[О пользе нехождения по ссылкам]сверхперсистентные куки

Моя ничего не поняла. Там ставилась кука, которую нельзя удалить? Или что?

Кука ставится в 8 разных мест (обычная кука, всякие html5 local storage-и, какие то сгенерированные и закешированные картинки, флеш), которые тяжело удалить руками. В общем можно следить даже за теми, кто регулярно чистит куки. Кажется, с отключенным жабаскриптом оно всё обламывается.

>html5 local storag

тяжело удалить руками

orly.png

на слешдоте тоже было

My favorite storage location is in 'RGB values of auto-generated, force-cached PNGs using HTML5 Canvas tag to read pixels (cookies) back out' — awesome.

неплохо придумал

В каждом месте по отдельности - наверное несложно (хотя где флеш куки хранит, я даже не знаю). Но взять и всё вместе целенаправленно для определённого сайта грохнуть - сложно. Как минимум - надо знать про это.

Впрочем, думаю, параноики для параноиков уже пишут аддон.

Noscript?

html5 local storage это не флеш. Для определённого сайта удаляется одной кнопкой весь storage, принадлежащий сайту.

http://ompldr.org/vNW01bw

Соответственно, вопрос: как от этого уберечься, блокировать создание холста, переопределять соответствующие функции ядра JS или есть другие способы?

Открывать ненадёжные сайты в приватных вкладках, которые после закрытия удаляют всё о посещённом сайте, например.

Тоже вариант, но тогда о кешировании можно забыть, расценивая весь веб как потенциально небезопасный.

Главное, чтобы в анонимном окне хромого ничего не сохранялось.

Я большую часть посещаю вообще без скриптов. И кеш есть и проблем меньше. Правда это зависит от списка посещаемых сайтов всё же.

надо юзать tiny core linux, тогда при загрузке у вас будет чистый интернет клиент

http://tinycorelinux.com/

> расценивая весь веб как потенциально небезопасный.

Он именно такой и есть

// ==UserScript==
// @exclude  ...
// ==/UserScript==

(function(){

if (window.CanvasRenderingContext2D instanceof Object)
	CanvasRenderingContext2D.prototype.getImageData = function(sx, sy, sw, sh) { /*alert("Baka");*/ opera.postError("getImageData blocked due to possible attempt to spy. Domain: " + document.domain) };

if (window.SQLTransaction instanceof Object)
	SQLTransaction.prototype.executeSql = function(sqlStatement, opt_queryArgs, opt_callback, opt_errorCallback) { opera.postError("openDatabase blocked due to possible attempt to spy. Domain: " + document.domain) };

if (window.CSSStyleDeclaration instanceof Object)
	CSSStyleDeclaration.prototype.getPropertyValue = function(propertyName) { opera.postError("getPropertyValue blocked due to possible attempt to spy. Domain: " + document.domain); return "" };

  ...

})();

Пока _полезные_ сайты, использующие навороты html5, можно пересчитать по пальцам, остановлюсь на таком варианте.

В Опере они отключабельны в настройках, правда только целиком. Storage в настройках, а Canvas только в opera:config (работает ли эта опция поныне, правда, не знаю). Хотя вырубать только getImageData() это более хитро :)

>отключабельны в настройках

в смысле «Domain Quota For Databases» и «Domain Quota For localStorage» в ноль?

// Они ж ~уки нихрена не обновляют http://www.opera.com/support/usingopera/operaini/

> Затем разгорелась обширная дискуссия чем эта самая ужасная куки может быть страшна

И чем же, можно сразу квинтэссенцию? Сайт сохранил данные у меня в браузере, миллионы страниц так делают и чё? Да, фиг удалишь, восстанавливается при повторном заходе на сайт. Ну, и что? Я и так куки не удаляю после посещения страниц, ничего ужасного не происходит.

А вот это http://ompldr.org/vNW04cg не работает? Там ещё есть «спрашивать».

> Я большую часть посещаю вообще без скриптов.

Использую линукс и мне по-барабану ужасные нехорошие скрипты на страницах.

Это ты так решил толсто намекнуть, что у меня винда? :)

// Также, кастую Димца или кто там у нас поблизости.

Ага. -) Вернее о том, что носкрипт это ненужная паранойя. )

А это не носкрипт. Это чекбокс «Включить JavaScript» на панели. Который обычно выключен :)

>// Также, кастую Димца или кто там у нас поблизости.

все ок) у тебя Linux x86_64.

Спс :}

> Который обычно выключен :)

Нафига? o_O

А и без него всё работает. Да ещё и быстрее (ждать меньше и время выполнения 0) и неожиданностей не возникает, которые со скриптами есть. HTML всегда ведёт себя ожидаемо, в отличии от. А если нет разницы, зачем платить больше? :)

Ну, есть, конечно, сайты в которых он полезен, фильтры данных какие реализуют или ещё что, но это только несколько избранных сайтов, для них можно включить, если очень надо.

У Оперы один заметный недостаток - если JS выключен, то не работают и UserJS.

В 10.70 оно странно работает. Только после того, как в about:config порезал размер баз до нуля, появился запрос об увеличении квоты (хотя было указано не спрашивать).
Судя по содержимому override.ini, появление запроса контролируется параметрами «Domain Quota Exceeded Handling For localStorage» и «Domain Quota Exceeded Handling For Databases». Т.е. их тоже в ноль.

Есть такое. Я всё ещё надеюсь, что это исправят %)

какая разница, что у меня какая-то сраная печенька, если сайт всё равно мой IP записал?

> html5 local storage это не флеш

так он и во влеше тоже сохраняет. ещё сохраняет картинку специально сгенерённую жабаскриптом. и ещё в кучу мест.

Грязный хак!

Doesn't work here: firefox 3.6.10.

Мы тут уже в курсе. А вот флеш не нужен :)

А ещё с отключенными (вне зависимости от способа, хотя сам пользуюсь NoScript) скриптами и флешем дольше времени работы от аккумулятора.