The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Утечка идентификаторов пользователя через встроенный в брауз..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от opennews (??) on 28-Дек-17, 14:50 
Исследователи из Принстонского университета обратили внимание (https://freedom-to-tinker.com/2017/12/27/no-boundaries-for-u.../) на применение некоторыми системами аналитики и показа рекламы особенности автозаполнения полей браузером для скрытого определения логина пользователя на текущем сайте. В частности, на 1110 из миллиона крупнейших сайтов по рейтингу Alexa загружался скрипт, который извлекал данные о email пользователя для использования в качестве идентификатора.


Скрипт пользуется недоработкой во встроенных в браузеры менеджерах паролей, которые автоматически заполняют формы для входа. На страницах, на которых нет штатных форм входа, формируются подставные невидимые формы ввода логина и пароля, после чего проверяется какие данные в них подставил менеджер паролей. Если в качестве логина указан email, но на его основе формируется хэш и отправляется на внешний сервер. Метод позволяет определить и пароль, но выявленные  скрипты ограничиваются передачей хэша от email. Так как email уникален и обычно не меняется, хэш от него является отличным идентификатором конкретного пользователя, позволяющего сохранить привязку к профилю активности пользователя независимо от чистки cookie, выбора иного браузера и смены устройства.


Проблеме подвержены менеджеры паролей всех популярных браузеров, но
если Firefox, Internet Explorer, Edge и Safari заполняют форму входа сразу после загрузки страницы, то Chrome лишь после клика пользователя в любой части страницы. Примечательно, что способ определения информации через автозаполнения форм известен (https://web.archive.org/web/20120605184841/http://ha.ckers.o.../) уже (https://senglehardt.com/demo/no_boundaries/loginmanager/) более 10 лет, но раньше использовался только для перехвата данных в рамках XSS-атак, а теперь стал применяться и для отслеживания пользователей легитимными сервисами. На проанализированных сайтах выявлено как минимум два сервиса для отслеживания перемещений (Adthink - audienceinsights.net и OnAudience - behavioralengine.com, применяющих рассмотренный способ. Оценить работу метода можно на специально подготовленной демонстрационной странице (https://senglehardt.com/demo/no_boundaries/loginmanager/).

Дополнительно можно упомянуть публикацию (https://www.blackhat.com/docs/eu-17/materials/eu-17-Shuster-...) компанией Akamai исследования  возможности косвенной идентификации пользователя в сети на основании анализа параметров и полей в заголовках протокола HTTP/2, которые отличаются для разных браузеров и  операционных систем. Имеющихся различий недостаточно для явной идентификации, но она вполне может использоваться в качестве дополнительного источника информации для классификации пользователей, для определения входа через VPN и прокси, для получения деталей о типе и версии браузера и определения ОС, при указании фиктивных значений User Agent.

URL: https://freedom-to-tinker.com/2017/12/27/no-boundaries-for-u.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=47821

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Утечка идентификаторов пользователя через встроенный в брауз..."  +26 +/
Сообщение от Аноним (??) on 28-Дек-17, 14:51 
Вот и какой я теперь анонимус?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Утечка идентификаторов пользователя через встроенный в брауз..."  +1 +/
Сообщение от EHLO on 28-Дек-17, 16:01 
и какая это новость?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

19. "Утечка идентификаторов пользователя через встроенный в брауз..."  +4 +/
Сообщение от rshadow (ok) on 28-Дек-17, 16:12 
тор браузер говорили они...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

33. "Утечка идентификаторов пользователя через встроенный в брауз..."  –9 +/
Сообщение от Michael Shigorin email(ok) on 28-Дек-17, 18:26 
> тор браузер говорили они...

Через тор и другие полезные для корреляции косвенные штуки утекают, как у нас тут вчера упоминали опытные люди.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

69. "Утечка идентификаторов пользователя через встроенный в брауз..."  +2 +/
Сообщение от ryoken (ok) on 29-Дек-17, 07:06 
> Вот и какой я теперь анонимус?

Никакой.

Вот потому никогда в браузерах пароли не сохраняю.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

90. "Утечка идентификаторов пользователя через встроенный в брауз..."  +3 +/
Сообщение от koblin (ok) on 29-Дек-17, 14:20 
не переживайте, все равно вас идентифицируют
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

102. "Утечка идентификаторов пользователя через встроенный в брауз..."  +1 +/
Сообщение от Аноним (??) on 30-Дек-17, 04:40 
> не переживайте, все равно вас идентифицируют

Вопрос в том кто, когда, как и с какой достоверностью.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

3. "Утечка идентификаторов пользователя через встроенный в брауз..."  +1 +/
Сообщение от Crazy Alex (ok) on 28-Дек-17, 14:55 
Ну, чисто теоретически чинится просто - надо заполнять поля только когда в них пользователь ставит курсор. ВпрочемЮ для распространённых случаев uBlock/uMatrix тоже помогут
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Утечка идентификаторов пользователя через встроенный в брауз..."  +15 +/
Сообщение от Аноним (??) on 28-Дек-17, 15:13 
> Ну, чисто теоретически чинится просто - надо заполнять поля только когда в них пользователь ставит курсор.

Opera Magic Wand, вставляет пароль при нажатии на кнопку. Всё уже было в Opera.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Crazy Alex (ok) on 28-Дек-17, 15:50 
А ведь точно, я и забыл уже
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

30. "Утечка идентификаторов пользователя через встроенный в брауз..."  +10 +/
Сообщение от Аноним (??) on 28-Дек-17, 18:17 
Точно, "было". Хороший был браузер. С 5 по 12 версий.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

85. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 29-Дек-17, 12:23 
С рекламой - в 7-ой точно
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

106. "Утечка идентификаторов пользователя через встроенный в брауз..."  +1 +/
Сообщение от Аноним (??) on 30-Дек-17, 13:08 
Расширение для ФФ с таким же поведением
https://firefox.add0n.com/secure-login.html
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

4. "Утечка идентификаторов пользователя через встроенный в брауз..."  +8 +/
Сообщение от Аноним (??) on 28-Дек-17, 14:57 
Не зря я не пользовался встроенными запоминалками паролей.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Утечка идентификаторов пользователя через встроенный в брауз..."  –3 +/
Сообщение от Аноним (??) on 28-Дек-17, 19:33 
Не зря я юзаю хромиум
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

45. "Утечка идентификаторов пользователя через встроенный в брауз..."  +4 +/
Сообщение от Аноним (??) on 28-Дек-17, 19:56 
Который делает то же самое, только после клика по странице?
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

6. "Утечка идентификаторов пользователя через встроенный в брауз..."  –3 +/
Сообщение от Аноним (??) on 28-Дек-17, 15:15 
Палю тему - запоминайте пароль с парой недостающих или лишних символов и тогда никакие автозаполнители будут не страшны :)
И юзайте разные профили браузеров для разных задач. +приватный режим.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Утечка идентификаторов пользователя через встроенный в брауз..."  +2 +/
Сообщение от Аноним (??) on 28-Дек-17, 15:28 
Какая разница? "Вы"-то для таргетинга один и тот же. Что с буквами, что с недостающими.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Утечка идентификаторов пользователя через встроенный в брауз..."  –2 +/
Сообщение от pavlinux (ok) on 28-Дек-17, 15:40 
Цель атаки - запомненный хэш пароля из "Менеджера",таргетинг это маленькая неприятность.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

25. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Анм on 28-Дек-17, 17:13 
Заполненный весь пароль, а не хеш.
Но подставляется только на этом сайте где был заполнен, что как бы делает бессмысленным что-то воровать. Разве что, если ты не логинишься в своем контакте и думаешь, что анонимен (наивный)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

49. "Утечка идентификаторов пользователя через встроенный в брауз..."  –4 +/
Сообщение от iZEN (ok) on 28-Дек-17, 20:42 
Знаю ещё один способ обмануть таргетинг (я сам был в ахуе, когда узнал): пароль на всех сайтах один и тот же. А запоминаешь только уникальный логин, он секретный. Хотя с идентификацией по полю e-mail, где оно требуется, фокус не так прост - нужно создавать много виртуалов с уникальными почтовыми ящиками, что не всегда удобно.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

91. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Гентушник (ok) on 29-Дек-17, 15:37 
Логин обычно не является чем-то секретным, так что в зависимости от сайта сторонний человек может увидеть логин (в профиле, в поиске, при восстановлении пароля и т.д.). Ну например как на этом сайте.

Плюс логины обычно хранятся в БД не зашифрованными, так что в случае если сопрут базу, то его подбирать даже не нужно будет.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

52. "Утечка идентификаторов пользователя через встроенный в брауз..."  –1 +/
Сообщение от iZEN (ok) on 28-Дек-17, 20:51 
> Цель атаки - запомненный хэш пароля из "Менеджера",таргетинг это маленькая неприятность.

В менеджере паролей запоминаются логин и пароль, привязанные к сайту, на котором регистрируешься. Эта "парочка" уникально идентифицирует пользователя. Логин из неё может быть использован на других сайтах и иногда быть e-mail'ом. Тогда независимые друг от друга сайты могут обмениваться с рекламодателем списком зарегистрированных пользователей, в котором будут только логины без паролей (что естественно). По этому списку рекламодатель таргетирует показ рекламы пользователю с конкретным логином, посетившего сайт, с которым у рекламодателя договор о списке зарегистрированных пользователей.

Таким образом, логин, лучше - представляющий e-mail зарегистрированного пользователя - ключевое поле для таргетинга рекламной информации. Он практически не меняется от сайта к сайту.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

115. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 09-Янв-18, 10:43 
Последнее время наблюдаю "таргетирование" по IP, ох как мне любят показывать детские мультики :)
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

10. "Утечка идентификаторов пользователя через встроенный в брауз..."  +8 +/
Сообщение от pavlinux (ok) on 28-Дек-17, 15:33 
> Палю тему - запоминайте пароль с парой недостающих

Шо, вместо *****, запоминать ******** ?

> И юзайте разные профили браузеров для разных задач. +приватный режим.

Один сайт - одна виртуалка, а лучше комп!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

81. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от whiteout on 29-Дек-17, 11:18 
> Один сайт - одна виртуалка, а лучше комп!

Может Qubes наконец взлетит...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

116. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 09-Янв-18, 10:44 
>> И юзайте разные профили браузеров для разных задач. +приватный режим.
> Один сайт - одна виртуалка, а лучше комп!

с отдельным IP из отдельного датацентра в отдельном города выделенной страны на отдельной планете

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

70. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от ryoken (ok) on 29-Дек-17, 07:07 
> Палю тему - запоминайте пароль с парой недостающих или лишних символов и
> тогда никакие автозаполнители будут не страшны :)
> И юзайте разные профили браузеров для разных задач. +приватный режим.

Так там ПОКА ЕЩЁ не в пароле дело, а в утащенном адресе мыла.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

74. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от DmA (??) on 29-Дек-17, 08:45 
> Палю тему - запоминайте пароль с парой недостающих или лишних символов и
> тогда никакие автозаполнители будут не страшны :)
> И юзайте разные профили браузеров для разных задач. +приватный режим.

есть ещё и более-менее постоянный ip адрес. Для идентификации пользователя достаточно email адреса

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Утечка идентификаторов пользователя через встроенный в брауз..."  +2 +/
Сообщение от Аноним (??) on 28-Дек-17, 15:32 
Минутку, но ведь пользователь зарегистрирован на этом сайте и скорее всего лишь не успел залогиниться снова. К чему такие сложности?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Утечка идентификаторов пользователя через встроенный в брауз..."  –2 +/
Сообщение от Crazy Alex (ok) on 28-Дек-17, 15:52 
Или не хочет логиниться
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Утечка идентификаторов пользователя через встроенный в брауз..."  +2 +/
Сообщение от pavlinux (ok) on 28-Дек-17, 15:56 
> Или не хочет логиниться

Заставить

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

92. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Гентушник (ok) on 29-Дек-17, 15:41 
Ну раз логин и пароль скрипт может получить, то можно сразу и залогинить пользователя автоматом :)
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

104. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 30-Дек-17, 04:59 
> Ну раз логин и пароль скрипт может получить, то можно сразу и
> залогинить пользователя автоматом :)

И спам от его имени автоматом отправить. Ты только что почти изобрел спамеров.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

117. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 09-Янв-18, 10:46 
> Минутку, но ведь пользователь зарегистрирован на этом сайте и скорее всего лишь
> не успел залогиниться снова. К чему такие сложности?

Огромная часть сайтов продаёт место, а за содержимым не следит.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Утечка идентификаторов пользователя через встроенный в брауз..."  +1 +/
Сообщение от Аноним (??) on 28-Дек-17, 15:32 
В FF по клику выпадает список. Автоматом не заполняет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Утечка идентификаторов пользователя через встроенный в брауз..."  +2 +/
Сообщение от Crazy Alex (ok) on 28-Дек-17, 15:52 
Это если у тебя несколько вариантов запомнено. Если один - подставляет сразу
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

29. "Утечка идентификаторов пользователя через встроенный в брауз..."  +1 +/
Сообщение от Аноним (??) on 28-Дек-17, 17:57 
Не совсем. По клику выпадает form history https://support.mozilla.org/ru/kb/upravlenie-avtomaticheskim...
Это вообще другое и оно зависит не от доменов, а от параметров полей ввода (<input name="email"...>). Самый распространённый email, и если ты вводил такое поле на 3 сайтах с 3 разными ящиками, на всех трёх тебе их выведет в выпадающем списке по клику. И когда на новый четвёртый сайт зайдёшь, увидишь те 3 мыла тоже. Например тут, при написании комментария, при клике в поле мыла я вижу определённое количество своих и чужих ящиков, хотя на опеннете никогда поле не заполнял ничем.
Но сайтам эта информация недоступна, пока ты не нажал на вариант для заполнения поля.
А менеджер паролей зависит от доменов и автозаполняет поля, поэтому сайтам виден ввод, как если бы юзер вручную написал.

Не использую менеджер паролей лисы (десктопный keepass без плагинов), но использую историю форм, т.к. удобно. И чаще пригождается для частых и повторяющихся поисковых запросов на сайтах, чем для вставки логина. Например при поиске чего-то на торрент-трекерах (id="title-search"): ввёл запрос на одном, не нашёл нужного, пошёл на другой трекер и там обычно запомненный запрос можно просто кликнуть.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Утечка идентификаторов пользователя через встроенный в брауз..."  +2 +/
Сообщение от Аноним (??) on 28-Дек-17, 16:07 
Что там насчёт Pale Moon? https://github.com/MoonchildProductions/Pale-Moon/issues/1559
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Утечка идентификаторов пользователя через встроенный в брауз..."  +2 +/
Сообщение от Crazy Alex (ok) on 28-Дек-17, 18:25 
Да что - подвержен, конечно.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

68. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 29-Дек-17, 04:00 
Таки да... https://github.com/MoonchildProductions/Pale-Moon/issues/155...
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

84. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от ойой on 29-Дек-17, 12:23 
Так там же и написано "решение" (предложенное выше - заполнять, когда кликнул на форму)
В о:настройках ставим в ложь signon.autofillForms
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

100. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 29-Дек-17, 19:30 
В Pale Moon уже пофиксили - отключили автозаполнение по умолчанию. - https://github.com/MoonchildProductions/Pale-Moon/commit/ce1...
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

18. "Утечка идентификаторов пользователя через встроенный в брауз..."  –3 +/
Сообщение от Дуплик (ok) on 28-Дек-17, 16:07 
>ещё существуют люди, сохраняющие пароли в браузерах
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Отражение луны (ok) on 28-Дек-17, 16:37 
Ну если ты не хранишь пароли в браузере, ты либо хранишь пароли на листочке, либо у тебя на многих сервисах пароли совпадают, либо ты используешь какую-нибудь утилиту для хранения паролей и каждый раз копипастишь их. Либо все твои пароли попросту недостаточно устойчивы к подбору, что позволяет тебе их запоминать. В лучшем случае ты ресторишь пароль каждый раз когда тебе нужно залогиниться в сервис.
Каждый из этих способов имеет огромные недостатки и гораздо менее безопасен чем хранение паролей в браузере.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от XoRe (ok) on 28-Дек-17, 16:56 
> Каждый из этих способов имеет огромные недостатки и гораздо менее безопасен чем
> хранение паролей в браузере.

А так хорошо начинали...
Пароли, сохраненные в браузере, не зашифрованы каким-то только вам известным мастер паролем.
В отличие от нормальных утилит для хранения паролей.
Поэтому хранить пароли прямо в браузере - это все равно что держать их в открытом виде в txt файле на рабочем столе.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Утечка идентификаторов пользователя через встроенный в брауз..."  +2 +/
Сообщение от Анм on 28-Дек-17, 17:16 
>> Каждый из этих способов имеет огромные недостатки и гораздо менее безопасен чем
>> хранение паролей в браузере.
> А так хорошо начинали...
> Пароли, сохраненные в браузере, не зашифрованы каким-то только вам известным мастер паролем.
> В отличие от нормальных утилит для хранения паролей.
> Поэтому хранить пароли прямо в браузере - это все равно что держать
> их в открытом виде в txt файле на рабочем столе.

В фаерфоксе зашифрованы мастер паролем, в хроме и наверно клонах пароли в реесте и используют учетные данные юзера для доступа, в лине может и открытым текстом.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

88. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Вася (??) on 29-Дек-17, 12:52 
В хроме и хромоподобных пароли открытым текстом лежат в БД SQLite. Enjoy ё безопасность.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

31. "Утечка идентификаторов пользователя через встроенный в брауз..."  +2 +/
Сообщение от Crazy Alex (ok) on 28-Дек-17, 18:23 
начинать тут надо с модели угроз. Если мы подразумеваем более-менее обновляющийся домашний линукс и отсутствие какой-то адово секретной информации (что вообще другой случай) безопаснее было бы даже держать их в этом самом текстовом файлике чем запоминать неизбежно менее сложные пароли или сложный - но один-два. Атак на линуксовые локалхосты, тем более успешных, на порядки меньше, чем чем взломов разнообразных сетевых сервисов или подборов пароля.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

66. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от XoRe (ok) on 29-Дек-17, 01:06 
> начинать тут надо с модели угроз.

Стырили ноут/телефон.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

95. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Гентушник (ok) on 29-Дек-17, 15:51 
> Стырили ноут/телефон.

В этом случае лучше полное шифрование на уровне ФС или блочного устройства, ибо кроме паролей там может быть ещё какая-нибудь конфиденциальная информация.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

35. "Утечка идентификаторов пользователя через встроенный в брауз..."  –2 +/
Сообщение от Аноним (??) on 28-Дек-17, 18:56 
>Пароли, сохраненные в браузере, не зашифрованы каким-то только вам известным мастер паролем

В Сафари и ФФ зашиврованы.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

56. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от user (??) on 28-Дек-17, 22:19 
Для этого есть encfs.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

87. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от PnDx (ok) on 29-Дек-17, 12:28 
Хинт: Firefox FIPS-140.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

94. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Гентушник (ok) on 29-Дек-17, 15:49 
В FF есть мастер пароль.
Плюс можно синхронизировать пароли между девайсами на которых стоит FF (через штатную синхронизацю) и они будут зашифрованы как на стороне сервера, так и в браузере.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

96. "Утечка идентификаторов пользователя через встроенный в брауз..."  +1 +/
Сообщение от Отражение луны (ok) on 29-Дек-17, 15:51 
Не совсем. Хром хранит пароли в гном кейринге. Ты можешь настроить его так, что он будет спрашивать у тебя мастер пароль при каждом запуске хрома, не разблокируя этот самый кейринг автоматом. По дефолту мастер паролем является пароль твоего юзера.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

71. "Утечка идентификаторов пользователя через встроенный в брауз..."  –1 +/
Сообщение от ryoken (ok) on 29-Дек-17, 07:11 
> пароли попросту недостаточно устойчивы к подбору, что позволяет тебе их запоминать.
> Каждый из этих способов имеет огромные недостатки и гораздо менее безопасен чем
> хранение паролей в браузере.

Как связана запоминаемость пароля и устойчивость к подбору? Например есть пароль из 20 символов, цифробуквы разный регистр, знаки препинания и спецсимволы. Вы таки считаете, что его нельзя втупую вызубрить?

А если (теоретически) пароль хранится в файле на шифрованном диске - это тоже недостаточно безопасно и браузерная паролехранилка будет лучше?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

93. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Отражение луны (ok) on 29-Дек-17, 15:48 
Один такой пароль - можно. Десятки - нет. Твой вариант - один пароль для множества сервисов.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

97. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Отражение луны (ok) on 29-Дек-17, 15:55 
Основная проблема хранения паролей в файле - то, что они проходят через буфер обмена. Так что да, менее безопасно чем автозаполнение.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

105. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 30-Дек-17, 05:04 
> Основная проблема хранения паролей в файле - то, что они проходят через
> буфер обмена. Так что да, менее безопасно чем автозаполнение.

Это спорно. В буфере обмена может быть что угодно а в менеджере паролей заведомо пароли. Красть пароли из менеджера паролей удобнее и результативнее. Трояны которые вынимают пароли из лиса вообще существуют более 10 лет. Половина бонусом ухватывает серийник винды и прочие ключи от стима и чего там еще у хомяков бывает. В общем уносят все что общеизвестное и ценное.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

112. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним84701 (ok) on 30-Дек-17, 16:43 
> Это спорно. В буфере обмена может быть что угодно а в менеджере
> паролей заведомо пароли. Красть пароли из менеджера паролей удобнее и результативнее.
> Трояны которые вынимают пароли из лиса вообще существуют более 10 лет.

Однако, исправно обламываются о мастер-пароль. Чтобы стырить пароли, малвари нужно не только запуститься с правами пользователя на чтение файла, но и с возможностью чтения памяти (дебага, кордампа итд) уже открытого менеджера паролей.

Зато менеджер типа кипаса (старая ветка, а не версия на молодежном NET и с кучей непонятных плагинов), намного удобнее простого файлика. Там ведь те же файлики, только зашифрованые, плюс возможность раскидывать все по категориям/группам, добавить описание, осуществлять поиск по всему этому.
Опять же, встроенная автогенерация паролей неплохая вещь.  Есть куча мелочей (все таки 14 лет проекту – по граблям народ в свое время потоптался знатно) – автоблокировка открытого менеджера после определенного времени, удаление пароля через X секунд из буфера обмена, автотайп, позволяющий вообще обходиться без буфера обмена и не перехватываемый слишком уж внаглую (см. xspy).

В общем, если сравнивать хранилки паролей, то с более-менее полноценным менеджером, а не очередным велосипедом.

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

20. "Утечка идентификаторов пользователя через встроенный в брауз..."  +1 +/
Сообщение от Аноним (??) on 28-Дек-17, 16:13 
> но если Firefox

почему же тогда мой фурефокс не ведет себя столь постыдным образом, а вставляет данные лишь при явном клике в форму?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

86. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от ойой on 29-Дек-17, 12:25 
Возможно дело в настройках не по умолчанию?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Утечка идентификаторов пользователя через встроенный в брауз..."  +1 +/
Сообщение от Аноним (??) on 28-Дек-17, 16:37 
Тем веселее, кстати, смотрится недавняя новость о новом менеджере паролей в фаерфоксе. С уже встроенным сбором статистики.

https://www.ghacks.net/2017/12/23/firefox-lockbox-alpha-by-m.../

Не стоит, мол, дорогой наш пользователь, беспокоиться о своей приватности. Нет нужды беспокоиться о том, чего нет, бгг.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Утечка идентификаторов пользователя через встроенный в брауз..."  –1 +/
Сообщение от Аноним (??) on 28-Дек-17, 17:16 
Господи да вот вам идея для авторизации на сатйах опишите ее кто-нибдуь в RFC, а то эти бараны никак не придумают уже.

Итак, у SSL есть отпечаток ( Fingerprint = FA:E0 .. DF )
У меня есть логин и пароль, а точнее ключ для доступа к сайту SITE_KEY ( binary ).
Заходя на сайт нажимая кнопку Войти срабатывает JavaScript запрашивающий этот самый SITE_KEY и сайту выдают мой SITE_KEY соответствующий SSL фингерпринту.

Почему это не сделать, а нужно городить всяике oAuth и прочую чепушню?

P.S. Каждый раз когда просят SITE_KEY выдавать окно с подтверждением.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Утечка идентификаторов пользователя через встроенный в брауз..."  +1 +/
Сообщение от Аноним (??) on 28-Дек-17, 19:17 
Кажется, Вы описали клиентские сертификаты. Это уже есть в браузере и используется, например, WebMoney.

oAuth - это немного о другом, это не для того, чтобы авторизовать пользователя, а чтобы авторизоваться третьим сайтам от имени пользователя.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

101. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 30-Дек-17, 01:16 
у меня была идея получше, но это как оказалось был велосипед
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

103. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Анонимный Алкоголик (??) on 30-Дек-17, 04:47 
JavaScript?
Было бы смешно... Если бы не навевало. Тоску. И грусть.
Вот между прочим можно просто не "выходить" после "входа" и сайт будет знать. Вас... Без всяких паролей... Как вам?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Утечка идентификаторов пользователя через встроенный в брауз..."  –3 +/
Сообщение от Аноним (??) on 28-Дек-17, 17:38 
безопасность уровня фаерфопс. В Chrome с этим все в порядке -- требуется явно кликнуть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Crazy Alex (ok) on 28-Дек-17, 18:27 
Разницы никакой
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

38. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 28-Дек-17, 19:00 
> требуется явно кликнуть

Так это же всё меняет!

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

42. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 28-Дек-17, 19:23 
Если я правильно понимаю, имелся в виду любой клик на странице, а не на форме ввода.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

46. "Утечка идентификаторов пользователя через встроенный в брауз..."  –1 +/
Сообщение от Аноним (??) on 28-Дек-17, 19:58 
> Если я правильно понимаю, имелся в виду любой клик на странице, а
> не на форме ввода.

Да.


Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

65. "Утечка идентификаторов пользователя через встроенный в брауз..."  +2 +/
Сообщение от rpm on 29-Дек-17, 00:25 
> Если я правильно понимаю, имелся в виду любой клик на странице, а
> не на форме ввода.

А скриптовый клик прокатит?

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

79. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от КО on 29-Дек-17, 10:17 
А что на 99.9% прозрачная форма поверх всего уже не катит в качестве ловушки для клика?
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

82. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 29-Дек-17, 11:41 
А зачем? Юзер и так тыкнет в какое-то место, никаких прозрачных ловушек не надо.
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

37. "Утечка идентификаторов пользователя через встроенный в брауз..."  +8 +/
Сообщение от Аноним (??) on 28-Дек-17, 18:59 
Пользователь, зарегистрировавшийся на сайте с определенным идентификатором, видимо, доверяет этому сайту знать этот идентификатор. Соответственно, браузер правомерно автоматически подставляет его в формы на этом сайте. И если владельцы сайта допускают показ такой рекламы, вытягивающей доверенную пользователем информацию, значит владельцы сайта предали своих пользователей и вся вина лежит только на них.

Это не уязвимость, а вопрос доверия. Можно ли доверять сайтам, которые позволяют рекламным сетям, лайкокнопкам и всяким аналитиксам собирать информацию о своих пользователях? Например, opennet.ru делится как минимум с Google, Facebook, Gravatar и Yandex.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от vitalif (ok) on 28-Дек-17, 20:42 
Более того, и бороться с этим бесполезно, т.к если у тебя на сайте в профиле введен емейл, точно так же можно его взять и на стороне сервера скормить рекламной сети. А при выходе запомнить в куках.

Единственный момент - надо, конечно, сделать, чтобы в невидимые формы ничего не подставлялось. Но проблему отслеживания это не решит...

Ну или уже по дефолту вообще всю информацию надо очищать, то есть перетаскивать функционал тор браузера в ФФ.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

98. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Гентушник (ok) on 29-Дек-17, 15:56 
Тут как бы весь цимес в том что пользователь идентифицируется даже если он на сайт не залогинен и кукисы не сохраняет.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

55. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Ordu email(ok) on 28-Дек-17, 21:06 
NoScript успешно спасает от этих проблем. Даже если разрешить выполнение скриптов на демостранице, всё равно ничего не работает, потому что third-party скрипты не отрабатывают. Надо разрешить скрипты с левого домена (на демостранице это rawgit.com), чтобы это заработало.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 28-Дек-17, 22:36 
Хватит форсить этот древний бренд. Давеча на форчане появились малварные домены. Утята с носкриптом удивлялись, почему это у них не ломается вёрстка, а юзеры юматрикса жалуются и шумиху поднимают. Наивно вякая: да не разрешайте сторонние скрипты и всё ок. А разгадка одна: носкрипт не блочит XHR запросы, а суть была именно в них, никаких скриптов с тех малварных доменов не тянулось, всё чисто на родных скриптах форчана (и если левые домены не отвечали на XHR запросы, свои скрипты ломали css сайта). И утята, посещая форчан и разрешая 1st-party скрипты, делают те же запросы, что и люди без носкрипта.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

61. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 28-Дек-17, 23:46 
>носкрипт не блочит XHR запросы

Их только юматрикс блокирует?
Или, например, адблок-плюс тоже может?

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

67. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 29-Дек-17, 01:15 
ABP может (наверное, юблок точно может), но проблема в том, что там блеклист (с вайтлистом). И новых доменов в фильтрах не будет, как не было сейчас в случае с форчаном.
Суть юматрикса и аналогов (Request Policy, покойный Policeman) в подходе source-destination и 1st-party/3rd-party, а не конкретных фильтрах на основе доменов/url. Дефолтные настройки юматрикса разрешают из 3rd-party только css и картинки, всё остальное (отправка кук, аудио-видео, плагины, скрипты, XHR (и вебсокеты), фреймы и оставшиеся запросы, не попавшее в существующие категории) запрещено. И даже если ты разрешил на условном форчане скрипты и XHR гугла, для работы рекапчи, то когда там внезапно появляются новые левые домены, ты от них по дефолту защищён.
Носкрипт же может блочить (говорю про старую версию, новым не пользовался) скрипты, фреймы, плагины, аудио-видео, шрифты и webgl. Но не XHR, куки и сетевые запросы без категорий. Может он может что-то ещё через ABE-правила, но кто их использует-то? И дополнительный его фейл был в том, что он рулил скриптами только на основании destination, без source. Т.е. если ты разрешил где-то example.com (на нём самом или на example.org), то он будет разрешён везде. Касается и постоянных, и временных правил (из-за чего временные очень желательно очищать в нём вручную). Весьма весёлая фича.

Предсказывая возможный коммент с волшебными базвордами носкрипта (XSS, clickjacking), отправляю читать это: https://github.com/gorhill/uMatrix/issues/297#issuecomment-1...
> Clickjacking = Blocking third party frames
> As far as XSS is concerned, there are a myriad of techniques for it, most of which rely on scripts, frames and browser exploits (one could in theory execute JavaScript via HTML IMG tags, but browsers no longer allow that to happen).
> The only thing NoScript has on uMatrix (which does not make up for its deficiencies and lower performance) is the feature referred to as 'surrogate scripts'. Essentially mirroring a library, or a modified version of a given library (e.g. mootools, or jquery). uBlock used to have this.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

75. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от DmA (??) on 29-Дек-17, 08:56 
И даже если ты разрешил
> на условном форчане скрипты и XHR гугла, для работы рекапчи, то
> когда там внезапно появляются новые левые домены, ты от них по
> дефолту защищён.

Наконец-то понял, для чего сайты запршивают капчю с дорожными знаками и фасадами зданий :) - чтобы я этого сайта скрипты и XHR разрешил хотя бы временно в своём  uMatrix :)
В общем, если встретите капчю "а ля дорожные знаки", то бегите с этого сайта!

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

108. "Утечка идентификаторов пользователя через встроенный в брауз..."  –1 +/
Сообщение от Аноним (??) on 30-Дек-17, 13:38 
А сайт и рад - чел с блокировщиком рекламы и слежки дохода не приносит, а ресурсы сервера тратит.

Вот только с такими замашками вообще от инета надо отключаться, потому что удаком быть выгоднее, и кто не будет использовать малейшую возможность использовать что-то для потенциальной выгоды проиграет конкурентам, обанкротится и вылетит с рынка на йух. Рыночек порешал. Естественный отбор в действии.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

80. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 29-Дек-17, 10:30 
Спасибо!
В Adblock-plus блеклист (с вайтлистом) я не использую, потому что они уж очень большие, а блокирую вручную то, что мешает, как мне кажется.
Т.е. всякие лишние картинки.
Или открываю Open blockable items и смотрю там, что можно заблокировать, в т.ч. скрипты и xss, хотя из-за последнего может нарушаться разметка.
Куки у меня разрешены только на сайтах, где я авторизуюсь.

Вопрос (извините, я не специалист): как через Adblock-plus найти и вручную заблокировать шпионские скрипты и XHR?


Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

83. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 29-Дек-17, 11:49 
> Вопрос (извините, я не специалист): как через Adblock-plus найти и вручную заблокировать шпионские скрипты

||example.com/js/main.js или ||example.com/*$script
Но есть ещё инлайн-скрипты.
> и XHR?

Только полностью домен блокировать ||example.com^
С 1st-party XHR не получится блокировать (это только в юматриксе видел).
Лучше юблок, юматрикс или RP юзать для этого. С ABP какое-то извращение.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

99. "Утечка идентификаторов пользователя через встроенный в брауз..."  –1 +/
Сообщение от Аноним (??) on 29-Дек-17, 18:34 
>> Вопрос (извините, я не специалист): как через Adblock-plus найти и вручную заблокировать шпионские скрипты
> ||example.com/js/main.js или ||example.com/*$script
> Но есть ещё инлайн-скрипты.
>> и XHR?
> Только полностью домен блокировать ||example.com^
> С 1st-party XHR не получится блокировать (это только в юматриксе видел).
> Лучше юблок, юматрикс или RP юзать для этого. С ABP какое-то извращение.

Спасибо!


Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

62. "Утечка идентификаторов пользователя через встроенный в брауз..."  –1 +/
Сообщение от Ordu email(ok) on 29-Дек-17, 00:15 
> Хватит форсить этот древний бренд.

Что ж ты так переживаешь, что кто-нибудь что-нибудь зафорсит, да тебя не спросит? Вся жизнь -- игра^W информационная война? Хочешь я тебе подкину пару ресурсов, которые специализированы на осасывании информационных военов из прочих частей интернета -- им там весело жить таким воюющим концентратом, и другим они при этом не столь мешают. Всем хорошо.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

58. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 28-Дек-17, 23:34 
В Firefox about:config
signon.autofillForms -> false
http://kb.mozillazine.org/Signon.autofillForms
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Утечка идентификаторов пользователя через встроенный в брауз..."  +1 +/
Сообщение от Аноним (??) on 28-Дек-17, 23:37 
1. Не использовать менеджер паролей.
2. Использовать для электронной почты отдельный браузер.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Утечка идентификаторов пользователя через встроенный в брауз..."  –1 +/
Сообщение от ryoken (ok) on 29-Дек-17, 07:16 
> 2. Использовать для электронной почты

...почтовый клиент

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

110. "Утечка идентификаторов пользователя через встроенный в брауз..."  +1 +/
Сообщение от Аноним (??) on 30-Дек-17, 13:43 
> 1. Не использовать менеджер паролей.
> 2. Использовать для электронной почты отдельный браузер.

в firefox есть контейнеры

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

73. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от DmA (??) on 29-Дек-17, 08:42 
Давно отключаю в Firefox запоминание истории, не фиг мой диск изнашивать всякими временными страницами, для этого есть оперативная память, а если в оперативной памяти уже нет этой страницы(вытеснилась), то пусть она снова запрашивается из Интернета.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

76. "Утечка идентификаторов пользователя через встроенный в брауз..."  –2 +/
Сообщение от DmA (??) on 29-Дек-17, 09:04 
Мозиле фундешен нужно разок проучить всех пользователей Firefox: добавить  в какую-нибудь свежию версию автоматическую отсылку всех сохраннёных паролей и прочих полей на сервера Мозиллы и потом опубликовать это всё...
А может они уже это делали не раз :)
Вообще вводить какую-то критическую  для пользователя информацию(пароли,кредитки итд) в любых современных браузера просто небезопасно. Считайте, что клавиатура вашего компьютера принадлежит ещё вам, а вот всё что видите на экране можно считать общеизвестной информацией! Вы сели за компьютер - значит вы собираетесь какую-то информацию о себе поведать миру :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

89. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от DmA (??) on 29-Дек-17, 13:44 
> Мозиле фундешен нужно разок проучить всех пользователей Firefox: добавить  в какую-нибудь
> свежию версию автоматическую отсылку всех сохраннёных паролей и прочих полей на
> сервера Мозиллы и потом опубликовать это всё...
> А может они уже это делали не раз :)
> Вообще вводить какую-то критическую  для пользователя информацию(пароли,кредитки итд)
> в любых современных браузера просто небезопасно. Считайте, что клавиатура вашего компьютера
> принадлежит ещё вам, а вот всё что видите на экране можно
> считать общеизвестной информацией! Вы сели за компьютер - значит вы собираетесь
> какую-то информацию о себе поведать миру :)

А ещё лучше не только сохранённых паролей, но и вводимых пользователем без сохранения...

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

107. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 30-Дек-17, 13:30 
между действительностью и её описанием всегда есть глубокий разлом, переполненный трупами доверчивых пользователей


Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

109. "Утечка идентификаторов пользователя через встроенный в брауз..."  +1 +/
Сообщение от eganru on 30-Дек-17, 13:40 
[i]Bы сели за компьютер - значит вы собираетесь какую-то информацию о себе поведать миру :) [/i] - я просто стучу по клавишам!
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

111. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 30-Дек-17, 13:44 
На себя стучишь.
Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

114. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 31-Дек-17, 09:54 
Какие будут ваши предложения? Не сохранять пароли, это первое правило. Отчищать куки по таймеру это второе правило. Отчищать DOM cache и вообще любой cache это тертье правило. Ну и отбрасывать хедеры с ETAg, блокировать canvas, ставить блокировщики рекламы, научиться пользоваться iptables и контейнерами, наконец, настроить браузер, использовать VPN и шифрование DNS. Если всех этих мер не принял, считай что ты и без паролей и кредиток слил свою третим лицам, которые ей уже активно пользуются.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

113. "Утечка идентификаторов пользователя через встроенный в брауз..."  +/
Сообщение от Аноним (??) on 31-Дек-17, 09:50 
> во встроенных в браузеры менеджерах паролей

Кто ими пользуется ССЗБ.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру