1"--><svg/onload=';alert(0);'>
0,0
рейтинг
27 марта 2015 в 17:15

Разработка → Анонимности нет

Привет %username%! Хотел тебе показать и рассказать часть моего исследования расследования изучения мира сего, которое я рассказывал на конференции Zeronights 2014. Тема была о деанонимизации, но больше вопросов было именно по данным, поэтому я решил рассказать об этом отдельно.



Ну ты же в курсе, что сайты собирают данные о твоём посещении, откуда ты пришёл, куда ты уходишь, твои запросы, ip адреса? Вот ты помнишь, во сколько и какого числа ты искал.
Собственно, вот пример данных. Фичу прикрыли, пример данных в комментариях :)

Именно твоих, %username%. Если у тебя пустая страничка, возможно ты используешь плагины Ghostery, Adblock, Noscript — дай ссылку своему другу, надеюсь, ты удивишься.

Что это было?


Данные. Обычные данные о пользователях, которые собирают множество сайтов. Включают в себя поисковые запросы, браузеры, ip-адреса, посещённые сайты. По ним строится возраст, пол, интересы. И это всего лишь один из примеров, который собрала одна из множества компаний.

Зачем эти данные третьим лицам?


Прежде чем показать тебе рекламу, про тебя соберут данные, куда ты ходишь и зачем, потом проанализируют их. Поймут твой примерный возраст, отнесут тебя к определённым интересам, определят платежеспособность. А ведь и правда, если я сижу на форуме велосипедистов — неплохо показать мне рекламу велосипедных аксессуаров, а не розовые трусики с ультра-современной резинкой из новой коллекции европейских модельеров.

Как собираются данные?


Ты заходишь на сайт жизньболь.lol.
Система присваивает тебе идентификатор, например — 0001 и создаёт cookie user=0001. Себе записывает:
15-43 27 марта с ip адреса x.x.x.x зашёл пользователь 0001, User-agent: Calculator 1.2, сайт жизньболь.lol

Потом он заходит на сайт голыепопки.lol, с сайта поиск.lol/?search=голые+но+не+смешные, тут можно создать сразу 3 записи.
20-43 27 марта с ip адреса x.x.x.x зашёл пользователь 0001, сайт поиск.lol/?search=голые,+но+не+смешные

20-43 27 марта с ip адреса x.x.x.x поисковой запрос «голые, но не смешные»

20-43 27 марта с ip адреса x.x.x.x зашёл пользователь 0001, сайт голыепопки.lol

Если на сайте 1 нет жучка, но ты переходишь по ссылке на сайт 2, передав referer, «система» уже будет знать, что ты был на обоих.
Ну это самый примитивный вариант. Только подобных данных в сотни, тысячи раз больше. Помимо этого собираются используемые устройства (правило трёх), твоё перемещение, остальное ты выставил на показ в социальных сетях.

Почему данных так много?


Потому что ими обмениваются. Представь, я крупная социальная сеть. А ты — магазин. Тебе выгодно знать, кто посещает магазин, ты не узнаешь без меня. И мне, чтобы показать рекламу, тоже выгодно знать. Так давай махнёмся не глядя?



Да это же персональные данные! Это незаконно!


Спорно. Информация обезличена. Является ли персональной информация о том, что пользователь с идентификатором 0001 зашёл на сайт жизньболь.lol? А то, что пользователь с идентификатором 0001 посещает голыепопки.lol по выходным? А то, что пользователь с идентификатором 0001 — имеет id53083705 на сайте vk.com? Где грань?

Так кто собирает эти данные?


Все. А кто имеет крупный ресурс, но не собирает — тот дурак. Это современность и никуда от этого не деться. Если ты владелец сайта — скорее всего ты тоже собираешь данные и отправляешь их дядькам, которые покажут тебе рекламу. Нет? Уверен?
А теперь пройдемся по основным источникам данных. Больше всего информации, как я считаю, у корпорации Google. Уверен, что она знает о тебе больше, чем ты сам.

Реклама

Вполне логично, что рекламные баннеры сами являются сборщиками информации.



Счётчики и аналитика

Например Яндекс.Метрика с функцией «Вебвизор» — это полноценный кейлоггер. Поставьте какой-нибудь приватный чат и Яндекс.Метрику и наблюдайте, что пишут пользователи. А счётчикам чисто функционально необходимо собирать данные.



Подключаемые шрифты, библиотеки, картинки

А ты ссылаешься на чужие ресурсы?



У меня суперплагин, который блокирует всё


Не всё. Как минимум — пропускает, как максимум — всё покупается и продаётся.

Я стираю cookie каждые 34 секунды, меняю user-agent и мою клавиатуру


Ну и ладно. Помимо cookie есть ещё куча способов закрепить за браузером пользователя уникальный идентификатор. И это уже используют.

Я вообще смотрю сайты через консоль


Не беда. Данные о посещённых тобой сайтах продадут провайдеры. Вот список провайдеров, данные которых можно купить через систему imaker, о которой уже писал ValdikSS



Хочешь стать сайтом-шпионом? Подключай счётчик на сайт и добро пожаловать в команду!

Я смотрю сайты через консоль, через соседский Wi-Fi, меняю Mac адрес, отключен flash, js, за double-vpn разных стран.


Поздравляю, теперь вы привлекаете к себе внимание! Правда, я не уверен, что заинтересованные в этом службы мониторят подозрительный трафик. И вообще, на месте заинтересованных в этом служб, я бы использовал деанонимизацию на практике.

Что делать?


Обязательно прочитай, посмотри или послушай выступление Стива Рамбама на конференции Hackers On Planet Earth анонимности нет, смиритесь. Живи и радуйся жизни. Всё равно ничего не изменится.



Остальные примеры на слайдах.
Дмитрий @Bo0oM
карма
38,0
рейтинг 0,0
1"--><svg/onload=';alert(0);'>
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (81)

  • +7
    Самое главное — не попасть в поле зрения. Потому как если ты попал в поле зрения по конкретной ситуации — тебя ничего не спасет, я не имею ввиду уголовное преследование — я имею ввиду, что, если надо, то кто-то возьмет и проникнет в твою жизнь, легко, а ты и не узнаешь.
    Поэтому, и это действительно так, анонимности возведенной в абсолют не существует, только если ты не пользуешся средствами коммуникации, и да… даже с людьми не общаешься, с такими случаями всегда сложней, в таких случаях приходиться «спускаться на землю и топать ножками». Но, такая максимальная анонимность возможна, если ты обучен, ты в незнакомом городе, у тебя запасены «инструкции» на план А, план Б и так до плана Я и конечно у тебя есть конкретная цель, короче ты в «автономном плавание».
    Да и она не нужна, анонимность обычному человеку в обычной жизни. Залезая на сайт «сиськи.ком», ты же сам говоришь добровольно владельцам сайта, что и как часто ты смотришь.
    А для необычных случаев для обычного пользователя — tails с браузером без куки через ТOR в виртуальной машине через соседский WI-FI через какой-нить впн — «за глаза».
    Но даже в таком случае, с каждым разом, коэфициент твоей «абсолютной» анонимности падает.
    Входя в Инет — ты коммутируешь, и соответственно, твоя анонимность зависит на прямую от тех с кем ты коммутируешь.

    P.S. У меня приятель, владелец крупного «регионального» портала. Они «вешают» куки всем пользователям, и как бы пользователь, тот же тролль, не извращался, он все равно — проколится, и его новый ник с новой почтой и новой сим-картой и левым IP, будет привязан к старому нику, со старыми данными, а чем больше идентифицирующих данных, тем легче идентифицировать пользователя.
    P.P.S. Умение скрываться постоянно, обычному человеку — абсолютно не нужно, это очень сложно, архисложно.

    • –6
      Это не повсеместно. я обитаю на одном достаточно крупном портале с ориентацией не совпадающей с моей, мне интересней спорить, чем поддакивать, был там несколько раз забанен, каждый раз спокойно открывал новый аккаунт, просто стерев куки, никаких анонимизирущих мероприятий не предпринимал (может и зря...)

      Появление здесь браузера K-meleon натолкнуло меня на мысль, что большая часть серфинга — чтение информации, не требующее джаваскрипта. Делаю это теперь в ка-мелеоне, страницы грузятся моментально :) если нужен джаваскрипт на конкретной странице — контекстным меню отсылаю ее в оперу (плагин, другие браузеры тоже возможны) Такая модель отрубает, думаю, процентов 80 слежки.
      • +6
        Мне кажется вы вообще ничего поняли из вышенаписанного :)
    • +1
      Согласен. На одном из моих проектов есть чат. И пользователи невероятное количество раз спрашивали у меня, есть ли у меня возможность читать их приват. Ну формально конечно есть, открывай PhpMyAdmin, да читай. Вот только незачем. Вся их интимно-виртуальная и личная информация — по сути для меня информация абсолютно не нужная, это чужие люди. Особенно с учетом того, какие объемы сообщений мне придется перелопачивать. Разве что ставить парсер и контекстно рекламу подбирать. Но и тогда информация была бы обезличена.
      • 0
        Не думаю, что для рекламных целей польза будет. Может какой нибудь лингвистический анализ, или какую-нибудь статистику, чаще пишут девочки -девочкам, мальчики-мальчикам в какое время суток, с одного региона… ну что нибудь такое… поиграться… Построить граф взаимосвязей… кстати на графе иногда интересно такое всякое понаблюдать…
  • +12
    Страничка ругается на адблок, даже с отключенным адблоком.
    • +2
      И это хорошо. Значит adblock заблокировал все жучки, данных просто нет.
      • +11
        Ок, это плохо. Жаль нет ваших данных
      • +1
        Использую адблок без списка. Я сам решу что буду блокировать, но на твоём сайте только надпись о его отключении.
        • 0
          Ах да, ключ заблокировали, фичу прикрыли, как будет свободное время — поищу ещё :)
    • +5
      Угу, отключил и Ghostery и Adblock, а на тестовой странице — все равно пусто.
      • +3
        Адблок не блокирует данные на этой страничке. Он блокирует баннеры которые собирают информацию, которая отображается на этой страничке.
        • 0
          На этой странице блокирует как раз. У меня адблок включен 90% времени (но не 100) и с включенным не писало ничего кроме просьбы отключить его. А с выключенным появилось чуть-чуть данных, включая UserAgent который адблок точно не блокирует.
  • +3
    RequestPolicy не обязательно использовать списки, можно самому с нуля составлять.
    Эффективность фильтрации мусора намного выше адблоха, никаких побочных эффектов.
    А вебмастера навешивающие левую хрень на сайты не лучше провайдеров с имакер!

    CookieController + ReferControl добивают остальное.
    NoScript чисто чтобы сайты лишний раз хернёй не страдали.
    Флеша нет совсем.
    • 0
      Адблок хорош тем, что он умеет блокировать отдельные div-ы.
      • +1
        дивы, которые не блокирует адблок я «блокирую» сам с помощью User CSS
      • 0
        Пользуюсь uBlock, имхо небольшое уменьшение потребления памяти + опенсорс + пипетка для css-path удаления элементов. Очень удобно. Раньше пользовался несколькими плагинами одновременно, сейчас только адблок (плюс гостери и дисконнект).
        • 0
          Из перечисленных вами плюсов там только небольшое уменьшение памяти (в некоторых юз-кейсах порой очень большое, но это редкость и рано или поздно будет исправлено в адблоке). Адблок тоже опенсорс и «пипетка» для него есть. По крайней мере в Фоксе: addons.mozilla.org/ru/firefox/addon/elemhidehelper/ Открываете инспектор страницы, выбираете нужный блок в нём и нажимаете кнопу адблока в инспекторе.
          • 0
            Но у адблока есть функция «ненавязчивая реклама» ака проплаченная, насколько я понимаю. Собственно в тексте статьи об этом прямо говорят. А uBlock маленький и незаметный, не подвержен такому воздействию.
            • 0
              Она не проплаченная, а является их собственной инициативой. Спокойно отключается и, опять же, исходники полностью доступны. Это просто ещё один список фильтров-исключений, установленный по-умолчанию и оформленный в виде галочки в интерфейсе. Есть настройка, позволяющая отображать его именно как список фильтров. Они попросили денег с крупных рекламных сетей если те заинтересованы в этой их инициативе и тот же Google решил поучаствовать — вот отсюда растут ноги идеи о том, что данная фича является проплаченной, хотя можно называть по-разному, вплоть до рекета со стороны адблока. Отдельным же сайтам достаточно лишь соответствовать определённому набору требований к рекламе, чтоб попасть в этот список и денег с них не требуют.
            • 0
              Да, кстати, ещё немного об этой фиче. Дело в том, что адблок вполне неиллюзорно наносит вред отдельным сайтам. Особенно сайтам с молодой аудиторией — там процент пользователей порой докатывается и до 50%, и выше. А когда у сайта единственным приемлемым источником дохода является реклама, то потеря половины дохода приводит и к увольнению сотрудников, и к снижению качества, и может даже привести к полному закрытию проекта. Согласись, не самый приятный исход. Для поддержки таких сайтов и была придумана эта фича. Собственно некоторые пользователи порой даже намеренно хотят внести те или иные сайты в исключения, но порой там в одной куче с нормальной рекламой оказываются и флэш-баннеры и полностью выключать адблок оказывается тоже осложнительно.
              • 0
                «Страшно то, что это не телекомпании зомбируют, это народ сам жрет».
                • 0
                  Меня куда больше удивляют не те люди, которые не возражают против «приемлемой» рекламы — «баннерная слепота» замечательно работает с такими баннерами, а сайту копейка капает. Можно считать формой благодарности. А те люди, которые реально переходят по ссылкам и там что-то приобретают или в игре регистрируются, или ещё что-то странное делают. Вот это для меня загадка. В конце-концов это ведь именно они платят реальные деньги из которых потом рассчитывается сколько стоит платить за показ в дальнейшем.
      • 0
        Не знаю чем это хорошо или плохо.

        Знаю только что раньше я держал и пару раз в год обновлял список плохих доменов на домашней прозрачной проксе, чтобы не видеть рекламы и прочего мусору.
        Сейчас я иногда на сайтах щёлкаю разрешить чтобы увидеть картинки с других доменов или чтобы подгрузилось какое то ещё барахло с левых доменов. Для одноразовых сайтов достаточно Temporary Allow для посмотреть/почитать.

        Реклама, счётчики, интернет слежка, взломанные сайты с эксплоитами — побеждены, на автомате.

        Никакой проблемы со списками тоже нет. У меня относительно не большой список того что можно, даже при тупом поиске перебором на современных машинах это не будет заметно.

        Никакой проблемы нет с тем что кто то отвалит бабла и включит себя в белый список, разве что бабло получу я, но тогда это не проблема :)
        • 0
          Мне не хватило одного только request policy.
          На некоторых трекерах банер грузится с того же домена, и тут пригождается AdBlock, настроенный на элемент.
          Туда же отправляется прочий мусор — fundraising от википедии, similar posts Хабра, рекламная строка лив-журнала.
          Но правила AdBlock дополняются крайне редко и стандартные списки я выключил, достаточно того, что добавляется вручную.
          • 0
            Вообще-то буквально каждый день.
            hg.adblockplus.org/ruadlist/
            Жаль времени на полноценный перебор автоматизрованных отчётов мало и мусора среди них много.
            • 0
              Я в том смысле, что список AdBlock мною дополняется крайне редко. Имея включенный RP, стандартные списки AdBlock скорее вредны, чем полезны, т.к. могут случайно что-то полезное вырезать (как то картинку с «банерным» разрешением или со словом «adv» в пути/имени)
              • 0
                В общем и целом да, если разбираешься в составлении правил для адблока, то может быть удобнее вести их самому. Особенно если по левым сайтам бродишь не часто. Выигрышь и в скорости их обработки, и в потребляемой расширением памяти, и вероятность ложных срабатываний ниже… если только сам не сделаешь правило вроде /banners/*
  • +7
    везде сплошной стресс
  • 0
    У вас «508 Resource limit is reached». Хабраэффект, однако.
    UPD. Или же нет? Чекер, на который ведет ссылка из статьи — работает, а вот сам блог недоступен.
    • 0
      Спасает кэш
  • +18
    Кто предупрежден — тот вооружен.
    Я говорю не о том, что надо использовать «активые средства анонимизации», такие как стирание кук, смена IP-адресов и симок и всяческое противодействие.
    Наоборот. Если вам надо спрятать лист — прячьте его в лесу.
    Дайте как можно больше информации о себе. Пусть гугл знает, что вы каждый день проводите на сайте голыепопки.рф
    Подкиньте ему как-нибудь по приколу еще десяток подобных сайтов, пусть завидует, что у вас стоит десять раз в день.
    Он знает что вы искали себе ваннну и фен? Теперь все ваши страницы пестрят предложениями ванн и фенов? Ничего страшного. Вы знаете, о том, что про ваши интересы знает гугл. А гугл не знает, про то, что вы это уже знаете. Приценитесь к яхтам и самолетам. Зайдите на сайт авиакомпании и посмотрите расписание чартерных рейсов на Мальдивы.
    Поищите в гугле рецепты изготовления взрывчатки из морковного сока и задайте вопрос содержит ли тринитротолуол витамин B6.
    • –3
      А вы из России? Такие вещи здесь чреваты нынче.
      • НЛО прилетело и опубликовало эту надпись здесь
      • +2
        Да, я из России. Я не вижу ничего предосудительного в том, чтобы поискать как делать нитроглицерин из кленового сока (если я правильно поимю — этот псевдо-рецепт из книжки «Таинственный остров» Жюля Верна).
        Дело не в том, что мне нечего скрывать. Скрывать всегда есть что. Дело в том как правильно скрывать.
        Вот «один мой друг» иногда забывает во-время стереть из истории браузера адрес порно-сайта.
        Но в его «выпадушке» сотня всяких разных сайтов. Поэтому вряд его ли жена обратит внимание на этот урл.
        А вот если он сотрет всю историю — наверняка спросит чо за дела. Оно ему надо?
        • 0
          Я не спорю, что вы ничего предосудительного не видите, я тоже не вижу. А вот наше правительство – видит. Собственно, об этом я и сказал. За что ещё и отхватил, блин)

          Ваша аналогия с женой прекрасна, только вот в текущей ситуации получается так: жена смотри только заголовки ссылок, не понимая, что там внутри и сразу поднимает бучу. То, что ссылок много только хуже. Вот и получается, что единственный способ использовать режим инкогнито, адблок и чистку куков.
          • +2
            Еще раз повторю — активный способ защиты не может быть по определению «единственным», так как существуют еще и пассивные способы.

            Один мой одноклассник в 90-ые годы занимался не совсем легальным бизнесом. Ну не то чтобы криминал, но могли «наехать братки». Компьютер — его основной инструмент, интернета тогда не было, флешек тоже. Вся информация на винчестере и на дискетах. Как он прятал файлы? Да просто давал самораспаковывающемуся zip-архиву в расширение dll и клал в каталог windows\system. Не знаю сработало ли, но способ мне запомнился.
            Еще способ был продемонстрирован в фильме «Гений». Я смотрел очень давно, так что по памяти — там главный герой на глазах у оперативников нажимает кнопочку и стирает данные с кассеты со словами «ой, да что-то я совсем»
    • 0
      Дуратский совет.
      Это не плохо работает с человеками: одному наплёл одно, другому другое и пусть сплетники себе весь мозг ломают и ругаются выясняя где правда а где нет, пока их тошнить не начнёт от произнесения вашего имени. Потом они поймут что ничего точно о вас не знают и перестанут вас обсуждать чтобы не выглядеть идиотами.

      Гуглу плевать на всё это. Как и тысячам других неназванных лиц/компаний которые пылесосят инфу.
      Более того у гугла вы как на ладоне пока у вас антифишиг в браузере включён, пока ваш браузер при заходе на каждый сайт отсылает инфу гуглу и куче прочих.
      На такие аномалии он сделает допущение что вашим компом иногда пользуется кто то ещё.
      • 0
        Предположу, что Гугл — просто пример. Ключевая фраза «Если вам надо спрятать лист — прячьте его в лесу.»

        Слышал про подобную практику, когда специфичные запросы скрывались за шумом, генерируемым кучей людей, которым предоставляли инет для любых целей с того же канала :) Мол, тогда внешне выглядело как будто какая-то обычная локалка.
        • 0
          На эти ухищрения гуглу всё равно. Он идентифицирует сессии в браузере, а не IP-адреса.
          Сейчас провайдеры мобильного интернета как правило выдают серые IP, все мобильные абоненты со стороны веб-сайтов выглядят как большая локалка, но на отслеживании это не сказывается.
          • 0
            2я часть моего комментария была в общем случае не про Гугл. Я не знаю, какая поисковая система там использовалась, мне понравился сам принцип. Наверное, собеседник имел в виду наблюдающих извне за трафиком.

            Сам сервис, к которому идут запросы, например, Гугл, понятное дело, обо всех них знает (хотя бы сам факт, что они были).
      • 0
        Боже ж мой, ну вот сколько ещё человек до сих пор думают, что анти-фишинг отсылает данные о посещаемых ими сайтах? Это же даже с точки зрения скорости работы запредельно неэффективно. Для этого тот же Фокс содержит локальный файл со списком фишинговых доменов и где-то раз в 30 минут проверяет обновления к этому списку.
        • 0
          Зависит от целей.
          Видел где-то, якобы skype ходит постфактум по ссылкам из переписки для проверки на фишинг.

          И про домены — вроде бы там не совсем домены, а какие-то хэши, если вдруг хэш совпадает, то выкачивается уже список и он проверяется.
          • 0
            Где-то да якобы… Причём ещё и Скайп. Вроде ж про браузеры говорилось выше.
            Хотя от Скайпа можно ожидать чего угодно. MS как-никак.

            Если быть точнее, то выкачивается база хэшей от имён доменов (нечто вроде контрольных сумм) и хэш от имени текущего домена сравнивается с базой. Дело в том. что поиск по хэшам выполняется существенно быстрее, чем по строкам. Так-как вероятность коллизий очень мала, то смысла что-то ещё дополнительно выкачивать нет и потому при совпадении хэша сайт считается фишинговым, распространяющим зловредов или ещё какую-то дрянь (там три основных списка у фокса в каталоге safebrowsing). Сами базы, кстати, довольно мелкие. Вме вместе они занимают ~4 Mб.
            • 0
              Skype — просто пример программы, которая проверяет ссылки на фишинг не сразу, а с задержкой.
              Также не стоит забывать о всяких плагинах\расширениях к браузерам, которые тоже могут делать свои проверки. Типа kaspersky protection.

              Схема с локальной базой логичнее, но кто его знает, кто и как все делает )
              • 0
                > kaspersky protection
                После их чудо-утилиты для быстрой проверки системы, которая тащит посторонний мусор, не умеет убидиться в свежести своих баз и выдаёт абсурдные предупреждения по безопасности, мне кажется им лучше вовсе не пользоваться. А зачем в браузере нужны плагины какого-либо антивируса я и вовсе ума не приложу. Хотя расширений, конечно, много и разных, и за добросовестностью всех уследить не так-то просто. Куда большую проблему представляют расширения, перекупленные крупными рекламныи сетями. Пользуешься ты так каким-нибудь расширением, а потом его у его автора выкупают, оно менят владельца и в коде внезапно появляетяс блок каких-нибудь подсказок «выгодных цен на товары» или ещё какая-нибудь дрянь. И фиг пойми кто этот блок тебе после этого на страницы лепит. И хорошо ещё если так, а не просто втихую начинает статистику собирать. Впрочем, с этим явлением, вроде, борятся и в Мозилле, и в Гугле.

                > Схема с локальной базой логичнее, но кто его знает, кто и как все делает )
                Ну как минимум как фокс это делает я рассказал. Хром, кстати, теми же базами пользуется (было б странно, если б не пользовался — они гугловские). Современная Опера основана на Хромиуме и я сомневаюсь, что они переделывали эту фичу под себя. А что делает IE мне кажется и так никому не интересно. :)
  • +2
    Чот показывает, но у меня тут массовый NAT, поэтому результаты не мои :)
    Расскажи подробнее как оно работает?
    image
    • +1
      Блин, круто, на хабре всё ещё можно вставлять картинки без проксирования.
    • –1
      Cookie, по старинке. Глянь откуда берется json :)
  • 0
    Нету никаких блоков, даже антивирусов, а на странице жутко мало инфы и вообще не выводит никаких моих поисковых запросов. Сперва насторожили координаты, но оказалось это совершенно другой город. А я надеялся на срыв покровов :(

    А за инфу, что я сижу из хрома с Win 7, и пару раз заходил на cyberforum на этой неделе не сильно беспокоюсь.
  • –1
    Ну, вообще, браузеры постепенно урезают политики по кукам. И становится сложнее отследить кросс-сайтово юзера. Кто знает, как сделать это на 100% юзерах, пишите в личку.
    • –9
      После отправки этого комментария Chrome руганулся, что Хабр содержит малвари и вылетел image
      screenshare.ru/xq7z4lcF
      • 0
        chrome ругается на хабр.

      • +2
        Так не отправляй больше такие комментарии. Тебе уже и так и так намекают…
        • 0
          Там была картинка «чуть» поменьше :-)
  • +1
    Тема не нова: сам факт того, что уже не первый год существуют десятки расширений для ограничения подобной активности, на это намекает.

    Подход не нов: «Всё пропало, ОНИ всё видят, сделать ничего нельзя», — это ход конём, позволяющий казаться умнее и при этом ничего не делать (и закрыть путь для обсуждения необходимости что-то делать), фальшивый ответ в тот момент, когда надо задавать вопросы (например, как и почему мы дошли до жизни такой, и не предупреждал ли кто-то об этом заранее).
    • +2
      Именно. Кроме того, можно начать с той же идеи приватности, а не полной анонимности: помогать развитию средств для P2P связи, а также средств, которые применяют асиметричное шифрование поверх небезопасных протоколов. ПОмню раньше отлично работала миранда с плагином, которая обменивалась открытыми ключами с собеседником автоматически, если у собеседника ПО поддерживало это дело. Сейчас основная проблема в контексте внедрения ассиметричного шифрования в популярные мессенджеры состоит в том, что девайсов у людей теперь много. Нужно вручную прописывать на каждом девайсе ключи для каждого собеседника — а это моменталь отрубает самое важное — массовость решения. Только адовые параноики будут что-то пытаться добавлять постоянно руками в обычной жизни, сталкиваясь попутно с проблемой, что с другой стороны никого такого не находится. Лично для меня (а я держу включенными i2p, cjdns на роутере и ноутах и т.д.) это не вариант — превращать жизнь во что-то неудобное, не говоря уже о типичных пользователях айфона. Аналогичное касается того же TOX клиента: да, я могу уже добавить одинаковые ключи и на андроиде и на ноуте, но какой в этом смысл, если между девайсами не синхронизируются собеседники и сообщения? Я не могу пользоваться таким решением сам, не говоря уже о навязывании такого своей жене.

      Насчет анонимности лично у меня мнение примерное такое: эта проблема начнет терять свой вес, если распределенные системы вытеснят современные централизованные, попутно отодвинув ВЕБ в текущем его ублюдочном виде. (:
      • –7
        При разработке гипертекстового векторного Фидонета будет та же беда: желание людей иметь клиенты на всех устройствах подо все операционные системы, да ещё и синхронизированными.

        Предвижу, что придётся делать клиент-серверную архитектуру и делать клиента как веб-интерфейс к домашнему серверу P2P-сети.

        Придётся с этим понатрахаться, и понатрахаюсь. Предвижу это без всякого удовольствия.
        • +14
          Как разработка идёт?
  • 0
    Ругается на картинку с IP:37.221.162.57
  • +1
    Есть подозрение, настоящая анонимность все таки есть, просто мы о ней не узнаем в силу ее специфики. Скажем, если бы мне нужно было анонимно узнать какие-то вещи, я бы воспользовался чужой личностью. И все вышеперечисленные примеры явно указывали бы на нее. А каким образом я получил доступ к чужим профилям не указывали бы (например, используя служебное положение). Это только один пример. Выше приводился пример забивания трафика, тоже вариант.
    Нужно не смиряться, а относится к данной ситуации с пониманием и в случае, если данное положение вещей задевает — протестовать.
    Думаю, что мы в конце концов дорастем до того уровня общества, при котором фейсбукам будет просто НЕВЫГОДНО собирать о нас какую-либо информацию, а отсутствие подобной «слежки» будет считаться за ценную фичу.
  • +9
    Метод сбора данных об аудитории хабра зачетный! :)
  • –8
    -А то, что пользователь с идентификатором 0001 — имеет id53083705 на сайте vk.com? Где грань?

    Упс, а этот юзер существует, и это страничка… Дмитрия Медведева! =) конечно, фейковая, но сам факт, что юзер существует и политота на хабре)
    • 0
      «Подтверждённая страница
      Данная отметка означает, что страница Дмитрия была подтверждена администрацией ВКонтакте.»
      • 0
        Интересно, не заметил.
  • +12
    image
  • +1
    В копилку сервисы подобные pluso.ru, addthis и более 9000 им подобных.
  • +2
    evercookie уже устарел, недавно писали про куку через HSTS флаги даже для анонимного режима и ее НЕ будут исправлять. Вот где мяготка

    Вот еще детектор профиля на линкедине, фейсбуке и других сайтах sakurity.com/blog/2015/03/10/Profilejacking.html
    • 0
      facetz.net что такое вообще? Они с ума посходили отдавать мою историю всем подряд? Кто вообще их скрипт себе ставит, давайте блеклистить этих говнюков
    • +1
      Я про тебя говорил, в слайдах есть;)
  • –2
    1) Детский сад какой-то
    2) Почему под яндекс метрикой иконки счетчиков лиру?
  • 0
    Возможно «фичу» прикрыли. Может кто из хабражителей добавит пример данных, которые были по этой ссылке?
    Видимо не прикрыли… У меня стоит AdBlock, но все равно на указанном сайте я увидел свою историю посещений мною меганинавистного rzd.ru
  • 0
    А если использовать TOR Browser, какие могут быть проблемы подобного рода? IP-адрес постоянно меняется. Куки и прочее не сохраняются. Использовать очень просто — любой пользователь может установить.

    Единственное — неудобство использования TOR-а. Дурацкий cloudflare капчи подсовывает каждые 5 минут, некоторые сайты и вовсе банят. Но это всё дело житейское. Более того — чем больше пользователей озаботятся своей анонимностью и будут использовать TOR — тем больше сайтов будут его поддерживать.

    Есть один большой минус — простота чтения трафика выходными нодами. И, я уверен, большинство из них это реально делает. Поэтому HTTPS, только HTTPS. Но этот минус в скором времени будет нивелирован тем, что гугл заставит все сайты перейти на HTTPS.
    • 0
      Однако, с распространением HTTPS, всё чаще происходят истории компроментации SSL сертификатов, CA; а также распространенные ныне MitM-атаки, которые делают едва ли не на каждом шагу: админ в организации, бесплатный вай-фай в ТЦ, платный 3g трафик, и даже некоторые провайдеры «проводного» интернета.
      • 0
        Компрометация SSL-сертификата это дело редкое и попасть на такое на выходной ноде TOR-а невероятно.
  • 0
    Opera 12 не открывает (показывает ошибку), wget показывает 403. Хромиум показывает пустую страницу. Я в безопасности?
  • +18
    image
  • +1
    freeyourdata.org
  • 0
    Bo0oM, а что вы можете сказать по поводоу DuckDuckGo, который «не отслеживает вас»? Он действительно не следит или врёт?
    • 0
      Увы, не могу сказать
  • +2
    Раз анонимности нет, может автор нам заодно расскажет кто же всё таки скрывается под псевдонимом Сатоши Накамото?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.