LINUX.ORG.RU

Конгрессмены США обеспокоены «сверхустойчивыми cookie»

 , , ,


0

0

Члены Конгресса США Джо Бартон (Joe Barton) и Эдвард Марки (Edward Markey), со-председатели двупартийного кокуса по защите личной жизни (Congressional Bi-Partisan Privacy Caucus), обеспокоены распространяющейся среди крупных веб-сайтов практикой оставлять на компьютерах пользователей так называемые «supercookies» — идентификационные метки или другую информацию, сохраняемую в браузере пользователя так, чтобы её, в отличие от обычных cookies, было трудно удалить. Такие методы направлены на сохранение идентификационной информации одновременно в нескольких местах, часто не полностью контролируемых браузером. Помимо обычных cookies, информацию можно сохранить в local storage или одним из новых способов, появившихся в HTML5, через плагин (Flash, Java или Silverlight), в виде специально сгенерированного ETag, путём синхронизации cookie между несколькими сайтами, принадлежащими одному владельцу, путём манипуляций с кэшем браузера или историей просмотров или другими способами.

Подобные методы используются на некоторых крупных сайтах, например, msn.com, hulu.com, Spotify и GigaOm. Против компаний, использующих supercookie, подавались даже судебные иски, но компаниям удавалось выходить сухими из воды. Существует известный скрипт с открытым исходным кодом для создания таких cookie — Evercookie.

Конгрессмены направили письмо председателю Федеральной комиссии по торговле с просьбой провести расследование по этому вопросу, поскольку такая практика, по их мнению, нарушает приватность пользователей и подпадает под определение «недобросовестного или вводящего в заблуждение действия».

Статья по теме в английской Википедии

>>> Сообщение в The Register

★★★★★

Проверено: Shaman007 ()
Последнее исправление: adriano32 (всего исправлений: 4)
Ответ на: msn.com от Ubuntu1204LTS

как раз включению msn в этот список я удивлен
или дяди из конгресса хотят запретить кросссайтовую авторизацию

а evercookie относительно легко блокируется

wxw ★★★★★
()
Ответ на: комментарий от wxw

>как раз включению msn в этот список я удивлен

или дяди из конгресса хотят запретить кросссайтовую авторизацию

Дяди из конгресса не составляли списка, список составил журналист по ссылке. MSN туда попал не за кроссайтовую авторизацию, а за манипуляции с ETag и за еще какие-то попытки восстановить cookie после удаления.

а evercookie относительно легко блокируется

А он и предназначен, в первую очередь, для демонстрации и обучения. Проблема в том, что единственный надежный технический способ — сидеть в ну очень ограниченном интернете. Или с очень надежной эвристикой. Или читать вообще все, что сайты тебе пишут в cookie.

proud_anon ★★★★★
() автор топика
Ответ на: комментарий от proud_anon

> Или читать вообще все, что сайты тебе пишут в cookie

а зачем разрешать писать в куки? web database официально признан фейлом и закрыт/отключен/отсутствует в новых версиях браузеров. от угадывания хистори вроде бы в мозиле добавили защиту. флеш спрашивает разрешение на хранение lso (и без флеша вполне можно обойтись). и т.д.
да мы это кажется ранее уже обсуждали

wxw ★★★★★
()
Ответ на: комментарий от wxw

Запретить куки, отключить Javascript и флеш (потому что чуть ли не каждый второй баннер выдает этот запрос на хранение lso), еще и кэширование ограничить (а то вдруг там подмухлюют) — это и есть по моим понятиям «очень ограниченный веб».

proud_anon ★★★★★
() автор топика
Ответ на: комментарий от Ubuntu1204LTS

в другой статье расписана техника.
но скрипта wlHelper у себя в кеше не нашел (убрали ?), а другой с очень длинным названием генерирут clientId рандомно

wxw ★★★★★
()
Ответ на: комментарий от JustGuest

А фсбук вообще следит даже за пользователями которые не зарегистрированы в facebook.com Сейчас за Западе вообще паника поднялась
1) http://scripting.com/stories/2011/09/24/facebookIsScaringMe.html
2) http://www.neowin.net/news/report-facebook-tracks-you-after-you-log-out
А против гугля достаточно пользоваться FF и поставить Ghostery, соответственно в Chrome достаточно расширения Disconnect. И все, Twitter и гоголь-моголь сосут

Karapuz ★★★★★
()
Ответ на: комментарий от proud_anon

>отключить Javascript и флеш

достаточно не принимать js с вконтактов, одноглазиков, твиттеров, фейсбуков, google-analytics, +over до буя сайтов или просто поставить ghostery+NoScript

Karapuz ★★★★★
()

Печеньки не самое страшное. Из-за подобных сюрпризов я продал душу Патрегу.

fero ★★★★
()
Ответ на: комментарий от Karapuz

Тут главное не переборщить.
С некоторой точки зрения, отсутствие тех или иных признаков - тоже признак :)

winddos ★★★
()

> появившихся в HTML5, через плагин (Flash, Java или Silverlight), в виде специально сгенерированного ETag

Российских «конгресменов» это не беспокоит. Они в курсе что упомянутые плагины не входят в комплект ПО рекомендованного для использования в образовании и вообще детьми, в их собственно развитии образовании и воспитании. Упомянутые плагины, это если не порнография, то очень близко к ней.

sazonoff
()
Ответ на: комментарий от proud_anon

>>это и есть по моим понятиям «очень ограниченный веб».

Это чистый, нормальный веб

zloy_linuxoid
()
Ответ на: комментарий от Karapuz

Спасибо за наводку. Удивлён, сколько компаний пытаются трекать. До этого плагина думал настроить adblock, но тут даже проще. Жаль, что вконтактик он не определяет. Там учётки нету, но всё равно бы порезал.

AlexKiriukha ★★★★
()
Ответ на: комментарий от winddos

Довольно давно в Security всплывала темка, что по утсановленным плагинам, настройкам браузера, идентификатору браузера и прочей хне вполне себе можно отслеживать человека на различных сайтах. Вся эта информация, ЕМНИП, передается как составляющая GET запроса.

trex6 ★★★★★
()
Ответ на: комментарий от Ubuntu1204LTS

>А не проще просто не ходить по всякой пакости?

Ну дык не ходи на лор, тогда, а то знаешь ли тут тоже пасут через гугл аналитик и рамблер.

zloelamo ★★★★
()

со-председатели двупартийного каукуса

Прочитал как «кактуса».

SteveBallmer
()
Ответ на: комментарий от trex6

Просто о том что существуют флеш-куки широкая общественность узнала очень недавно, а те кому надо юзали это очень и очень давно. :)

Я какбы говорил конкретно о том, что когда у тебя режутся все скрипты, не грузятся конкретные картинки или у тебя нет кэша, то это тоже очень хорошие признаки для создания «отпечатка».
Т.е каждый параноик выглядит совсем не похоже на других :)

Я больше склоняюсь ко мнению, что лучше сливаться с толпой при обычном серфинге.
Ну а для тех областей где параноя уместна, желательно юзать как минимум VPN.

winddos ★★★
()
Ответ на: комментарий от AlexKiriukha

Update: на другом сайте и вконтактик появился. Заблокирован :-)

AlexKiriukha ★★★★
()
Ответ на: комментарий от winddos

Ну т.е имхо, инструмент который со 100% гарантией превратит меня в пользователя IE8 на Виндусе ХП будет куда болезнее для анонимности, нежели все носкрипты и прочие.

Естественно простая смена юзерагента не решает, нужен комплексный подход.

winddos ★★★
()

Очередной пиндосский кретинизм.Куки им видетели жить мешают...

iBliss
()

каукуса

Одного меня это слово смущает, пугает и приводит в недоумение? Сначала вообще прочитал «кактуса».

vurdalak ★★★★★
()

О, ну это пусть себе беспокоятся. Главное, чтобы не затребовали прививки от бешенства для огнелисов.

drs
()

> каукуса
Я один прочитал «кактуса»?

Satou ★★★★
()
Ответ на: комментарий от anonymous

Благодарю.

P.S. Возможно кто-нибудь сможет подсказать, какой утилитой лучше воспользоваться, чтобы она фильтровала содержимое посылаемых GET запросов. Желательно без привязки к браузеру. Т.е. чтобы все запросы, поступающие с моей машины имели именно тот параметр, который я указал.

trex6 ★★★★★
()

Ничего нового

Наконец-то метод «живчиков» начали использовать легально. Пару лет назад в Хакере читал статью о создании сложноудалаемых куков. Там в качестве примера приводилась гипотетическая ситуация о сохранении в куках кода на переполнение буфера. (точно не помню - давно было)

drfaust ★★★★★
()

Модераторы/Корректоры

Прошу заменить «каукус» на «кокус». Похоже, так правильно.

proud_anon ★★★★★
() автор топика
Ответ на: комментарий от anonymous

> http://panopticlick.eff.org Лично для меня HTTP_ACCEPT оказался вообще уникальным. Куки не нужны.

Your browser fingerprint appears to be unique among the 1,779,718 tested so far.

Currently, we estimate that your browser has a fingerprint that conveys at least 20.76 bits of identifying information.

возможно, они чуть мухлюют — дело в том, что версия браузера всегда растет, и именно поэтому появляется уникальность; с другой стороны, если при смене версии браузера остаются хотя бы некоторые из типов куки, то это очень на руку тракерам

отсюда практические меры:

1. при смене версии браузера удалять вообще все персистентое — историю, куки, ...

2. историю посещений хранить в локальном прокси

3. пароли хранить в системной хранилке (типа kwalletmanager), и отказываться от браузеров, которые это не умеют, или по крайней мере сохранять отдельно — для того, чтобы при переустановке браузера удалять весь каталог, где хранинтся перситентная инфа

www_linux_org_ru ★★★★★
()

Я в FF настроил, что для большинства сайтов куки сохраняются до конца сессии. Пусть кому надо их каждый раз устанавливает. LOR, наверняка, хранит у себя несколько сотен моих JSESSION_ID, я не против, у меня они в конце сессии удаляются. Та же ситуация со всеми, включая гугл. Куки от разных считалок статистики я вообще отвергаю.

Их неприятностей такого подхода - приходится при заходе на очередной домен каждый раз выбирать сколько хранить куку (сессию, сколько сайт пожелает, или вообще запретить ее установку). Иногда приходится при заходе на новый сайт делать Reload страницы, ибо пока я выбираю, что делать с кукой он передумывает грузить половину страницы. В результате разные новостные порталы читать вообще невозможно, они устанавливают куки с полутора-двух десятков новых доменов (и отвечать на запросы что делать с куками для очередного домена запаришься), но на таких сайтах и читать нечего - только время зря терять (это очень дисциплинирует).

P.S. Вообще забавляет, когда конгрессмены пытаются решить технические вопросы нетехническими методами. В результате вместо решения вопроса у всех появится дополнительное препятствие, которое придется каждый раз обходить. P.P.S. Flash я устанавливаю только для одного определенного сайта, когда мне на нем нужно информацию посмотреть. Потом удаляю. Сейчас он, почему-то, вообще не устанавливается.

anonymous
()

flashblock в моих глазах приобрел еще один плюс.

AVL2 ★★★★★
()
Ответ на: комментарий от Karapuz

Для меня это оверкил. Хотя можно было бы ту базу расшаривать, думаю была бы польза.

AlexKiriukha ★★★★
()
Ответ на: комментарий от Yasenfire

Самое зло - это не гугл аналитик, а метрика, из-за которой по странице нельзя кликнуть спокойно.
Зато лёгким движением руки и парой жестов мышкой можно поделиться своими впечатлениями от метрики прямо с владельцем сайта. Удобно же!

wintrolls ☆☆
()

Так вот кто по порнушке лазит :D

anonymous
()
Ответ на: комментарий от Karapuz

>И все, Twitter и гоголь-моголь сосут

Твитор может и сосёт, а вот гоголь-моголь думаю нет. Мне кажется, что все сосут у него.

USSR
()
Ответ на: комментарий от trex6

privoxy спасет мир от злых печеньков!

Зачем устанавливать дополнения к и без того тормознутым браузерам, или настраивать браузеры после каждой переустановки, когда можно один раз подправить user.action и радоваться жизни без баннеров и прочей мути?!

lucky_guy ★★★
()

ой, а что будет когда введут ipv6 и у каждого будет уникальный айпи

goingUp ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.