Исследователи из Принстонского университета изучили 10 тысяч самых популярных сайтов по рейтингу Alexa и
обнаружили (https://freedom-to-tinker.com/2017/11/15/no-boundaries-exfil.../), что на 1239 (https://webtransparency.cs.princeton.edu/no_boundaries/sessi...) из них применяются сторонние скрипты для анализа поведения пользователей, которые в реальном режиме времени отслеживают нажатия клавиш, прокрутку экрана, движения мыши и клики, передавая сведения на сайт аналитики до окончания заполнения и отправки web-форм. Впоследствии, оператор подобных систем аналитики может повторно прокрутить сеанс, воссоздав все действия пользователя на странице.Среди сайтов, на которых применяются скрипты для записи действий во время сеанса работы со страницей, такие ресурсы как yandex.ru, wordpress.com, microsoft.com, adobe.com, godaddy.com, avito.ru, spotify.com, livejournal.com, hp.com, skype.com, evernote.com, samsung.com, sberbank.ru, reuters.com, bitbucket.org, ibm.com, rbc.ru, intel.com, lenovo.com, ria.ru и digitalocean.com. Так как некоторые из рассмотренных систем аналитики в зависимости от настроек позволяют отключить детальное отслеживание действий пользователя во время сеанса, при построении списка оценивалось не просто присутствие кода счётчика, а именно определялся факт отправки меток.
При помощи фреймворка OpenWPM (https://github.com/citp/OpenWPM) был подготовлен краулер, который загружал страницу, симулировал действия пользователя через подстановку уникальной метки в HTML и отслеживал попытки отправить данную метку на сервер аналитики (возможность передачи метки в составе закодированного набора данных учитывалось через подстановку достаточно большого блока и оценки изменения размера передаваемых данных). Пользователи могут определить применение систем анализа сеансов лишь при помощи встроенных в бразуеры средств для web-разработчиков, так как сайты никак не информируют посетителей о записи их действий со страницей.
Самое неприятное, что рассмотренные системы отслеживания сеансов не только передают на сторонние серверы содержимое web-форм до их отправки на основной сайт, но и транслируют поля с номерами кредитных карт, адресами и другой персональной информацией. При этом все рассмотренные сервисы не передают сведения вводимые в полях для ввода паролей, а некоторые сервисы пытаются фильтровать данные кредитных карт. Сервисы Smartlook и UserReplay передают число символов в поле с паролем, а UserReplay последние 4 цифры номера кредитной карты. Сервис FullStory позволяет посимвольно восстановить ввод номеров кредитных карт на некоторых сайтах. Yandex, Hotjar и Smartlook предоставляют возможность входа в web-интерфейс аналитики по HTTP без шифрования.
Самыми навязчивыми исследователи назвали сервисы Yandex Metrika, FullStory, Hotjar и Smartlook, так как они по умолчанию обеспечивают запись ввода в полях форм. Но следует учитывать настройки конкретного сайта, например, в отчёте в общем виде указано, что Yandex Metrika передаёт на внешний сервер вводимые параметры кредитных карт и персональные данные, пропуская лишь значения в полях ввода паролей, но не для всех сайтов в списке это действует. Ручная проверка присутствующего в списке sberbank.ru показала, что отправляются только данные о кликах и прокрутке без передачи непосредственного содержимого web-форм.URL: https://freedom-to-tinker.com/2017/11/15/no-boundaries-exfil.../
Новость: http://www.opennet.me/opennews/art.shtml?num=47613
Выходит, без хорошего блокировщика рекламы и трекеров опасно вообще куда-либо заходить в современном Вебе?
выходит лишь то что авторы сайта делятся инфой +ещё и с другими людьми.....а насколько это опасно -- неизвестно, так как мы не знаем сколько всего человек с которыми автор сайта делится инфой (кроме описанного в новости). например по своим offline-каналам.
например если автор сайта делится инфой (через USB-флешку, прям загружая данные с сервера на неё) со сто разными компаниями.. и яндекс-метрика это всего лишь сто-первая компания. то значит нет особой разницы с точки зрения безопасности -- от кого именно из этих сто-одной компании произойдёт утечка к хакерам.
короче всё это находится на совести сайтостроителей. и вся ответственность есть только на них:-)
> выходит лишь то что авторы сайта делятся инфой +ещё и с другими людьми..Если это "лишь" - тогда и с нами поделись номером кредитки и паролями, чтоли.
Если тебе нужен номер кредитки чужого человека - возьми номер своей кредитки и измени пару цифр. Но смысл?
> Выходит, без хорошего блокировщика рекламы и трекеров опасно вообще куда-либо заходить в
> современном Вебе?во всяком случае, вводить личную информацию - да.
насколько ты считаешь опасной просто тотальную слежку, независимо от знания ей еще и твоих паролей/кредиток - дело твое. Вероятно, не считаешь, раз вообще возник вопрос.
> Выходит, без хорошего блокировщика рекламы и трекеров опасно вообще куда-либо заходить в современном Вебе?Выходит без хорошего блокировщика следящих систем опасно вообще в интернет заходить.
Не зря у нас ядекс с мылору заблокировали. :D
Верховна рада України — лучшый блокировщик рекламы и слежения в интернете. xD
Жаль что мусор с яндекса и мэйла всё равно в каждой проге сомнительного качества. Я-то у себя его давно не видел, опенсорсное всё, а вот у других, уу. Обидно за товарищей!
Этот мусор финансирует разработку бесплатного софта. Так что сними галки и не ной.
А вообще, яндекс - бледная тень сами знаете чего, т к даже притворного наличия некоего кодекса чести нет.
> даже притворного наличия некоего кодекса чести нетНу почему же, притворный есть. Помнится, когда гугля поймали на анализе содержимого почтовых ящиков для отображения контекстной рекламы, яндекс заявил, что такого у них не было и не будет. Кто-нибудь в курсе, кстати, это "не будет" уже закончилось, или всё ещё пытаются изображать честность?
> Кто-нибудь в курсе, кстати, это "не будет" уже закончилосьда зачем нам читать присланный тебе спам? Во-первых, мы его сами и писали.
Во-вторых, мы уже знаем о тебе все, включая твой любимый сорт пива (спасибо сберу).мы ж не гугль, у которого аналитика не дружит с почтой настолько, что одни к другим на территорию кампуса не имеют права попадать. Вот и приходится там каждому выкручиваться с тем, что имеет.
P.S. мэйлрушечка - читает, если что.
> Не зря у нас ядекс с мылору заблокировали.а гугля с мордокнигой - не заблокировали. Причем за первого еще не уверен, оне жадные, а вот за второго уверен 100%, что информацией он делится. С втентакликом в том числе.
При этом ее сбор поставлен гораздо гораздее, чем у паршивенькой фсбшной копии.> Верховна рада України — лучшый блокировщик рекламы и слежения в интернете. xD
да нет, такие же упыри как и в РФ.
Первый шаг к строительству чебурнета под прекрасными лозунгами вы уже сделали.Кстати, я бы рекомендовал проверить предложенным скриптом privat.ua. Потому что исследователям из той лавки он пох, и вряд ли они вообще знают о его существовании.
> а вот за второго уверен 100%, что информацией он делится.Мордакнига обещает поделиться со всеми ее пользователям инфой о том были ли они подписаны на акки с Савушкина/Ольгино - https://www.svoboda.org/a/28870574.html
а инфой про фсбшных крыс из лондонского офиса, блокировавших пачками по фейковым жалобам (да и видел ли кто-то кроме них те жалобы) акаунты определенной направленности, и не блокировавших эти фейки - не обещает.уж не говоря о том, чтобы провести расследование и уволить их к чертям.
хотя зарплату они явно в одной и той же кассе получали.
Господи, как приятно что меня нет в соцсетях. Столько го*на со всех сторон и все мимо пролетает...
Что такое соцсети?
> Господи, как приятно что меня нет в соцсетях. Столько го*на со всех
> сторон и все мимо пролетает...У тебя просто нет родственников, которые постоянно пытаются достать тебя втентакле в скупе и прочем ненужно.
С тех пор, как послал подальше всех так называемых "друзей" и "родственников", стал жить намного лучше. Сразу и денег стало хватать, и свободное время появилось, про нервы уж молчу. Единственно о чем жалею, что не догадался сделать этого раньше.
> С тех пор, как послал подальше всех так называемых "друзей" и "родственников",
> стал жить намного лучше. Сразу и денег стало хватать, и свободное
> время появилось, про нервы уж молчу. Единственно о чем жалею, что
> не догадался сделать этого раньше.Интересные у тебя отношения с "друзьями" и "родственниками". Смею предположить, что "друзья" вовсе не друзья а "родственники" разве что дальние.
Когда беда случится, сразу про них вспомнит. Паразиты они такие, да.
Вот именно потому что оказалось не на кого положиться в трудную минуту. Пока все хорошо - ты всем нужен, а как нужна помощь - так все по кустам. Вот я и задумался - а нафига мне такая игра в одни ворота? Я что, мазохист? По жизни знаю не одного безотказного "хорошего парня", которого все без стеснения юзают. А я вот расхотел таким быть.
> Вот именно потому что оказалось не на кого положиться в трудную минуту.
> Пока все хорошо - ты всем нужен, а как нужна помощь
> - так все по кустам. Вот я и задумался - а
> нафига мне такая игра в одни ворота? Я что, мазохист? По
> жизни знаю не одного безотказного "хорошего парня", которого все без стеснения
> юзают. А я вот расхотел таким быть.Согласен с вами, тоже сменил в направлении "друзей" точку зрения.. и действительно, времени стало больше.
> Согласен с вами, тоже сменил в направлении "друзей" точку зрения.. и действительно,
> времени стало больше.стало больше времени - для никого?
> Когда беда случится, сразу про них вспомнит. Паразиты они такие, да.Глядя на тебя - очень похоже. Кто еще кроме паразита будет пытаться навязать человеку неудобное и неприятное средство общения, типа вконтакта?
> У тебя просто нет родственников, которые постоянно пытаются достать тебя втентакле в
> скупе и прочем ненужно.Я объяснил родственникам и друзьям что меня там нет и для "доставания" следует использовать другие способы. Отлично работает, между прочим.
кроме соцсетей там за одним яндексом числится более 500 сайтов. от новостных, банков, порносайтов, гейские сайты даже есть thegay.com, игровые, киношные, торренты,магазины, для мам итд . В общем ничем не гнушаются, для сбора компромат на граждан Земли
>Верховна рада України — лучшый блокировщик рекламы и слежения в интернете. xDГугл уже заблокировали?
> Верховна рада України — лучшый блокировщик рекламы и слежения в интернете.Если вам кажется что дела идут хорошо, вы просто чего-то не заметили. Например, это: https://itc.ua/news/natsionalnaya-politsiya-i-kompaniya-micr.../
> Выходит, без хорошего блокировщика рекламы и трекеров опасно вообще куда-либо заходить
> в современном Вебе?Иногда выходит, что С блокировщиками ваще никуда зайдёшь или не увидишь того, что хотел увидеть.
> Иногда выходит, что С блокировщиками ваще никуда зайдёшь или не увидишь того,
> что хотел увидеть.вот вам, кстати, да: https://www.planet.com/products/planet-imagery/ - попробуйте тут подписаться на trial. Лучше через tor. Заодно о...ейте от того, какое количество треш-cdn'ов и хочу-все-знать-скриптов индусский разработчик уместил на одной-единственной странице с формой из одного-единственного поля во всю страницу.
> вот вам, кстати, да: https://www.planet.com/products/planet-imagery/ - попробуйте тут
> подписаться на trial. Лучше через tor.Ну, попробовал, и чего? CDNов там согласно umatrix-у есть, конечно, но это не мешает разрешить лишь полторы нужные на пару минут. Знаешь, это как с незнакомыми - лучше потратить минуту и резиночку натянуть, чем от гриппера лечиться.
> Ну, попробовал, и чего?из гуглоакка выйти забыл?
а то - ничего. В смысле, подписаться не получится.> CDNов там согласно umatrix-у есть, конечно, но это не мешает разрешить лишь полторы нужные на
> пару минут.какие из этих полутора десятков - нужные, и как ты это собираешься угадывать?
> Знаешь, это как с незнакомыми - лучше потратить минуту и резиночку натянуть, чем от гриппера
> лечиться.от того, что ты натянешь резиночку на кактус, твоей жопе приятнее не станет (а кактус никто не спрашивает).
да, можно не совать в жoпу кактус, конечно - но карты и деньги выдают только с кактусом в жопе.
> из гуглоакка выйти забыл?Почти. Я иногда завожу тестовые аккаунты гугля. Живут недолго, интересных данных там нет.
> а то - ничего. В смысле, подписаться не получится.
Да мало ли д-лов среди хипстеров?
> какие из этих полутора десятков - нужные, и как ты это собираешься угадывать?
Ну вот так. Кстати там их штук пять "всего" :)
> от того, что ты натянешь резиночку на кактус, твоей жопе приятнее не
> станет (а кактус никто не спрашивает).Это еще как сказать. Если ожидается кактус - пусть не обижается что его засунули в тоооолстый слой резины. И пусть там колет резину наздоровье, жалко чтоли.
> да, можно не совать в жoпу кактус, конечно - но карты и
> деньги выдают только с кактусом в жопе.Кактусов в твоей заднице будет ровно столько ты опробуешь своим окороком. А если тебе не нравится кактус - что мешает сидеть на кресле? Не колючем и удобном? Кроме собственной глупости или наивности?
>> вот вам, кстати, да: https://www.planet.com/products/planet-imagery/ - попробуйте тут
>> подписаться на trial. Лучше через tor.
> Ну, попробовал, и чего? CDNов там согласно umatrix-у есть, конечно, но это
> не мешает разрешить лишь полторы нужные на пару минут. Знаешь, это
> как с незнакомыми - лучше потратить минуту и резиночку натянуть, чем
> от гриппера лечиться.точно, uMatrix сила, его уже давно пора встроить в Firefox, он заменяет и антирекламные фильтры и трекеры и заодно понимаешь насколько убогие есть вебмастера у которых одна страничка грузится с 10-70 хостов...
Башку им оторвать за такие сайты.
Шрифты грузить с гугла или ajax скрипты это вообще тупизм полнейший.
Сами уже ничего не могут
Ничего себе вы с другой планеты... =)
Дык на то ж EasyPrivacy и создан.
> Дык на то ж EasyPrivacy и создан."Two commonly used ad-blocking lists EasyList and EasyPrivacy do not block FullStory, Smartlook, or UserReplay scripts. EasyPrivacy has filter rules that block Yandex, Hotjar, ClickTale and SessionCam."
А им в ответ
https://github.com/easylist/easylist/commit/e559d9c https://github.com/easylist/easylist/commit/0f9e24d https://github.com/easylist/easylist/commit/7161793
> А им в ответто есть, когда все желающие уже собрали на тебя плотненькое портфолио - эти тормоза таки их добавили в списки? Малацца, так держать.
imho, если блокировщик реагирует на критические строчки в свой адрес в широковещательных статьях, вместо того чтобы _проактивно_ отслеживать новые-модные тенденции (так чтобы авторы статей у _тебя_ брали этот список, как лучший из возможных), то ну его нaх такой блокировщик, и еще бы как-нибудь на досуге поинтересоваться, кто им платит.
(отдельный вопрос - зачем они вообще занимаются херней вида:
||google-analytics.com/analytics.js
||google-analytics.com/batch^
||google-analytics.com/collect
||google-analytics.com/cx/api.js
||google-analytics.com/ga_exp.js
вместо того чтобы заблокировать этот нужный и полезный сайт целиком. Вероятно, ровно для того же - чтобы когда выяснится, что гугль понаписал еще стотыщ скриптов, они два года их не блокировали.)
>вместо того чтобы заблокировать этот нужный и полезный сайтИ сломать тьму овносайтов.
>>вместо того чтобы заблокировать этот нужный и полезный сайт
> И сломать тьму овносайтов.э... name first two?
У меня аналитика редиректит на мой сервер - что у меня сломалось?вроде как из-за любви гугля к гуглю, этот чудесный сайт можно давить совершенно безнаказанно, в отличие от mc.yandex.ru, который, теоретически (на практике тоже не встречалось) может что-то ломать, например, в остальном яндексе.
К тому же он частично в списках чудо-скриптов, блокирующих телеметрию винды (ага, ms тоже любит ga) - и вроде тоже никто пока не жаловался.
https://forums.lanik.us/viewtopic.php?f=62&t=13270&p=48943&h...
https://forums.lanik.us/viewtopic.php?f=64&t=26326&p=80460&h...
https://forums.lanik.us/viewtopic.php?f=64&t=35453&p=113289&...
https://forums.lanik.us/viewtopic.php?t=5257&p=21477#p21570
https://forums.lanik.us/viewtopic.php?p=31831#p31831
https://forums.lanik.us/viewtopic.php?p=31808#p318081.5 минуты поиска по форуму изилиста.
https://adblockplus.org/forum/viewtopic.php?p=27886&sid=b6a1...
И забавные костыли лепили в свое время. Только не помогло.
"У меня" капли в океане: https://twitter.com/timberners_lee/status/511988109211627520
> 1.5 минуты поиска по форуму изилиста.я не понял, что именно ты искал.
Я спрашивал - какие сайты у меня сломались. А не о стараданиях этих изи-писи, по первой ссылке как раз очевидные последствия подхода "добавим каждый скрипт ga отдельно, вместо того чтоб заблокировать их целиком".> https://adblockplus.org/forum/viewtopic.php?p=27886&sid=b6a1...
единственное что я там понял - они умудрились сломать какой-то дерьмосайт с игрой-соревнованием секретарш из анекдота "такая фигня выходит". Я его открыл - вроде, на первый взгляд, все работает. Слева висит слово "advertisement", намекая, что я мог бы посмотреть их рекламу, и может быть принести им деньжат, если бы реклама не смотрела на меня.
Правда, возможно, в noscript есть спецзатычка - ga у меня еще и в untrusted.
> "У меня" капли в океане: https://twitter.com/timberners_lee/status/511988109211627520
э... а тут что не так без гуглоанала?
для этого создан ScriptSafe
Блокировщики реклама, EasyPrivacy... у вас есть /etc/hosts. Добавьте в него всё лишнее и живите спокойно. Вот вам в помощь https://github.com/StevenBlack/hosts
Шестой подвиг Геракла предлагаешь?
> Шестой подвиг Геракла предлагаешь?второй же ж.
> Добавьте в него всё лишнее и живите спокойно.Это, конечно, хорошо, есть даже более хорошие решения, можно даже скрипт написать. Одно НО не даёт покоя. Косметические фильтры сам будешь писать? Ну это ладно ещё, чёрт с ним. А блокировать отдельные ЖабаСкрипты как? А другие методы атак как отсекать?
А noscript поможет?
noscript поможет, но только старый
> А noscript поможет?Поможет javascript.enabled=false
>> А noscript поможет?
> Поможет javascript.enabled=falseот чего-то поможет( движения мышки и нажатия клавиш не будут никуда передаваться, потому что не будет работать xmlhttprequest), от чего то нет(картинки и шрифты будут всё равно грузится с яндекс и гугл, а значит они будут знать, что вы зашли в личный кабинет сбербанка!)
>>> А noscript поможет?
>> Поможет javascript.enabled=false
> от чего-то поможет( движения мышки и нажатия клавиш не будутон от всего поможет - только куда проще и быстрее просто закрыть браузер и идти со своей сберкнижкой стоять в очереди в ближайшей сберкассе, деды стояли и мы будем!
> а значит они будут знать, что вы зашли в личный кабинет
> сбербанка!)не, не будут, гарантия 100% - там форма логина, помнится, аж аяксовая (для более лучшей безопасности, конечно же) - так что никто никуда уже не зайдет ;-)
> Поможет javascript.enabled=falseНеудобно искать в куче настроек. Если бы был URL, включающий/отключающий, ещё куда не шло.
поможет только uMatrix, в котором заблокированы и джваскрипты и загрузка тупых шрифтов с гугла и стилей тоже, плагинов, медиа и xmlhttprequest. Разрешён только контент с сайта на который я зашёл и его поддоменов, все остальные идут лесом!
Я уже обращался в сбербанк, при нахождении личном кабине их сайта с сайтов гугла и яндекса происходят отслеживающие соединения. Но в сбербанке наплевать, что информация об их клиенте передаётся в рекламные компании, ну и мне плевать на сбербанк, у меня uMatrix установлен и всякие рекламные компании не видят, что я хожу по тем или иным страницам в Интернете
Ну, конечно, а самый главный мировой зонд - Google, который - в этот список почему-то не попал.
Совпадение? Не думаю!
> Ну, конечно, а самый главный мировой зонд - Google, который - в
> этот список почему-то не попал.Google Analytics не разбирает что пользователь делает во время сеанса и уже тем более данные из форм не заливает себе.
> Google Analytics не разбирает что пользователь делает во время сеанса и уже
> тем более данные из форм не заливает себе.по второму пункту поздравляю тебя совравши. соответственно, нет смысла верить тебе и по первому (яндекс раньше тоже ТАКОГО себе не позволял - ну, видимо, не стоят на месте, идут в ногу со врем...с зондами, заботливо внедряемыми w3c под мудрым руководством гуглезиллы)
>Google Analytics не разбирает что пользователь делает во время сеанса и уже тем более данные из форм не заливает себе.ню-ню. Такой большой, а в глупые сказки веришь.
>>Google Analytics не разбирает что пользователь делает во время сеанса
>>и уже тем более данные из форм не заливает себе.
> ню-ню. Такой большой, а в глупые сказки веришь.зочэм вэрыт? Рассказываэт!
> Ну, конечно, а самый главный мировой зонд - Google, который - в
> этот список почему-то не попал.
> Совпадение? Не думаю!может гугл спонсор исследований :)
Вообще, даже в личном кабинете сбербанка онлайн(https://online.sberbank.ru) есть ссылки и скрипты на гугл :
<noscript>
<iframe src="//www.googletagmanager.com/ns.html?id=GTM-NRDX7Z"
height="0" width="0" style="display:none;visibility:hidden"></iframe>
</noscript>
Есть даже комментарий в странице "<!--фэйковые поля логина и пароля. нужны чтоб особо умный google chrome не запоминал пароль -->"
Есть также ссылка на google-analytics.com/ga.js.
До появления JS интернет был лучше.
java script сам по себе ничего не делает,делают люди.
javascript, ecmascript просто гадость
а идея всё пихать в бандлы ваще суперская, хрен заблочишь работу скрипта
К счастью, мода на CDN'ы и желание сервисов мониторинга иметь возможность произвольной модификации скриптов пока не дают этой идее реализоваться.
> К счастью, мода на CDN'ы и желание сервисов мониторинга иметь возможность произвольной
> модификации скриптов пока не дают этой идее реализоваться.необходимо и достаточно собрать в бандл, к примеру, гoвноаналитику и гoвнокапчу - я в общем удивляюсь, почему гугл до сих пор не делает этого.
Наверное, разные отделы этого крысятника пока не могут между собой договориться.
Приходится бедным веб-кодерам реализовывать обходным путем.
Благо возможностей сделать, чтобы без ценного скрипта не работало ничего - мильен с тыщами.
> необходимо и достаточно собрать в бандл, к примеру, гoвноаналитику и гoвнокапчу -
> я в общем удивляюсь, почему гугл до сих пор не делает
> этого.У гугла более тонкие решения. BIG Data же, ну.
> У гугла более тонкие решения. BIG Data же, ну.ну может у нынешнего индусского гугля - я новостей последние несколько лет не слышал.
Но раньше говорю же - крысятник (а индусы его скорее расширют и углубют, чем наоборот). Сотрудники отдела анала невхожи даже на территорию отдела отсутствия интеллекта. Потому что сопрут булочку и нагадят в углу. Между руководителями среднего звена - война за ресурсы не на жизнь, а на смерть. Какое уж тут объединение кодов. И у каждого своя маленькая бигдейта, нетакаякаквсе.им, в общем, и того хватало - учитывая масштабы, нифига она и при этом не маленькая.
Как-то обратил внимание, что внутри (!) личного кабинета "Сбербанк-онлайн" присутствуют скрипты от google-analytics и googletagmanager. Гугловые зонды подключены, естественно, по https и чего они на самом деле выкачивают не знает ни кто.Я написал запрос в техподдержку Сбербанка с напоминанием об уголовной ответственности за разглашение банковской тайны и об ответственности за нарушения 152-ФЗ "О персональных данных". Ответ был потрясающим: не волнуйтесь, данная ситуация соответствует политике безопасности, принятой в Сбербанке.
Вот и думаю, если написать жалобу в Прокуратуру и ФСТЭК, может тогда до них дойдет, что внутренняя политика безопасности не может быть оправданием нарушений Федерального законодательства.
мм, надо покопать этот вопрос, я всегда за подгадить долбонутой компании, а сбер отлично подходит под эти критерии.
Оно бы хорошо, только у сбера всё куплено, а в контролирующих организациях лютая бюрократия.
> Оно бы хорошо, только у сбера всё куплено, а в контролирующих организациях лютая бюрократия.это вы зря. У сбера далеко не все куплено, жырные крысы очень любят в подходящий момент вцепиться друг-дружке в бок - посмотрите, как красиво сбер кинули с банкоматами в метро. (под которые они закрыли все мелкие офисы)
А еще и лютая бюрократия - когда спрятать ненужные документы под сукно могут только по прямому указанию самого главного начальника, в остальных случаях - поскольку каждая скрепка надписана и учтена, медленно, печально, но бумажка добирается по назначению. Так что если правильно, с соблюдением всех реверансов, стукануть куда надо - очень может быть, что очередного недоумка, нанятого ими уеб-дизайнером, в конце-концов уволят, а начальник останется без 13й зарплаты.
другое дело - а зачем улучшать сбер?
> Вот и думаю, если написать жалобу в Прокуратуру и ФСТЭК, может тогда
> до них дойдет, что внутренняя политика безопасности не может быть оправданием
> нарушений Федерального законодательства.Обязательно пиши. Лучше побыстрее, пока банковскую тайну не отменили.
> Как-то обратил внимание, что внутри (!) личного кабинета "Сбербанк-онлайн" присутствуют
> скриптыэто обсуждалось еще в 2014 году. ты "тот самый" кто нашел это? ты за три года так и не смог решить что делать?
http://txt.newsru.com/finance/22nov2017/stolenid.html тут пишут, что Роскомнадзор более отзывчивое ведомство, поскольку дело касается сохранности персональных данных.
> сохранности персональных данных.Сохранности на территории государства. Всё остальное так же как и везде.
> Как-то обратил внимание, что внутри (!) личного кабинета "Сбербанк-онлайн" присутствуют
> скрипты от google-analytics и googletagmanager.При встрече с СБ-о поспрашиваю
https://packages.debian.org/src%3Arequestpolicy
в моём
https://packages.debian.org/src%3Afirefox-esr
... , если не забуду.
> написать жалобу в Прокуратуру и ФСТЭККонтролем исполнения закона о ПД вроде бы занимается РКН, а не ФСТЭК.
> Ответ был потрясающим: не волнуйтесь, данная ситуация соответствует политике
> безопасности, принятой в Сбербанке.А что тебя удивляет? Сбербанк всегда так работал.
Линуксоиды такие смешные --- старательно огораживаются от всяких анализаторов использования и прочей телеметрии, а потом жалуются, что их нигде не учитывают и вечно что-то ломают. Как же потребности параноиков учитывать, если о них некак узнать? Визор --- офигенный инструмент; открываешь и смотришь видео, как пользователь тыкал, где застрял; помогает решить, как улучшить сайт. А получается, что в визоре видны преимущественно "блондинки", потому что продвинутые пользователи от него скрываются. И как после этого удивляться тому, что веб деградирует?
лет 10 назад интернет клубы сидели на дайлапе по 10 компов играли в онлайн игры, параллельно кто-то качал в казе порнуху, и всё работало, а щас что ? обычный сайт весит как порнуха 2000 годов
современные сайты - порнуха в плохом смысле
Хороших в техническом плане сайтов совсем не осталось?
ну опеннет 12 год на нём, вроде норм
Две версии главной страницы. Две версии комментов.
Это не то, чему следует подражать.
> Две версии главной страницы. Две версии комментов.
> Это не то, чему следует подражать.)) я без ввв
Больше я в 2001 году универ закончил опеннет уже был.
в курсе, внизу как бы дата висит Created 1996-2017 by Maxim Chirkov
> Больше я в 2001 году универ закончил опеннет уже был.Что ж тебя даже в универе не научили знаки препинания использовать?
Веб начал деградировать, когда на него стали добавлять рекламу и трекеры. А ещё кучу ненужных анимаций а текста всего на две строчки, остальное повторяющиеся менюшки, повторяющиеся по три раза кнопочки, анимации; это называется нынче "дизайн", но он абсолютно безвкусный. Просто разработчикам наконец нужно понять одно простое правило: контента больше, всего остального поменьше и не нужно будет ничего анализировать. С перегруженного элементами управления сайта я и сам уйду, и не учтёт меня никто, кроме того, что я там был.
> Веб начал деградировать, когда на него стали добавлять рекламу и трекеры.то есть сразу, как перестал быть хипс...тогда это так не называлось, но в общем поделкой для странных гиков, ниасиляторов каталогов gopher (может, эти извращенцы еще и бороды брили?).
В 95м году на альтависте уже во всю были рекламные баннеры. В 98м они были уже настолько везде и всюду, что мы начали придумывать как их резать.
В 99-м, глядя на диск с логами баннерной сети, мы уже озадаченно чесали репу, понимая, какого именно рода информацию с него можно добыть (еще не понимая, правда, где тут деньги).> А ещё кучу ненужных анимаций а текста всего на две строчки,
это 94й. Правда, сегодня это css свойства, а тогда был моден атрибут blink, color=red, дергающиеся гифки это 96й, тормозной дрыгающийся жабоаплет 98й, в 99м уже было принято все делать на флэше. Видишь как легко спалиться вчера-родившемуся, рассуждающему о "добрых старых временах"?
> С перегруженного элементами управления сайта я и сам уйду, и не учтёт меня никто, кроме того,
> что я там был.мы знаем что ты там был, откуда и по какому поводу пришел, часто знаем куда именно ушел (ga/баннеры/script cdn'ы тебя отследят даже если ушел, вручную открыв другой url).
Неужели ты думаешь, что эта информация, даже в таком виде, неинтересна владельцу сайта, товарищу майору, гуглю и аллах еще ведает кому?
Вопрос: когда в мелкобраузерах вроде qutebrowser, luakit, epiphany и qupzilla будут средства блокировки трафика на третьесторонние ресурсы вроде расширения RequestPolicy для firefox'а? Как без них блокировать это безобразие превентивно?
В qupzilla же есть adblock, остальные не пробовал
The Verge отмечает, что существование такой возможности определить примерное местоположение устройства, даже если из него извлечь SIM-карту может неприятно удивить тех, кто хотел бы скрыть, где находится. Также не исключено, что эта функция может заинтересовать хакеров.
Издание Register сообщило, что это был вброс через газету Quartz, проспонсированный компанией Oracle. Никаких фактов не было предоставлено, просто голословные заявления от имени журналист. Все их доказательства сведены к какому-то левому скриншоту, набор цифр на котором якобы данные о базовой станции. https://www.theregister.co.uk/2017/11/22/google_oracle_locat.../Любой мобильный учитывает местоположение при выборе базовой станции. А про SIM-карту вообще бред, если отправил данные авторизации в Google, то подключен через Wifi, а в этом случае известен IP-адрес точки доступа и можно примерно с той же точностью вычислить местоположение по IP.
> а в этом случае известен IP-адрес точки доступа и можно примерно с той же точностью вычислить
> местоположение по IP.наивный! Как мы, по-твоему, вычисляем местоположения самих точек доступа? Включая те, которые в закрытых помещениях, где от gps толку ноль.
хотя, конечно, нам приятно узнать о существовании лохов, зачем-то вынимающих из мабилы симкарту, оставляя включенным gsm-модуль, вместо того чтобы сделать с точностью наоборот.
>> а в этом случае известен IP-адрес точки доступа и можно примерно с той же точностью вычислить
>> местоположение по IP.
> наивный! Как мы, по-твоему, вычисляем местоположения самих точек доступа? Включая те, которые
> в закрытых помещениях, где от gps толку ноль.
> хотя, конечно, нам приятно узнать о существовании лохов, зачем-то вынимающих из мабилы
> симкарту, оставляя включенным gsm-модуль, вместо того чтобы сделать с точностью наоборот.в таких случаях ношу с собой холодильник )))
> в таких случаях ношу с собой холодильник )))меня заставляют оставлять его на парковке :-(
> в таких случаях ношу с собой холодильник )))T-800, залогинься!
> хотя, конечно, нам приятно узнать о существовании лохов, зачем-то вынимающих из мабилы
> симкарту, оставляя включенным gsm-модуль, вместо того чтобы сделать с точностью наоборот.Без симкарты модуль пролетает - он не знает к какой сети он принадлежит. Поэтому не имеет права соваться вообще никуда. Абсолютный максимум который можно без симкарты - экстренный звонок 112. И тот зачастую без симкарты не срабатывает. В таком виде вреда от модуля минимум - он в сети даже не пытается регистрироваться.
> Без симкарты модуль пролетает - он не знает к какой сети он принадлежитему и не надо. МЫ знаем, какой сети принадлежат (и заодно - где расположены, с точностью в метры) базовые станции, которые он видит - и умеем у него спросить, что именно ему видно. А он, даже без симкарты, умеет отдать эту информацию.
сольем мы ее себе, если нам тоже интересно где он был - потом, через wifi.
> - и умеем у него спросить, что именно ему видно.Сотовые сети не передают данные для тех кто в сети не зарегистрировался. Хотя если это было о том что ведроид может смотреть какие БС вокруг а потом слить награбленное гуглу через допустим вайфай - ок, это возможно. Насколько конкретный модем операбелен без симкарты на предмет посмотреть ID бсок вокруг - зависит от. Многие модемы без SIM не хотят делать вообще ничего.
> А он, даже без симкарты, умеет отдать эту информацию.
Это кто как на самом деле, зависит от модема и прошивки.
> сольем мы ее себе, если нам тоже интересно где он был - потом, через wifi.
Айпитаблеса на вас нет.
> Насколько конкретный модем операбелен без симкартывсе современные gsm-модули в soc, имеющиеся в широком доступе. Патамушта 911 - требование сертифицирующих органов.
>> сольем мы ее себе, если нам тоже интересно где он был - потом, через wifi.
> Айпитаблеса на вас нет.конечно нет. Ты же не собрался себе заблокировать - гугл (что само по себе интересное занятие, у нас много адресов, даже очень много)?
А различить траффик внутри ssl (да еще и с pkp, чтобы твои любопытные глазки не могли подсмотреть ничего лишнего) ты не сможешь.
Ну дык нет ничего в этом удивительного. Капиталисты хотят соблюсти свою огромную норму прибыли в несколько сотен (а то и тысяч) процентов. И ничто сейчас не даст такой прибыли, окромя всяких незаконных гадостей, как торговля сведениями о людях. Давно уже посчитали, сколько сведения о каждом из нас стоят. Если оптом, то не так уж и много -- весьма мало, прямо скажем, если ничем особым не выделяетесь и за вашими данными не гоняются.Так что сейчас самый ценный товар -- личные сведения. С сим и поздравляю тех, кто только что проснулся :)
Ну не может быть так, вот эти все сборщики статистики они все плохие, так не бывает. Скорее всего 70% кода все выше перечисленных сайтов криво написано и только по этому они передают что то лишнее. Лепят счетчики куда попало.
Товарищ из гугл, перелогиньтесь.
Одно другому не противоречит.
А кто-нибудь в курсе, насколько хорошо режет "статистику" прикладушка ДрВеба - оно понятно, что тот еще свою собирает для кого-надо - но лучше быть под лупой одного "кого-надо", чем жить в стеклянной бане...
А просто блокировать без лупы "кого надо" теми же uBO/uMatrix - религия не велит?
Use Privacy Bager, Luke.
На сегодня выход только один - VM + браузер внутри, с которого и только с которого заходить на сайты, влекущие оплату. Причём судя по уязвимостям, для каждого сайта - своя VM (ну, или докер).
фу таким криворуким быть. vm одна. автооткатываемая на снапшот с чистой исторей, профилем и всякими dom storage.
cvc... Как мило((( Правила блокировки надо будет чуточку пересмотреть. Самое забавное, что как раз там, где надо вводить такие данные, страница с блокировщиком нормально не работает. >_<
> cvc... Как мило((( Правила блокировки надо будет чуточку пересмотреть. Самое забавное,
> что как раз там, где надо вводить такие данные, страница с
> блокировщиком нормально не работает. >_<потому что антифрод работает ровно так же. но облегчает жизнь то, что он точно не гуглоаналитика (потому что ему надо срабатывать по факту, а не собирать тихо статистику - иначе кто-то попадает на бабки) - то есть если в списке заблокированных скриптов ты не видишь что-то хорошо тебе знакомое - значит, их, скорее всего, можно разрешить.
А вообще, конечно, было бы неплохо стучать на такие сайты куда следует. Теоретически, visa на такое реагирует.
> bitbucket.orgТак вот почему он без яваскрипта и/или с микроматрицей и/или с носкриптом не работает совсем - нужно же вынудить пользователя завайтлистить слежку!
yandex.ru sberbank.ru avito.ru livejournal.com rbc.ru ria.ru- Вот и все "персональные данные", в понимании чекистов