Американские интернет-компании требуют пересмотра закона о персональных данных

Александр Панасенко 07 Апреля 2010 - 14:03

...

Американские интернет-компании и правозащитники требуют существенного пересмотра законодательства о защите персональных данных, утверждая, что сейчас государство имеет практически неограниченный доступ к подобного рода информации. Участники коалиции Digital Due Process - среди которых, в частности, находятся такие интернет-гиганты, как Google и eBay - пытаются добиться принятия нового закона, который заменил бы собой действующий в США Акт о защите персональной электронной коммуникации, принятый еще в 1986 году, до широкого внедрения интернета. Они требуют, чтобы было законодательно оформлен запрет на доступ правоохранительных органов к электронной переписке без соответствующей санкции суда, сообщает британский телеканал BBC.

Кроме того, активисты добиваются большей законодательной защиты любых данных, хранящихся в интернете, и ограничений на использование возможности отслеживать местоположение абонентов мобильной связи.

Акт о защите персональной электронной коммуникации (ECPA), принятый в 1986 году, определяет, к каким видам персональной электронной информации имеют доступ органы власти и каким образом этот доступ осуществляется. "Неудивительно, что закон, написанный в 1986 году, не мог предусмотреть степень защиты, которая нужна нам сейчас, 25 лет спустя", - говорит Ричард Салгадо, старший советник компании Google по законодательству и информационной безопасности.

Как и другие члены коалиции (всего в нее входят более 30 человек - представители промышленности, академической среды и правозащитники), Салгадо считает, что ECPA превратился в "мешанину запутанных стандартов, которые весьма противоречиво трактуются в суде".

К примеру, правоохранительные органы имеют право получать доступ к некоторым электронным письмам, смс-сообщениям и другой информации, хранящейся в сети, без постановления суда - для этого достаточно просто повестки.

Активисты настаивают на том, что для подобного рода следственных действий санкция суда необходима - точно так же, как она необходима для проведения обыска или изъятия компьютера.

Такой же защиты коалиция требует для любой персональной информации об абонентах сотовой связи, которой обладают их мобильные операторы. Предоставлять такую информацию правоохранительным органам можно только по решению суда, считают активисты, при этом доступ может быть предоставлен только к той части переписки, которая имеет непосредственное отношение к расследованию.

"В законе должно быть четко указано, что аналогичные правила распространяются на электронную почту и все документы, хранящиеся на серверах провайдеров, однако при этом документ должен быть достаточно гибким, чтобы не мешать правоохранителям выполнять свою работу", - говорит Джим Демпси из Центра демократии и технологии.

По словам членов коалиции, они уже провели переговоры с Белым домом, ФБР, министерствами юстиции и торговли. Активисты отдают себе отчет в том, что правоохранительные органы всячески будут сопротивляться внесению любых изменений в существующий закон и до того, как проект его новой редакции будет внесен в конгресс, предстоят жаркие дебаты.

"Мы не ожидаем, что эти изменения вступят в силу уже в этом году, но пришло время начать диалог", - говорит Демпси.

Источник

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: