KRIEG BEDEUTET FRIEDEN FREIHEIT IST SKLAVEREI

Werbung
KRIEG BEDEUTET FRIEDEN
FREIHEIT IST SKLAVEREI
UNWISSENHEIT IST STÄRKE
Privacy im Web
(P3P)
Christian Hainz
Gießen, den 14. Januar 2002
Privacy im Web, P3P
101010011101110110111111
111101111111011101110111
000111110011101110111000
Literatur:
- 1984, George Orwell (Eric Blair, U1950)
- Verfassung des Landes Hessen
- Skript zur Vorlesung Datenschutzrecht
- Broschüre HDSG & BDSG
- The Code Book, Simon Singh
- http://www.w3c.org (Spezifikationen)
- Apache Web-Server, Lars Eilebrecht
Aus dem Inhalt
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P
Beispiel
Privacy
Klassen
Privacy
Policies
Implementierung
P3P
... User Agents
Implementierung
Zukunft
von P3P
Zusammenfassung
Code Beispiel
Zusammenfassung
• Allgemein (Problemstellung)
–
–
–
–
–
Der Begriff „Privacy“
Rechtliche Grundlagen
Informationsqualität
ECHELON & der BND
Anonymizer
• Speziell (P3P)
–
–
–
–
–
–
–
–
Wofür steht P3P?
Ziele von P3P
Beispiel zu P3P
Privacy Policies
P3P User Agents
Implementierung
Zukünftige Versionen von P3P
P3P Code Beispiel
• Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
Der Begriff „Privacy“
101010011101110110111111
111101111111011101110111
000111110011101110111000
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P
Beispiel
Privacy
Klassen
Privacy
Policies
Implementierung
P3P
... User Agents
Implementierung
Zukunft
von P3P
Zusammenfassung
Code Beispiel
Zusammenfassung
1984
• Privacy (engl. für Privatsphäre)
– Privat (lat.) => persönlich, nicht öffentlich,
vertraulich, nicht staatlich
– Sphäre (griech.) => Wirkungskreis, Machtbereich
Persönlicher Wirkungskreis der nicht öffentlich und
nicht staatlich ist.
• Kein Recht auf Anonymität
Der Begriff „Privacy“
101010011101110110111111
111101111111011101110111
000111110011101110111000
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P
Beispiel
Privacy
Klassen
Privacy
Policies
Implementierung
P3P
... User Agents
Implementierung
Zukunft
von P3P
Zusammenfassung
Code Beispiel
Zusammenfassung
Einschränkung für diesen Vortrag:
1) Der betrachtete Internet-Nutzer ist „gut“
2) Speichern und Verarbeiten personenbezogener
Daten
3a) Das Internet ist kein Rechtsfreier Raum
3b) Datenschutzgesetze auf das Internet abbilden
Der Begriff „Privacy“
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P
Beispiel
Privacy
Klassen
Privacy
Policies
Implementierung
P3P
... User Agents
Implementierung
Zukunft
von P3P
Zusammenfassung
Code Beispiel
Zusammenfassung
5 Kämpfer für Privacy:
•
•
•
•
•
Gesetze
Anonymizer Werkzeuge
Kryptographie
Privacy Werkzeuge (P3P?)
Benutzer
101010011101110110111111
111101111111011101110111
000111110011101110111000
Rechtliche Grundlagen
101010011101110110111111
111101111111011101110111
000111110011101110111000
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P
Beispiel
Privacy
Klassen
Privacy
Policies
Implementierung
P3P
... User Agents
Implementierung
Zukunft
von P3P
Zusammenfassung
Code Beispiel
Zusammenfassung
• Hessisches Datenschutzgesetz
– Vom 30. September 1970
– Regelungen zum Schutz des Persönlichkeitsrechts
– Datenschutzbeauftragter (der FH: Hajo Köppen)
• Geltungsbereich der Datenschutzgesetze
– Öffentliche Stellen des Bundes
– Öffentliche Stellen der Länder
– Nichtöffentliche Stellen, die Daten verarbeiten
• Personenbezogene Daten
– Sind Einzelangaben über persönliche oder
sachliche Verhältnisse einer bestimmten oder
bestimmbaren Person.
Rechtliche Grundlagen
101010011101110110111111
111101111111011101110111
000111110011101110111000
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P
Beispiel
Privacy
Klassen
Privacy
Policies
Implementierung
P3P
... User Agents
Implementierung
Zukunft
von P3P
Zusammenfassung
Code Beispiel
Zusammenfassung
Aufgaben der Datenschutzgesetze
• Schutz des Persönlichkeitsrechts
– §1 Abs. 1 BDSG Zweck dieses Gesetzes ist es, den einzelnen
davor zu schützen, daß er durch den Umgang mit seinen
personenbezogenen Daten in seinem Persönlichkeitsrecht
beeinträchtigt wird.
• Verarbeitung von personenbezogenen Daten
regeln
– §1 Abs. 1 HDSG Aufgabe des Gesetzes ist es, die Verarbeitung
personenbezogener Daten durch öffentliche Stellen zu regeln, um
1. Das Recht des einzelnen zu schützen, selbst über die Preisgabe und
Verwendung seiner Daten zu bestimmen, soweit keine Einschränkung
in diesem Gesetz oder in anderen Rechtsvorschriften zugelassen sind,
2. (...)
Informationsqualität
101010011101110110111111
111101111111011101110111
000111110011101110111000
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
• Neue Informationsqualität durch Technologie
– Schnelle und einfache Verfügbarkeit der Daten
(auch über beliebige Entfernungen)
– Zentrale Verarbeitung der Einzeldaten zu einem
Persönlichkeitsbild ist möglich
– Anhäufungen von Datensammlungen
– Formale Gliederung der Daten nach beliebig
vielen Kriterien
Informationsqualität
101010011101110110111111
111101111111011101110111
000111110011101110111000
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
• Sicherheit erhöhen durch Einschränkung der
Datenschutzrechte
• Rasterfandung
• Trend: Das Sammeln von
personenbezogenen Daten
• Der gläserne Surfer
• Angemessener Schutz des
Bürgers gewährleistet?
ECHELON & der BND
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
Da hört doch wer mit...
ECHELON
...ignoriert die Privatsphäre
...zapft 3 Milliarden (!)
Verbindungen pro Tag an
...siebt ca. 90 Prozent des
Internet-Verkehrs
...spioniert bei wem es will und
wann es will
101010011101110110111111
111101111111011101110111
000111110011101110111000
ECHELON & der BND
101010011101110110111111
111101111111011101110111
000111110011101110111000
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
Was weis man über ECHELON?
• Entworfen und koordiniert von der NSA
• Abhören von Emails, Faxen, Telexen und
Telefongesprächen (als Masse)
• Filtern von interessanten Nachrichten
– Wörterbücher
• Für nicht-militärische Zwecke:
–
–
–
–
Regierungen
Organisationen
Unternehmen der freien Wirtschaft
Einzelpersonen
ECHELON & der BND
101010011101110110111111
111101111111011101110111
000111110011101110111000
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
Wie arbeitet ECHELON?
•
•
•
•
Struktur ähnlich dem Internet (verschlüsselt)
Lokale Wörterbuchcomputer mit Datenbanken
Code zur Sortierung von Nachrichten pro Thema
Suchfunktionen wie Suchmaschinen im Internet
ECHELON & der BND
101010011101110110111111
111101111111011101110111
000111110011101110111000
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
• Mißbrauch von NSA Daten für wirtschaftliche
Zwecke...
– NSA, CIA & Department of Commerce bilden geheime
Behörde für Nachrichtenverknüpfung
– Ausl. Nachrichten an Department of Commerce
– 1993 erlaubt Bill Clinton den „National Economic
Council“
Zusammenfassung
Da hört doch wer mit...
=> Starke Verschlüsselungssysteme lohnen!
ECHELON & der BND
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
ECHELON und der Bundesnachrichtendienst
...hört da noch wer mit?
Dr. August Hanning
Präsident des BND
ECHELON & der BND
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
Aufgaben des BND
• Informations-Beschaffung über Entwicklungen in
anderen Staaten
• Ergänzt vorhandene Informationsstränge
• Unterstützt Bundesregierung bei außen- und
sicherheitspolitischen Entscheidungen
• Dient der Bundesregierung als Frühwarnsystem
ECHELON & der BND
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
Gefahren für die Bundesrepublik
• Proliferation und illegaler Technologietransfer
• Internationaler Terrorismus
• Internationale Organisierte Kriminalität
• Internationaler Waffenhandel
• Illegale Migration (Schleuser)
ECHELON & der BND
Inhalt
Andere Nachrichtendienste
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
Bundesregierung
Verfassungsschutz
(Inneres)
Militärischer Abschirmdienst
(Verteidigung)
Bundesnachrichtendienst
(Kanzleramt)
ECHELON & der BND
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
Struktur des BND
101010011101110110111111
111101111111011101110111
000111110011101110111000
Der Anonymizer
101010011101110110111111
111101111111011101110111
000111110011101110111000
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
www.anonymizer.com
• Webdienst zum verbergen von Daten
– Online nutzen oder
– Plug-in installieren
Der Anonymizer
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
Welche Daten sind hier gefährdet?
•
•
•
•
•
Häufig besuchte Webseiten des Benutzers
Welche Produkte ein Benutzer im Netz kauft
Hardware, Software und Programmdaten
Aktivitäten in Chat-Räumen
Informationen zu Medizin, Versicherung,
Finanz oder Karriere auf die der Benutzer
zugreift
• IP Adresse des Computers
• Geographische Lage
Der Anonymizer
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
Wen könnten diese Daten interessieren?
•
•
•
•
•
•
•
•
•
Reklame treibende
Spammers
Besuchte Webseiten
Hacker
Arbeitgeber oder Mitarbeiter
Familienmitglieder
Umfrage Institute
Identitäts Diebe
Betrüger
Der Anonymizer
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
Wie arbeitet der Anonymizer?
• Umschreiben der zu betrachtenden Webseiten
auf einem geschützten Server
• Entfernen von Gefahren für die Privatsphäre und
Sicherheit bevor Webseiten zum Benutzer gesendet
werden
• Verbergen der IP Adresse vor Webseiten und
anderen Parteien
• Verhindern das boshafte Files oder Code von
außerhalb auf die Festplatte des Benutzers
gelangen
• Neutralisiert Cookies, Java, JavaScript, ActiveX,
Web Bugs und anderes
Wofür steht P3P?
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
• Platform for Privacy Preferences Project
– Industriestandard in der Entstehung
– Ausdrücken von Praktiken zur Privatsphäre
• Mechanismus, Benutzer zu informieren
– Über Privacy Policy bevor Daten übertragen
• Kein Mechanismus, der sicher stellt
– Seiten gemäß Policy handeln
• P3P Ergänzung zu
– Gesetzen, Anonymizer, Kryptographie, Benutzer
• Automatische Entscheidungsfindung
– User Agents
Ziele von P3P
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
• Vertrauen & Zuversicht ins Internet stärken
• Benutzer über Praktiken einer Webseite
informieren
• Datensammlungs- und
Verarbeitungspraktiken in XML kodieren
– Standard Schema für Daten
– XML Format für Privacy Policies
– Mittel um Policies mit Webseiten und Cookies zu
verbinden
– Mechanismus um Policies via HTTP zu
transportieren
Beispiel zu P3P
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
• Sandra besucht CatalogExample
– http://www.catalog.example.com
• P3P bei CatalogExample in Gebrauch
• Sandras Browser unterstützt P3P
– Privacy Preferences setzen!
• Browser holt automatisch Policy der Homepage
– 1. Policy: normale HTTP access logs
– Kein Konflikt mit Sandras Einstellungen
– Seite (normal) anzeigen
– Icon am Rand
Beispiel zu P3P
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
• Online Katalog
– Komplexere Software
– Software benutzt Cookies
– Sammelt mehr Daten -> 2. Policy
• Kassenbereich
–
–
–
–
–
Noch mehr Daten -> 3. Policy
Sandras Name
Adresse
Kreditkartennummer
Telefonnummer
101010011101110110111111
111101111111011101110111
000111110011101110111000
Beispiel zu P3P
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
• Warnung bei Telefonnummer
– Pop-up Message
– P3P Statement erklären
– Entscheidung treffen
• Alternative
– Warnung nur wenn Nummer an Dritte
– Zweck ist abweichend
– Unter Umständen keine Pop-ups
101010011101110110111111
111101111111011101110111
000111110011101110111000
Beispiel zu P3P - Exkurs
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
HTTP access log
• Common Log Format
–
–
–
–
–
–
Zugreifender Rechner
Account Name
Zeitpunkt
Erste Zeile der Client-Anfrage
HTTP Status
Anzahl übertragener Bytes
• Custom Log Formate
101010011101110110111111
111101111111011101110111
000111110011101110111000
Beispiel zu P3P - Exkurs
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
Privacy
P3P
Beispiel
Klassen
Implementierung
Privacy
Policies
... User Agents
P3P
Implementierung
Zusammenfassung
Zukunft
von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
HTTP access log
• Common Log Format
LogFormat “%h %l %u %t \”%r\” %>s %b”
client.domain.tld - - [27/Jul/2001:15:30:07 +0200]
“GET /misc/HTTP/1.0” 200 5821
• hera.mni.fh-giessen.de
“/var/adm/httpd/access_log“
Privacy Policies
Inhalt
101010011101110110111111
111101111111011101110111
000111110011101110111000
• XML Kodierung des P3P Vokabulars
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
– Auskunft über gesammelte Datentypen,
Datenelemente und deren Verwendung
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
– Beschreibt Praktiken einer Seite, kein KonformIndikator für Gesetz oder Kodex
Zusammenfassung
– Nennt Empfänger von Daten, Adresse (URI) der
lesbaren Policy und weitere Erklärungen
• P3P Vokabular ist positiv!
• Nicht abgedeckt sind:
– Rechtliche Zwänge
– Praktiken der Provider
• Editoren
– IBM P3P Policy Editor (beta)
Privacy Policies
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
101010011101110110111111
111101111111011101110111
000111110011101110111000
• Referencing Policies
– Lokalisieren der P3P Policy
– Zuweisung einer Policy (mehrerer Policies)
– Performance Optimierung
– An wohl-definierter Stelle, link Tag
/w3c/p3p.xml
Zusammenfassung
<link
rel=”P3Pv1“
ref=”http://catalog.example.com/P3P/PolicyReferences.xml>
Privacy Policies
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
• Referencing Policies
– oder in HTTP (P3P) Header
1. Client führt GET Anfrage durch:
GET /index.html HTTP/1.1
Host: catalog.example.com
Accept: */*
Accept-Language: de, en
User-Agent: WonderBrowser/5.2 (RT-11)
2. Inhalt und P3P Header zurück:
HTTP/1.1 200 OK
P3P: policyref=
http://catalog.example.com/P3P/PolicyReferences.xml
Content-Type: text/html
Content-Length: 4713
Server: CC-Galaxy/1.3.18
Privacy Policies
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
101010011101110110111111
111101111111011101110111
000111110011101110111000
• Reference macht folgende Aussagen:
– /P3P/Policies.xml#first für komplette Seite
Ausnahme: /catalog, /cgi-bin, and /servlet.
– /P3P/Policies.xml#second für alle Dokumente in
/catalog mit Unterverzeichnissen
– /P3P/Policies.xml#third für alle Dokumente in
/cgi-bin und /servlet inklusive Unterverzeichnisse
Zusammenfassung
Ausnahme: /servlet/unknown.
– Keine Policy für /servlet/unknown
– Aussagen gültig für 2 Tage
Privacy Policies
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
<META xmlns="http://www.w3.org/2001/09/P3Pv1">
<POLICY-REFERENCES>
<EXPIRY max-age="172800"/>
<POLICY-REF about="/P3P/Policies.xml#first">
<INCLUDE>/*</INCLUDE>
<EXCLUDE>/catalog/*</EXCLUDE>
<EXCLUDE>/cgi-bin/*</EXCLUDE>
<EXCLUDE>/servlet/*</EXCLUDE>
</POLICY-REF>
<POLICY-REF about="/P3P/Policies.xml#second">
<INCLUDE>/catalog/*</INCLUDE>
</POLICY-REF>
<POLICY-REF about="/P3P/Policies.xml#third">
<INCLUDE>/cgi-bin/*</INCLUDE>
<INCLUDE>/servlet/*</INCLUDE>
<EXCLUDE>/servlet/unknown</EXCLUDE>
</POLICY-REF>
</POLICY-REFERENCES>
</META>
101010011101110110111111
111101111111011101110111
000111110011101110111000
P3P User Agents
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
• Vertreter des Benutzers
– Vermittelt bei interaktiver Nutzung eines Dienstes
– Mehrere User Agents
• Können wie folgt implementiert sein:
–
–
–
–
–
–
–
–
–
Im Betriebssystem
Webbrowser
Browser plug-ins
Proxy Server
Java Applets
JavaScript
Electronic Wallets
Automatische Form-Füller
Andere Datenmanagement Werkzeuge
P3P User Agents
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
• User Agents geben Privacy Praktiken wieder
–
–
–
–
–
holen die Policy
parsen die Policy
stellen Symbole da
spielen Sounds ab
zeigen Prompts an
• Vertrauensbasis: User Agent und Benutzer
P3P User Agents
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
• Torwächter Funktion
– Electronic Wallets
– Automatische Form-Füller
• Torwächter Ablauf
– Policy holen
– mit Benutzereinstellungen vergleichen
– herausgeben von Daten erlauben, wenn:
• Policy mit Benutzereinstellungen übereinstimmt
• angefragte Datentransfer mit Policy übereinstimmt
– Bei Unstimmigkeit Benutzer informieren
P3P Implementation auf Servern
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
• Es geht!
– P3P V1.0 läuft auf HTTP/1.1 Servern
– ohne Zusatz-Software oder Upgrade
• Lesbare Privacy in P3P Syntax übersetzen
– Automatisierende Werkzeuge zur Unterstützung
– Resultierende Files im Reference-File publizieren
• Wohl definierter Stelle
• P3P im HTTP Request
• Verweis mittels HTML link Tag
• Flexibel im Benutzen von P3P
– Eine Policy für komplette Seite
– Verschiedene Policies für verschiedene Teile
Zukünftige P3P Versionen
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
• 4 Hauptkomponenten in Version 1.0 nicht
implementiert
– Schnellere Implementierung
– Größere Verbreitung
• Die 4 zusätzlichen Komponenten
–
–
–
–
Auswahl von P3P Policies
Explizites Zustimmen zu einer Policy
Nichtanerkennung von Erklärungen erlauben
User Agents übertragen Benutzerdaten (autom.) an
einen Dienst (data-transfer protocol)
P3P Code Beispiel
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
• 2 Beispiel Policies
– Browser
– Käufer
• In Englischer Sprache geschrieben
• CatalogExample
101010011101110110111111
111101111111011101110111
000111110011101110111000
P3P Code Beispiel (1)
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
Beispiel für Browser (lesbar)
• Anrede
Wir bei CatalogExample, sorgen uns um Ihre Privatsphäre. Wenn Sie unsere
Seite besuchen und nach einem Produkt suchen speichern wir diese
Informationen lediglich um die Erscheinung unserer Seite zu verbessern. Die
angefallenen Informationen werden nicht zusammen mit personenbezogenen
Daten gespeichert.
• Lizenz
CatalogExample ist Lizenznehmer des PrivacySealExample Programms. Das
PrivacySealExample Programm sichert Ihre Privatsphäre indem es Lizenzen an
Webseiten herausgibt die hohe Standards, bezüglich der Privatsphäre, setzen.
Unabhängige Prüfer bestätigen das die angegebenen Informationspraktiken
befolgt werden.
• Kontaktadresse
CatalogExample
4000 Lincoln Ave.
Birmingham, MI 48009 USA
email: [email protected]
Telephone: 248-EXAMPLE (248-392-6753)
P3P Code Beispiel (1)
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
Beispiel für Browser (lesbar)
• Kontroversen
Falls Ihre Nachfrage unzureichend oder gar nicht beantwortet wurde können
Sie PrivacySealExample unter http://www.privacyseal.example.com erreichen.
CatalogExample wird alle Fehler oder Fehlerhafte Handlungen korrigieren, die
im Zusammenhang mit der Privacy Policy entstanden.
• Datensammlung & warum
Wenn Sie über unsere Seite Browsen sammeln wir folgendes:
 Einfache Informationen über Ihren Computer und die bestehende
Verbindung, um sicher zu gehen das Sie passende und richtige
Informationen bekommen.
 Gesamtdaten auf welche Seiten unsere Besucher zugreifen, um die
Seite weiter zu verbessern.
• Datenaufbewahrung
Alle zwei Wochen löschen wir die angesammelten Browserdaten.
P3P Code Beispiel (1)
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
Beispiel für Browser (formell)
• URI der Bekanntgabe:
http://www.catalog.example.com/PrivacyPracticeBrowsing.html
• Objekt/Wesen:
CatalogExample
4000 Lincoln Ave.
Birmingham, MI 48009 USA
email: [email protected]
Telephone: 248-EXAMPLE (248-392-6753)
• Zugang zu Identifizierungsdaten:
Keiner
• Kontroversen:
– Lösungsmethode: unabhängig
– Dienst: http://www.privacyseal.example.org
– Beschreibung: PrivacySealExample
P3P Code Beispiel (1)
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
Beispiel für Browser (formell)
• Abhilfe:
Wir werden sämtliche Fehler korrigieren
• Wir sammeln:
dynamic.clickstream
dynamic.http
• Zweck:
Nur für CatalogExample und unsere Agenten
• Datenaufbewahrung:
So lange wie nötig für den angeführten Grund.
(Link zur lesbaren Policy!)
101010011101110110111111
111101111111011101110111
000111110011101110111000
P3P Code Beispiel (1)
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
<POLICY name="forBrowsers”
discuri="http://www.catalog.example.com/PrivacyPracticeBrowsing.
html">
<ENTITY>
<DATA-GROUP>
<DATA ref="#business.name">CatalogExample</DATA>
<DATA ref="#business.contact-info.postal.street">
4000 Lincoln Ave.</DATA>
<DATA ref="#business.contact-info.postal.city">Birmingham</DATA>
<DATA ref="#business.contact-info.postal.stateprov">MI</DATA>
<DATA ref="#business.contact-info.postal.postalcode">48009</DATA>
<DATA ref="#business.contact-info.postal.country">USA</DATA>
<DATA ref="#business.contact-info.online.email">
[email protected]</DATA>
<DATA ref="#business.contact-info.telecom.telephone.intcode">1</DATA>
<DATA ref="#business.contact-info.telecom.telephone.loccode">
248</DATA>
<DATA ref="#business.contact-info.telecom.telephone.number">
3926753</DATA>
</DATA-GROUP>
</ENTITY>
<ACCESS><nonident/></ACCESS>
P3P Code Beispiel (1)
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
<DISPUTES-GROUP>
<DISPUTES
resolution-type="independent”
service="http://www.PrivacySeal.example.org”
short-description="PrivacySeal.example.org">
<IMG src="http://www.PrivacySeal.example.org/Logo.gif”
alt="PrivacySeal's logo"/>
<REMEDIES><correct/></REMEDIES>
</DISPUTES>
</DISPUTES-GROUP>
<STATEMENT>
<PURPOSE><admin/><develop/></PURPOSE>
<RECIPIENT><ours/></RECIPIENT>
<RETENTION><stated-purpose/></RETENTION>
<!-- Note also that the site's human-readable privacy policy MUST mention
that data is purged every two weeks, or provide a link to this information. -->
<DATA-GROUP>
<DATA ref="#dynamic.clickstream"/>
<DATA ref="#dynamic.http"/>
</DATA-GROUP>
</STATEMENT>
</POLICY>
P3P Code Beispiel (2)
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
Beispiel für Käufer (lesbar)
• Anrede
• Lizenz
• Kontaktadresse
• Kontroversen
• Cookies
CatalogExample benutzt Cookies nur um zu sehen ob Sie in der Vergangenheit
ein Kunde von CatalogExample gewesen sind. Wenn dem so ist werden die
Dienste auf Ihr bisheriges Browser Verhalten angepaßt. Wir speichern keine
personenbezogenen Daten im Cookie, noch teilen oder verkaufen wir
irgendwelche Informationen an Dritte.
P3P Code Beispiel (2)
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
Beispiel für Käufer (lesbar)
• Datensammlung & warum
Wenn Sie sich dazu entschließen ein Produkt zu kaufen werden wir Sie nach
weiteren Daten fragen:
 Ihren Namen und Adresse, damit wir das Produkt zu Ihnen liefern
können und für Kontakte in der Zukunft.
 Ihre Email Adresse und Telefonnummer, damit wir Sie erreichen
können.
 Ein Login mit Paßwort damit Sie Ihre Daten auf den neuesten Stand
bringen können. Das ändern der Daten ist möglich.
 Finanz Daten (z.B. Bankverbindung) so dass Sie Ihre Bestellung
komplettieren können (diese können auf Wunsch gespeichert werden).
 Optional können Sie weitere Angaben machen, damit wir unseren
Dienst, in der Zukunft, noch besser auf Sie abstimmen können.
• Datenaufbewahrung
Die Informationen über Sie und Ihre Einkäufe behalten wir solange Sie unser
Kunde sind. Falls Sie für den Zeitraum von einem Jahr keine Bestellung bei
uns aufgeben löschen wir Ihre Einträge aus unserer Datenbank.
Privacy im Web, P3P
Online-Literatur:
www.w3c.org
www.dud.de
www.codebook.org
www.allgemeiner-datenschutz.de
www.sicherheit-im-internet.de
www.bundesnachrichtendienst.de
auf hera: /var/adm/httpd/access_log
101010011101110110111111
111101111111011101110111
000111110011101110111000
Zusammenfassung
Inhalt
Privacy
Rechtliches
Informationsqualität
ECHELON & BND
Anonymizer
P3P?
Ziele von P3P
P3P Beispiel
Privacy Policies
P3P User Agents
Implementierung
Zukunft von P3P
Code Beispiel
Zusammenfassung
101010011101110110111111
111101111111011101110111
000111110011101110111000
• Gesetze
– Unterschied in EU und USA
• Technische Möglichkeiten
– zur Überwachung
– zum Schutz
• Werkzeuge zum Schutz
– Anonymizer
– Kryptographie
– Platform for Privacy Preferences Project (P3P)
• Persönliches Engagement!
KRIEG BEDEUTET FRIEDEN
FREIHEIT IST SKLAVEREI
UNWISSENHEIT IST STÄRKE
1984, George Orwell (U1950)
Herunterladen