Пользователь
0,0
рейтинг
29 сентября 2014 в 18:30

Разработка → За нами следят или clickjacking для бизнеса

Несколько дней назад искал зимнюю резину. Искал в поисковой выдаче Яндекса. Переходил на сайт, смотрел. Ничего не подошло, оставил дело на потом. Ничего нигде не заполнял, никому ничего не писал (это важно).

Сегодня мне пишут в личном сообщении ВК:
«Вы интересовались нашим товаром на странице…. Мы можем Вам помочь… бла-бла-бла».

Я был очень удивлен. Как они узнали, что это был именно я?

Начал изучать сайт магазина. На странице, кроме jquery, я.метрики и аналитики google нашел счетчик, отправляющий запросы на socgate.ru. Т.к. я ничего не заполнял, а jquery, яндекс и google вряд ли бы слили информацию магазину, то подозрения пали на socgate.ru.

IP домена: 46.4.58.141
На том же IP нашел: socfishing.ru

Главная socfishing.ru гласит:

image

По socgate.ru нашел заметку пользователя zenn (возможно тезка), там больше технических деталей:

talk.pr-cy.ru/topic/8957-kak-rabotaet-opredelenie-stranitcy-polzovatel/?p=102653

Сейчас код изменили, отловить я не смог. Но на 99% уверен, что это clickjacking (тыц).
При посещении сайта впервые на странице рисуется прозрачный фрейм, к мышке «приклеивается» кнопка авторизации в ВК или вступления в группу. Далее вас уже «ведут» по сайту не как ID 327812, а как «Иван Васильевич из Москвы, женат, 2 детей. Номере телефона....».

Пугает следующее:
— ничто не мешает аналогичным способом (clickjacking-ом) деанонимизировать посетителя в различных аналитиках, баннерокрутилках, RTB и т.д… В итоге они получат не просто безымянный id пользователя, а реальные ФИО, контактные данные человека. Скоро начнут звонить «вы заходили на наш сайт, но ушли, так ничего и не купив...»;
— можно полностью деанонимизировать человека, собирая соответствие ников на форумах/блогах и ФИО человека. Возможно, так уже и происходит.

Какие подобные сервисы вы знаете? Как блокировать их работу на стороне клиента?

UPD: Сейчас на страницах сервиса выдает:
image
Владислав @nllm
карма
91,0
рейтинг 0,0
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (60)

  • +1
    Баннерорезки блокируют левые js
  • +20
    Приватный режим браузера. А также дополнения типа Ghostery, disconnect.me
    • +1
      вконец обнаглели! хоть бери и, дествительно, ходи по интернетам только в приватном режиме браузера, но это же не дело
      disconnect.me

      он же платный, кажется
      • 0
        Бесплатный
      • +1
        Если хочешь, можно заплатить, причем сколько хочешь, да еще и выбрать сколько из оплаченого идет девелоперам, а сколько на благотворительность. Платить можно картой, пэйпалом или биткоином. Можно и не платить.
      • 0
        А я только в приватном режиме и ищу информацию в интернете, стандартный режим использую только для проверенных сайтов.
        В частности из-за того, что при поиске конкретной информации не в приватном режиме все сайты завешиваются «релевантной» рекламой.
  • +5
    Тема старая и прежде чем создавать новый топик, можно было воспользоваться поиском и найти как минимум habrahabr.ru/post/228617/
    Сам использую Ghostery для защиты от подобных атак.
    • +11
      Тут реальный пример как сейчас используется данная «фича»
    • +1
      Поставил Ghostery сейчас — очень удобно и хорошо сделано!
      Я верно понимаю, что оно перекрывает функционал AdBlock и его можно убирать?
      • +3
        Не полностью. У них разные задачи.
        • +3
          Ставить оба.
          Плюс для особых случаев: RequestPolicy
          • 0
            Почему же только для особых? Пользуюсь RP в режиме «по умолчанию блокировать» больше года. Все часто посещаемые сайты уже давно открываются без каких-либо проблем. А вот без RP уже реально страшно: недавно, зайдя «голым» браузером на Kongrеgate, сайт с флеш-игрушками, получил от Avast! предупреждение, что один из подсосанных js-файлов — малварь.
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          NoScript как-то раньше смотрел — не срослось у меня с ним.
          Муторно и долго его настраивать, интерфейс громоздкий и путанный.

          Другие посмотрю.
        • 0
          NotScript для webkit-ов и NoScript для Firefox включены всегда.
          Настроены давно, профили браузеров таскаю копированием папок из AppData
          Некоторые сайты не отображаются вообще без JS, но если на одном из выдачи поисковика нашел ответ — то пустые даже не смотрю.
    • +6
      Судя по количеству голосов (+33), эту тему можно заводить хоть раз в месяц (-:
      Поставил Ghostery, всем спасибо.
    • 0
      Только в «фичу» из вашего топика прикрыли, а тут все еще работает.
  • +6
    Странно, но для приложения нужно вручную дать разрешения же. По крайней мере у меня всплывает окно запроса разрешений из этого примера.
  • +3
    Clickjacking — не единственная угроза. Несколько лет назад писал статью на эту тему — «Получение информации о пользователях» (https://forum.antichat.ru/showthread.php?t=352133). Большинство примеров уже не работают, но теоретическая часть сейчас не менее актуальна, чем раньше.
  • +6
    Да, тема старая, но она будет и в будущем много раз подниматься, т.к. эта дыра (а иначе и не назовешь) у соцсети ВКонатекте — просто вопиющая вещь. Надо с этим беспределом давно уже покончить. Но как я понял из прошлых постов, ВКонтакте в курсе этого и ничего делать не собирается. Очень жаль.

    > Далее вас уже «ведут» по сайту не как ID 327812, а как «Иван Васильевич из Москвы, женат, 2 детей. Номере телефона....».

    К счастью, здесь вы не совсем правы. Ваш номер телефона и email недоступны для данного сервиса.
    • +2
      Хотел пример показать с их сайта. там в кейсах есть пример, где указан телефон. Да вот на сайте уже висит заглушка (см. upd)
      • +2
        Насчет телефона у меня есть только одно объяснение: скорее всего этот сервис выцепляет телефоны, которые юзер самостоятельно вносит в свои публичные контакты для всеобщего обозрения. Не верю, что они договорились с ВКонтакте о получении телефонных номеров всех юзеров.
        • +1
          Возможно, а может быть просто нарисовали для большего эффекта.
  • +10
    Главная socfishing.ru гласит....

    Сейчас она гласит, что автору этого проекта не хватает аккаунта на хабре.
  • +6
    С requestpolicy запросы браузера станут чистыми и шелковистыми, и перестанут шевелиться в направлении доменов, не имеющих отношения к посещаемым сайтам.
    • +1
      Именно. А с click-jacking насколько мне известно умеет бороться только NoScript.
      Конечно, если click-jacking используется скриптом загружаемым со стороннего сайта, загрузка которого заблокирована Ghostery — то хватит и его, но если этот скрипт грузится либо с основного сайта либо со стороннего но не заблокированного Ghostery — тогда надежда только на NoScript.
  • 0
    А мне нравится другая тенденция :) Как-то вечер решил почитать про трейдинг — в итоге 2 недели ловил спам на почту только про трейдинг, и никакого спама более. Спам, кстати, сыпался на gmail, в папку спам, но именно направленный на тематику трейдинга. Вот это я понимаю — точечная бомбардировка!
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Да вот в том то и трабла, что нынче шлют про кислородные балоны, которые смотрел на позапрошлой недели:) про трейдинг нет уже писем
  • –8
    Какая-то надуманная проблема. Только для пользователей соц.сетей.
    • +8
      Только их миллионы
      • –13
        Мы же на специализированном ресурсе.
      • +2
        Миллиарды!
  • +6
    Автор вы не ошиблись, было дело — ковырял их код, все дело в том, что можно получить данные пользователя (id, ник) без подтверждения каких-либо прав на страничке vk, о чем здесь уже писали. Но в ВК в свою очередь саппорт говорит что это не баг, так и живем.
    • 0
      Те же данные точно так же, без подтверждений, можно получить и в фейсбуке, так что тут втентаклик не уникален. И, вроде бы, у яндекса в его сервисе «мой круг» тоже.
    • +1
      Да, но сейчас, судя по демке: jsfiddle.net/Ej25j/ ситуация поменялась.
  • +9
    Самое интересное в этом то, что вконтакте считает это нормальным и не видит уязвимости. С этой проблемой обращались ещё года два назад и уж точно не один раз.
  • +7
    Лучше всего вообще не светить в инете настоящие данные. Нигде и никогда.
    • +1
      Это не всегда возможно:
      • Например, фрилансеру работающему через интернет и желающему получать за свою работу деньги — светить настоящие данные придётся.
      • Если есть неодолимая потребность общаться со своими реальными знакомыми через соц.сети — та же фигня (даже если свои данные не раскроете вы сами — за вас это сделают ваши друзья, тщательно отмечая вас на фоточках, обращаясь к вам по настоящему имени, и т.п.).
      Но во всех остальных случаях — да, можно и нужно ничего лишнего не светить — например, у моего телефона свой личный аккаунт в google и facebook, не имеющий ко мне практически никакого отношения (единственная связь с моим настоящим именем — кредитка привязанная к гуглу для покупок в маркете, но я надеюсь эта связь дальше гугла не уйдёт).
      • 0
        Достаточно отлогиниваться от социальных сетей, если вы их не используете.
        • +1
          А ещё лучше — отдельная виртуальная машина для социалок. :) Ещё одна для скайпа, например. Ну и оперативы в компьютер гигов от 8-16.
          • +1
            Есть как минимум 3 способа, которые в разы проще виртуалок:

            1. Использовать для гугления и серфинга по недоверенным сайтам браузер в режиме нового приватного окна
            2. Создать для этого дела отдельного юзера в винде и запускать браузер от его имени, я так делаю (но тут есть некоторые проблемы с отображением языковой панели, ибо она пропадает, когда активируется окно, запущенное от другого пользователя… и еще проблема с запуском ссылок из других приложений: непонятно, какой браузер он выберет, зависит от порядка запуска браузеров, если они одинаковые, но от разных юзеров)
            3. Использовать например хром для контакта, гугло аккаунта, фейсбука и прочих, а для гугления и серфинга — оперу.

            P. S.: все ведь понимают, что дело в кукисах, сохраненных сессиях и OAuth Open ID?
  • –2
    Странно, есть же заголовок запрещающий выводить свой сайт в iframe.
  • +4
    RequestPolicy + NoScript

    Этих я классифицировал как следящих, и заблочил на nginx который у меня работает ещё и прозрачным прокси с фильтрацией.
    (формат для map в nginx)
    ### user tracking
    .clickdensity.com 1;
    .commontools.net 1;
    .criteo.com 1;
    .getclicky.com 1;
    .google-analytics.com 1;
    .google-analyzing.com 1;
    .mc.yandex.ru 1;
    .mouseflow.com 1;
    .histats.com 1;
    .video-stats.video.google.com 1;
    .radar.imgsmail.ru 1;
    .radarurl.com 1;
    .revsci.net 1;
    .socgate.ru 1;
    .socfishing.ru 1;
    .scorecardresearch.com 1;
    .tubemogul.com 1;
    .visualwebsiteoptimizer.com 1;
    .webtrends.com 1;

    Остальная часть списка это реклама, счётчики, помойные сайты пихающие свой жёлтый контент везде и прочий интернет мусор.
    • +1
      Ну тогда ещё Cookie Monster для блокирования кук со сторонних сайтов и RefControl для блокирования утечек через Referer:.

      К сожалению, настройка всего этого хозяйства — очень нетривиальная задача. Далеко не всегда понятно, что сайт частично не работает из-за этих плагинов. Далеко не всегда понятно, что и как нужно изменить в настройках чтобы сайт заработал — особенно часто это проявляется на сайтах связанных с оплатой, там обычно куча редиректов, сторонних кук и дополнительных проверок того же Referer. Если происходит последовательность редиректов с первого сайта на третий через второй, то в интерфейсе RequestPolicy сложно разрешить второму обращение на третий — приходится отлавливать url-ки через файрбаг и заходить на второй сайт ручками. В общем, учитывая все сложности, которые возникают у меня — советовать этот набор плагинов обычным юзерам нет смысла, им приходится обходиться Ghostery.
    • +2
      спасибо, добавил в hosts
      • +9
        Переформатированный список именно для hosts
        Скрытый текст
        127.0.0.1	clickdensity.com
        127.0.0.1	commontools.net
        127.0.0.1	criteo.com
        127.0.0.1	getclicky.com
        127.0.0.1	google-analytics.com
        127.0.0.1	google-analyzing.com
        127.0.0.1	mc.yandex.ru
        127.0.0.1	mouseflow.com
        127.0.0.1	histats.com
        127.0.0.1	video-stats.video.google.com
        127.0.0.1	radar.imgsmail.ru
        127.0.0.1	radarurl.com
        127.0.0.1	revsci.net
        127.0.0.1	socgate.ru
        127.0.0.1	socfishing.ru
        127.0.0.1	scorecardresearch.com
        127.0.0.1	tubemogul.com
        127.0.0.1	visualwebsiteoptimizer.com
        127.0.0.1	webtrends.com
        

        • +11
          Почему принято привязывать нежелательные сайты к 127.0.0.1? В Windows при вызове connect() на этот адрес, если никто не слушает порт, тайм-аут наступает только через 1 секунду, а если ненужные хосты привязывать на адрес 0.0.0.0, ошибка при коннекте появляется мгновенно.
          • 0
            Не знаю почему, вероятно просто «так принято». Вообще вписывать можно любой невалидный адрес, например, 255.255.255.255 тоже подойдёт ибо в некоторых системах 0.0.0.0 зарезервирован и они его вписать не дают, но эта тонкость не относится к hosts.
        • +1
          Хех, обычно трояны-вымогатели прописывают что-то в hosts, а с таким подходом скоро появятся трояны, которые наоборот восстанавливают его в первозданном виде!
          • +1
            такой «троян» кстати вполне себе есть — dr.web CureIt называется. по любому чиху предлагает грохнуть hosts нафиг. может и более «полновесные» антивири такое поведение имеют, хз.
          • 0
            у меня самодельная утилитка, которая добавляет в хостс строки из командной строки и автоматически контролирует целостность самого файла контрольной суммой :)
  • 0
    Для себя такой зверинец вывел, ни разу никаких неприятных курьезов не было:

    Adblock Plus
    Ghostery
    Flashblock
    Pure URL
    • 0
      Pure URL есть, а RefControl нет.
      Значит, информация об источнике ссылки всё равно просачивается.
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Пользуюсь Chrome'ом. У него есть опция «Block third-party cookies and site data». Блокирует сторонние куки, оставляя только текущего домена. Вручную можно разрешить. Так справляюсь с рекламой сайтов, которые посещал.
    habrahabr.ru
    image
    • 0
      Как-нибудь на серфинге это сказывается?
      • 0
        думаю если и сказывается, то на разных «развлекательных» сайтах с сомнительным содержимым. у меня FF именно в таком режиме тыщу лет стоит и как-то пока не натыкался на глюки
  • +1
    а разве это не прикрыли? у меня пример из прошлого поста открывал(и тут же закрывал, но было заметно) окно со страницей вконтакта.
  • 0
    Как блокировать их работу на стороне клиента?

    Не ходить по вебу авторизованным где бы то ни было.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.