msn.com

Почему я не удивлён?

И что? Гугль, не говоря уж о провайдере знает о вас заметно больше.

как раз включению msn в этот список я удивлен
или дяди из конгресса хотят запретить кросссайтовую авторизацию

а evercookie относительно легко блокируется

>как раз включению msn в этот список я удивлен

или дяди из конгресса хотят запретить кросссайтовую авторизацию

Дяди из конгресса не составляли списка, список составил журналист по ссылке. MSN туда попал не за кроссайтовую авторизацию, а за манипуляции с ETag и за еще какие-то попытки восстановить cookie после удаления.

а evercookie относительно легко блокируется

А он и предназначен, в первую очередь, для демонстрации и обучения. Проблема в том, что единственный надежный технический способ — сидеть в ну очень ограниченном интернете. Или с очень надежной эвристикой. Или читать вообще все, что сайты тебе пишут в cookie.

Что же тебя удивило?

> Или читать вообще все, что сайты тебе пишут в cookie

а зачем разрешать писать в куки? web database официально признан фейлом и закрыт/отключен/отсутствует в новых версиях браузеров. от угадывания хистори вроде бы в мозиле добавили защиту. флеш спрашивает разрешение на хранение lso (и без флеша вполне можно обойтись). и т.д.
да мы это кажется ранее уже обсуждали

Запретить куки, отключить Javascript и флеш (потому что чуть ли не каждый второй баннер выдает этот запрос на хранение lso), еще и кэширование ограничить (а то вдруг там подмухлюют) — это и есть по моим понятиям «очень ограниченный веб».

в другой статье расписана техника.
но скрипта wlHelper у себя в кеше не нашел (убрали ?), а другой с очень длинным названием генерирут clientId рандомно

А фсбук вообще следит даже за пользователями которые не зарегистрированы в facebook.com Сейчас за Западе вообще паника поднялась
1) http://scripting.com/stories/2011/09/24/facebookIsScaringMe.html
2) http://www.neowin.net/news/report-facebook-tracks-you-after-you-log-out
А против гугля достаточно пользоваться FF и поставить Ghostery, соответственно в Chrome достаточно расширения Disconnect. И все, Twitter и гоголь-моголь сосут

>отключить Javascript и флеш

достаточно не принимать js с вконтактов, одноглазиков, твиттеров, фейсбуков, google-analytics, +over до буя сайтов или просто поставить ghostery+NoScript

Печеньки не самое страшное. Из-за подобных сюрпризов я продал душу Патрегу.

Тут главное не переборщить.
С некоторой точки зрения, отсутствие тех или иных признаков - тоже признак :)

> появившихся в HTML5, через плагин (Flash, Java или Silverlight), в виде специально сгенерированного ETag

Российских «конгресменов» это не беспокоит. Они в курсе что упомянутые плагины не входят в комплект ПО рекомендованного для использования в образовании и вообще детьми, в их собственно развитии образовании и воспитании. Упомянутые плагины, это если не порнография, то очень близко к ней.

>>это и есть по моим понятиям «очень ограниченный веб».

Это чистый, нормальный веб

А не проще просто не ходить по всякой пакости?

>соответственно в Chrome

гоголь-моголь сосут

Можешь и не надеяться.

Спасибо за наводку. Удивлён, сколько компаний пытаются трекать. До этого плагина думал настроить adblock, но тут даже проще. Жаль, что вконтактик он не определяет. Там учётки нету, но всё равно бы порезал.

Довольно давно в Security всплывала темка, что по утсановленным плагинам, настройкам браузера, идентификатору браузера и прочей хне вполне себе можно отслеживать человека на различных сайтах. Вся эта информация, ЕМНИП, передается как составляющая GET запроса.

>А не проще просто не ходить по всякой пакости?

Ну дык не ходи на лор, тогда, а то знаешь ли тут тоже пасут через гугл аналитик и рамблер.

со-председатели двупартийного каукуса

Прочитал как «кактуса».

Самое зло - это не гугл аналитик, а метрика, из-за которой по странице нельзя кликнуть спокойно.

Просто о том что существуют флеш-куки широкая общественность узнала очень недавно, а те кому надо юзали это очень и очень давно. :)

Я какбы говорил конкретно о том, что когда у тебя режутся все скрипты, не грузятся конкретные картинки или у тебя нет кэша, то это тоже очень хорошие признаки для создания «отпечатка».
Т.е каждый параноик выглядит совсем не похоже на других :)

Я больше склоняюсь ко мнению, что лучше сливаться с толпой при обычном серфинге.
Ну а для тех областей где параноя уместна, желательно юзать как минимум VPN.

Update: на другом сайте и вконтактик появился. Заблокирован :-)

Ну т.е имхо, инструмент который со 100% гарантией превратит меня в пользователя IE8 на Виндусе ХП будет куда болезнее для анонимности, нежели все носкрипты и прочие.

Естественно простая смена юзерагента не решает, нужен комплексный подход.

>Можешь и не надеяться

поцчему

Папраноики, ИМХО.

А чем они могут скомпрометировать мою идентификацию? И как вообще браузер отдает куки чужого сайта?

Очередной пиндосский кретинизм.Куки им видетели жить мешают...

вот еще полезный совет Где бы найти актуальные блоки ip-адресов копирастов? (комментарий) все никак руки не дойдут себе подобное привинтить

каукуса

Одного меня это слово смущает, пугает и приводит в недоумение? Сначала вообще прочитал «кактуса».

> Вся эта информация, ЕМНИП, передается как составляющая GET запроса.

http://panopticlick.eff.org

Лично для меня HTTP_ACCEPT оказался вообще уникальным. Куки не нужны.

О, ну это пусть себе беспокоятся. Главное, чтобы не затребовали прививки от бешенства для огнелисов.

> каукуса
Я один прочитал «кактуса»?

Благодарю.

P.S. Возможно кто-нибудь сможет подсказать, какой утилитой лучше воспользоваться, чтобы она фильтровала содержимое посылаемых GET запросов. Желательно без привязки к браузеру. Т.е. чтобы все запросы, поступающие с моей машины имели именно тот параметр, который я указал.

Ничего нового

Наконец-то метод «живчиков» начали использовать легально. Пару лет назад в Хакере читал статью о создании сложноудалаемых куков. Там в качестве примера приводилась гипотетическая ситуация о сохранении в куках кода на переполнение буфера. (точно не помню - давно было)

privoxy же

сабж

Модераторы/Корректоры

Прошу заменить «каукус» на «кокус». Похоже, так правильно.

Да ну?может тут ещё и реклама есть?

> И как вообще браузер отдает куки чужого сайта?

с помощью чужого сайта, естественно

например:

http://stackoverflow.com/questions/402348/getting-setting-cookies-on-differen...

> http://panopticlick.eff.org Лично для меня HTTP_ACCEPT оказался вообще уникальным. Куки не нужны.

Your browser fingerprint appears to be unique among the 1,779,718 tested so far.

Currently, we estimate that your browser has a fingerprint that conveys at least 20.76 bits of identifying information.

возможно, они чуть мухлюют — дело в том, что версия браузера всегда растет, и именно поэтому появляется уникальность; с другой стороны, если при смене версии браузера остаются хотя бы некоторые из типов куки, то это очень на руку тракерам

отсюда практические меры:

1. при смене версии браузера удалять вообще все персистентое — историю, куки, ...

2. историю посещений хранить в локальном прокси

3. пароли хранить в системной хранилке (типа kwalletmanager), и отказываться от браузеров, которые это не умеют, или по крайней мере сохранять отдельно — для того, чтобы при переустановке браузера удалять весь каталог, где хранинтся перситентная инфа

Я в FF настроил, что для большинства сайтов куки сохраняются до конца сессии. Пусть кому надо их каждый раз устанавливает. LOR, наверняка, хранит у себя несколько сотен моих JSESSION_ID, я не против, у меня они в конце сессии удаляются. Та же ситуация со всеми, включая гугл. Куки от разных считалок статистики я вообще отвергаю.

Их неприятностей такого подхода - приходится при заходе на очередной домен каждый раз выбирать сколько хранить куку (сессию, сколько сайт пожелает, или вообще запретить ее установку). Иногда приходится при заходе на новый сайт делать Reload страницы, ибо пока я выбираю, что делать с кукой он передумывает грузить половину страницы. В результате разные новостные порталы читать вообще невозможно, они устанавливают куки с полутора-двух десятков новых доменов (и отвечать на запросы что делать с куками для очередного домена запаришься), но на таких сайтах и читать нечего - только время зря терять (это очень дисциплинирует).

P.S. Вообще забавляет, когда конгрессмены пытаются решить технические вопросы нетехническими методами. В результате вместо решения вопроса у всех появится дополнительное препятствие, которое придется каждый раз обходить. P.P.S. Flash я устанавливаю только для одного определенного сайта, когда мне на нем нужно информацию посмотреть. Потом удаляю. Сейчас он, почему-то, вообще не устанавливается.

>msn.com
И почему я не удивлён?

flashblock в моих глазах приобрел еще один плюс.

http://habrahabr.ru/blogs/infosecurity/129321/ и тут почти про то же самое

Для меня это оверкил. Хотя можно было бы ту базу расшаривать, думаю была бы польза.

Самое зло - это не гугл аналитик, а метрика, из-за которой по странице нельзя кликнуть спокойно.
Зато лёгким движением руки и парой жестов мышкой можно поделиться своими впечатлениями от метрики прямо с владельцем сайта. Удобно же!

Так вот кто по порнушке лазит :D

>И все, Twitter и гоголь-моголь сосут

Твитор может и сосёт, а вот гоголь-моголь думаю нет. Мне кажется, что все сосут у него.

privoxy спасет мир от злых печеньков!

Зачем устанавливать дополнения к и без того тормознутым браузерам, или настраивать браузеры после каждой переустановки, когда можно один раз подправить user.action и радоваться жизни без баннеров и прочей мути?!

ой, а что будет когда введут ipv6 и у каждого будет уникальный айпи