URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 58463
[ Назад ]

Исходное сообщение
"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."

Отправлено opennews , 03-Сен-09 09:29 
Для людей, беспокоящихся о соблюдении конфиденциальности личных данных в сети, открыт (http://www.boingboing.net/2009/09/02/whattheinternetknows.html) сайт whattheinternetknowsaboutyou.com (http://whattheinternetknowsaboutyou.com/), на котором продемонстрировано несколько неисправленных уязвимостей в современных браузерах, дающих возможность получить доступ к истории посещений через манипуляции с CSS псевдоклассом ":visited (https://bugzilla.mozilla.org/show_bug.cgi?id=147777)". По заявлению разработчиков, задействованные на сайте уязвимости остаются неисправленными уже много лет. Подробное описание используемых методов можно найти в данной статье (http://whattheinternetknowsaboutyou.com/docs/details.html).

URL: http://www.boingboing.net/2009/09/02/whattheinternetknows.html
Новость: http://www.opennet.me/opennews/art.shtml?num=23268


Содержание

Сообщения в этом обсуждении
"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Vitaly_loki , 03-Сен-09 09:29 
Что-то не работает, не показывает где я серфил )

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено аноним , 03-Сен-09 09:44 
JavaScript Error
Statement on line 1: Undefined variable: start

с такими хацкерами можно не опасаться за свою приватность


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Аноним , 03-Сен-09 09:55 
Сайт просто выводит ссылки на кучу сайтов и если юзер их посещал, то, как каждая посещенная ссылка, они отобразятся фиолетовым и именно по этому цвету сайт и определит где был юзер.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Пипка , 03-Сен-09 21:50 
>Сайт просто выводит ссылки на кучу сайтов и если юзер их посещал,
>то, как каждая посещенная ссылка, они отобразятся фиолетовым и именно по
>этому цвету сайт и определит где был юзер.

Нет. Я на сайте ИТМО был и в IE и в FF, определился он только в FF.


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено SHRDLU , 03-Сен-09 10:28 
Работает, только непонятно по каким признакам определяет "топовость" посещенных сайтов. Так, вытащил в Top 5k websites сайты новотеки и кипа, захождения на каковые я вообще не помню в обозримом прошлом. Зато целый ряд сайтов, с которых я буквально не вылезаю, напрочь игнорирует.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено anonimous , 03-Сен-09 12:13 
у меня тоже самое, я узрел всего _7_ сайтов и со странным распределением популярности.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено mike lee , 03-Сен-09 10:35 
Opera 9.64:

Congratulations, we did not find anything in this category in your browser history.
Feel free to try our other browser history tests.


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Aleksey , 03-Сен-09 10:48 
Переставляли браузер?

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Аноним , 03-Сен-09 10:49 
Да уж, результат пара тройка сайтов типа гуглА, лайвжорнал, сорсфорж и ляликс.ком

Хрень полная.


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено dq0s4y71 , 03-Сен-09 11:05 
>Да уж, результат пара тройка сайтов типа гуглА, лайвжорнал, сорсфорж и ляликс.ком

Вот молодец! Сам все рассказал! ;)


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено User294 , 03-Сен-09 14:55 
И много вам это дало? Я вот например тоже заходил в течение этой недели на гугл. Все, я нереально запален этим фактом и теперь все обо мне все знают. Ужас! :)

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено аывф , 03-Сен-09 11:24 
>Да уж, результат пара тройка сайтов типа гуглА, лайвжорнал, сорсфорж и ляликс.ком
>
>
>Хрень полная.

Сам ты хрень полная. Из моих броузеров эта штука вытянула вполне подробную историю посещений.


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Tuxoid , 03-Сен-09 11:30 
Нихера оно ничего не вытянуло. Выдало мне cnn.com и fishki.net на которых я ни разу не был.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Alexey Vostrikov , 03-Сен-09 15:04 
Раз выдала, значит был :-)

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено User294 , 03-Сен-09 15:04 
>Нихера оно ничего не вытянуло. Выдало мне cnn.com и fishki.net на которых
>я ни разу не был.

А может вы просто о себе чего-то не знаете? :)


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Аноним , 03-Сен-09 11:25 
Х..та, а не ресурс. Из всей статистики посещений он выдал мне только гугл. В общем можно спать спокойно, пока у них руки прямо не отрастут.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Aleksey , 03-Сен-09 11:30 
Молодец. Только ты не учел, что он проверяет наиболее популярные английские сайты. А те, кто будет ориентироваться на россиян будет выбирать российские сайты. Данный сайт всего лишь демонстрирует возможности технологии, те кто их начнет использовать, поверь, будет получать более интересную для него выборку.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа"
Отправлено Аноним , 03-Сен-09 12:09 
Midori 0.1.9

Congratulations, we did not find anything in this category in your browser history.
Feel free to try our other browser history tests.


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Айнаним , 03-Сен-09 12:23 
Ведь и незакроиш дырку без потери юзабельности...

Скептикам - кто мешает цикл генерации ссылки(перебором) забить в это скрипт?
Долгое время перебора? - php скрипт на каждую запрашиваемую страницу с определённого IP будет владывать свою порцию для перебора...
Многие хвастаются что их браузер с открытой сотней вкладок весит третий месяц :)
Так что слопывание/зависание браузера - это не баг, а защитная фича :)


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Aleksey , 03-Сен-09 13:41 
Нашел расширение для FireFox'а, которое может помочь
https://addons.mozilla.org/ru/firefox/addon/1502
но оно работает только со старыми версиями. Но вдруг здесь кто-нить знает XUL и сможет обновить плагин.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Aleksey , 03-Сен-09 13:50 
Нашел другой (более простой, но подходящий) плагин - Link Status (https://addons.mozilla.org/ru/firefox/addon/12312). Для включения в настройках плагины выберете "Ignore :visited link style" и можете попробовать пойти на тот сайт и порадоваться.

P.S.: Ждем рецептов от пользователей других браузеров


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Аноним , 03-Сен-09 17:53 
А что нельзя чтоли, создать абсурдную ссылку которую пользователь точно не мог никогда пеосетить, типа http://fgfdhgfhfhfghdfhgf.fdgfdgfdg.fdghgh.com
Считать ее свойства и сравнивать их с нормальными обычными ссылками. И все у которых не совпадают свойства считать посещенными.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Aleksey , 03-Сен-09 18:17 
Нет, тот плагин вообще выключает свойство :visited для всех линков. Т.е. в общем у вас все ссылки перестанут отмечаться как посещенные, но зато и враги не узнают где вы шляетесь. :)

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Аноним , 03-Сен-09 18:32 
Да действительно проверил, у всех свойства одинаковые. Только это потом самому не удобно, где был не подсвечивает, только в статусе пишет дату.

кстати у них там опечатка в
    link_el.href = array[i];
наверное должно быть
    link_el.href = url_array[i];


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено nehxby , 03-Сен-09 13:59 
Все работает, там слева есть меню - по нему можно походить. В фул серч показал довольно много посещенных сайтов

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Анноним , 03-Сен-09 16:41 
Congratulations, we did not find anything in this category in your browser history.
Feel free to try our other browser history tests.

Мож потому что у меня куки отключены?


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Aleksey , 03-Сен-09 18:21 
>Congratulations, we did not find anything in this category in your browser
>history.
>Feel free to try our other browser history tests.
>
>Мож потому что у меня куки отключены?

Куки совершенно на это не влияют. Важно периодически стирать историю или не ходить на сайты, которые интересуют злоумышленника.


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Аноним , 03-Сен-09 14:35 
Первый раз показал самые наименее посещаемые, второй раз вообще завис...

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено zoonman , 03-Сен-09 14:57 
Знаете, а новость сама по себе не нова.
Очередная волна обсуждений была на http://xpoint.ru/forums/internet/security/thread/44178.xhtml в мае сего года.
Там приводился в пример другой сайт http://startpanic.com/

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено ьфыеукы , 03-Сен-09 15:15 
Реально какая-то хрень. Показало пару сайтов, на которые я по разу зашел. Зато на которых все время сижу - нет ...


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Aleksey , 03-Сен-09 15:26 
Еще раз для не понявших технологию. Он проверяет по сути url'ы которые были вбиты владельцем сайта. Т.к. сайты английские, то на них вбиты английские сайты. Можете не переживать - наши рекламщики позаботятся о том, чтобы задетектить именно российские сайты.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено mregor , 03-Сен-09 16:03 
>Еще раз для не понявших технологию. Он проверяет по сути url'ы которые
>были вбиты владельцем сайта. Т.к. сайты английские, то на них вбиты
>английские сайты. Можете не переживать - наши рекламщики позаботятся о том,
>чтобы задетектить именно российские сайты.

Какие английские? У меня нашло всего 3 url`a - http://translate.google.ru/?hl=ru&tab=wT,
http://www.google.ru/, http://www.mail.ru/. Ладно первые 2, но mail.ru - мало верится что за бугром про них кто-нибудь знает.


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Dethman , 03-Сен-09 16:17 
знают :)
там же кругом нащи ;)

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Аноним , 03-Сен-09 16:02 
Не знаю у кого как, а у меня http://startpanic.com/ показал 56 сайтов (включая его самого). А вот сайт означенный в новости не выдал ни фига почти. Справедливости ради отмечу - ически часто бываю на популярных англоязычных ресурсах.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено аноним , 03-Сен-09 17:06 
Да, неплохо. Среди всего остального показывает торрент трекеры и порнушные сайты. Ну фигли, это лечится css'кой, которая делает visited ссылки такого же цвета как обычные.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Aleksey , 03-Сен-09 17:18 
Ничего подобного. На :visited можно навешивать не только цвет, но и кучу других свойств. Единственный способ, видимо, полное игнорирование visited браузером. Для FF плагин, который это делает указан выше.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено аноним , 03-Сен-09 18:16 
> Ничего подобного. На :visited можно навешивать не только цвет, но и кучу других свойств.

По всей видимости, да.

> Единственный способ, видимо, полное игнорирование visited браузером.
> Для FF плагин, который это делает указан выше

Можете ткнуть? Не вижу.


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено аноним , 03-Сен-09 18:23 
>Можете ткнуть? Не вижу.

А, нашел.


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено pro100master , 03-Сен-09 17:23 
пришел папа-программист домой и зашел на этот сайт. Было больно :)))

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Аноним , 03-Сен-09 17:23 
У firefox есть режим приватного просмотра, при котором не должно сохраняться история посещений и всякие кукис. Ну или ручками каждый раз удалять.
Для того кто хочет быть анонимным, это должно быть правилом.

Помоему о том, что следует всегда удалять историю и кукисы для сохранения анонимности, даже на torproject, как часть инструкции, уже как сто лет написано, если мне память не изменяет.


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Logo , 03-Сен-09 17:27 
C Konqueror 4.3.1 (KDE 4.3.1) кто то пробовал? У меня ничего не выдает.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Veter , 03-Сен-09 19:19 
> C Konqueror 4.3.1 (KDE 4.3.1) кто то пробовал? У меня ничего не выдает.

Еще как выдает. Например, посещенные мною ресурсы по криптографии.


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Veter , 03-Сен-09 19:21 
Кстати, на опеннете кривой скрипт при ответе на сообщение - конк выдает вот что:

Open 'http://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi?az=po...'?
Type: plain text document

Собственно, веб-мастеру надо по рукам давать за отсутствие майм-типа для json-ответов.


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Logo , 03-Сен-09 21:58 
Нормально отобразил страницу.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Пипка , 03-Сен-09 21:49 
Это пиар MS. В FireFox определяется один сайт, в IE8 ничего не определяется.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Пипка , 03-Сен-09 21:59 
>Это пиар MS. В FireFox определяется один сайт, в IE8 ничего не
>определяется.

Нет, я дурак, в полной статистике тоже 1 сайт выдается.


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено pavlinux , 04-Сен-09 01:48 
Loading page...

NoScript - рулез


"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Аноним , 04-Сен-09 09:51 
NoScript это дело не рубит. visited отрабатывает.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Аноним , 04-Сен-09 14:08 
Показал youtube, google, habrahabr.

"Ресурс, демонстрирующий невозможность сохранения конфиденциа..."
Отправлено Антон , 24-Сен-09 23:00 
Давно заметил интересную особенность, некоторые рекламные сети, например, doubleclick.net, показывают рекламу релевантную последним поисковым запросам. Когда такое делает Google и Yandex дело понятное, но когда совершенно левая контроа - возникают вопросы. Сейчас специально проверил, поискал в Google на тему аэропортов и doubleclick показал баннер авиакомпании, поискал видеокарту - баннер уже про компьютеры. Совпадением это быть не может (проверял в другом окне, рефереров там не передавалось) и просто так cookie поисковика чужому сайту браузер не отдаст.