Uma outra abordagem para permitir privacidade ou anonimato e prover certo nível de personalização é o uso de pseudônimos. Esse método consiste basicamente em criar para os usuários nomes fictícios que poderiam disfarçar a identificação real do usuário, o que permite que sites possam disponibilizar um serviço personalizado.
Os sites Web de e-commerce desempenham um papel crescente na Internet na área de comércio eletrônico, o qual possui um grande potencial a ser aproveitado. Entretanto, para que esses sites tenham crescimento é necessário que seus clientes os acessem de maneira fácil, segura, anônima e pessoal. Para isso, é necessário que sejam usadas algumas ferramentas que beneficiem ambos, que permitam que os proprietários dos sites Web construam seus sites de uma forma que possam melhorar suas vendas on-line, sem que os usuários tenham sua privacidade prejudicada.
O ideal para a navegação do usuário é a conciliação entre os seus interesses, representados pela privacidade de suas informações, e os interesses dos sites, como a coleta de informações para aplicação de personalização e de outras técnicas. Introduzir uma combinação que alie esses dois interesses, navegação anônima e coleta de informação, foi denominado “navegação Web personalizada anônima” [8].
O anonimato na navegação Web se apresenta como dois aspectos importantes, anonimato de conteúdo de dados e anonimato de conexão. Anonimato de conteúdo de dados significa que a identidade do usuário não é revelada pelo conteúdo de qualquer fluxo de dados entre usuários e sites Web, sem deixar de obedecer ao protocolo HTTP. Anonimato de conexão significa que não é possível identificar os usuários pelos aspectos que envolvem suas conexões; a análise desses aspectos pode ser efetuada por sites Web, por bisbilhoteiros e por outros intrusos [83].
Atualmente apresentam-se diversas ferramentas que implementam esse mecanismo. Mas Janus Personalized Web Anonymizer [8] será apresentado por ser o primeiro sistema existente que permite aos usuários navegarem na Web com personalização e anonimato. Esse sistema foi desenvolvido e é conhecido atualmente por Lucent Personalized Web Anonymizer [84]. Nessa versão atual, o proxy Janus é dividido em três componentes: gerador de pseudônimos, proxy de navegação e encaminhador de e-mail. A ferramenta original é detalhada, pois outros sistemas da mesma abordagem seguem a mesma base de sua estrutura e sua arquitetura.
Janus atua como uma entidade intermediária, um proxy, entre o usuário e um site Web. A privacidade e identificação na navegação dos usuários são viabilizadas pela geração automática de apelidos por esse proxy. Tais apelidos permitem ao usuário fazer o login em sua conta através de um pseudônimo que esconde a sua verdadeira identidade [8]. Normalmente, esse apelido é um nome de usuário, uma senha e um endereço de e-mail. Cada usuário possui um apelido diferente de qualquer outro usuário, e esse apelido é apresentado toda vez que um determinado usuário deseja acessar um site particular.
O usuário, sem nenhuma ferramenta de anonimato e privacidade em sua navegação, cria nos sites em que acessa contas com nome de usuário e senha e e-mails que não expressam realmente a sua identidade. Além disso, todas essas contas e e-mails são diferentes uns dos outros. O mecanismo Janus retira do usuário todo esse trabalho de invenção e memorização desses nomes de usuário e senhas seguras para os sites. Ele também realiza o trabalho de inserção de tais nomes de usuário e senhas a toda vez que o usuário retorna a algum site Web. Para o usuário poder navegar através do sistema, é necessário que ele inicie uma sessão de navegação no Janus. Para isso, ele deve fornecer uma vez uma única identificação de endereço de e-mail e um segredo. Através dessa entrada do usuário, o sistema Janus gera todos os apelidos durante aquela sessão. O segredo pode ser considerado como a senha universal do usuário para todas as contas de site Web do usuário, e não é necessário que esse segredo seja único globalmente para todos os usuários de Janus.
O sistema, por um critério de privacidade, não mantém qualquer informação sobre os seus usuários. Não é possível identificar quem atualmente está em uma sessão de navegação. Apelidos para endereços de e-mail também são fornecidos por Janus. Esses apelidos se apresentam da forma “alias-email@hostname”, em que “hostname” é uma máquina intermediária confiável e que faz parte desse sistema, e “alias-email” é uma string que esconde a identidade do usuário e permite ao sistema obter o endereço de e-mail real do usuário. Essa troca de e-mail anônima entre um usuário e um site Web é realizada pelos mecanismos que Janus fornece [8].
Para assegurar que nenhuma informação comprometedora da privacidade seja transferida, o proxy Janus filtra o fluxo de dados do navegador do usuário [8]. Um site Web desconhece que um usuário está acessando-o por meio de um proxy como esse.
A tradução de nomes é o centro da navegação Web personalizada anônima. O endereço de e-mail do usuário e o seu segredo são transformados em um apelido que possa cumprir um número de propriedades, como anonimato, consistência, discrição, exclusividade de apelido e proteção da criação de dossiês (fichas). Uma função criptográfica é usada para
manter o anonimato, e a função Janus é utilizada para realizar o processo de interação personalizada [8].
O proxy Janus se localiza em cada máquina de usuário. Esse proxy realiza a função de Janus e é responsável também pela filtragem do fluxo de dados do usuário que se comunica com um site Web. A filtragem é efetuada nas mensagens HTTP e possivelmente nos cookies enviados pelo navegador do usuário. Um navegador do usuário deve ser configurado para conectar ao proxy Janus e passar todas as suas mensagens de comunicação através desse proxy. A figura 12 [8] exemplifica o funcionamento do sistema Janus, demonstrando uma situação com dois usuários, Anne Miller e John Smith, e dois sites Web, jornal Wall Street e New York Times.
Acompanhando a exemplificação da figura 12, pode-se verificar que um usuário, quando realiza um primeiro acesso a uma página Web que necessita de autenticação, terá sua comunicação intermediada pelo sistema Janus, o qual automaticamente reconhece a situação de login. Desse modo, ele responde mostrando no próprio navegador do usuário um formulário de autenticação do usuário no sistema Janus, com campos de nome de usuário e de segredo.
Figura 12. Exemplo de funcionamento do sistema Janus, criação e autenticação automática de contas de usuário.
A autenticação no sistema pelo usuário John com id2 e S2 é efetuada através do envio de dados pelo navegador do usuário para o proxy Janus. Visto que essa sessão é iniciada e finalizada pelo usuário, somente lhe são mostradas as páginas requisitadas explicitamente.
Depois de realizar a autenticação do usuário, ele pode continuar a navegação normalmente através do protocolo HTTP, encaminhando a página inicialmente requisitada. Uma requisição de usuário poderá conter informações pessoais no cabeçalho HTTP e cookies de suas mensagens, o que leva o sistema Janus a realizar uma filtragem desses pacotes antes de encaminhá-los para os sites.
Quando o usuário acessa pela primeira vez um site que necessita de autenticação, o site disponibiliza uma página de criação de conta, um formulário com nome de usuário, senha e um endereço de e-mail. Desse ponto, o usuário somente insere strings de fuga compreensíveis para Janus, como “\U” para nome de usuário, “\P” para senha e “\@” para endereço de e-mail. Com o nome de usuário (id2), o segredo (S2) e a parte do nome do domínio do site, o sistema gera um pseudônimo de nome de usuário e pseudônimo de senha para o site. No caso de John Smith, u1, p1 e o site New York Times.
Em visitas subseqüentes de um usuário a sites que passaram por esse processo, o usuário responderá sempre as páginas de autenticação com as strings de fuga “\U” e ”\P”. Desse modo, o sistema Janus gera e envia automaticamente u1 e p1, no caso de John.
O sistema Janus é construído com o objetivo de fornecer anonimato de conteúdo de dados na navegação Web. Se a rede permite rastrear as conexões, então o sistema Janus não tem utilidade. Assim, sugere-se que a comunicação entre um usuário e um site Web se faça sobre uma rede de comunicação anônima. Esforços de pesquisa e implementação para tais redes anônimas estão sendo realizados a fim de possibilitar uma maior segurança para a privacidade do usuário [83].
A figura 13 [8] descreve uma configuração do proxy Janus. Nela, ele está localizado fora do próprio computador do usuário. Na figura, um conjunto de usuários está localizado em uma Intranet confiável atrás de um firewall e o proxy Janus se localiza no firewall. Se o número de usuários atrás do firewall é suficientemente grande, então o proxy Janus pode se tornar um alvo potencial de ataque de bisbilhoteiros e outros usuários maliciosos.
Na conexão entre um proxy Janus e um site Web, são transmitidos os apelidos dos usuários. Um bisbilhoteiro que observa essa conexão pode obter um apelido de usuário e então, subseqüentemente, usá-lo para acessar um site Web particular e assumir o caráter de outra pessoa.
Assim, é evidente a necessidade de segurança nesse proxy, pois a sua corrupção possibilitaria o acesso a uma identidade de usuário ou às identidades dos usuários e seus respectivos pseudônimos.
Figura 13. Configuração do sistema Janus com proxy para uma Intranet.