| 1.1, имя (?), 11:25, 20/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +20 +/– | |
>свободной библиотеки fingerprintjs2
вот уж действительно энтузиасты опенсорса!
| | |
| |
| |
| 3.26, dimqua (ok), 13:05, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Немного наивно вышло, тем не менее, все правильно. Хотя я думаю, они не будут этим фактом особо шокированы.
| | |
| |
| |
| 5.47, А (??), 16:01, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> какие пути выхода из ситуации будут предложены.
Не разрабатывать технологии с возможностями которые позволяют Web-программисту "вот это все" собственно делать.
| | |
| 5.68, macfaq (?), 20:15, 20/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Мне интересна их реакция и какие пути выхода из ситуации будут предложены.
Пачка шаблонных оправданий, бредни про "инструменты", кудахтанье про "все это делают".
Ничего интересного тебе не напишут.
| | |
| 5.97, Анонус (?), 10:41, 21/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
А что это проблема? На огнелисе есть встроенная блокировка канваса. Добавил пару важных сайтов в исключение, остальные в блок. По опыту каждый 3 сайт отслеживает
| | |
|
| 4.79, Anonimus (??), 21:47, 20/02/2019 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> они не будут этим фактом особо шокированы.
Автор этой либы в самом докладе говорит, что цель - это отслеживание в условиях, когда пользователь препятствует этому (используя режим инкогнито или удаляя куки вручную). Проще говоря, это банальная спайварь.
| | |
|
| 3.37, Antun (?), 14:34, 20/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Тоже самое можно сказать о любом эксплоите или хакерском инструменте. В данном случае линия защиты должна проводиться на стороне браузера.
| | |
| |
| 4.44, dimqua (ok), 15:02, 20/02/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
Но есть разница в том, кто применяет эксплоиты, а кто фингерпринтинг. Хакерские инструменты обычно используют негодяи и злоумышленники (по крайней мере, согласно, распространенному мнению), чтобы обдурить юзеров, а фингерпринтинг - крупные и уважаемые компании, которые рассматривают его даже как нечто полезное для пользователей.
| | |
| |
| 5.74, Anonimus (??), 20:44, 20/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Так и хакерские инструменты используются для пентестинга и привлечения внимания безопасников к уязвимости.
| | |
|
| 4.51, Аноним84701 (ok), 16:57, 20/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Тоже самое можно сказать о любом эксплоите или хакерском инструменте. В данном случае линия защиты должна проводиться на стороне браузера.
Помню, примерно так же описывал когда-то (~2009) автор email-grabber-а свое (платное) поделие (считерил, открыв старую страницу в вебархиве), примерный перевод:
"находит адреса в страничках, гостевых книгах, порталах, с помощью поисповиков"
"синхронизация, экспорт в TXT, CSV, XML, SQL, DBF, следование по ссылкам вплоть до 100 ступени, фильтры"
"Идеальное решение для фирм и вебмастеров, вынужденных работать или считывать-отбирать большое количество адресов! Находит успешно адреса на ПК и в интернете! Поиск по ключевым словам, проверка качества найденых ссылок …"
Ну да - ничего личного, просто бизн^W инструмент, ага.
| | |
|
| 3.80, Аноним (-), 21:50, 20/02/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Молочага, братишка, я с тобой! Ударим NoScript'ом по плохим ребятам! ;-)
| | |
| 3.82, Аноним (82), 23:14, 20/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
А они то причём? Это надо разработчикам браузеров и js писать.
Библиотека лишь эксплуатирует уязвимость, а не создаёт её.
Не они, так другие напишут.
| | |
| |
| 4.86, dimqua (ok), 05:07, 21/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Надо писать всем, в данном случае, чем больше шумихи, тем лучше.
> Это надо разработчикам браузеров и js писать.
Разработчикам языка JavaScript? o_O
> Не они, так другие напишут.
Вот прям сразу взяли и написали, да? Эту либу уже более трех лет разрабатывают.
| | |
| 4.89, Аноним (7), 06:20, 21/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Не они, так другие напишут.
В среде вебмакак упомянутая тактика как раз очень эффективна. Не напишут. Отстреливать надо самых агрессивных макак.
| | |
|
|
| 2.49, Аноним (49), 16:54, 20/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
А вы за security through obscurity? При таком подходе знаешь врага^W фингерпринтинг в лицо.
| | |
| |
| 3.69, macfaq (?), 20:17, 20/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А вы за security through obscurity? При таком подходе знаешь врага^W фингерпринтинг
> в лицо.
StO имеет свою нишу и свои применения, не нужно проецировать одну фразу, вырванную из контекста криптографии, на всё остальное.
| | |
| |
| 4.98, Аноним (49), 13:06, 21/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ну а чем плохо? Чувак запилил конкретную библиотеку, в которой вот они, все методы реализованы. Учись блокировать. Другое дело, что он мог бы запилить её отдельными библиотечными методами, и с такой же защитой от script-kiddies, как обычно делают в эксплоитах, а не такую "бери и идентифицируй".
| | |
|
|
| 2.81, Аноним (-), 22:38, 20/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Автор сделал просто потому что мог. Может он - могут и другие. Хотите защититься - пишите защиту (тот же торбраузер, по умолчанию, режет подобную фигню).
Посмотрите на ситуацию с другой стороны - вполне возможно, что какой нибудь Васян использовал ту же технику в своей проприетарной библиотеке много лет, без всякой огласки. И это бы оставалось неизвестным до сих пор, если бы кто нибудь не запилил свободный proof-of-concept того же функционала
| | |
| |
| 3.87, dimqua (ok), 05:14, 21/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Одного лишь "мог" тут недостаточно. Довольно многие могли бы, как ты верно заметил, но не каждый решит этим заниматься. Автор сабжа тоже мог бы, наверное, принимать участие в разработке Tor-браузера (или чего-то подобного), но не стал почему то.
| | |
|
|
| 1.2, Аноним (2), 11:27, 20/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Скоро нельзя будет даже картинки по дефолту с сайта грузить (скрипты и так уже стрёмно)
| | |
| |
| 2.70, macfaq (?), 20:17, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Скоро нельзя будет даже картинки по дефолту с сайта грузить (скрипты и
> так уже стрёмно)
CSS тоже не забудь пристрелить.
| | |
|
| |
| 2.31, Аноним (31), 13:32, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Заечм Гейбу это? У него уже давно что-то стим клиенте есть трэкинг: полный доступ к фс. Нафиг ему сделись всякие канвасы.
| | |
| |
| |
| 4.76, Аноним (76), 21:15, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> скорее всего как один из элементов борьбы с воровством аккаунтов
Еще раз: у него сайт залогиновый, стим клиент имеет уникальный id и, хоть и запускает внутри бразуерный движок, делать может все что угодно в системе (если его не ограничивать).
| | |
|
|
|
| 1.9, ryoken (ok), 11:55, 20/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Как там батька Столлман Инет читает? Вроде было где-то, что ему wget-ом выкачивают и фильтруют?
| | |
| |
| 2.13, имя (?), 12:19, 20/02/2019 [^] [^^] [^^^] [ответить]
| +4 +/– | |
"слышал звон, да не знаешь где он"
В каком-то интервью Столлман рассказывал, что не держит постоянного соединения с сетью: просто пару раз в день подключается и скачивает почту, и, по возможности, интересующие его страницы сайтов.
Все это, конечно, через емакс.
| | |
| |
| 3.32, dimqua (ok), 14:05, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
ЕМНИП, не все так просто. :-)
У него вроде скрипт, который страницу (а мб и сайт) wget-ом скачивает и присылает на почту. И когда он читает почту в Emacs, то и просматривает присланные страницы. Ну, на сайте у него этот процесс более точно описан должен быть.
| | |
| |
| 4.39, имя (?), 14:40, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
https://stallman.org/stallman-computing.html
>I generally do not connect to web sites from my own machine, aside from a few sites I have some special relationship with. I usually fetch web pages from other sites by sending mail to a program (see https://git.savannah.gnu.org/git/womb/hacks.git) that fetches them, much like wget, and then mails them back to me. Then I look at them using a web browser, unless it is easy to see the text in the HTML page directly. I usually try lynx first, then a graphical browser if the page needs it (using konqueror, which won't fetch from other sites in such a situation).
да, что-то типа вгета
| | |
| |
| |
| 6.42, имя (?), 14:59, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
сомнительно. Пишет что использует гном, но текст старый, так что непонятно какой именно. Сейчас может и лису используется.
| | |
| |
| 7.66, Аноним (66), 19:24, 20/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> может и лису используется.
"I occasionally also browse unrelated sites using IceCat via Tor" (c) Stallman
| | |
|
|
|
|
|
|
| 1.11, Аноним (21), 12:06, 20/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А сществует дополнение, которое блокирует злодеятельность fingerprintjs2 ?
| | |
| |
| |
| 3.20, dimqua (ok), 12:56, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Посмотри видео в новости. Эта библиотека не только лишь Canvas Fingerprinting использует.
| | |
| |
| 4.28, Аноним (17), 13:19, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Шрифты не покрывает разве что и webrtc. Про второе тут любой васян и так знать бы должен (и как отключить или ограничить).
| | |
| 4.36, Antun (?), 14:27, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Это расширение не только против canvas fingerprinting.
Protected "fingerprinting" APIs:
canvas 2d
webGL
audio
history
window (disabled by default)
DOMRect
| | |
|
| 3.55, пох (?), 17:12, 20/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
высовывает предупреждение на моем собственном сайте (использует трекинг, но не там где вылазит предупреждение, и не canvas ни разу) и на, внезапно, track.
Что такое этот его DOMRect readout (подозреваю, связано с попытками померять размер отображаемой области (не экрана!) чтобы разместить в ней элементы) и зачем по этому поводу вопить - спросите у автора, а пока такой ненадежный софт отправляется в мусорку.
| | |
| |
| 4.101, Kuromi (ok), 19:30, 21/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Не столько затормаживает, сколько заглючивает. Раньше если им пользоваться сайты могли вообще рандомно не открываться.
| | |
|
|
| 2.58, Аноним (58), 18:11, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Когда-то на opennet была новость об исследовании безопасности, которое показало, что все эти дополнения для параноиков наоборот сильнее выделяют их браузер из толпы юзеров.
| | |
|
| |
| 2.56, Аноним (56), 17:48, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Судя по расширению, блокирующему fingerprintjs2, Opennet им пользуется.
| | |
| |
| 3.61, нах (?), 18:39, 20/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
вы тоже повелись на рекламу и поставили это гуано? Выбросьте в помойку - оно у вас тут агрится на безобидный эмбед vimeo прямо в тексте новости. Говорят же вам - автырь сам не понимает, что и зачем он блочит и зря пугает пользователей (при этом когда действительно вляпаешься - проигнорируешь, потому что кто-то все время орет "волки")
(если вымя и тырит что-то о тебе, анон, оно это делает не так. И, разумеется, не удастся скрыть от вымени факт чтения тобой этой страницы опеннета, если только не заблокировать опеннету возможность вставки видео - но вряд ли это то, чего ты хочешь)
| | |
| |
| 4.65, Аноним (56), 18:54, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Да я уж разобрался, что это Vimeo. Понятно, что Опеннет тут ни при чем, но то что блокирует в айфрейме с Вимео - это бесполезным назвать нельзя. Кстати, интереса ради зашел на главную фейсбука - там аж три попытки меня идентифицировать. Гугл, Яндекс на главных - все чисто.
| | |
| |
| 5.71, пох (?), 20:30, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Понятно, что Опеннет тут ни при чем, но то что блокирует в айфрейме с Вимео - это бесполезным
> назвать нельзя.
ну выколите себе глазки/заблокируйте вымя по домену, если вам оно "полезно". Причем бы тут fingerprinting, оно вас банально по ip пасет.
То что он там надетектил - никакая не идентификация, а попытка отрисоваться в масштабе страницы.
поищите Canvas Defender by Multilogin - ложных срабатываний у него ноль. Но это только canvas, от перебора шрифтов защищайтесь чем-нибудь еще.
| | |
| |
| 6.75, Аноним (75), 21:12, 20/02/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ты че такой агрессивный. Иди перед одноклассниками понтуйся, что знаешь по теме чуть больше меня. Меня, впрочем, этот факт мало волнует.
| | |
| 6.90, Аноним (7), 06:29, 21/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> То что он там надетектил - никакая не идентификация, а попытка отрисоваться в масштабе страницы.
Ну да, ну да. web - такое универсальное всё из себя, работающее везде, что, оказывается, _сама веб-страница должна что-то высчитывать_ для отрисовки. Этим ващет браузер должен заниматься, а не вебмакаки копаться своими грязными скриптами.
| | |
| |
| 7.92, пох (?), 07:30, 21/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Ну да, ну да. web - такое универсальное всё из себя, работающее везде, что, оказывается, _сама
> веб-страница должна что-то высчитывать_ для отрисовки. Этим ващет браузер должен заниматься,
ты ж динамику хочешь. А не вот тут нажал на '-', а тебе отдельная страница с формой открывается, "подтвердите что пох вам настолько не пох", с кнопкой submit (и защитой от повторного нажатия в виде hidden form field, куки мы ж тоже запретим), ибо другого способа передать серверу эту инфу - нет.
в 98м сайты так и делали.
> Этим ващет браузер должен заниматься
ЭТОТ браузер этим заниматься не будет, а других уже нет (те что есть обречены на вечно-догоняющих и глючащих от этого, а не новые хорошие стандарты устанавливать)
а так да - ничего не мешало сделать, к примеру, человеческий апи для автоподгружающегося хвоста страницы ("бесконечная" прокрутка) - или хоть progress indicator для form submit. Для download есть, для upload - хрен, 25 лет. Но вместо этого сделали xhttp (изначально совсем не для этого) и обвешали миллионом костылей и подпорок (без jquery не сдвинуть).
| | |
|
|
| 5.96, имя (?), 10:18, 21/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Понятно, что Опеннет тут ни при чем
Гугл аналитику в Опеннет встроил Vimeo, ага.
| | |
|
|
|
|
| 1.38, Antun (?), 14:40, 20/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Кстати, на browserleaks.com можно ознакомиться с тем, какая информация утекает из браузера. Например, на вкладке webgl можно найти даже такие вещи:
> Unmasked Renderer ! AMD Radeon HD 7700 Series (CAPE VERDE, DRM 3.27.0, 4.20.0-10.1-liquorix-amd64, LLVM 6.0.0)
Честно говоря, был немного шокирован.
| | |
| |
| 2.41, dimqua (ok), 14:54, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Мне больше удивило то, как эти техники сильно распространены на самом деле.
| | |
|
| 1.43, IRASoldier (?), 15:01, 20/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Метод идентификации на основе Canvas получил распространение благодаря появлению свободной библиотеки fingerprintjs2
Логично - есть свобода писать и распространять код (типа как по Столлману же) и есть свобода следить. Кругом свобода, это достижение, ящетаю.
| | |
| |
| 2.48, имя (?), 16:24, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
свобода одного заканчивается там, где начинается свобода другого. Ну и man парадокс Поппера.
Ты можешь тоньше, старайся.
| | |
| |
| 3.52, нах (?), 17:00, 20/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
да, если бы у благодарных пользователей была свобода отп...ть автора шва6одного зонда в подворотне (или хотя бы заддосить ему сайт) - ему бы резко расхотелось ТАК распоряжаться своей свободой - глядишь даже чего полезное бы вместо зонда написал.
но увы...
| | |
| 3.64, IRASoldier (?), 18:43, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> свобода одного заканчивается там, где начинается свобода другого
Но для того, чтобы обеспечить эти границы - требуется внешний ограничитель свобод.
> Ты можешь тоньше, старайся.
Ты не уловил тонкости.
| | |
| |
| 4.67, имя (?), 19:33, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>Но для того, чтобы обеспечить эти границы - требуется внешний ограничитель свобод
общество должно само развить эти институты. Внешний контроль исчезнет - исчезнут и мотивы придерживаться ограничений.
| | |
| |
| 5.73, IRASoldier (?), 20:35, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Единственный внутренний механизм - это самоцензура. Проконтролировать её соблюдение невозможно, её действенность зависит от сферической в вакууме совести на единицу общества. А выделить из общества контрольный орган, занимающийся этой самой цензурой - это как раз создание в той или иной степени внешнего контроля. (Окей, пусть он будет выборным.) Анархия может приносить нормальные результаты только в очень небольших сообществах.
| | |
|
|
|
| 2.50, Аноним (50), 16:57, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Точно также, ножом можно резать хлеб, а можно - людей. И? Инструмент есть инструмент.
| | |
| |
| 3.53, нах (?), 17:05, 20/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
смотря каким ножом. Некоторые боевые инструменты - для резки хлеба непригодны чуть более чем совсем, проще и быстрее напавший на тебя батон белого голыми руками задушить, чем пытаться откромсать кусок каким-нибудь керамбитом с обратной заточкой. А вот кишки им выпустить - можно.
в данном случае - "инструмент" предназначен только и исключительно для шпионажа.
что "у нас - разведчики" плохо помогает разведчику, когда его вешают таки как шпиона.
| | |
| |
| 4.59, Аноним (59), 18:23, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Зря ты на этого чувачка батон крошишь да кулачком трясешь. Людей с достаточными знаниями и схожими целями сильно >1, не вывали этот в паблик мы бы просто меньше знали.
| | |
| |
| 5.60, нах (?), 18:35, 20/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
людей со схожей целью вывалить вредный код в паблик для большего удобства вебмакак не должно быть слишком уж много.
| | |
|
| 4.84, Аноним (84), 00:19, 21/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>что "у нас - разведчики" плохо помогает разведчику, когда его вешают таки как шпиона.
Шпионов не вешают - их на "разведчиков" меняют.
| | |
|
|
|
| 1.57, Аноним (57), 18:10, 20/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
надо этот процент на сотню бы умножить, для того чтобы реальную цифру видеть
| | |
| 1.62, user90 (?), 18:40, 20/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Все сторонние скрипты зарезаны по доменам, очень разгружает сайты от разнообразных дизайнерских высеров и вообще от всяких ненужных iframe.
| | |
| 1.77, Аноним (77), 21:31, 20/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Я раньше думал что все рекламные банера используют canvas для сбора информации, а не всего лишь меньше процента, но тем не менее у рекламщиков есть ещё очень много способов собрать инфу. Уже даже иногда достаточно использовать user agent, который определяет операциоку и версию браузера. И даже если поменять его на самый популярный user agent, ты все равно будешь в списке 40% у кого такой же user agent, плюс добавить размер экрана и много чего прочего и можно вычислить с точностью до одного компьютера из миллиона.
| | |
| |
| 2.102, Аноним (59), 04:13, 22/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Filter /fingerprint2.js
Filter list EasyPrivacy
Сам догадаешься как это "сложно" обойти или помочь?
| | |
|
|
