Jan Böhmer опубликовал (https://github.com/jbtronics/CrookedStyleSheets) прототип системы для организации отслеживания перемещения посетителей по сайтам, который ограничивается использованием только CSS и не требует выполнения кода на JavaScript. При размещении на сайте представленного кода организуется передача на внешний сервер базовой информации о посетителе, включая сведения о разрешении экрана, типе браузера и наличии заданных шрифтов. На основе различий в доступных шрифтах можно определить тип ОС.
Кроме того, определяется по каким ссылкам на странице переходил пользователь или к которым из ссылок подводил курсор мыши. Также могут быть выявлены общие особенности перемещения мыши по экрану (фоном выводится невидимая таблица полей, по которой определяется перемещение мыши). В текущем виде код может отслеживать только первые клики и наведения мыши, последующие клики по тем же ссылкам или повторные наведения мыши не учитываются. Проверить работу метода можно на специально подготовленной демонстрационной странице (http://crookedss.bplaced.net/).
Реализация использует возможности CSS по добавлению изображений из внешних источников при помощи свойства url("foo.bar") - так как ресурсы загружаются только при необходимости, можно указать вместо изображения ссылку на внешний скрипт-сборщик статистики и привязать к таким событиям, как переход на ссылку или подведение мыши к ссылке. Например для отслеживания кликов можно использовать код:#link2:active::after {
content: url("track.php?action=link2_clicked");
}
Для определения идентификатора бразуера можно использовать правила @supports (https://developer.mozilla.org/en-US/docs/Web/CSS/%40sup...) для проверки наличия специфичных для каждого типа браузеров свойств CSS, например, только браузеры на движке Chromium поддерживают свойство "-webkit-appearance":@supports (-webkit-appearance:none) {
#chrome_detect::after {
content: url("track.php?action=browser_chrome");
}
}
Для определение наличия шрифтов в CSS создаётся новое фиктивное семейство шрифтов, в качестве источника для загрузки которого указывается внешний скрипт-сборщик данных. Далее формируются проверочные блоки текста в котором первым указывается проверяемый шрифт, а вторым фиктивный шрифт. Если проверяемый шрифт присутствует, то второй шрифт будет игнорирован, но если проверяемого шрифта нет, браузер попытается использовать фиктивный шрифт как запасной вариант и отправит запрос к внешнему скрипту:
@font-face {
font-family: Font1;
src: url("track.php?action=font1");
}
#font_detection1 {
font-family: Calibri, Font1;
}URL: https://twitter.com/JGamblin/status/952367181966204928
Новость: http://www.opennet.ru/opennews/art.shtml?num=47902
ждем расширения NoStyles, чтобы фольгированно-шапочникам жилось спокойнее.
> ждем расширения NoStyles, чтобы фольгированно-шапочникам жилось спокойнее.umatrix уже умеет резать ксс.
как все, так и только от третьих лиц.
И еще ublock умеет запрещать грузить шрифты. Так еще и сайты быстрее грузятся, а то каждая вебмакака норовит скачать пяток шрифтов, кил по 500 каждый. И все ради 2 значков которые было лень сделать картинками. А юзеры потом недоумевают чего сайт минуту грузится.
>2,5Мб
>минуту грузитсяКак оно там, на ADSL?
>>2,5Мб
>>минуту грузится
> Как оно там, на ADSL?Как оно там, быть безграмотным технически?
Кстати, о том, что существует еще и мобильный интернет, тоже не слышали?
> Как оно там, на ADSL?Знаешь, некоторые россияне не отказались бы даже от ADSL-я, в некоторых местах вообще нет нихрена кроме GPRS. При том на поржать, подобных мест хватает даже в подмосковье. Качать по воздуху 5 чушек по 500 кил займет вечность. И объемы трафа отмеряны пипеткой, качать пару мегов фонтов ради нафигнужного сайта - жирно.
Более того - сервак у черта на рогах с фонтами надрывается на целый легион и эти 2 метра фонтов грузятся весьма ощутимое время даже на толстом канале, в неудачном случае браузер будет крутить сопли секунд 30. И все ради 2 сраных значков, которые я даже не замечу?
горе вебмастера сотрудничают с рекламой гугл поэтому и вставляют загрузки от них аяксовой библиотеки, шрифтов, стилей и прочей гадости( в нормальном языке называемым отслеживанием действий пользователя)
Такое есть, но оно гораздо полезнее тем, что можно на черных сайтах делать белый фон и черный текст, а не так как захотелось наркоману дизайнеру.
А наоборот можно?, ох уж эти наркоманы с белым фоном...
> А наоборот можно?, ох уж эти наркоманы с белым фоном...Никогда не думал, почему выворотка так назыается?
давайте назовем это CSSFS. файловая система работающая на голом css, без js...
Чем это отличается от обычного tracking pixel?
это вам к патентописателям. они обоснуют элемент новизны в чем угодно... :)
Пиксель адблок порежет, а резать отдельные стили вроде ещё не умеет. Или я ошибаюсь?
Ему по идее всё равно, что резать.
Ну, например, расширение браузера или прокси может подменять user-agent, а тут сам браузер о себе точно объявит.
Тем, что можно кое-какие параметры браузера передать.
А я предупреждал: HTML5 сделан замороченным для встраивания бэкдоров.
Как же, тебя не послушали, бааатюшки. Может не в том месте предупреждал и не тем людям?
в другом месте другие люди тоже предупреждали, но кто их будет слушать, когда перед носом маячат миллиарды?
GNU HTML устроил бы больше
Так ГНУ ничего сам не умеет. Только уже готовое обрезать (или «делать более свободным» в их терминологии). Так что ничего они не создадут.
Проект XANADU тогда уж.
Но ведь псевдоэлемент :after придумали ещё в CSS2 когда был HTML4.1
> Но ведь псевдоэлемент :after придумали ещё в CSS2 когда был HTML4.1там content: а не after главное.
Ну а content ввели ещё в CSS2 :)
>только браузеры на движке Chromium поддерживают свойство "-webkit-appearance"А вот фиг, любой вебкит поддерживает это свойство
Обнаружена уязвимость в CSS: при указании background-image: url(...), можно запихнуть браузеру в память абсолютно любой файл!Обнаружена уязвимость в JavaSE: при помощи вызова метода java.lang.Runtime.exec можно выполнить абсолютно любой файл!
Что вы там сказали? Отключать скрипты в тор браузере для анонимности?
https://trac.torproject.org/projects/tor/ticket/24901
> https://trac.torproject.org/projects/tor/ticket/24901мм... а смысл? Что-то они там не то прочитали по ссылке.
Глупо пытаться скрыть факт, что ты юзер тор-браузера, придя с выходного тор-релея (уж скорее наоборот, надо бы подделывать его, если вдруг пришел чем-то особенным, это палево, так делают единицы).
пытаться надо противостоять _user_ fingerprinting, а это в первую очередь поведенческий анализ, во вторую шрифты, а браузер, да еще с точностью до фич движка, где-то на последнем месте.
"Метод отслеживания посетителей сайтов при помощи CSS, без JavaScript"
"...можно указать вместо изображения ссылку на внешний скрипт-сборщик статистики..."
Ну конечно, без JS, но с похапе. А так да, "при помощи CSS". Развели комбайн, можно уже реально ФC на базе CSS писать.
Юзеры NoScript отхватите!
кто-то просто выписывает газеты
noscript тормозен и глючен. Лучше QuickJava - он просто ставит несколько выключателей на сорта гуано: жаву, флэш, цсс, картинки и пр. - в любой момент можно тыкать.