The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Firefox реализовано отложенное выполнение стороннего кода отслеживания перемещений

21.12.2017 08:56

В опубликованном в ноябре выпуске Firefox 57, помимо появления опции для блокирования внешних блоков, занесённых в чёрный список disconnect.me, без упоминания в списке изменений была добавлена ещё одна полезная функция для снижения негативного влияния внешнего кода. В браузере была переработана логика построения очерёдности загрузки контента, в результате чего сторонний JavaScript-код и изображения, связанные с отслеживанием поведения пользователя и перемещений между сайтами, стали загружаться в самую последнюю очередь и только после того как загрузится остальное содержимое. Также были добавлены настройки, позволяющие загружать подобный код не сразу, а после определённой задержки (network.http.tailing.delay-quantum-after-domcontentloaded и network.http.tailing.delay-quantum в about:config).

Метод отложенной загрузки применяется для счётчиков, web-систем аналитики, iframe-блоков, виджетов социальных сетей, рекламных блоков и изображений, уличённых в отслеживании пользователей вопреки установке заголовка Do Not Track и занесённых в чёрный список disconnect.me, который также применяется в системе блокирования отслеживания перемещений. Загрузка подобных компонентов откладывается до завершения загрузки всех остальных ресурсов страницы, если не истёк таймаут, установленный по умолчанию в 6 секунд (network.http.tailing.delay-max в about:config). Отложенная загрузка применяется только для скриптов, добавляемых динамически или определённых с флагом async, а также для всех счётиков-изображений. Для отключения отложенной загрузки, которая включена по умолчанию, в about:config предусмотрен параметр network.http.tailing.enabled.

В большинстве случаев предложенный метод позволяет визуально ускорить появление страницы, так как счётчики и код для отслеживания не мешает загрузке основных частей, но также наблюдаются и аномалии. Например, страницы, использующие Page-Hiding Snippet от Google, стали показываться с задержкой, оставаясь пустыми в течение нескольких секунд, так как в них применяется скрытие ("opacity: 0") контента до окончания загрузки всех элементов страницы. Если на подобных страницах имеются компоненты, загружаемые с сервера Google Analytics или виджеты социальных сетей, то они отображаются после существенной задержки. Другим примером являются страницы, на которых используется обращение к API виджетов (например, Twitter API), полагаясь на то, что код виджета успеет загрузиться раньше, чем будет выполнен вызов API.

  1. Главная ссылка к новости (https://www.janbambas.cz/firef...)
  2. OpenNews: Некоторым пользователям Firefox навязано непонятное дополнение Looking Glass
  3. OpenNews: В Firefox 58 будет запрещён прямой переход на URL "data:"
  4. OpenNews: В Firefox планируют выводить предупреждение при посещении ранее взломанных сайтов
  5. OpenNews: Выпуск Firefox 57 с многопоточным CSS-движком и новым оформлением
  6. OpenNews: В Firefox 57 появятся средства для блокирования отслеживания перемещений
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47778-firefox
Ключевые слова: firefox, privacy
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, name (??), 09:32, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    А я думаю почему у меня JIRA тикеты в новом FF постоянно плывут, а это оказывается улучшение!
     
     
  • 2.48, Аноним (-), 21:20, 24/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ваши JIRA-тикеты содержат код, отслеживающий пользователя?
     
     
  • 3.50, name (??), 14:26, 25/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    нет, причём именно Firefox, читайте новость внимательнее: "но также наблюдаются и аномалии."
     

  • 1.2, Greg KH (?), 09:36, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    да просто заблочить все эти гуглоаналитики и счетчики через hosts и дело в стороне! чего выдумывать то.
     
     
  • 2.4, istepan (ok), 10:05, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    У некоторых будет ждать ответа до ошибки по таймауту.
    Плохое решение.
     
     
  • 3.7, anon2 (?), 10:33, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +11 +/
    заблочил на роутере но по моим наблюдениям этот эффект ожидания появляется на ресурсах имеющих высокий уровень вредоносности начиная от содержимого реклам и кончая скрытыми установками вредоносных дополнений и другой малвари. Так что где зависает то просто закрываю вкладку, в 99% случаев там ничего хорошего.
     
  • 3.10, Greg KH (?), 12:22, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    так если перенаправить на 127.0.0.1 - оно будет быстро ошибку получать. Разьве нет? У самого в hosts кое-что напихано
     
     
  • 4.11, Andrey Mitrofanov (?), 13:00, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > так если перенаправить на 127.0.0.1 - оно будет быстро ошибку получать. Разьве
    > нет? У самого в hosts кое-что напихано

    Да. http://www.opennet.me/openforum/vsluhforumID3/106702.html#9

     
  • 4.18, user (??), 14:05, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >127.0.0.1

    facepalm

    0.0.0.0

     
  • 4.24, Аноним (-), 14:58, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Есть ли хоть одна причина использовать 127.0.0.1 вместо 0.0.0.0?

    127.0.0.1 требует таймаута, 0.0.0.0 моментально будет отбивать т.к. невалидный адрес плюс не влияет на машины разработчика у которого на локалхосте уже что-то крутится

     
     
  • 5.27, Andrey Mitrofanov (?), 15:08, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть ли хоть одна причина использовать 127.0.0.1 вместо 0.0.0.0?

    А наоборот?

    > 127.0.0.1 требует таймаута,

    Та ты чё??!

    user@ghost:~$ time wget --no-proxy https://www.google-analytics.com -O /dev/null
    --2017-12-21 15:03:23--  https://www.google-analytics.com/
    Распознаётся www.google-analytics.com (www.google-analytics.com)... 127.0.0.1
    Подключение к www.google-analytics.com (www.google-analytics.com)|127.0.0.1|:443... ошибка: В соединении отказано.

    real    0m0.400s
    user    0m0.380s
    sys     0m0.020s
    user@ghost:~$ time wget --no-proxy http://www.google-analytics.com -O /dev/null
    --2017-12-21 15:05:01--  http://www.google-analytics.com/
    Распознаётся www.google-analytics.com (www.google-analytics.com)... 127.0.0.1
    Подключение к www.google-analytics.com (www.google-analytics.com)|127.0.0.1|:80... соединение установлено.
    HTTP-запрос отправлен. Ожидание ответа... 200 OK
    Длина: 867 [text/html]
    Сохранение в каталог: ««/dev/null»».

    100%[=================================================>] 867         --.-K/s   за 0s

    2017-12-21 15:05:01 (113 MB/s) - «/dev/null» saved [867/867]


    real    0m0.004s
    user    0m0.000s
    sys     0m0.000s

     
     
  • 6.35, Анонимный Алкоголик (??), 19:11, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    time и баги...

     
  • 5.32, Ivan_83 (ok), 15:51, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "127.0.0.1 требует таймаута" - зависит от настроек ОС и запущено ли что то на этих портах.
    Если включить не слать icmp ответы для закрытых портов, то как минимум на фре, при отсутствии сервисов на этих портах, оно будет висеть и ждать ответа.
     
  • 2.17, user (??), 14:04, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, что кроме privoxy умеет блочить доменные имена по регулярным выражениям?
     
     
  • 3.20, Andrey Mitrofanov (?), 14:13, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кстати, что кроме privoxy умеет блочить доменные имена по регулярным выражениям?

    squid.

     
  • 3.21, Ivan_83 (ok), 14:24, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    nginx
     
  • 3.45, Casm (??), 12:45, 22/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Dnscrypt proxy последней версии может по маске * блокировать dns запросы.
     
  • 2.22, Ivan_83 (ok), 14:26, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    hosts это для вендузятников, реальные админы делают на своём днс чтобы 0.0.0.0 возвращалось для всех плохих доменов, и всё плохое уходит сразу со всех компов, не нужно бегать обновлять файлики.
     
     
  • 3.33, Аноним (-), 17:15, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >реальные админы
    >бегать
    >обновлять файлики

    Сегодня мы выяснили, что реальные админы не пользуются системами управления конфигурациями, а бегают и файлики обновляют. Руками на каждом локалхосте печатают, я надеюсь?

     
  • 3.36, Elhana (ok), 19:29, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Реальные админы для всех соединений на ноутах прописвают свой ДНС? И что они делают, если например халявный wifi редиректит на внутреннюю страничку, где нужно нажать кнопочку, чтобы интернет появился, а свой ДНС о нем не знает?
     
     
  • 4.41, риальне одмин (?), 23:02, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Реальные админы для всех соединений на ноутах прописвают свой ДНС?

    да, мы умеем пользоваться dhcp и другими средствами автоматической раздачи этих параметров.

    > И что они делают, если например халявный wifi редиректит на внутреннюю страничку

    поднимают vpn, в котором есть понятие split-dns и многие другие, неведомые типовым юзверям линуксов вещи.
    Попутно избавляясь и от назойливой привычки халявных wifi подсовывать рекламу (вместе, разумеется, с трекингом, а то ж как же нам правильно разобраться, каких именно баннеров тебе для счастья не хватает, если мы не знаем, кто ты) в чужие страницы.

     
  • 2.30, user (??), 15:32, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Иногда нужно что-то разрешить для отдельных сайтов, например скрипты яндекса на яндексмаркете. Или времено разрешить для нужных раз в несколько лет сайтов.
     

  • 1.3, BrainFucker (ok), 09:58, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > JavaScript-код и изображения, связанные с отслеживанием поведения пользователя

    А как они их детектируют, тупо встроенный список хостов что ли?

     
     
  • 2.5, Аноним (-), 10:10, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    используют внешний список от disconnect.me
    https://support.mozilla.org/en-US/kb/tracking-protection
     

  • 1.8, Аноним (-), 10:35, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ого! Они бы так над внедрением своего мусора в ESR работали. А то грядущий ESR-выпуск с 59 на 60 версию пришлось срочно переносить.

    https://www.ghacks.net/2017/12/19/mozilla-makes-firefox-60-next-esr-target/

     
  • 1.9, Аноним (-), 11:26, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    как же эти интернет барыгы заколебали со своей телеметрией и аналитическим сбором
     
     
  • 2.31, енторнетбарыга (?), 15:34, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а зойчем ты ходишь по нашему инторнету? Мы тебя заставили, чи шо? Чей-та тебе на опеннете не сидится, где баннер лынахжорнал позырил, вроде как и заплатил?

     

  • 1.12, Gabiriru1990 (?), 13:16, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Кого волнует эта возня, если данный рекламный мусор в итоге всё равно всегда блокируется (ад)блокером?
     
     
  • 2.13, fr0ster (??), 13:38, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не все адблокер режет. :(
     
     
  • 3.26, Аноним (-), 15:05, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Связка uMatrix + uBlockOrigin режет всё
     
  • 2.29, Аноним (-), 15:13, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пихание рекламы в контент - это одно, а сбор инфы о хомячках и продажа её маркетолухам - это другое. Резать надо и то, и другое.
     

  • 1.14, Аноним (-), 13:57, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ЯННП. Зачем этот хлам вообще загружать?
     
  • 1.15, Аноним (-), 14:03, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В опубликованном в ноябре выпуске Firefox 57, помимо появления опции для блокирования внешних блоков, занесённых в чёрный список disconnect.me, без упоминания в списке изменений

    Вот гады, как что-то полезное, так по-тихому делают. Меж тем это работает не только в 57, но и в 52 ESR:
    privacy.trackingprotection.enabled=true
    Чтобы настройки появились в гуе:
    privacy.trackingprotection.ui.enabled=true

     
     
  • 2.19, Пшлс (?), 14:10, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Сто лет уж как.
     
     
  • 3.25, Аноним (-), 15:04, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И где про это новость была?
     
     
  • 4.28, Andrey Mitrofanov (?), 15:10, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > И где про это новость была?

    В 1917ом газеты были заняты другими темами.

     

  • 1.16, Leap42 (?), 14:03, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    еще бы организовывали отложенное выполнение подсунутых шпионских аддонов
     
     
  • 2.38, EHLO (?), 20:41, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > еще бы организовывали отложенное выполнение подсунутых шпионских аддонов

    что вы такое суете в шпионские аддоны, что они тормозят?

     

  • 1.23, Ivan_83 (ok), 14:27, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня уже давно руки чешутся сделать чтобы при установке из портов во фре можно было выбрать какие аддоны идущие в комплекте ставить а какие нет.
    Мне из того что идёт практически ничего не надо.
     
  • 1.37, Аноним (-), 20:01, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если в актуальном фоксе перестала сохраняться история после обновления потрите файлы places.sqlite в профиле.
     
  • 1.39, EuPhobos (ok), 22:00, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Например, страницы, использующие Page-Hiding Snippet от Google, стали показываться с задержкой

    Страницы от гугла, вообще неадекватные стали. Жрут и трафика и памяти и процессорного времени.
    А стоит нажать на Ctrl+u так вообще, какая-то куча JS-магии.
    И почему нет стандарта, описывающего приемлемый потолок для страницы из JS-хавнакода, и прочей рекламы.
    Сейчас почти каждый сайт, несёт всего лишь < 5% полезной информации в своём трафике.

     
  • 1.42, Аноним (-), 23:45, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    наконец то, раз разрабы не додумались грузить в последнею очередь. Маркетологи увидят на своём графике падение, так как теперь весь булшит сайта будет грузится раньше метрик
     
  • 1.43, Аноним (-), 07:29, 22/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Не хватает галочки в конфиге, чтобе не грузить то , что отложено.
     
     
  • 2.44, Аноним (-), 08:14, 22/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Не хватает галочки в конфиге, чтобе не грузить то , что отложено.

    ну, по идее, никто не мешает, отложить загрузку на абсолютно неадекватное время, скажем, на пару часов. Но, как уже писали выше, есть проблема на некоторых сайтах, которые ждут загрузки этого мусора прежде чем выдавать контент.

     

  • 1.46, Zenitur (ok), 14:12, 22/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давно жду фичу, когда можно будет отметить мышкой на карте мира, где я сейчас нахожусь.
     
     
  • 2.47, Аноним (-), 05:05, 24/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Расширение Location Guard (https://addons.mozilla.org/firefox/addon/location-guard/) подойдёт? Но там доступна только одна планета, а не весь мир.
     
  • 2.49, Аноним (-), 21:22, 24/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Давно жду фичу, когда можно будет отметить мышкой на карте мира, где
    > я сейчас нахожусь.

    Простите, а зачем? "Отслеживание" в том смысле, в котором оно используется в статье, это не только определение, в какой вы стране.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру