktopie czasami się przydaje).

      2. Awatar Jarek
        Jarek

        Oj, łezka się w oku kręci. Używałem tych właśnie programów ponad 9 lat temu, na komputerze 386 40MHz, aż kolega się nade mną zlitował i dał mi płytę główną z Cyriksem. 🙂

      3. Awatar guzo
        guzo

        xlinks2, bądź links2 ze switchem -g – wtedy używa framebuffera i nie trzeba mięć stojących xów. Obydwa są w paczce links2 w standardowych repach debiana.

    2. Awatar SeeM
      SeeM

      Jak na ironię, Lynx-a używam tylko kiedy Xsy się posypią i trzeba w Googlach znaleźć rozwiązanie.

  3. Awatar Morandir
    Morandir

    Pine'a uzywalem jeszcze dwa lata temu i pewnie bym uzywal nadal ale przesiadlem sie na imap i maildir i jakos tak wygodniej bylo zaczac uzywac czegos innego 😉

  4. Awatar jarek
    jarek

    > Sam mechanizm ocenia jedynie na podstawie skrótu (ang. hash) adresu strony
    > czy strona jest czy nie jest w porządku. W celu ochrony prywatności
    > użytkowników, na podstawie przysłanych w ten sposób danych danych Google nie
    > może jednak odzyskać pełnego adresu URL.

    Mozna poprosic o rozwiniecie tego akapitu?
    Mianowicie, dlaczego nie moze?

    1. Awatar witekk
      witekk

      Bo nie da się w realnym czasie odzyskać adresu z hasha, więc sprawdzenie jaki ktoś przeglądał strony jest nierealne. Można za to bez problemu sprawdzać kto przeglądał daną stronę, etc.

      1. Awatar jarek
        jarek

        Mozesz jasniej? Jakos krok po kroku rozpisac jak wyglada
        proces weryfikacji czy dana strona jest ok.

      2. Awatar bla
        bla

        No tak. To działa pod warunkiem, że google nie posiada bazy hash -> domena dla witryn nie-phishingowych, a zrobienie takowej dla nich nie powinno być problemem. Przynajmniej dla powiedzmy 300k interesujących ich witryn.

    2. Awatar stilgar
      stilgar

      mamy funkcje hashujaca, nie jest wazny konkretny algorytm, wazne jest to, ze jest to funkcja jednokierunkowa – przyjmuje ona jakis tekst, a zwraca pewna wartosc – i na podstawie tej wartosci nie da sie ustalic, jaki tekst byl podany na poczatku, ale rozne teksty zwykle daja rozne wartosci ( oczywiscie, czasem sie powtarzaja…)

      Oznacza to, ze zamiast porownywac dlugie teksty, mozna porownywac tylko ich skroty – jesli skroty sa rozne, teksty na pewno sie od siebie roznia, a jesli skroty sa takie same, niewykluczone, ze teksty tez sa takie same.

      Hashowanie czesto uzywa sie do przechowywania hasel w komputerze – nie przechowujesz samego hasla, tylko jego skrot – dzieki temu nawet ktos kto ma dostep do komputeraa nie moze odczytac hasla, a prawdopodobienstwo, ze ktos trafi na inne haslo, ktore da taki sam skrot jest minimalne.

      1. Awatar jarek
        jarek

        O co innego mi chodzi. Gdzie sie odbywa hashowanie urla?
        I skad hasha ma "baza danych"?

    3. Awatar marcoos
      marcoos

      Przesyłany jest tylko fragment hasha. Google zwraca potem listę wszystkich hashy zawierających ten fragment hasha (co oznacza, że dostaniemy listę stron zupełnie ze sobą nie powiązanych, bo mała zmiana adresu strony to duża zmiana hasha).

      Firefox sprawdza potem, czy pełen hash danej strony jest na odebranej liście pełnych hashy, jeśli jest, to oznacza stronę jako Samo Zło. 😉

      1. Awatar jarek
        jarek

        Bla powyzej juz wylozyl o co mi chodzilo.
        Co mi przeszkodzi tworzac baze mapujaca hash -> rating
        dodac na boku i url.

        > Google zwraca potem listę wszystkich hashy zawierających
        > ten fragment hasha

        Co oznacza, ze po stronie bazy mamy liste urli jakie
        przegladarka odwiedza…

        Ciekawe co by linuksiarnia powiedziala na taki pomysl
        ze strony MS…

        1. Awatar Jakub Klawiter
          Jakub Klawiter

          Nie wiem co by powiedzieli linuksiarze ale … wiem, że google ma znacznie łatwiejsze sposoby na śledzenie tego co oglądają internauci przy wykorzystaniu dowolnej przeglądarki, więc to czy gdzieś jakaś baza jakichś hashy … co za różnica?

          P.S. Logowanie przez openid znów mi nie funguje … tylko ja tak mam?

        2. Awatar pelnalufa
          pelnalufa

          nie funguje? skads znam to okreslenie… ds4 gdansk?

        3. Awatar Beorn
          Beorn

          @jarek: nie, do bazy dociera tylko __FRAGMENT__ hasha, a nie cały hash. Przykład (może się nieco różnić od implementacji Google): baza przechowuje hashe w postaci 40-sto znakowych ciągów. Przeglądarka przesyła np. tylko 5 znaków ze swojego hasha, a Google zwraca wszystkie te, które zawierają ten ciąg znaków (może on być na początku, w środku, na końcu). Przeglądarka sprawdza, czy na zwróconej liście znajduje się hash dla sprawdzanego URLa przyrównując do przechowywanego przez nią pełnego ciągu 40 znaków. W ten sposób nie jest możliwe gromadzenie informacji o tym jakie strony przeglądamy, gdyż baza nie wie który ze zwróconych przez nią hashy odpowiada URLowi sprawdzanemu przez przeglądarkę i czy wogóle jakikolwiek z nich. Ostateczna weryfikacja odbywa się po stronie klienta.
          Dajcie już spokój z tymi teoriami spiskowymi.

        4. Awatar eee
          eee

          "google ma znacznie łatwiejsze sposoby na śledzenie tego co oglądają internauci przy wykorzystaniu dowolnej przeglądarki"
          tzn jakie?
          "Dajcie już spokój z tymi teoriami spiskowymi."
          nie dziw się, że skoro jedna firma ma tak olbrzymi dostęp do prywatnych danych i bardzo niejasne intencje, to ludzie bardzo się obawiają. wg mnie to zupełnie naturalne i potrzebne.

        5. Awatar Jakub Klawiter
          Jakub Klawiter

          AdSense leżące na wielu stronach? Kod Google analytics również na wielu? To, że całkiem spora grupa użytkowników wchodzących na te "zainfekowane googlem strony" jest jednocześnie zalogowana na swoje gmaile czy inne kawałki google account?

          Jeśli ktoś uważa, że google ma niejasne intencje to trudno, ma problem, ale jeśli jednocześnie na prawo i lewo opowiada co to google robi z danymi wysyłanymi przez Fx skoro, jak się okazuje (i można sprawdzić jak ktoś bardzo chce) tych danych nie dostaje to już moim zdaniem FUD w czystej postaci.

        6. Awatar eee
          eee

          okej, rozumiem
          myślałem, że masz na myśli coś, co dotyczy zwykłych internautów

          ps. nie uważam, że mam jakiś 'problem'.

  5. Awatar fghjfgjhfg
    fghjfgjhfg

    trzeba uzywac freenetu 😉

  6. Awatar Lupinek
    Lupinek

    Ech, ludzie – albo używacie tego rozszerzenia i (jakby nie patrzeć) adres strony (lub hash) musi zostać porównany z bazą, by widzieć czy jest on bezpieczny czy nie, albo wyłączacie rozszerzenie i nie paranoicy się nie martwią.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *