Забота о безопасности или негосударственная цензура?

Здравствуйте! Учитывая военное время – озвучена далеко не главная проблема… Наверное, многие читатели знает о перманентном «закручивании гаек» в сфере информации и интернета.

Искренне поддерживая блокировку иностранных соцсетей, занимающих антирусскую позицию и – не без воли заокеанских хозяев – поддерживающих нацистов (страна начала отстаивать свои интересы), категорически не одобряю принуждение к слежке за пользователями (2 примера: свежий и давний) и вмешательство в устройство сайтов.

Но, помимо государственных ограничений, существуют другие. Посещая не только мой, но и некоторые другие сайты, вы могли видеть в адресной строке метку «Не защищено» или «Небезопасно».
Начало 2023 года принесло «восхитительную» новость о блокировке 20% сайтов в Интернете. Американская корпорация Google отказывается от поддержки протокола http; с 1 марта браузер Google Chrome (и многие другие) не позволит пользователям перейти на сайты, работающие по такому протоколу («законным» останется только протокол https).

«А я, глупый человек, думал, что такие сайты можно по пальцам пересчитать». А тут, смотрите, пятая часть интернета!.. Глупый человек (то есть я) всё же знает, что такое SSL-сертификаты (и как получить бесплатный сертификат Let’s Encrypt). Но поддаваться шантажу не спешим.

«Как ты смеешь называть это шантажом??? Персональные данные должны быть защищены»! С последним полностью согласен. Только… «Мир Дальних Дорог» не оперирует абсолютно никакой конфиденциальной или персональной информацией. И не планирует в дальнейшем. Счётчики, вебвизоры, трекеры социальных сетей также отсутствуют полностью.

Почему несколькими годами ранее сайты, использующие протокол http, не были «опасными» и не подвергались ограничительным мерам?
С одной стороны – увеличилась доля сайтов, обрабатывающих конфиденциальную информацию клиентов. С другой – это далеко не весь интернет. Протокол https (зашифрованное соединение) затрагивает только передачу данных на сервер, но конфиденциальные данные могут украсть другими способами. Изначально шифрование и SSL-сертификаты предназначались для платёжных систем, обрабатывающих высокочувствительную личную информацию – чтобы злоумышленники не могли прочитать передаваемые данные. Позже «настоятельная рекомендация» распространилась на все сайты.
Обосную утверждение, что это не защита персональных данных, а шантаж. Кстати, требования о шифровании и сертификатах – далеко не единственный элемент «технологической цензуры» (о других расскажу ниже).

Первое и очевидное – сам «защитник персональных данных» уважением к таковым не отличается. Компания Google не стесняется воровать личную информацию – через браузер, мессенджер, плагины, приложения (также рассказывается об иске, поданном в Америке, штат Калифорния).
Кто-то «перейдёт на личности» – будет обсуждать источник вместо проблемы, хотя «Катюша» первоисточником не является. Тогда читаем новость из «коронавирусного» 2020 года: Google и Apple создадут технологию отслеживания контактов людей с вирусом. «Это не скажется на безопасности пользователей и не нарушит их право на неприкосновенность личной жизни» (последнее предложение не кажется ложью?)
Быть может, в приведённых новостях речь идёт о какой-то другой корпорации Google?..

Пункт 1.2
Чего я всё про Google, скажу про Microsoft. Какой браузер (обозреватель интернета) уже давно используется вместо Internet Explorer? Microsoft Edge.
Если посетите «не тот сайт», Edge выведет в адресной строке сообщение «Небезопасно», что является прямым обманом. Протокол https относится исключительно к передаче данных и никак не затрагивает безопасность компьютера. Зато её очень затрагивает слежка (отправка пользовательской информации «куда надо») в ряде версий Windows.

О слежке в Windows 10
«Для большого количества пользователей ПК не является секретом факт слежки за ними со стороны операционной системы»
«Самая важная настройка, которую стоит сделать с Microsoft Edge – установить другой браузер»
«Данные, полученные в процессе «шпионства» со стороны операционной системы, могут попасть в руки нежелательным лицам». На мой взгляд, мягко сказано. Не «могут попасть», а попадут (для этого и собираются).

«Слежка в Windows 10 — 6 утечек информации» (примечание: не 6 случаев, а 6 видов утечек)
1. Весь печатаемый текст. Неважно, каким приложением пользуетесь – нажатия клавиш перехватываются на уровне операционной системы…
2. Геолокационные данные. Позволяют отслеживать перемещения пользователя.
3. Запись с микрофона (отключение голосового помощника Cortana не решает проблему). Использовать зашифрованные средства связи в Windows 10 бессмысленно. «Лучше сразу выйти на улицу и прокричать».
4. Телеметрия – передача в Microsoft данных о состоянии компьютера и вашей активности: какие программы установлены и запущены, журналы приложений, фрагменты оперативной памяти и многое другое. Также рассказывается, на какие сервера передаются добытые данные…
5. Нелицензионные фильмы, музыка, программы. Windows 10 просматривает названия пользовательских файлов и сверяет с обновляемым «пиратским» списком. Если находятся соответствия, листинги отправляются в Microsoft.
6. Фотография пользователя. После первой активации Windows 10 ненадолго включается web-камера. Исследования подтверждают: в Microsoft передаётся 35 Мб данных. От меня: «что ж так много – хоть бы сжали, дабы скрыть сей нехороший факт»!..

Следующий труд рассказывает, как отключить слежку в Windows 7 и 8 (да-да, она и в предыдущих версиях была).
Самое главное. За сбор телеметрии отвечают обновления KB3080149 и KB3075249. Соответственно, устанавливать их нельзя. Если установили – удалите или заблокируйте передачу данных на сервера Microsoft.

Пункт 1.3
Яндекс.Браузер тоже «ругается» (выводит нехорошую метку возле адреса), если сайт со старым протоколом.
Глупый вопрос. Возможно ли зарегистрироваться на Яндексе, не предоставляя номер телефона? Лет 15 назад – да. Сейчас – нет.
Несколькими месяцами ранее у коллеги возникла проблема. Нужно скачать с Яндекс Диска большой архив. Для работы. Устанавливает программу Яндекс Диск, а воспользоваться не получается. Почему? Давно была учётная запись (с тем же телефоном), удалённая за ненадобностью. Теперь при регистрации возникли проблемы. Правда, поддержка Яндекса сработала хорошо, проблему быстро решили. Но… требовать № телефона даже для сохранения публично доступной информации – не абсурд?

Пункт 1.4 (2021 год)
Apple будет смотреть ваши фото. Речь идёт не о загрузке фото в «облако», а о вашем устройстве.
Давно была скандальная новость: «Айфон» записывает передвижения владельца. Хотите купить? А я, чудак, пользуюсь простым телефоном. Интернет? С компьютера.


Второе
Насколько велика угроза? Не располагая полной информацией, отвечать не буду.
В открытых источниках не найдена статистика, насколько часто злоумышленники получали информацию из-за «стандартного» (не защищённого) соединения сайта.
Сам скажу следующее. Много лет назад, когда сочетание http:// не было бранным, CMS (Content Management System – система управления содержанием) не личного, а рабочего сайта регулярно уведомляла о «Попытках внедрения SQL». Научное название – SQL-инъекции (попытки взлома сайта, использующего сервер баз данных MySQL; базы данных – стандарт для современных сайтов). Попытки атак не увенчались успехом. Пытались ли злодеи взломать «незащищённое» соединение сайта? Если и пытались – это у них не получилось.
Помимо «бытовых» интернет-провайдеров (обслуживающих граждан), существуют провайдеры оптовые (покупающие трафик оптом). Теоретически – провайдер, дорожащий своей репутацией, не будет торговать конфиденциальными данными.
Возможно, опасность действительно велика. Но – в любом случае! – её нет, когда сайт не работает с конфиденциальной информацией. Сайты, обрабатывающие такую информацию – тема отдельного разговора; предлагаю решить вопрос независимым (не ангажированным) специалистам.
«А как понять, обрабатывает сайт конфиденциальную информацию или нет? Сколько времени надо, чтобы просмотреть все страницы…»
Конечно, поисковые системы не смотрят человеческими глазами, а анализируют HTML-код. Простейший рецепт: на любой странице, предназначенной для работы с конфиденциальной информацией, есть поле типа «password». Правда, оно может предназначаться для других целей (для администраторов); нужно определить сферу деятельности сайта.
Быть может, проще защитить каналы связи, чтобы злоумышленники не могли подключиться? Но, если меры требуются именно со стороны владельцев сайтов – пусть сертификаты выдаёт хостинг-провайдер (в нашей стране регистрация доменных имён – только по паспорту, то есть владелец известен).


Третье
Использование защищённого протокола многократно затрудняет получение информации злоумышленниками, но не гарантирует полную защиту. Кроме того, оно никак не препятствует утечкам информации из баз данных.
Практически одновременно с новостью о блокировке 20% интернета читаю об утечке персональных данных клиентов «Спортмастера». «По предварительным данным, утечка произошла через одного из подрядчиков компании». Ни в коем случае не ругаюсь (наверное, сотрудникам Спортмастера и так стыдно за утечку, в которой они не виноваты). Но похожие случаи (на других сайтах) происходят не раз в 100 лет. Защищённое соединение никак не мешает – информация «течёт» из баз данных.

Из серьёзного источника (антивирус Касперского) узнаем, что атаки типа SSL Strip или SSL Sniff (ранее уже проведённые для демонстрации возможностей) легко сведут на нет безопасность SSL-соединения.

С сайта anti-malware.ru узнаем, что сертификаты и центры сертификации – слабое звено https-соединения. Проблема – большое количество организаций, могущих выдавать сертификаты. Злоумышленник, взломавший хотя бы 1 них, может получить любые сертификаты.
«Даже когда существовал всего один центр сертификации, VeriSign, бытовала проблема — люди, которые должны были предотвращать атаки посредника, продавали услуги перехвата. Также многие сертификаты были созданы благодаря взлому центров сертификации».
«Вывод: SSL — протокол, заставляющий злоумышленника проделать огромную работу для совершения атаки. Но он не защитит вас от атак, спонсируемых государством или от квалифицированных хакерских организаций».

Ещё с сайта «Касперского»
«Иногда злоумышленники создают веб-сайты, имитирующие существующие, чтобы обманом заставить людей сделать покупку или выполнить вход на фишинговый сайт. Фишинговый сайт может получить SSL-сертификат и, следовательно, зашифровать весь трафик, проходящий между сайтом и пользователями. Растущая доля фишинговых атак происходит на HTTPS-сайтах. Происходит обман пользователей, которых успокаивает наличие значка замка»


Четвёртое и, наверное, самое важное
«Хорошо, Вы показали, что гиганты IT-индустрии не очень уважают тайну частной жизни. Но каков смысл принуждения?..»
Не уверен, что понимаю полностью.

Первая после прочтения новости о проступках Google в их родной Америке мысль – желание некоторых дельцов «сделать деньги» на оформлении сертификатов. Сертификаты бывают разными, бесплатный подойдёт не всем. (О чём рассказывается: IT-гигант взимает 30% комиссии за продажи внутри приложений на Android. Google также обвиняют в пессимизации других магазинов приложений; IT-гигант делал ложные и вводящие в заблуждение заявления относительно безопасности приложений, загружаемых не из Google Play).

От «Касперского» узнаём о периодическом сокращении срока действия SSL-сертификатов. Ранее они могли выдаваться на 5 лет, потом – на 3, потом – на 2 года. В 2020 году Google, Apple и Mozilla объявили, что будут применять годовые SSL-сертификаты. «Не исключено, что в будущем срок действия SSL-сертификатов сократится ещё».

Оттуда же. Читаем внимательно!

«Когда срок действия SSL-сертификата истекает, соответствующий сайт становится недоступным».

Да. А ещё сертификат может быть отозван.
А ещё сертификат может быть отозван
Снимок экрана сделан весной 2022 года. Но по состоянию на 4 и 16 января 2023 сайт многострадальной Донецкой народной республики также недоступен: «Ошибка при установлении защищённого соединения».
Единичный случай? Были и отзывы сертификатов у сайтов наших гос. органов, например, ФСБ.
Почему, все уже поняли: основные центры сертификации расположены за пределами нашей страны.

Было и это. «От цензуры к диктатуре»: нехорошие люди будет удалять из социальных сетей независимые мнения о коронавирусе и вакцинации
Первоисточники указаны; сейчас они недоступны (заблокированы) в нашей стране – их владельца справедливо признали экстремистской организацией.

Наверное, самый важный и страшный аспект происходящего. Сертификаты – возможность дистанционно заблокировать сайт путём отзыва сертификата или отказа в его выдаче.
Пока существуют «старые» сайты, массовый отзыв сертификатов проблематичен: у владельцев есть возможность отката к предыдущей (http) версии. Слово «откат» в лексиконе некоторых людей обозначает не коррупцию, а возврат к прежнему состоянию (пример: компьютер плохо работает после установки нового драйвера; откат возвращает его к предыдущей работоспособной конфигурации).

Очень хочется ошибаться, но: когда 99,9% интернет-ресурсов поддадутся – мнимая забота о безопасности позволит «хозяевам жизни» (точнее, интернета) произвольно блокировать сайты, манипулируя сертификатами.

Другие виды «негосударственной технологической цензуры»

Важно, что следующее к безопасности никак не относится.

Второй вид «цензуры» – требование оптимизации для мобильных устройств (смартфонов). Великого личного интереса не имею – с 2019 года страницы создаются в виде, подходящем для обоих типов устройств.
Отдельная тема: это вы имеете телефон? Или «хозяева жизни» («сажающие» всех на смартфоны) «имеют» вас? Чего-то не слышал о слежке, подобной московскому «Социальному мониторингу», в других областях нашей страны. Но сейчас разговор о другом.
Учитывая, что смартфоны с доступом в интернет появились намного позже компьютеров, логично (и этично) разрабатывать их с учётом существующих стандартов и форматов веб-страниц, а не требовать адаптации от владельцев сайтов.
Многие (но далеко не все) типы информации неинтересно и бессмысленно читать / смотреть на устройстве с маленьким экраном. Примеры: литературные произведения, рассчитанные на длительное и вдумчивое чтение. Фотографии (пейзаж, архитектура). Фильмы (сейчас мало хороших фильмов, но… почему кинотеатры не закрылись, если фильм можно посмотреть на крошечном экране?).

Третий вид «цензуры» – регулярная смена стандартов HTML. Непостоянство, искусственно созданное устаревание веб-стандартов. Разработкой таковых занимается Консорциум Всемирной паутины (World Wide Web Consortium, сокращённо W3C).
HTML – язык разметки, которые используют практически все сайты, и соответствующий формат файла.
Речь идёт не о новых тегах, связанных с новыми возможностями. Пример. В младших классах школы вам объяснили, что 5 + 5 = 10. В средних классах сумма этих чисел «вдруг» составила 20. В старших – 35. Хорошая школа? Правда, это относится скорее к истории и другим гуманитарным наукам. И к стандартам HTML. То, что было правильным в 4 стандарте, будет серьёзной ошибкой в пятом.
Кстати, «оно» не только к форматам файлов относится. Вспомните, сколько раньше было карт памяти для цифровых фотоаппаратов и подобной техники? Много. В один не прекрасный день я не смог купить карту Smart Media для музыкального синтезатора. Защита прав потребителей? Нет, не слышали.

Четвёртый вид «цензуры» исходит от поисковых систем
Все мы знаем, что Google и Яндекс – владельцы поисковых систем. Уже в 2019 году ими ограничивалась поисковая выдача сайтов, использующих протокол http (такие ресурсы «пессимизировались» – располагались в конце). Аналогичные меры уже давно применяются к сайтам, не адаптированным для мобильных устройств.
Ещё раньше приоритетом при ранжировании (определении места в результатах поиска) была дата изменения страницы. Чем свежее – тем лучше. Теперь представьте: вы написали интересный труд, «не очень честные» люди утащили его на свой сайт; в результате последний сильно поднялся в результатах поиска.
Второй пример: речь идёт о каком-нибудь важном событии, произошедшем, когда уже существовал интернет. Статья, написанная в день события, может быть гораздо более объективной и правдивой, чем написанное спустя годы. Угадайте, что попадёт в первые строки поиска? Правда, статических сайтов осталось мало, а динамические собирают страницу «на лету» (при обращении к ней).

Не сидим сложа руки

Дискриминация (не блокировка) старых сайтов замечена давно. Несколькими месяцами ранее – полагая, что действия интернет-монополистов незаконны – направил обращение в компетентные органы. Из прокуратуры его переправили в Роскомнадзор; из управления Роскомнадзора пришёл ответ:
«Управление не наделено полномочиями давать указания разработчикам браузеров, влиять на их деятельность»
Никаких претензий к гос. органам не имею – спасибо, что рассмотрели (и объяснили, что законных оснований для вмешательства нет).

«Отрицательный опыт – тоже опыт». Чем, на мой взгляд, являлись действия интернет-монополистов…
1) Цензура / препятствование работе сайтов. Ведь авторы / владельцы сайтов вынуждены тратить значительные ресурсы на «посторонние» дела (для соответствия требованиям IT-гигантов). Пользователи Интернета также ограничиваются в праве на получение информации: интересующая (и – нередко – более качественная) информация становится труднодоступной.
2) Нарушение авторских прав. Точнее: искажение (изменение) произведения, порочащее честь автора.
3) Нарушение антимонопольного законодательства. Ведь сложившаяся ситуация ущемляет малый бизнес и небольшие интернет-ресурсы.

Что говорит закон
Конституция. Согласно статье 29.5, цензура запрещается. Статья 34.2 запрещает экономическую деятельность, направленную на монополизацию и недобросовестную конкуренцию.

Гражданский кодекс РФ. Согласно статье 1259, информация на сайте является объектом авторских прав.
Статья 1266. Право на неприкосновенность произведения и защита произведения от искажений
2. Извращение, искажение или иное изменение произведения, порочащие честь, достоинство или деловую репутацию автора, равно как и посягательство на такие действия, дают автору право требовать защиты его чести, достоинства или деловой репутации.

Представьте: написали книгу, а издательство – без Вашего ведома – добавило на обложку какой-нибудь дрянной знак. Возмутитесь? Правильно. Вот и с сайтами так же.
Насчёт «нарушения антимонопольного законодательства» и «ущемления малого бизнеса» – прочтите интересную статью 2021 года. Миллиардеры России разбогатели на 145 млрд долларов за год. Среди них больше всех разбогатела Татьяна Бакальчук, основательница Wildberries – на 13 миллиардов долларов.

Глупый вопрос к коммерческим сайтам и малому бизнесу (да, я рождён в Советском Союзе, но небольшой и честный бизнес ни в коем случае не считаю врагом).
Вы выполняете требования «хозяев интернета», тратите время, силы и деньги на продвижение. А доходы стали такими же? Наверное, нет.

Итоги. И – что делать?

«На обочине интернета» зачастую остаются ресурсы, несущие более качественную и правдивую информацию, нежели сайты технически продвинутые. Тот, кому нужно «впарить» информацию сомнительного качества, не пожалеет средств на поисковую оптимизацию и рекламу.
Тем, кто не «впаривает», а излагает искренние мысли или делится хорошим: не бегите за модой, Ваши сайты и так интересно читать.

При всей мощи IT-гигантов они – лишь посредники между авторами и посетителями сайтов. Когда посредники (причём не отличающиеся уважением к личной информации) оплёвывают результаты чужого труда – это нехорошо.
Ни в коем случае не призываю «переделывать интернет» под кого-либо. Но нездоровая суета с частым изменением стандартов – дело плохое. Желаю, чтобы авторы могли думать о наполнении сайтов, о повышении качества информации, а не тратили время из-за капризов «хозяев интернета».

«Зачем писать огромный труд? Лучше реши проблемы с сайтом»! Но решить проблемы 20% мирового интернета я не смогу. И, наверное, у любого автора есть право создавать сайт так, как считает нужным.
А стиль «Мира Дальних Дорог» – старый, ибо самые интересные походы пройдены в 2004 – 2010 годах.
Из реальной жизни. На железных дорогах встречается не только новейшая техника, но и туристические ретро-поезда с паровозами. Наверное, пассажиры будут не очень рады, если вместо паровоза «запрягут» современный локомотив.

«Не стыдно, что сайт такой отсталый»??? Стыдно. Но не за то, о чём говорилось выше. За то, что сделать успеваю мало. За то, что старые страницы могли быть более качественными (даю им новую жизнь, но понемногу).
Но не стыдно за то, что создаю страницы вручную. Да, на сайте нет привычных CMS; автоматизация представлена несложной программой, выдающей заготовку для дальнейшей творческой работы. Не стыдно за то, что сайт без рекламы, оплаченной и ненужной информации.

Пока транснациональные дельцы делают интернет по своему образцу, предлагаю идеи для «интернета народного».

Сначала… дам ссылки на 4 хороших сайта и скажу «Спасибо» их авторам.
«Мой Город». Народная энциклопедия городов и регионов России
«Храмы России». Очень достойный сайт о православных храмах нашей страны.
htmlbook.ru (HTML-книга) – справочник и помощник для веб-разработчика. HTML, CSS (каскадные таблицы стилей) и многое другое.
Тарьсма (коммерческий, но с необычным и добрым дизайном в старинном стиле).

Ваш сайт, несмотря на капиталовложения, малоизвестен? Сообщайте, я бесплатно расскажу о нём на главной странице «Мира Дальних Дорог» и в блоге. Единственное исключение – нравственное: не посмею рассказывать о сайтах дурного содержания (лгущих, одобряющих насилие, издевательства и тому подобное).

Установите браузер, не применяющий технологии Google. Например, Mozilla Firefox.
Мои познания в области программирования не позволяют создавать сложные программы. Если знающие люди пожелают создать честный браузер (обозреватель интернета) – поддержу материально и информационно (распространю информацию). «Честный браузер»: без слежки за пользователями, без необоснованных претензий к владельцам сайтов, с поддержкой четвёртого стандарта HTML.