BLOGCZEJNalpha

dClick i skracacze linków - Zagrożenia

Na platformie Steem powstaje bardo dużo projektów - niektóre bardzo dobre, inne kontrowersyjne. Dzisiaj omówię kontrowersyjny zdaniem wielu projekt DClick, a także różne "poboczne" projekty.

Idea DClick

Idea tego projektu jest bardzo ciekawa (potencjalnie), do twoich postów doklejana jest wiadomość reklamowa, która po kliknięciu przenosi Cię do innego artykułu na Steemit (na razie) - a być może będzie serwować konkretne reklamy. Za klikanie w reklamy, autor oryginalnego wpisu dostaje upvote. Potencjalnie brzmi ciekawie.

Problem I - Reward Pool Rape

To typowy system (nie jest optymalny, ale pewny) zarobku. Po co zarobki z reklam rozdawać ludziom, skoro można im dać upvote, a całość sobie zatrzymać. Co prawda inni użytkownicy sieci cierpią, ale nie odczuwa się tego :P

Problem II - Podmiana strony (Niebezpieczne)

obraz.png

System musi jakoś zliczać ilość klików. Robi to jako coś w rodzaju ataku "Man in the Middle". Kliknięcie zamiast przejść z punktu A do B przechodzi przez pośredni punkt. Zdarza się, że to typowa procedura, ale należy pamiętać, że żyjemy w świecie krypto, gdzie nasze konta mają jakąś wartość (nie tylko sentymentalną :P). Punkt C (pośredni) przetwarza zapytanie i je wykonuje zgodnie z kodem napisanym w jakimś języku.

Ale co jeśli programista ustawił sobie, by raz na 10000 wejść przekierowywało człowieka na np. Busy? Jest to bardzo prosty przykład i nie musi służyć do reklamowania tego serwisu ;) Co jeśli raz na 10000 wejść przekieruje na stronę imitującą Steemit, ale proszącą o podanie loginu i master password, po którym pieniądze z naszego konta znikną? Phishingi są dość popularnym systemem ataków na Steem i warto o tym pamiętać.

I nie jest to przestroga tylko przed DClick, ale również innymi systemami "skracania linków". Większość ludzi nie jest w stanie zweryfikować czy strona na którą przeszedł jest stroną prawdziwą.

A szansa na to jest niezerowa patrząc na włamania do Yahoo chociażby. Albo zmęczony życiem programista zrobi swój ostatni skok ;)

Sprzedaż Twoich danych

obraz.png

Założeniem reklam jest możliwie najczęstsze klikanie w nie, co generuje dochody. A im bardziej dopasowana reklama tym lepiej.

Tak więc możemy być królikami doświadczalnymi - reklamy może nie będą pod nas bezpośrednio robione, ale na podstawie różnych danych można starać się robić reklamy bardziej skuteczne.

A drugi punkt - przeglądarki internetowe (i nasze kliki) bardzo dużo zdradzają informacji o nas. Odpowiedni skrypt może zapisać u reklamodawcy informacje takie jak nasze parametry komputera, system operacyjny, język narodowy, lokalizację (często do miasta w którym mieszkamy), a przecież można co nieco z klików wywnioskować (nasze zainteresowania) i sprzedawać je.

Kiedyś była aplikacja, która wyliczała ile Google i Facebook zarobił na nas (naszym profilu) pieniędzy w skali roku. Dla mnie Google zarobiło wtedy 300 dolarów, a Facebook 14 centów ... ale nie miałem Facebooka. Po aferach różnych ze sprzedażą danych tym bardziej powinniśmy je chronić.

Aby zobaczyć co wysyła nasza przeglądarka, możecie zrobić test na:
http://ip-check.info

Exploity (Raczej małe szanse?)

obraz.png

Kolejnym problemem, chociaż raczej nie spodziewałbym się go jest stosowanie eksploitów i 0dayów na przeglądarki. Powiedzmy, że na podstawie User Agent dowiadujesz się, że użytkownik używa nieaktualnej przeglądarki. Jeśli ktoś będzie chciał to może próbować wykorzystać błąd w przeglądarce by np. zaatakować system operacyjny. Jest to potencjalnie możliwe, chociaż raczej nie przykładałbym większej wagi ;)

Po prostu przeglądarki naprawdę dużo danych wysyłają i warto zadbać o tę sferę z dwóch stron:

  • Zabezpieczyć siebie
  • Nie dopuszczać, by potencjalnie niebezpieczne usługi były stosowane poprzez edukację.

Czy to dotyczy tylko dClick?

Osobiście marzy mi się w pełni otwarty internet, w którym każda usługa jest transparentna. Niestety podejrzewam, że dziesiątki lat nam to może zająć (i chociaż są różne ciekawe projekty - nie mają dużej siły przebicia). dClick czy skracacze linków (Steemowe) mogą być potencjalnie niebezpieczne i powinniśmy ich używać tylko w sytuacjach ekstremalnych, jak np. ban Steemit przez Facebook. Im mniej tego badziewia tym lepiej ;)

Czy można zrobić to lepiej?

Moim zdaniem tak. Powiedzmy, że zamiast bycie "Man in the middle" dogadamy się z interfejsem (np. Steemit), że będzie specjalny parametr informacyjny. Czyli zamiast:

https://steemit.com/polish/@fervi/kryptowaluty-i-zagrozenia-tematy-tygodnia

będzie

https://steemit.com/polish/@fervi/kryptowaluty-i-zagrozenia-tematy-tygodnia?dclick=12345

Takie odwołanie GET jest bezpieczne i byłoby wykonywane przez Steemit i dostarczane jako dane do dClick. Nie byłoby możliwości (niewidocznej gołym okiem) ataku na użytkownika ... ale trzeba chcieć ;)

KOMENTARZE

  • grzesiekb

    Można opisać to zadanie i dodac do ich githuba. steemit