Ile Google wie o Tobie : Chroń swój adres sieciowy

Wraz z plikami cookie adres IP Twojej sieci jednoznacznie identyfikuje Cię przed firmami internetowymi za każdym razem, gdy odwiedzasz. Twój adres może być również zawarty w informacjach nagłówka każdej wysyłanej wiadomości e-mail. Bloki adresów IP są przydzielane dostawcom usług internetowych, firmom, organizacjom i instytucjom edukacyjnym. W czasie komunikacji modemowej byłeś lepiej chroniony, ponieważ za każdym razem, gdy dzwoniłeś, prawdopodobnie otrzymywałeś inny adres IP. Zmieniło się to wraz z komunikacją szerokopasmową. Dostawcy usług internetowych i inni dostawcy często przydzielają swoim klientom szerokopasmowym adresy IP, które rzadko się zmieniają. Nie musi tak być. Protokół dynamicznej konfiguracji hosta (DHCP) jest szeroko rozpowszechniony i służy do przydzielania adresów IP w blokach adresów, na przykład w sieci firmowej, i można go skonfigurować tak, aby często aktualizował adresy IP. Jednak protokół DHCP jest ograniczony przez pulę adresów organizacji, która może być niewielka. Ponieważ alokacje adresów IP są publicznie dostępne, ktoś może łatwo prześledzić adres do właściciela bloku adresów IP. Stamtąd śledzenie z powrotem do konkretnego konta wymaga informacji przechowywanych przez właściciela bloku IP. Nie oznacza to, że jesteś bezpieczny; osoba atakująca lub funkcjonariusz organów ścigania może uzyskać te zapisy i określić dokładnego użytkownika określonego adresu IP w danym momencie. Musisz mieć adres IP, aby komunikować się w Internecie; możesz jednak ukrywać, maskować lub często aktualizować swój prawdziwy adres IP, aby utrudnić lub uniemożliwić takie cofanie.

Anonimizujące serwery proxy

Być może najlepszą nadzieją na anonimowe przeglądanie stron internetowych jest anonimowy serwer proxy. Serwery proxy anonimizujące działają jako pośrednicy między Tobą a docelową witryną internetową. Wysyłają żądania w Twoim imieniu, filtrują niektóre informacje identyfikujące (takie jak pliki cookie, pola nagłówka przeglądarki itp.), Zastępują Twój adres IP ich adresem i przekazują Ci odpowiedzi. Ze względu na ich wrażliwą rolę w maskowaniu twoich działań anonimowe serwery proxy nie powinny rejestrować tej aktywności, ponieważ dzienniki mogą zostać skradzione lub wezwane do sądu. Korzystając z takiej usługi, pokładasz duże zaufanie w jej administratorze. Jeśli używasz tylko jednego anonimowego serwera proxy, ta pojedyncza witryna będzie znała Twój adres IP, witrynę, którą odwiedziłeś i najprawdopodobniej treść twoich wiadomości – informacje, które mogą zostać wykorzystane. Nie zdziwiłbym się, gdyby niektórzy ludzie nie ustawili anonimowych serwerów proxy wyłącznie po to, aby obserwować ruch osób, które chcą pozostać anonimowe, więc postępuj ostrożnie. Innym ważnym aspektem anonimizacji serwerów proxy jest skalowalność. Dzięki swojej konstrukcji serwery proxy wprowadzają opóźnienia w działaniach online; łańcuchy proxy dodają jeszcze więcej latencji. Indywidualni użytkownicy mogą uznać te problemy za dopuszczalne, ale duże, anonimowe proxy klasy korporacyjnej są otwartym problemem, który wymaga więcej badań, aby uzyskać skalowalne rozwiązania dla dużych organizacji. Najlepszym sposobem rozwiązania tego problemu jest łańcuch proxy. Wiąże się to z przejściem przez kilka pośrednich serwerów proxy (każdy powoduje spowolnienie wydajności, ale wzrost anonimowości), aż osiągniesz pożądany poziom ochrony. Dołączając pełnomocników z innych krajów, zyskujesz przewagę polegającą na opóźnianiu lub zapobieganiu próbom śledzenia działań przez rząd lub organy ścigania. Chociaż możesz użyć jednego serwera proxy lub niewielkiej liczby serwerów proxy bez nadmiernego opóźnienia, nie możesz łączyć serwerów proxy w nieskończoność. Dodatkowe serwery proxy w końcu spowodują nieznośnie spowolnienie przeglądania sieci. Podczas eksploracji wykorzystania serwerów proxy możesz chcieć zbadać wtyczki SwitchProxy i FoxyProxy Firefox, które pomagają w zarządzaniu wieloma serwerami proxy.

Zaufanie w Cyberspace : Protokół Boyda – Nieto

Protokół Boyda – Nieto (BN) jest protokołem GKA, który działa w jednej rundzie, a zatem jest wydajny obliczeniowo. Protokół jest cytowany z [9] w następujący sposób: Niech U oznacza zbiór n użytkowników U1, U2,. . ., Un i N1, N2,. . ., Nn oznaczają ich odpowiednie wartości nonce, a K(1), K(2),. . ., K(n) oznaczają ich odpowiednie klucze publiczne. U1 ma wyznaczoną rolę kontrolera grupy. Sd(i)(X) reprezentuje podpis nad X przy użyciu klucza d(i). Wszystkie wiadomości są nadawane.

  • U1 → *: U, Sd(1) [U, {N1} K(2), {N1} K(3),. . . , {N1} K(n)]
  • U1 → *: {N1} K(i) dla 2 ≤ i ≤ n
  • Ui → *: Ui, Ni

Klucz grupy to KU = h (N1 || N2 || N3 ||.. || Nn), gdzie h jest publiczną jednokierunkową funkcją skrótu. Utajnienie klucza sesji zależy tylko od tajności N1. Naruszenie klucza prywatnego dowolnego użytkownika innego niż U1 ujawniłoby klucz sesji, ponieważ N1 jest zaszyfrowany kluczami publicznymi uczestników z wyjątkiem U1. W związku z tym protokół nie spełnia częściowej tajemnicy przekazywania. Jeśli istnieje prawdopodobieństwo pn, że tajny N1 zostanie przejęty, to DPFS będzie miał wartość pn. Jeśli pn jest bardzo niskie, z powodu czynników zewnętrznych, takich jak kwestie polityki, które uniemożliwiają kontrolerowi grupy stanie się nieszczelnym uczestnikiem, wówczas klucze prywatne innych uczestników staną się wrażliwymi punktami, które należy wziąć pod uwagę. Załóżmy, że penetrator zna klucz prywatny dowolnego uczestnika innego niż kontroler grupy, K(i)−1, z prawdopodobieństwem p. Wtedy penetrator może wydedukować nonce N1 z prawdopodobieństwem p. Ponieważ jest n – 1 takich przypadków, a znajomość przynajmniej jednego Ki −1 ujawniłaby N1, prawdopodobieństwo poznania klucza sesji wynosi 1− (1 – p)n−1. DPFS protokołu BN to min [1− (1 – p)n − 1, pn].

Lean Customer Development : Rozwój klienta Incognito

Czasami masz więcej powodów do zmartwień niż klienci źle reagujący na to, o co ich pytasz lub im pokazujesz. Marka, pozycja rynkowa lub obecna strategia Twojej firmy mogą wpływać na wszelkie rozmowy, które możesz prowadzić. Odchylenie może być efektem aureoli: jest duża grupa konsumentów, którzy oceniliby wyżej każdy gadżet technologiczny, gdyby dowiedział się, że został wyprodukowany na przykład przez Apple. Może to być negatywne nastawienie: wyobraź sobie ten sam gadżet technologiczny, ale oznaczony marką Walmart. Dotyczy to również firm, które próbują rozszerzyć swoją działalność na nową branżę lub kompetencje – możesz pokochać loty na południowy zachód, ale czy możesz wyrazić obiektywną opinię, gdyby rozmawiały z tobą o przyszłej linii blenderów kuchennych?

Przyjmowanie nowej tożsamości

Kiedy Twoja firma nie może prowadzić nieskalanej rozmowy o rozwoju z klientami docelowymi, coś musi się zmienić. Twoja firma lub klient musi być kimś innym. Microsoft stanął przed problemem nieuniknionych stronniczości, pracując nad całkowitą przebudową Hotmail.com (obecnie oznaczonej jako Outlook.com). Niegdyś lider w zakresie bezpłatnych adresów e-mail, Hotmail był od dawna postrzegany jako przestarzały, źle zaprojektowany, a nawet żenujący. * Microsoft jako firma borykała się z innym problemem: tak wiele osób korzysta z klienta poczty e-mail Outlook w swoim miejscu pracy, że prawdopodobnie oprzeć się wszelkim zmianom w tym znajomym wyglądzie i stylu. Podchodzenie do potencjalnych klientów jako Hotmail lub Microsoft nie dawało obiektywnych opinii. Zamiast tego badacze użytkowników firmy Microsoft usunęli wszystkie ślady firmy Microsoft ze swoich rozmów i prototypów. Wykorzystali firmy badawcze do rekrutacji uczestników, którzy spełniali kryteria klienta docelowego, z miast w całych Stanach Zjednoczonych. Naukowcy opisali się po prostu jako pochodzący z firmy pracującej nad sposobami ulepszenia poczty e-mail i zadawali pytania dotyczące sposobów, w jakie klienci obecnie czytają, redagują, oceniają i wysyłają e-maile. Prowadzenie rozwoju klienta bez ujawniania przynależności do firmy nie musi być skomplikowane. Wszystko, czego naprawdę potrzebujesz, to inna nazwa domeny! Jeśli kontaktujesz się z osobami z adresu e-mail @ someplausibledomain.com, nawet nie przyjdzie im do głowy, że możesz pochodzić z innej firmy.

Ile Google wie o Tobie : Szyfrowanie

Kryptografia, praktyka i badanie ukrywania informacji oraz szyfrowanie, proces przekształcania informacji w celu uczynienia ich nieczytelnymi dla nikogo oprócz tych, którzy posiadają specjalną wiedzę, są często wymieniane jako lekarstwo na większość problemów związanych z bezpieczeństwem. Chociaż szyfrowanie informacji może pomóc w rozwiązaniu niektórych problemów związanych z ujawnianiem informacji przez Internet, nie jest to panaceum. Jon Callas, dyrektor ds. Technologii w PGP Corporation, uchwycił istotę wyzwania, mówiąc: „Kryptografia musi być użyteczna i użyteczna dla ludzi, którzy mają prawdziwą pracę. Kryptografia nie jest magicznym pyłkiem, którym możesz posypać problem i zabezpieczyć go. ” Całkowicie się zgadzam. Jednak szyfrowanie może pomóc na wiele sposobów. Stosowanie SSL, podstawowego protokołu kryptograficznego bezpiecznego HTTP (tj. HTTPS), utrudni podsłuchiwanie przez wszystkich oprócz dobrze wyposażonych podsłuchiwaczy, chyba że jesteś przeglądarką, która zawiera specjalnie spreparowane certyfikaty. Pracodawcy mogą tworzyć te certyfikaty, umieszczając je na standardowych obrazach stacji roboczych i dając pracodawcy możliwość łatwego podsłuchiwania. Firmy internetowe mogą również używać SSL, aby chronić się przed podsłuchem, często podczas logowania lub korzystania z poczty internetowej. Nie spodziewam się, że SSL będzie używany do ochrony wszystkich form aktywności online, takich jak wyszukiwanie, ponieważ algorytm kryptograficzny zwiększy narzut przetwarzania, co z kolei spowalnia interakcje i wymaga dodatkowych serwerów. Ponieważ SSL chroni tylko samą komunikację, protokół nie chroni Cię przed firmami internetowymi, z którymi się komunikujesz; są zaufanymi partnerami w komunikacji. Ponadto SSL nie chroni źródłowego i docelowego adresu IP pakietów ani innych informacji z nagłówka pakietów, ponieważ te informacje są potrzebne do kierowania pakietów przez Internet do właściwego miejsca docelowego. Analiza tych niezaszyfrowanych „zewnętrznych wiadomości” to dobrze zbadana dziedzina zwana analizą ruchu, która może ujawnić takie rzeczy, jak czas i czas trwania komunikacji, odwiedzane witryny i rozmiar wiadomości. Nawet prosta czynność użycia zaszyfrowanej komunikacji może wydawać się obciążająca i przyciągać niechcianą uwagę. Trend odchodzenia od desktopów zachęca do przechowywania informacji na serwerach firm internetowych. Musisz ufać, że te firmy starannie go chronią. Firmy te mogą i powinny używać szyfrowania do ochrony danych użytkowników. Takie postępowanie odstrasza przypadkowego napastnika lub pracownika szukającego wrażeń i pomaga zapewnić, że dostęp mają tylko upoważnieni pracownicy. Firmy internetowe nie mogą przeoczyć bezpieczeństwa taśm z kopiami zapasowymi; powinny być zaszyfrowane, a klucze chronione. Kiedy Twoje dane są w czyimś posiadaniu, pokładasz duże zaufanie w tej osobie. Możesz jednak wziąć sprawy w swoje ręce, szyfrując dane przed ich przechowywaniem. Proponuję zaszyfrować pliki, które przechowujesz za pomocą PGP (www.pgp.com/) lub GPG (www.gnupg.org/). Te narzędzia nie są szczególnie łatwe w użyciu, ale jeśli interesuje Cię szyfrowanie na wysokim poziomie, są one dobrze sprawdzone. Nie polegaj na ochronie hasłem oferowanej przez popularne edytory tekstu i arkusze kalkulacyjne – te hasła będą blokować tylko Twoją młodszą siostrę.

Uwaga: naukowcy badają sposoby wykorzystania kryptografii , techniki bezpiecznego umożliwiania anonimowego udostępniania informacji. Wiele z tego opiera się na pracy dr Davida Chauma.

Pomimo swojej siły kryptografia ma wiele wad. Przede wszystkim fałszywe poczucie bezpieczeństwa. Szyfrowanie jest tak dobre, jak klucz. Zagrożenie przemocą fizyczną w dziwny sposób sprawia, że ​​ludzie znacznie częściej dzielą się poufnymi informacjami, takimi jak hasła i klucze szyfrowania. Ogólnie rzecz biorąc, matematyczne podstawy popularnych technik szyfrowania są solidne, ale poszczególne implementacje tych technik są często wadliwe. Jeszcze gorsze są sytuacje, w których osoby próbują stworzyć własne techniki szyfrowania. Wiem wystarczająco dużo o kryptografii, aby wiedzieć, że tylko eksperci, bez mnie, powinni tworzyć systemy kryptograficzne. Ci sami eksperci powiedzą Ci, że daną technikę szyfrowania należy w najlepszym przypadku uznać za efemeryczną. Nieustanny wzrost szybkości procesora gwarantuje, że to, co wcześniej było rygorystycznie zabezpieczone, stanie się w przyszłości otwartą księgą. Widzieliśmy to wiele razy w historii. Na przykład, kiedy wschodnioniemiecka tajna policja zniszczyła dokumenty w 1989 roku, prawdopodobnie nie wzięła pod uwagę, że 18 lat później komputery będą ponownie składały dokumenty. Kiedy Stany Zjednoczone przyjęły Standard Szyfrowania Danych (DES) w 1976 roku, nie spodziewali się, że zespół badawczy w 1997 roku złamie wiadomość DES w ciągu 96 dni, lub że inny zespół w 1999 roku złamie wiadomość zaszyfrowaną za pomocą DES w około 22 godziny. Pojedynczy postęp, taki jak przełom w obliczeniach kwantowych, może z dnia na dzień sprawić, że najlepsza dziś technologia szyfrowania stanie się przestarzała. Co gorsza, cała historyczna zaszyfrowana komunikacja mogłaby również zostać naruszona, gdyby jakiś przedsiębiorczy podsłuchujący miał pod ręką te dane. Na koniec rozważ użycie pełnego szyfrowania dysku na dysku twardym. Takie postępowanie radykalnie zmniejsza ryzyko ujawnienia danych w przypadku zgubienia lub kradzieży dysku. Wobec bardzo widocznych naruszeń bezpieczeństwa występujących w rządzie i przemyśle oraz rosnącej liczby przepisów zmuszających takie organizacje do informowania konsumentów o utraconych danych, coraz więcej osób korzysta z szyfrowania na pełnym dysku jako rozwiązania. Szyfrowanie w locie na całym dysku wymaga dużej mocy obliczeniowej i obniży wydajność, ale jest skuteczną formą ochrony. Świetnym miejscem do rozpoczęcia jest poznanie TrueCrypt, popularnego, darmowego narzędzia do szyfrowania w locie o otwartym kodzie źródłowym.

Zaufanie w Cyberspace : Protokół Kim Lee – Lee

Kim i inni zaproponowali protokół GKA podobny do BD pod względem wymiany komunikatów. W tym protokole (określanym jako KLL) struktura klucza różni się od tej używanej w BD. Uczestnicy, ID = {U1, U2,. . . Un} protokołu są ułożone w logiczny pierścień. Każdy interfejs użytkownika ma parę kluczy podpisu [sk (i), pk (i)]. W pierwszej rundzie każdy Ui wybiera liczbę jednorazową N(i) i r(i) i oblicza z(i) = gr(i). Un oblicza H(N(n)|0), gdzie H reprezentuje funkcję skrótu. Ui i Un rozgłasza następujące wiadomości:

  • Ui → *: [z|ID|0]sk(i), z (i)
  • Un → *: [H(N(n)|0)|z(n)|ID|0] sk(n), H(N(n)|0)

W drugiej rundzie każdy Ui oblicza tiL = H(z(i – 1)r(i)| D | 0), tiR = H (z(i + 1)r(i) | D | 0), a Ti = ti L ⊕ tiR.

Un oblicza T ′ = N(n) ⊕ t1R i nadaje w następujący sposób:

Ui → *: [N(i) | Ti | ID | 0]sk(i), z (i)

Un → *: [T′ | Tn | ID | 0]sk(n), T ′ | T (n)

Każdy Ui  oblicza klucz grupy jako H[N(1). . . N(n)] za pomocą równań tR′i+1 = Ti+1⊕ tRi.

Można zauważyć, że tajność wyliczanego klucza grupowego zależy tylko od tajności N (n), która z kolei zależy tylko od tajności r(i). Stąd DPFS dla protokołu wynosi 1− (1 – p)n. Utajnienie klucza sesji zależy od tajności krótkoterminowych kluczy wszystkich uczestników, a jeden nieszczelny członek może złamać klucz sesji.

Lean Customer Development : Powiedz to jeszcze raz: to jest odkrywcze

Podczas rozmów prawdopodobnie usłyszysz, jak klienci pytają: „Kiedy to będzie dostępne?” lub „Jakie jest prawdopodobieństwo, że to zbudujesz?” Nie udzielaj grzecznej i niezobowiązującej odpowiedzi, która może błędnie zinterpretować. Na początku wydaje się to trochę niezręczne, ale musisz wyraźnie powtórzyć, że jest to odkrywcze. Henry Wei, starszy dyrektor medyczny ds. Innowacji klinicznych w firmie Aetna, zgadza się z tym. „Musimy być bardzo wyraźni i powiedzieć:„ Próbujemy dowiedzieć się, czego naprawdę potrzebujesz. Nie staramy się tego przyspieszać, jeśli nie jest to coś, z czego nasi klienci będą czerpać korzyści ””. Może to wymagać trochę praktyki, ale ostatecznie przekonasz się, że wielu klientów doceni ten styl dyskursu. Klientom często obiecuje się funkcje i poprawki. Chociaż mogą słyszeć obietnice od swoich sprzedawców, te obietnice zanikają po zamknięciu sprzedaży. Klienci rzadko słyszą od dostawcy, który aktywnie próbuje zidentyfikować i rozwiązać ich problemy. Zaproszenie do rozmowy o ich konkretnych doświadczeniach napędza poziom zaangażowania klienta, którego nic innego nie może dotknąć. Takie słuchanie to także kolejny prezent, który możesz podarować swoim klientom: możliwość dowiedzenia się choć trochę o tym, co myślą ich konkurenci. Często anonimizujemy to, czego się nauczyliśmy, a następnie udostępniamy podsumowanie klientom, z którymi rozmawialiśmy. (Na przykład „Rozmawialiśmy z 22 klientami, w tym 15 firm z listy Fortune 500, a główne obawy, które usłyszeliśmy, dotyczyły X i Y ”).

Demo opowiadania historii

Oto paradoks z obecnymi klientami: trudno jest przyciągnąć ich uwagę lub opinię, chyba że pokażesz im coś wizualnego. Ale gdy tylko klient coś zobaczy, myślą, że to prawda. Nie ma nic nowego w pokazywaniu pokazów slajdów klientom na długo przed rozpoczęciem tworzenia produktu. Problem polega na tym, że gdy tylko klienci coś zobaczą, staje się to w ich umysłach. Skaczą do pytania o konkretne cechy i funkcjonalność. Stajesz w obronie decyzji dotyczących produktów, których jeszcze nie podjąłeś – i tracisz możliwość poznania problemów i potrzeb klienta. Jest rozwiązanie tego problemu: opowiadanie historii. Aby zachować kontrolę nad rozmową, musisz opowiedzieć historię. Opowiedz historię jednego konkretnego użytkownika i tego, jak użyłaby tego produktu. Skorzystałem z dema opowiadania historii w Yodlee, KISSmetrics i Yammer. Specjaliści ds. Doświadczenia użytkownika uznają to za przewodnik po personie. Jednak persony są zwykle używane wewnętrznie, aby zilustrować potrzeby reprezentatywnego użytkownika. W tym scenariuszu będziesz rozmawiać z reprezentatywnym użytkownikiem i zaprosić ją do zadawania pytań lub nie zgadzania się z prezentacją. Przyjmując perspektywę pojedynczego reprezentatywnego użytkownika, zniechęcasz klienta do myślenia w kategoriach funkcji lub skrajnych przypadków. Zamiast tego zachęcasz ją do przemyślenia przepływu pracy i stwierdzenia, czy ma to sens. Niedawno użyłem dema opowiadania historii, aby pokazać, jak Jessica, archetypowy użytkownik, użyje Yammera. Dosłownie zaczynam rozmowę od: „To jest Jessica. Jest twoją fikcyjną pracownicą. Pokażę, jak Jessica wykorzystałaby nową funkcję, nad którą pracujemy ”. Na każdym ekranie wyjaśniam, jak Jessica działa, o czym myśli i jak zamierza używać określonych funkcji. Złożenie wersji demonstracyjnej wymaga więcej wysiłku niż złożenie razem pokazu slajdów. Zaletą jest to, że istnieje mniejsze prawdopodobieństwo, że Twoi odbiorcy odejdą od tego, co robią ludzie, gdy widzieli zbyt wiele programu PowerPoint. Demo może również służyć jako lekka specyfikacja produktu, ilustrująca koncepcję dla projektantów i programistów, którzy będą budować prawdziwe rzeczy. Demo opowiadania historii jest najbardziej konserwatywnym podejściem do rozwoju klienta i jako takie jest najbardziej ograniczające. Ponieważ dajesz swoim klientom jasny obraz do obejrzenia, otrzymasz opinię opartą na tej demonstracji, a nie na wyższym poziomie spojrzenia na ich problemy i obecne zachowania. Twój klient jest nieproporcjonalnie prawdopodobne, że da pozytywną opinię, a nie powie: „Właściwie to nie rozwiązuje problemu”. Jednak dla firm, które nigdy nie rozmawiały z klientami w ten sposób i utknęły w świecie list funkcji i arkuszy danych, prezentacja opowiadania historii jest doskonałym pierwszym krokiem.

UWAGA

Czego potrzebujesz:

  • Zidentyfikuj kluczowe cechy lub koncepcje, które musisz zweryfikować.
  • Napisz skrypt łączący funkcje w sensowny sposób, łącznie z nazwami elementów, z którymi Jessica wchodzi w interakcje, takich jak ludzie, nazwy plików, deskryptory i tak dalej. Użyj realistycznego zadania, takiego jak „opłacenie rachunków” lub „współpraca ze współpracownikami przy prezentacji”.
  • Zbuduj spójny prototyp, który zademonstruje wszystkie te funkcje lub

koncepcje. Twój prototyp musi być spójny: jeśli Jessica edytuje plik o nazwie Perspektywy sprzedaży na ekranie 2, nie można go nazwać Notatkami ze spotkania na ekranie 3.

  • Twoje demo powinno zawierać wszystkie kroki, które Jessica musi wykonać. Nie musi to być działający kod, ale musi być klikalny i nie pomijać kroków.
  • Używamy Invision, aplikacji internetowej, która umożliwia przeciąganie i upuszczanie plików graficznych oraz definiowanie klikalnych obszarów, które łączą je ze sobą bez konieczności pisania kodu (http://www.invisionapp.com). Inną aplikacją, która dobrze sprawdza się w przypadku klikalnych wersji demonstracyjnych, jest Axure.

Wyszukiwane hasło otarcie

Termin chaffing pochodzi od wojskowej społeczności walczącej w powietrzu: samoloty wyrzucają plewy, małe paski metalu, aby zrzucić radary celownicze i rakiety naprowadzane. Ta koncepcja ma duże zastosowanie w kontekście ujawniania informacji przez Internet. Korzystając z narzędzi online, zapewniasz bezgłośny strumień informacji, takich jak wyszukiwane hasła lub lokalizacje na mapie; w ten sposób ułatwiasz identyfikację legalnej działalności. Chaffing ma na celu włączenie fałszywych lub wprowadzających w błąd działań do tego strumienia, aby ukryć twoją prawdziwą aktywność i zamiary. Chaffing z pewnością obniży jakość informacji, które udostępniasz firmie internetowej, ale podejście to wiąże się z kilkoma poważnymi wyzwaniami. Po pierwsze, zużywasz niepotrzebne zasoby firm internetowych. Rozważmy wyszukiwanie. Aby przetworzyć stały strumień fałszywych zapytań wyszukiwania, wyszukiwarki będą pracować znacznie ciężej. Każde zapytanie musi zostać przeszukane w bazie danych, aby zapewnić odpowiednie wyniki wyszukiwania. Żądając niepotrzebnie informacji, zmuszasz wyszukiwarkę do ciągłego przetwarzania niepotrzebnych żądań. Każde niepotrzebne połączenie sieciowe zużywa cenną przepustowość sieci, moc obliczeniową, pamięć RAM i pamięć masową firmy. Wynik to wolniejszy czas odpowiedzi dla innych użytkowników. Chociaż wpływ ten może być nieistotny dla niewielkiej liczby użytkowników, jeśli otarcie zostanie powszechnie przyjęte, może spowodować znaczne spowolnienie usług dla wielu użytkowników. Aby utrzymać wysoką jakość usług, wyszukiwarka będzie musiała dodać znacznie więcej zasobów przetwarzania informacji i zwiększyć przepustowość sieci, aby poradzić sobie z tym obciążeniem, przy znacznych kosztach. Chaffing może generować duży, łatwy do wykrycia ślad, a firmy internetowe prawdopodobnie uznają to za szkodliwe. Zanieczyszczałbyś środowisko informacyjne wykorzystywane do dostarczania wysokiej jakości wyników wyszukiwania innym użytkownikom i podważał model biznesowy firmy wyszukującej. Firmy internetowe nie tolerowałyby zatem takiego zachowanie długo i prawie na pewno odmówiłby dostępu użytkownikom, którzy zachowywali się w ten sposób, twierdząc, że naruszają warunki korzystania z usługi, gdyby praktyka ta stała się powszechna. Musisz zdecydować o moralności korzystania z takiego narzędzia i zdecydować, czy chcesz go użyć. Aby zapewnić kompleksową ochronę, należy starannie zaprojektować system chaffing. Aby zapewnić niezawodną ochronę, prawdziwe zapytanie musi być nie do odróżnienia od fałszywego zapytania. W praktyce jest to bardzo trudne. Każda niespójność zapewnia haczyk, który umożliwia algorytmom filtrującym identyfikację twoich prawdziwych zapytań, pokonując twoje zamiary. Pomyśl o tym. Kiedy przeszukujesz internet, zazwyczaj nie szukasz ani jednej informacji; często przeformułowujesz zapytanie, aby uzyskać lepszy wynik. Twoja drażniąca aplikacja musi ukrywać Twoje pierwotne zapytanie i wszelkie przeformułowania w morzu hałasu – trudna propozycja. W większości przypadków po przeprowadzeniu wyszukiwania klikasz łącze. To prawda, że ​​narzędzie do chaffingu może symulować klikanie linków, ale bardzo trudno będzie ukryć fakt, że maszyna wybiera wyniki zamiast człowieka. Jakiekolwiek odchylenie statystyczne będzie wskazówką co do twoich rzeczywistych zamiarów. To samo dotyczy czasu twoich zapytań. Oczywistym podejściem w przypadku maszyn jest losowe ustawianie czasu zapytań do wyszukiwarki. Aby wstawić swoje prawdziwe zapytanie do strumienia fałszywych zapytań, być może będziesz musiał poczekać, aż nadejdzie odpowiedni czas, opóźniając dostęp do informacji. Aby sprostać tym wyzwaniom, naukowcy badają zastosowania otarcia. Najlepszym przykładem jest TrackMeNot autorstwa Daniela Howe’a i Helen Nissenbaum z New York University .TrackMeNot to wtyczka do przeglądarki Firefox, która próbuje rozwiązać wiele problemów technicznych związanych z odpychaniem zapytań. Przede wszystkim stara się naśladować zapytania wyszukiwane przez ludzi, inteligentnie synchronizując fałszywe zapytania i dynamicznie rozwijające się zapytania, aby odzwierciedlić rzeczywiste wyszukiwania, zamiast używać statycznej listy słów.

Zaufanie w Cyberspace : Protokół Kim – Perrig – Tsudik

Kim zaproponował oparty na drzewie protokół grupowy DH , określany jako KPT. Zakłada się, że obliczenia klucza przebiegają wzdłuż gałęzi logicznego drzewa binarnego od liści do korzenia, przy czym liście reprezentują użytkowników. Każdy użytkownik wybiera losową liczbę całkowitą r(i) i rozgłasza αr(i). Użytkownik u(i) lub jego siostra u(j) może obliczyć klucz odpowiadający rodzicowi, jako αr(i)r(j) i rozgłosić aar(i)r(j). Proces jest powtarzany, aż zostanie obliczony klucz odpowiadający korzeniu, który utworzy klucz grupy. Jeśli penetrator zna co najmniej jeden klucz krótkoterminowy, to penetrator może obliczyć klucz grupowy. Stąd DPFS można obliczyć jako 1– (1 – p)n. Złamanie tajnego klucza pojedynczego użytkownika jest wystarczające do złamania klucza sesji.

Lean Customer Development : Zadajesz pytania, a nie budujesz czegoś

Klienci nie są przyzwyczajeni do zmiany kierunku produktów. Są przyzwyczajeni do tego, że sprzedawcy sprzedają, a nie pytają. Jest to podwójnie prawdziwe w obszarze oprogramowania dla przedsiębiorstw. O ile nie jesteś wyjątkowo jasny w swojej komunikacji, klienci będą interpretować Twoje pytania jako zobowiązanie do zbudowania czegoś. Postrzegają dema jako okno na to, co nadchodzi, a nie eksplorację tego, co jest możliwe. Aby zrozumieć wpływ potrzeby nadmiernej komunikacji, zastanów się, co by się stało, gdybyś był w swojej ulubionej pizzerii, a kierownik przyszedł zapytać Cię o burgery. Bez kontekstu prawdopodobnie podałbyś niedokładne odpowiedzi. Być może powiesz nie lub spieszysz się z odpowiedziami, ponieważ w tej chwili możesz myśleć tylko o pepperoni i czterech serach. Możesz też odpowiedzieć na podstawie swojej sytuacji weekendowej (kupowanie obiadu dla drużyny piłkarskiej Twojego dziecka pełnej wybrednych smakoszy), a nie sytuacji w ciągu dnia (obiady robocze z piwem i premium burgerami). Albo wracasz do restauracji, spodziewając się, że zobaczysz burgery w menu i denerwujesz się, jeśli nie zostaną podane. Możesz też unikać restauracji, zakładając, że jakość pizzy spadnie, gdy kuchnia zostanie podzielona na pizzę i hamburgery. Restauracja musiałaby wyjaśnić, dlaczego pytają, podkreślić, że uczą się od klientów, i wyjaśnić, że nie wprowadzono jeszcze żadnych zmian. Nawet jeśli twoja hipoteza nie jest całkowicie błędna, zostanie znacznie zmodyfikowana na podstawie rzeczywistych informacji zwrotnych, które otrzymujesz podczas tego procesu. Funkcje, które uważasz za najważniejsze, prawdopodobnie nie są najważniejsze dla klienta. Jeden klient będzie zachwycony funkcją, którą inni uważają za banalną. Twój nacisk nieuchronnie się zmieni i na pewno nie chcesz składać obietnic, których nie możesz dotrzymać. Nie chcesz też, aby klienci czuli, że powinni być uprzejmi. W wielu środowiskach biznesowych i kulturowych narzekanie jest postrzegane jako niegrzeczne lub nieprofesjonalne. Jak powiedział mi jeden z użytkowników Yammera: „Kiedy udzielam opinii w ankietach, staram się powiedzieć tylko tyle negatywnych rzeczy, ile mogę powiedzieć fajną rzecz, aby to zrównoważyć”. (Ups. Prawdopodobnie im gorszy jest twój produkt, tym mniej uczciwości otrzymasz od niej). Co to oznacza dla twojej rozmowy z klientami? Oznacza to, że musisz jasno zakomunikować trzy rzeczy:

  • Wyraźnie zaznacz, że jesteś tutaj, aby się uczyć
  • Stanowczo stwierdź, że wszystkie rozmowy mają charakter eksploracyjny
  • Pozwól klientowi złożyć skargę

Ważne jest, aby od samego początku jasno i stanowczo przedstawiać te punkty oraz powtarzać je w trakcie rozmowy.

Oto szablon, którego ostatnio używałem dla klientów Yammer:

W zespole produktu Yammer badamy kilka nowych pomysłów w obszarze _______. Aby mieć pewność, że mamy głębokie zrozumienie potrzeb naszych klientów, chciałbym umówić się z Tobą na kilka pytań i uzyskać informacje zwrotne na temat kilku wstępnych pomysłów. Mamy wiele możliwości podejmowania decyzji dotyczących nowych produktów, ale skorzystamy z Twojej wiedzy. Chciałbym zadać kilka pytań – nie więcej niż 20 minut – a następnie przeprowadzić Cię przez kilka bardzo przybliżonych slajdów prototypowych. Czy jesteś dostępny na 45-minutową rozmowę telefoniczną / spotkanie? Podkreśliłem niektóre z tych słów tutaj (nie w moim e-mailu), ponieważ chcę, abyś zobaczył, jak wplatam się w oczekiwanie, że jest to odkrywcze, używając słów, które sugerują odległą przyszłość. Służy to jako druga kwalifikacja; eliminuje klientów, którzy są zmotywowani proszeniem o konkretne ulepszenia planu działania. Nie warto rozmawiać z klientami, którzy mają plan, by naciskać na określoną funkcję. Kiedy klient zgodzi się na rozmowę wyjaśniającą, zacznę od wspomnienia, że ​​skierowaliśmy to zaproszenie tylko do ograniczonej liczby naszych najbardziej wizjonerskich klientów. Wydaje się, że to poczucie niedostatku zachęca do bardziej szczegółowych, głębokich informacji zwrotnych. Motywuje również ludzi do powstrzymywania się od udostępniania informacji innym klientom lub w mediach społecznościowych. (Twoi prawnicy prawdopodobnie będą chcieli, abyś podpisał NDA, zanim pokażesz cokolwiek klientom, niezależnie od tego).

Klienci nie są przyzwyczajeni do zmiany kierunku produktów. Są przyzwyczajeni do tego, że sprzedawcy sprzedają, a nie pytają. Jest to podwójnie prawdziwe w obszarze oprogramowania dla przedsiębiorstw. O ile nie jesteś wyjątkowo jasny w swojej komunikacji, klienci będą interpretować Twoje pytania jako zobowiązanie do zbudowania czegoś. Postrzegają dema jako okno na to, co nadchodzi, a nie eksplorację tego, co jest możliwe. Aby zrozumieć wpływ potrzeby nadmiernej komunikacji, zastanów się, co by się stało, gdybyś był w swojej ulubionej pizzerii, a kierownik przyszedł zapytać Cię o burgery. Bez kontekstu prawdopodobnie podałbyś niedokładne odpowiedzi. Być może powiesz nie lub spieszysz się z odpowiedziami, ponieważ w tej chwili możesz myśleć tylko o pepperoni i czterech serach. Możesz też odpowiedzieć na podstawie swojej sytuacji weekendowej (kupowanie obiadu dla drużyny piłkarskiej Twojego dziecka pełnej wybrednych smakoszy), a nie sytuacji w ciągu dnia (obiady robocze z piwem i premium burgerami). Albo wracasz do restauracji, spodziewając się, że zobaczysz burgery w menu i denerwujesz się, jeśli nie zostaną podane. Możesz też unikać restauracji, zakładając, że jakość pizzy spadnie, gdy kuchnia zostanie podzielona na pizzę i hamburgery. Restauracja musiałaby wyjaśnić, dlaczego pytają, podkreślić, że uczą się od klientów, i wyjaśnić, że nie wprowadzono jeszcze żadnych zmian. Nawet jeśli twoja hipoteza nie jest całkowicie błędna, zostanie znacznie zmodyfikowana na podstawie rzeczywistych informacji zwrotnych, które otrzymujesz podczas tego procesu. Funkcje, które uważasz za najważniejsze, prawdopodobnie nie są najważniejsze dla klienta. Jeden klient będzie zachwycony funkcją, którą inni uważają za banalną. Twój nacisk nieuchronnie się zmieni i na pewno nie chcesz składać obietnic, których nie możesz dotrzymać. Nie chcesz też, aby klienci czuli, że powinni być uprzejmi. W wielu środowiskach biznesowych i kulturowych narzekanie jest postrzegane jako niegrzeczne lub nieprofesjonalne. Jak powiedział mi jeden z użytkowników Yammera: „Kiedy udzielam opinii w ankietach, staram się powiedzieć tylko tyle negatywnych rzeczy, ile mogę powiedzieć fajną rzecz, aby to zrównoważyć”. (Ups. Prawdopodobnie im gorszy jest twój produkt, tym mniej uczciwości otrzymasz od niej). Co to oznacza dla twojej rozmowy z klientami? Oznacza to, że musisz jasno zakomunikować trzy rzeczy:

  • Wyraźnie zaznacz, że jesteś tutaj, aby się uczyć
  • Stanowczo stwierdź, że wszystkie rozmowy mają charakter eksploracyjny
  • Pozwól klientowi złożyć skargę

Ważne jest, aby od samego początku jasno i stanowczo przedstawiać te punkty oraz powtarzać je w trakcie rozmowy.

Oto szablon, którego ostatnio używałem dla klientów Yammer:

W zespole produktu Yammer badamy kilka nowych pomysłów w obszarze _______. Aby mieć pewność, że mamy głębokie zrozumienie potrzeb naszych klientów, chciałbym umówić się z Tobą na kilka pytań i uzyskać informacje zwrotne na temat kilku wstępnych pomysłów. Mamy wiele możliwości podejmowania decyzji dotyczących nowych produktów, ale skorzystamy z Twojej wiedzy. Chciałbym zadać kilka pytań – nie więcej niż 20 minut – a następnie przeprowadzić Cię przez kilka bardzo przybliżonych slajdów prototypowych. Czy jesteś dostępny na 45-minutową rozmowę telefoniczną / spotkanie? Podkreśliłem niektóre z tych słów tutaj (nie w moim e-mailu), ponieważ chcę, abyś zobaczył, jak wplatam się w oczekiwanie, że jest to odkrywcze, używając słów, które sugerują odległą przyszłość. Służy to jako druga kwalifikacja; eliminuje klientów, którzy są zmotywowani proszeniem o konkretne ulepszenia planu działania. Nie warto rozmawiać z klientami, którzy mają plan, by naciskać na określoną funkcję. Kiedy klient zgodzi się na rozmowę wyjaśniającą, zacznę od wspomnienia, że ​​skierowaliśmy to zaproszenie tylko do ograniczonej liczby naszych najbardziej wizjonerskich klientów. Wydaje się, że to poczucie niedostatku zachęca do bardziej szczegółowych, głębokich informacji zwrotnych. Motywuje również ludzi do powstrzymywania się od udostępniania informacji innym klientom lub w mediach społecznościowych. (Twoi prawnicy prawdopodobnie będą chcieli, abyś podpisał NDA, zanim pokażesz cokolwiek klientom, niezależnie od tego).

Ile Google wie o Tobie : Samokontrola

Kiedy surfujesz po Internecie, twoja przeglądarka jest w stanie podać tylko ograniczone informacje o twoich przeszłych działaniach za pośrednictwem funkcji historii. Wyobraź sobie, że masz możliwość śledzenia informacji, które ujawniłeś w ciągu tygodni, miesięcy lub lat. Dzięki ulepszonej funkcji historii – historii przeglądania na sterydach, jeśli chcesz – możesz monitorować dokładne ujawnienia w czasie. Takie podejście przyjęła badaczka bezpieczeństwa, Kulsoom Abdullah, tworząc prototypową wtyczkę do przeglądarki, aby monitorować zapytania wyszukiwania w czasie. Chociaż wtyczka Abdullaha jest prototypem, uważam, że podejście jest świetną obietnicą. Tworząc narzędzia, które umożliwiają użytkownikom samodzielne monitorowanie ich działań, podnosisz świadomość użytkowników. Dzięki temu ludzie mogą zrozumieć skalę ujawnianych informacji i odpowiednio regulować swoje działania. Zaletą tego podejścia jest to, że nie zagrażasz bezpośrednio modelowi biznesowemu firm internetowych. Zamiast tego po prostu zapewniasz użytkownikom jasny obraz i zwiększasz świadomość ich własnych działań. Aby rozszerzyć zakres pracy Abdullaha, uważam, że najlepsze rozwiązanie do samokontroli powinno obejmować nie tylko zapytania wyszukiwania, ale także wizualizacje i podsumowania większości rodzajów ujawnianych informacji, takie jak społeczny wykres e-maili dotykających kont Gmail i mapy pokazujące żądane wskazówki dojazdu. Google zapewnia funkcję Historii online, ale uważam, że podejście oparte na przeglądarce jest najlepsze. Odpowiednio zaprojektowane narzędzie może pokazywać ujawniane informacje we wszystkich odwiedzanych witrynach, być czysto zintegrowane z przeglądarką, chronić dane przechowywane lokalnie i unikać konieczności ufania stronom trzecim, takim jak Google. Z kolei narzędzie Historia online Google działa tylko w przypadku niektórych usług i wymaga utworzenia zarejestrowanego konta użytkownika oraz zainstalowania paska narzędzi Google w celu uzyskania zaawansowanych funkcji. Co ważniejsze, chociaż Historia online Google umożliwia użytkownikom zaprzestanie przechowywania ich aktywności i usuwanie elementów, usuwa informacje tylko z widoków użytkowników. Google nadal utrzymuje własny niezależny system logowania, „co jest powszechną praktyką w branży”. W związku z tym rejestrowanie może nadal występować pomimo naiwnego przekonania użytkownika, że ​​jest inaczej.

Ostatecznie chciałbym, aby duże firmy internetowe przodowały w dostarczaniu indywidualnym użytkownikom wzmacniających wtyczek, które obsługują samokontrolę i udostępniają wyniki jako projekty open source. Takie wtyczki pomogłyby użytkownikom w podejmowaniu świadomych decyzji o ujawnieniu informacji, zanim przekażą wrażliwe dane firmom internetowym. Oba te podejścia są rozwiązaniami dla jednego użytkownika. Organizacje mogą również potrzebować monitorowania swoich wspólnych działań. Obiecującym obszarem badawczym jest stworzenie narzędzia na poziomie organizacyjnym, które umożliwia samokontrolę w intuicyjny sposób. Taki system wywołałby zupełnie nowy zestaw obaw związanych z prywatnością, ale w niektórych przypadkach byłby uzasadniony, na przykład szpital, który stara się zapewnić informacje nie wyciekają do firm internetowych w wyniku zbiorowej działalności internetowej ich personelu.