The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Метод идентификации через определение дополнений, установлен..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от opennews (??) on 01-Сен-17, 00:48 
Группа исследователей из университета Деусто (Испания)  и исследовательского центра Eurecom (Франция) выявили (https://www.usenix.org/system/files/conference/usenixsecurit...) две техники определения списка установленных браузерных дополнений, который можно использовать в качестве дополнительного источника данных для неявной идентификации пользователя. Методы применимы к Firefox, Safari и браузерам на кодовой базе Chromium.  По заявлению исследователей точность определения как для старых дополнений Firefox, так и для дополнений к Chrome на базе WebExtensions составляет 100%.


Первый метод затрагивает все браузеры с поддержкой API WebExtensions (Chome, Opera, Yandex Browser, Edge, Vivaldi) и основывается на получении инфорамции по сторонним каналам (side-channel attack), а именно учёте различия времени обработки операций, при обработке файлов определённых дополнений. Плавила доступа к файлам дополнения задаётся в файле manifest.json и  приводят к небольшим, но уловимым, задержкам при попытке обращения к подпадающим под эти правила ресурсам.


В частности, время отзыва при попытке доступа к локальным файлам несуществующего дополнения немного дольше, чем при обращении к файлам установленного дополнения, при использовании изначально фиктивных файловых путей. Иными словами, время доступа к связкам "chrome-extension://[fakeExtID]/[fakePath]" и "chrome-extension://[realExtID]/[fakePath]" отличается, что позволяет методом перебора известных идентификаторов дополнений определить установленные в браузере дополнения. Если дополнение не установлено, время выполнения запроса будет совпадать, а если проверяемое дополнение присутствует - запрос будет выполнен быстрее.


Примечательно, что данной проблеме подвержен и старый  API для построения дополнений к Firefox, на смену которому идёт WebExtensions.  В случае старого API не требуется даже измерять время ответа, так как при запросе несуществующего файла в установленном и фиктивном дополнении выдаётся разный код ошибки. Новая система дополнений Firefox на базе  WebExtensions не подвержена данной проблеме, как как в отличие от Chrome идентификаторы дополнений генерируются случайно.


При этом  в ходе анализа выявлена другая проблема - случайный идентификатор дополнения Firefox сохраняется для всех версий дополнения в текущей системе и если дополнение допускает его утечку, то данный идентификатор дополнения можно рассматривать как уникальный идентификатор пользователя. Вероятно, данная проблема более опасна, чем изначально предложенный метод построения списка дополнений, так как в ходе проверки гипотезы удалось получить данные о случайном идентификаторе предустановленного дополнения Screenshot при нажатии кнопки создания снимка экрана на стороннем сайте. Для других популярных дополнений возможно будет определён метод, работающий без необходимости совершения пользователем определённых действий.


Второй метод получения списка дополнений специфичен для системы дополнений браузера Safari, в которой вместо  manifest.json для разграничения доступа применяется случайно сгенерированные URL, привязываемые к текущему пользовательскому сеансу. Суть метода в том, что можно определить косвенные данные, которые используются при генерации случайного URL, и попытаться предсказать его. Проверка показала, что подобное удаётся для 40.5% протестированных дополнений.


URL: https://www.ghacks.net/2017/08/30/firefox-webextensions-may-.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=47103

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Метод идентификации через определение дополнений, установлен..."  +4 +/
Сообщение от Аноним (??) on 01-Сен-17, 00:48 
И как с этим бороться, скажем, пользователю Firefox?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Метод идентификации через определение дополнений, установлен..."  +12 +/
Сообщение от Ordu email(ok) on 01-Сен-17, 01:10 
Пользователю -- никак. Это разработчикам FF надо озаботиться, вставить одну константную задержку и ещё добавить рандомную, так чтобы спрятать разницу в выполнении запросов за шумом.

Вторая проблема интереснее, но, в принципе, тоже решается. И опять же не пользователем.

Пользователь бесполезен.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 02:15 
А это не поможет?
https://addons.mozilla.org/ru/firefox/addon/tamper-data/vers.../
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

32. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 10:53 
> А это не поможет?
> https://addons.mozilla.org/ru/firefox/addon/tamper-data/vers.../

А горчичники от перелома не помогут?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

35. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от пох on 01-Сен-17, 11:20 
>> А это не поможет?
>> https://addons.mozilla.org/ru/firefox/addon/tamper-data/vers.../
> А горчичники от перелома не помогут?

смотря что сломано, и как применять. Если тебе их пачкой в задницу затолкают - о сломанном пальчике ты на некоторое время с гарантией забудешь.


Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

43. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от user (??) on 01-Сен-17, 12:11 
>как применять

вместо гипса

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

23. "Метод идентификации через определение дополнений, установлен..."  +13 +/
Сообщение от тоже Аноним email(ok) on 01-Сен-17, 09:57 
А я-то думал - что это во всех браузерах год от года только задержки вставляют?
Оказывается, это борьба за безопасность!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

58. "Метод идентификации через определение дополнений, установлен..."  +3 +/
Сообщение от Аноним (??) on 01-Сен-17, 14:28 
Браузер с бесконечной задержкой будет самым безопасным.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

65. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от DmA (??) on 01-Сен-17, 15:31 
> Пользователю -- никак. Это разработчикам FF надо озаботиться, вставить одну константную
> задержку и ещё добавить рандомную, так чтобы спрятать разницу в выполнении
> запросов за шумом.
> Вторая проблема интереснее, но, в принципе, тоже решается. И опять же не
> пользователем.
> Пользователь бесполезен.

я так понимаю запросы к дополнениям идут через JS, и если его он отключен, то они идут лесом!
Так что пользователь тоже что-то может для себя сделать!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

67. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от Ordu email(ok) on 01-Сен-17, 15:41 
Не совсем, но почти. Запросы к дополнениям идут через url'ы, и для того, чтобы они шли не обязательно включать js. Но вот измерение времени выполнения этих запросов возможно выполнить только при помощи js. Так что отключение js конечно же поможет. И действительно пользователь может что-то для себя сделать.

Да, значит не такая уж и проблема, ввиду NoScript. Можно не париться, и продолжать сидеть на LTS. А то, я уж было начал дёргаться -- бекпортируют фиксы сюда или нет.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

68. "Метод идентификации через определение дополнений, установлен..."  +2 +/
Сообщение от имя on 01-Сен-17, 15:41 
желаю удачи путешествовать в современном вебе без жс
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

89. "Метод идентификации через определение дополнений, установлен..."  –1 +/
Сообщение от Аноним (??) on 02-Сен-17, 03:06 
Современный Facebook как-то обходится и без жс, пых же есть, так что на форумы на том же phpBB можно будет лазить ещё долго в современном интернете
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

81. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 22:54 
Я не понимаю. Нафига вообще какие-то задержки. Почему доступ к файлам дополнения с веб-сираницы не блокируется на одном основании того, что это файлы дополнения? Это же видно по uri (начинается с chrome://), и проверка uri даст задержку, не зависящую от наличия расширения.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

85. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Ordu email(ok) on 01-Сен-17, 23:58 
> Я не понимаю. Нафига вообще какие-то задержки. Почему доступ к файлам дополнения
> с веб-сираницы не блокируется на одном основании того, что это файлы
> дополнения? Это же видно по uri (начинается с chrome://), и проверка
> uri даст задержку, не зависящую от наличия расширения.

Доступ к файлам дополнения блокируется. Если конечно дополнение не указало список тех файлов, к которым страница имеет доступ.

Но сия атака основана не на доступе, а на отсутствии доступа. Проверка отсутствия доступа выполняется дольше, в случае если дополнение установлено.

Сходи почитай статью, на которую ссылка из статьи. Там это всё разжёвано.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

88. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Дотошный аноним on 02-Сен-17, 02:57 
> время отзыва при попытке доступа к локальным файлам несуществующего дополнения немного дольше, чем при обращении к файлам установленного дополнения
> Проверка отсутствия доступа выполняется дольше, в случае если дополнение установлено.
> Сходи почитай статью, на которую ссылка из статьи. Там это всё разжёвано.

В статье действительно сказано, но наоборот. И не разжёвано совсем почему проверки доступа такие странные (достаточно медленные, чтобы случайные задержки не портили статистку атаки).

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

98. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 02-Сен-17, 19:36 
> Пользователь бесполезен.

При отсутствии пользователей разработчики как будут добывать шоколадки?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от Sabakwaka (ok) on 01-Сен-17, 01:29 
>> И как с этим бороться, скажем, пользователю Firefox?

Не использовать зоопарк из блоатварь расширений?
Поставь пять нужных, имеющих по миллиарду установок и больше не балуйся.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Метод идентификации через определение дополнений, установлен..."  –4 +/
Сообщение от Аноним (??) on 01-Сен-17, 02:06 
Интересно, а как узнать число установок?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 09:22 
> Поставь пять нужных

Так ведь это целых пять бит, что увеличивает уникальность браузера в среднем в 32 раза.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Crazy Alex (ok) on 01-Сен-17, 03:06 
поставить какой-то фильтр вроде uMatrix, который бы слёту блокировал страницам доступ к расширениям?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 03:14 
Знать бы, как его настроить для этого.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

19. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 09:28 
Как файрвол. Запретить все, разрешить только то что нужно только тем сайтам которые нужны.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

60. "Метод идентификации через определение дополнений, установлен..."  +5 +/
Сообщение от DmA (??) on 01-Сен-17, 14:53 
> Знать бы, как его настроить для этого.

устанавливаем uMatrix
жмём его кнопку на панели браузера, слева вверху светленькая шестерёнка, жмём и идём в настройки и там  интересует вкладка "Мои правила".
Слева постоянные правила(действуют после перезагрузки браузера),справа временные, если что-то нужно временно разрешить-запретить, и отттестировав поместить временные правла в постоянные утвердив их.
Начинаем смотреть с постоянного правила :
* * * block
и идём вниз. Идём вниз, потому что правила действуют с конца списка и когда доходят до этого правила, то это правило блокирует всё, что не разрешено было ранее. Правила вверху это правила для самого uMatrix и он без них скорей всего работать не сможет(но я не проверял).Удаляем все правила ниже этого(можете их сначала сохранить куда-нибудь для спокойствия).
Первым правилом(самое нижнее) я обычно блокирую все коннекты с этой странички Интернета(на которой сижу, адрес который у меня прписан в адресной строке)) к любым другим сайтам(обычно их называют  "сторонние сайты", обычно на этих сторонних сайтах размещают рекламу, трекеры и другую фигню).
Правило блокирующее коннекты браузера к стронним сайтам выглядит так :
* 1st-party * allow
Это правило должно отсекать загрузки всяких картинок,шрифтов, стилей, скриптов, кук, фреймов и др с каких-либо сторонних сайтов.Повертье, рекламы и трекеров остаётся очень мало.
Но по умолчанию в Firefox высталена всякая предварительная загрузка страниц и предварительные dns запросы(осталось со времён очень медленного Интернета). То есть, пока вы смотрите эту страницу, браузер пытается угадать куда вы пойдёте дальше и делает предварительные запросы к днс серверу(network.dns.disablePrefetch) и грузит те ссылки , по которым он думает, что вы можете перейти(network.prefetch-next) или к которым вы подводите мышкой(network.predictor.enabled).
Поэтому незабудьте в настройках Firefox отключать эти предварительные загрузки других страниц через about:config.
Дальше, когда со сторонними сайтами разобрались оставляем тот контент, который считаем безопасным.
На сегодняшний день остались только картинки и стили :)
Разрешаем их
* * image allow
* * css allow
Запрещаем куки, скрипты, xmlhttprequest(хотя запрет  скриптов их перекрывает),разное media(плагины в том числе), и наконец other
* * cookie block
* * script block
* * xhr block
* * plugin block
* * other block
Дальше, в зависимости от посещаемых вами сайтов можно подрихтовать ваши постоянные правила или что-то разрешать, через временные, если приспичит.
Управлять временные разрешениями очень удобно через матрицу(доступа), которая выпадает при нажатии на значёк Matrix.

В двух словах как-то так :)


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

61. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 15:06 
Спасибо за подробную инструкцию!
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

66. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от DmA (??) on 01-Сен-17, 15:35 
> Спасибо за подробную инструкцию!

Не за что!

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

80. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 22:46 
>[оверквотинг удален]
> * * cookie block
> * * script block
> * * xhr block
> * * plugin block
> * * other block
> Дальше, в зависимости от посещаемых вами сайтов можно подрихтовать ваши постоянные правила
> или что-то разрешать, через временные, если приспичит.
> Управлять временные разрешениями очень удобно через матрицу(доступа), которая выпадает
> при нажатии на значёк Matrix.
> В двух словах как-то так :)

Как Вы думаете, нельзя ли сконструировать сайт с такой структурой и содержимым, что бы при открытии в браузере этого сайта, и в соответствии с его (сайта) структурой и набором настроек и дополнений браузера, при анализе логов веб сервера и прочей информации которую можно получить от браузера (клиентского программного обеспечения) картина была бы настолько ясна (плюс задержки сети для содержимого сайта размещенного в различных локациях и привязанных к различным географическим местоположениям различного содержимого), что не было бы необходимости спрашивать у пользователя сайта регистрации с указание паспортных данных? ;) Ну, ето, в смысле, убить сразу двух зайцев, и идентификатор пользователя и его местоположение (в условной карте сети)!

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

87. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от Sirob on 02-Сен-17, 01:53 
Спасибо за инструкцию.

> Дальше, когда со сторонними сайтами разобрались оставляем тот контент, который считаем безопасным.
> На сегодняшний день остались только картинки и стили :)

Минус картинки: Уязвимости в GDK-Pixbuf, затрагивающие Chromium, Firefox, VLC и GNOME thumbnailer (
http://www.opennet.ru/opennews/art.shtml?num=47104 )

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

90. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от Аноним (??) on 02-Сен-17, 03:24 
>* * * block
>и идём вниз. Идём вниз, потому что правила действуют с конца списка

Неверно, это просто сортировка правил в таблице такая (сначала по второму столбцу). Порядок обработки правил другой.
>Удаляем все правила ниже этого(можете их сначала сохранить куда-нибудь для спокойствия).

Неточно. Часть правил возникает из других источников, все удалить не получится.
>Это правило должно отсекать загрузки всяких картинок,шрифтов, стилей, скриптов, кук, фреймов и др с каких-либо сторонних сайтов.

Этим советом пользоваться опасно: в uMatrix по умолчанию разрешено дополнениям и фоновым скриптам (не привязанным ко вкладкам) загружать всё, и эти правила можно менять, но неудобно и недостаточно дискретно (дополнения не различить).
В общем, uMatrix довольно слаб в этом.
>значёк

Правильно «значок».
Дополнения, которые лучше: Policeman (сложен, требует дописывания наборов правил, но есть примеры), Adblock Plus (работает как чёрный список, иначе не удобен, после версии 2.8.2 автор выпускает лажу), RequestPolicy Continued (ветки версий 0.5.32 или 1.* в зависимости от того, что нужно: удобство или надёжность), Policy Control (если потянете), NoScript (настройка ABE сложна). Это из того, что до сих пор работает.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

93. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от user (??) on 02-Сен-17, 09:39 
>фоновым скриптам (не привязанным ко вкладкам)

WTF? Как эту мерзость отключить навсегда?

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

99. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 02-Сен-17, 19:47 
Значок — Википедия
ru.wikipedia.org›Значок
Значо́к, многозначное слово, может означать, у некоторых: маленький флаг, предназначенный для определённых целей, в военном деле. небольшой нагрудный знак. условный знак в картографии. значок или иконка — картинка...
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

16. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от DmA (??) on 01-Сен-17, 09:01 
Кроме цифрового отпечатка браузера есть ещё ваш либо постоянный, либо слабоменяющийся  IP!
Решение против этих двух идентификаторов пользователя давно есть - самобновляемый до самой последней версии при старте Tor Browser: у всех одинаковый и ip фиг пойми откуда!
Обычный браузер лучше использовать при крайней необходимости, либо  толькона тех ресурсах, где про вас и так  всё знают и вы там при регистрации указывали сотовыйтелефон=паспортные данные.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Метод идентификации через определение дополнений, установлен..."  +3 +/
Сообщение от пох on 01-Сен-17, 09:55 
> Кроме цифрового отпечатка браузера есть ещё ваш либо постоянный, либо слабоменяющийся  
> IP!

я очень люблю свой постоянный слабоменяющийся ip - за ним мало того что контора из полутысячи человек, так еще и открытый wifi.

> последней версии при старте Tor Browser: у всех одинаковый и ip
> фиг пойми откуда!

и везде забанен, или требует разгадать десять капч, сто раз отправить sms "я не робот" и потом повеситься на шнурке от ботинок. А потом, внезапно, еще и сливает тебя мазиле при заходе на страничку с аддонами, а его супер-секьюрити-авторы об этом даже и не в курсах.
И через некоторое время выясняется, что мордокнига, в которую ты через него лазил, по социальному графу уже давно знает не только кто ты, но и как ты выглядишь (и в принципе может поделиться с системами, обслуживающими камеры наблюдения, например).
Отдельный вопрос - сколько уникальных бит добавляет то, что ты пришел с тора.

Но это, в общем, мелочи - немелочи что к тебе через некоторое время зайдут на огонек, и ты поедешь лет на пять-семь за разжигание, а то может и за что похуже.
http://tinyurl.com/ydgeaafy

заметьте - уже и выходной ноды держать у себя не надо. (внимательный наблюдатель сделает и другие выводы)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

45. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Пауль on 01-Сен-17, 12:30 
Вывод то какой?
Использовать старые версии браузеров!
Такой получается вывод.
Кстати СПАСИБО за такие подробности.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

50. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от DmA (??) on 01-Сен-17, 13:33 
>> Кроме цифрового отпечатка браузера есть ещё ваш либо постоянный, либо слабоменяющийся
>> IP!
> я очень люблю свой постоянный слабоменяющийся ip - за ним мало того
> что контора из полутысячи человек, так еще и открытый wifi.

Согласен, что Тор не панацея, но всё же  меньшее из зол. В остальных браузерах считай в строке UserAgent прописан  твои паспортные данные!
Поехать за разжигание  в места не столь отдалённые может сейчас любой гражданин открывающий рот или пишущий чего-либо в Интернете, достаточно высказать нелояльность к режиму и повод тебя посадить найдут, даже если лично для тебя нужно будет поменять закон, госдума проголосует за что угодно, лишь бы их АП не оторавала от кормушки.
Чем больше людей будут использовать Тор, тем труднее будет искать в тёмной комнате чёрную кошку.


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

64. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 15:23 
> уже и выходной ноды держать у себя не надо. (внимательный наблюдатель сделает и другие выводы)

Покапитанствуем в роли внимательного наблюдателя.

"сообщение было отправлено с IP 163.172.21.117"

"17 октября к IP-адресу 163.172.21.117 было совершено подключение из города, в котором было зафиксировано ложное сообщение"

1. Не знаю, позволяет ли тор держать на одном адресе и входную и выходную ноду, если верить материалам следствия, то позволяет, и это фейспалм. :(

2. Тор, в принципе, позволяет создавать "цепь" из одного узла (типа простого прокси), но по дефолту не делает этого, это нужно делать вручную. Но человек, сознательно занимающийся противоправной деятельностью из-под такой схемы - клиничeский идиoт, и потому такой вариант логически должен быть отброшен.

3. Простая дефолтная схема тора содержит три узла, новые версии тора не позволяют создавать цепи с входными и выходными узлами из одной подсети. Но наши правоохранительные органы особо не утомляются в выяснениях специфики работы версий программы, какой там узел был входной, какой выходной, адрес и время совпали - виновен без вариантов.

4. Как известно, с тором это не первый случай, и постепенно выявляется некая тенденция: двоих-троих показательно выпорем, а остальные угомонятся сами.

5. По поводу оплаты емейла, с которого рассылали все это (там дальше в статье).
Неанонимные средства электронных платежей - абсолютное зло. Любой человек (хакер или кто похуже), получивший каким либо способом (!) доступ к платежным данным другого лица, может оплатить от его имени любую мерзость, и доказывайте потом, что Вы не делали этого.

У этой истории могут быть и другие варианты объяснения мотивов и взаимосвязей действующих в ней лиц, но об этом пока лучше не думать.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

70. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от ваш К.О. on 01-Сен-17, 16:03 
> "17 октября к IP-адресу 163.172.21.117 было совершено подключение из города, в котором
> было зафиксировано ложное сообщение"

переводя с ментовского на русский: засекли соединение из города, где было получено ложное сообщение. Или с городом, потому что им в подобные мелочи вникать некогда, план горит. То есть доставку сообщения до адерсата.
А не соединение с человеком, попавшим под следствие.

А пришли потом - вовсе не к владельцу этого ip, а к кому-то, кто a) точно пользуется тором b) может быть пользовался им и этим же выходным узлом в этот самый момент - а может быть и нет - этого в статье нет.

В общем, умные делают выводы, глупым ничто не поможет.

ах, да:
> Неанонимные средства электронных платежей - абсолютное зло.

анонимные тем более зло - они у нас незаконны, и вот за это ("выпуск электронных суррогатов") ты сядешь с гарантией. А палится оно точно так же, как и тор.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

77. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 17:28 
> "выпуск электронных суррогатов"

Всеж таки недалекие люди у нас законы пишут. Майнить надо разрешить, но тратить только за бугром, дабы намайненным "суррогатом" разрушать экономику ненавистных супостатов.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

79. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от пох on 01-Сен-17, 21:32 
> анонимные тем более зло - они у нас незаконны, и вот за это ("выпуск электронных
> суррогатов") ты сядешь с гарантией

товарищ Майор, ну можно ж было хотя бы дипломатическую паузу-то выдержать? Никогда еще Штирлиц не был так близок к провалу!

https://meduza.io/news/2017/09/01/v-kostromskoy-oblasti-mvd-...

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

103. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от DmA (??) on 03-Сен-17, 21:11 
Уже не первый раз дискуссия приходит к одному и тому же результату: не иметь никаких отношений с этим государством, уехать в глубинку, выращивать там что-то для себя, как Агафья Клыкова, взять с собой книги, компьютер, Википедию, пару электронных библиотек,  какие-то орудия труда и познания. И заниматься теми вопросами, которые нравятся и жить по своей совести и как разум подсказывает. Ждать когда очередное мракобесие само себя погубит или не ждать вовсе.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

106. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 04-Сен-17, 03:05 
Полагаете, сами они к Вам тогда не придут?

А ежели зуб заболит коли чего по-хуже - что делать будете?

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

100. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Wladmis (ok) on 02-Сен-17, 21:31 
> И через некоторое время выясняется, что мордокнига, в которую ты через него лазил, по социальному графу уже давно знает не только кто ты, но и как ты выглядишь (и в принципе может поделиться с системами, обслуживающими камеры наблюдения, например).

Использовать Tor для захода в Facebook — это мощно! Разве не очевидно, что использование средств анонимизации для доступа к ресурсам, где анонимность в принципе невозможна, является абсурдом?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

101. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от brukjteker4bhtr on 03-Сен-17, 10:33 
Он нужен не только для анонимизации, но и против Роскомпреступников.
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

102. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Wladmis (ok) on 03-Сен-17, 16:23 
> Он нужен не только для анонимизации, но и против Роскомпреступников.

Понятно, что цели применения могут быть разные, но использовать его для доступа к Facebook... Его же даже не заблокировали. Хотя для обхода блокировок Тор, пожалуй, самый неудобный способ, как раз потому, что ресурсы на той стороне подозрительно относятся к посетителям с выходных нод и подсовывают капчи и пр..

Тем более, что комментатор выше как раз говорил о том, что как плохо с анонимностью в тор, Facebook его вычислил.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

104. "Метод идентификации через определение дополнений, установлен..."  –1 +/
Сообщение от ресурс on 03-Сен-17, 21:14 
> потому, что ресурсы на той стороне подозрительно относятся к посетителям с выходных нод
> и подсовывают капчи и пр..

btw, мы это делаем вовсе не потому что мы вас всех ненавидим (мы на самом деле вас всех ненавидим одинаково, вне зависимости от использования прокси), а потому, что, к сожалению, на одного (а на деле ноль) борцов с режимом, пытающихся выглянуть в свободный мир через дырочку тора, приходит две сотни аццки-изобретательных роботов-$@тов, пытающихся у тебя что-то поломать, и пяток живых человеков-п-сов, тупо пытающихся нагадить.
То есть никто специально exit-nodes не подсчитывает и не блокирует списком - они сами оказываются в списках по результатам анализа либо проактивной защиты. Быстро, очень быстро.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

25. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 10:23 
>постоянный, либо слабоменяющийся  IP!

Россия - все за NAT

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

34. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от пох on 01-Сен-17, 11:18 
>>постоянный, либо слабоменяющийся  IP!
> Россия - все за NAT

почему только Россия? Везде, кроме, кажется, Германии и индусского государства Калифорния, где ipv6 адрес (еще и привязанный к маку) встречается чаще.


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

51. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от DmA (??) on 01-Сен-17, 13:33 
>>постоянный, либо слабоменяющийся  IP!
> Россия - все за NAT

Точно, а правила NAT пусть хранятся в фсб :(


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

74. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от DmA (??) on 01-Сен-17, 16:30 
>>постоянный, либо слабоменяющийся  IP!
> Россия - все за NAT

Россия и так за NATOм :)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

42. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 12:07 
Да, разумеется.
Как видно из сообщения "Медузы" по ссылке ниже, "правоохранители" поняли, что облажались в своем непомерном усердии, и дело, похоже, замнут.
Ясно, что через Tor выходят в сеть очень многие.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

26. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от пох on 01-Сен-17, 10:24 
> И как с этим бороться, скажем, пользователю Firefox?

найти кусок кода с GetSubstitutionInternal(const  nsACString
& root , nsIURI  ** result){

и заменить
return  NS_ERROR_FILE_NOT_FOUND;
на
return  NS_ERROR_NOT_AVAILABLE ;

еще красивее - заменить обе функции на возврат какого-нибудь мусора (это будет тоже уникальный отпечаток браузера, но пока о нем никто не знает, ты можешь спать спокойно) - то, что запросило этот урл - подавится, и туда ему и дорога.

Ах, да, опеннетовские пользователи ж такие беспомощные, что эти советы им как об стену горох? Ну тогда ждите ебилдов.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

37. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от онан on 01-Сен-17, 11:42 
Не космическая техника, сойдет и так! Уровень приватности FF по задумке руководства ограничивается удалением истории, чтобы жена не просекла по каким порносайтам лазил ее супруг.
Фирефокс - полуфабрикат, использование его в сыром виде черевато. Это должен понимать каждый  из присутствующих!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

56. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от DmA (??) on 01-Сен-17, 14:07 
> Не космическая техника, сойдет и так! Уровень приватности FF по задумке руководства
> ограничивается удалением истории, чтобы жена не просекла по каким порносайтам лазил
> ее супруг.
> Фирефокс - полуфабрикат, использование его в сыром виде черевато. Это должен понимать
> каждый  из присутствующих!

И это к сожалению лучшее из зол, остальное на порядки хуже, ну просто соткано из зондов!

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

78. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 19:44 
> И как с этим бороться, скажем, пользователю Firefox?

Все настройки анонимности только через about:config а не с помощью дополнений. Фильмы качать - копировать только из кэша ....

ps x | grep firefox

ls -l /proc/...*/fd

cp /proc/...*/fd/21 video.flv

и так далее.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

86. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от как бороться on 02-Сен-17, 01:08 
всего то заставить FF включить в поставку 50-100 самых употребляемых экстеншнов и сделать их неотключаемыми
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

92. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 02-Сен-17, 03:37 
> всего то заставить FF включить в поставку 50-100 самых употребляемых экстеншнов и сделать их неотключаемыми

Mozilla уже на это облажалась, в статье же есть:
> предустановленного дополнения Screenshot при

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

94. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от Аноним (??) on 02-Сен-17, 12:50 
> И как с этим бороться, скажем, пользователю Firefox?

Путём перехода на Pale Moon! - https://github.com/MoonchildProductions/Pale-Moon/issues/1327

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

105. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от нах on 03-Сен-17, 21:28 
> Путём перехода на Pale Moon!

плохой, негодный совет. По вашей ссылке его авторы продемонстрировали как минимум неумение читать, и избыточное ЧСВ. До места, где атака описана и на старый jetpack-вариант расширений, они явно недочитали. (_возможно_ pm нечувствителен к этой атаке, ибо код там немного другой, но GetFlagsFromPackage c FILE_NOT_FOUND, как минимум, там есть, и это явно небезопасный код возврата - незачем кому попало знать, что там found, а что обломалось по иным причинам)

а еще эти, гм, геи надысь забанили adnauseam! Со словами что он мешает честным людям иметь вас в жо...ой,простите, иметь с вас денег, а поскольку мы тоже обожаем заниматься тем же самым, мы с ними заодно. (с другой стороны - спасибо что честно это написали)

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

5. "Метод идентификации через определение дополнений, установлен..."  +9 +/
Сообщение от Аноним (??) on 01-Сен-17, 01:49 
Какие задержки? С какого фига вообще страничкам есть доступ к chrome-extension://?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Crazy Alex (ok) on 01-Сен-17, 01:56 
Вот меня тот же вопрос интересует. Что там страницы забыли-то? А тем более - с реквестами из джаваскрипта.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Метод идентификации через определение дополнений, установлен..."  –2 +/
Сообщение от Ordu email(ok) on 01-Сен-17, 04:26 
А почему нет? Это ж удобно: если расширение добавляет на страничку какую-нибудь няшную кнопочку, то было бы круто, если бы няшное изображение этой кнопочки лежало бы локально на диске.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Метод идентификации через определение дополнений, установлен..."  +3 +/
Сообщение от anonimus on 01-Сен-17, 07:46 
И для этого нужен доступ к chrome-extension://?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

48. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от Ordu email(ok) on 01-Сен-17, 12:53 
> И для этого нужен доступ к chrome-extension://?

Да.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

49. "Метод идентификации через определение дополнений, установлен..."  –1 +/
Сообщение от Ordu email(ok) on 01-Сен-17, 12:55 
Ну, в смысле, я полагаю, что да. Я не писал расширений и просто гадаю.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

82. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 23:02 
>> И для этого нужен доступ к chrome-extension://?
> Да.

Нет, не нужен. Есть URL.createObjectURL, и вообще это всё должно быть вне контекста страницы, иначе даже тайминг атаки не нужны, расширение и так громко заявляет "АУ я тут, это я".

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

84. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Ordu email(ok) on 01-Сен-17, 23:57 
>>> И для этого нужен доступ к chrome-extension://?
>> Да.
> Нет, не нужен.

Ну видимо разработчики хрома и файрфокса с тобой не согласны. Я даже не знаю в чью квалификацию мне следует больше верить -- в твою или в их?

> иначе даже тайминг атаки не нужны, расширение и так громко заявляет "АУ я тут, это я".

Да, и авторы этой статьи тоже идиоты, Аноним опеннета лучше знает.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

24. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от пох on 01-Сен-17, 09:59 
> Какие задержки? С какого фига вообще страничкам есть доступ к chrome-extension://?

url как url. Да, можно его (и еще полсотни похожих) специально в ста местах проверять и блокировать, но рано или поздно либо добавят новое место, и забудут проверить, либо забудут один из таких урлов (вот и забыли).

Маразм изначально в другом - схерали это - url? Как и "about:", как и все прочие. Я прекрасно помню времена netscape, где единственными подобными урлами были about:mozilla и about:netscape, а все остальное было доступно через нормальные модальные диалоги, соответственно - вне сферы влияния содержимого окошка.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

36. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от Crazy Alex (ok) on 01-Сен-17, 11:28 
ну так и сделать белым списком. Дефолт без настройки - https/http - автоматом, всё остальное - только по явному разрешению. думаю, это больше, чем только от этой штуки убережёт.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

38. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от пох on 01-Сен-17, 11:43 
> ну так и сделать белым списком

ну так и сделано. Проверяется этот белый список в ста местах, причем списки немного отличаются (из моих пяти расширений двум нужно одновременно script injection и обращение к локальным ресурсам - вы ведь не хотите, чтобы ровно то, чего ради ставят privacy ext's, обращалось к внешнему хранилищу, автоматически светясь?)
Вот и лоханулись. Причем мазильцы - в обработчике ошибки, вернув чуть больше информации, чем было можно себе позволить. (вернешь null - а оно оттуда прочитать попытается, например)

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

47. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Crazy Alex (ok) on 01-Сен-17, 12:43 
Ну вот у uMatrix/uBlock как-то одного места хватает.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

13. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 08:20 
Эмм 100% чего? Допустим нет дополнений, они 100% скажут что это один пользователь?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Метод идентификации через определение дополнений, установлен..."  +2 +/
Сообщение от istepan email(ok) on 01-Сен-17, 08:23 
Блин, они бы еще к about:config дали доступ.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

91. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 02-Сен-17, 03:29 
А в какой именно репозитарий надо писать issue с данным  featurerequest на гитхабе?
https://github.com/mozilla/
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от iPony on 01-Сен-17, 08:45 
> Safari - удаётся для 40.5% протестированных дополнений.

Но хоть шанс в 59.5% есть

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 09:08 
И что теперь? В каком месте бояться?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Метод идентификации через определение дополнений, установлен..."  –1 +/
Сообщение от Аноним (??) on 01-Сен-17, 10:25 
Честным людям нечего бояться. У них браузер в каждом запросе паспортные данные отсылает.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

30. "Метод идентификации через определение дополнений, установлен..."  +2 +/
Сообщение от user (??) on 01-Сен-17, 10:30 
Честным органам нечего бояться. У них гостайны в газетах печатают.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

52. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от DmA (??) on 01-Сен-17, 13:59 
> Честным людям нечего бояться. У них браузер в каждом запросе паспортные данные
> отсылает.

репрессии сталинизма и фашизма косили в первую очередь  честных и порядочных! Потому, что они им непонятны: все кого они не могут купить, запугать, уговорить должны быть уничтожены, а  честным и порядочным мешает совесть. Эти люди угроза номер один для сталинизма-гитлеризма.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

69. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от Кен on 01-Сен-17, 15:46 
Хорошо, что твоего деда не тронули.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

20. "Метод идентификации через определение дополнений, установлен..."  –3 +/
Сообщение от Пауль on 01-Сен-17, 09:38 
Кто нибудь!!! подскажите! есть ли дистрибутив линукс LiveCD с браузером, кроме Firefox, Chrome Google, Chromium, Midori? Желательно без KDE и Gnome!

(p.s. - Модератор не удаляй пожалуйста хотя бы сутки этот комментарий)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от доброжелать on 01-Сен-17, 10:24 
В Tiny Core Linux есть lynx
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

44. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Пауль on 01-Сен-17, 12:22 
Ну не столько же.
Хотя бы Pale Moon иль другие.

Да чего везде и всюду эта драная лиса
Подстилка вонючая

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 10:28 
>с браузером, кроме Firefox, Chrome Google, Chromium, Midori?
>Желательно без KDE и Gnome!

Это противоречивые требования.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

59. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Singularity (ok) on 01-Сен-17, 14:47 
В последних версиях SystemRescueCD Midori заменили на NetSurf, приятного пользования.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

62. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Пауль on 01-Сен-17, 15:14 
О Спасибо!
Но в SystemRescueOS как-то туго с файловым менеджером, нельзя чего то открыть (не помню)
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

95. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Пауль on 02-Сен-17, 14:56 
Только что, скачал, запустил, нет там никакого NetSurf, там тоже Firefox.
Зачем Вы обманули?
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

31. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 10:31 
Какие есть браузеры с поддержкой только безопасной части js?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от Аноним (??) on 01-Сен-17, 10:57 
IceCat
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

40. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от онан on 01-Сен-17, 11:45 
> IceCat

В андроиде на нем не работает синхронизация (может только у меня одного)

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

53. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от DmA (??) on 01-Сен-17, 14:00 
>> IceCat
> В андроиде на нем не работает синхронизация (может только у меня одного)

если у вас включена синхронизация, то какая тут может быть приватность-то?


Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

55. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от DmA (??) on 01-Сен-17, 14:04 
> IceCat

Icecat не делает js безопасным! Он просто не выполняет js код, который несвободен!( плагин LibreJS).
Ну и при старте IceCat предлагает несколько опций, среди которых отключение js

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

107. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от abi on 06-Сен-17, 17:21 
А как он определяет что js-код несвободен? Ищет есть ли слово GPL в скрипте?
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

63. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Пауль on 01-Сен-17, 15:17 
Основан на Mozilla Firefox!
Сразу нет!
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

39. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от пох on 01-Сен-17, 11:45 
> Какие есть браузеры с поддержкой только безопасной части js?

lynx.

функционально-полные языки - опасны _всегда_. На них, представьте себе, _программу_ можно написать. То есть нечто, что будет выполнять действия по определенному алгоритму. Заранее вам неизвестные.

  

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

41. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от user (??) on 01-Сен-17, 12:01 
Бесконечный цикл и доступ куда не положено - это разные опасности. Пусть тормозит в клетке.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

71. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от пох on 01-Сен-17, 16:08 
> Бесконечный цикл и доступ куда не положено - это разные опасности.

очевидно, что программы, способные только на бесконечный цикл, функционально-полными не являются и нахрен никому не нужны.

> Пусть тормозит в клетке.

они и так в клетке. И тип клетки позволяют задетектить, вот удивительно-то, да?


Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

73. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от user (??) on 01-Сен-17, 16:27 
>они и так в клетке

Хреновая клетка, судя по наличию всяких скайпов.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

76. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от user (??) on 01-Сен-17, 16:35 
>нахрен никому не нужны

Какому-нибудь яндексмаркету не нужен доступ ко всяким вебкамерам и дискам, ему достаточно передать выбраные на странице параметры и показать ответ.

Но если беспокоит риск майнить биткойны - это лечится только выключением скриптов.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

54. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от DmA (??) on 01-Сен-17, 14:02 
> Какие есть браузеры с поддержкой только безопасной части js?

js по определению никогда не будет среди средст безопаности, и должен быть выключен или вообще выдран из браузера


Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

72. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от пох on 01-Сен-17, 16:08 
> js по определению никогда не будет среди средст безопаности, и должен быть
> выключен или вообще выдран из браузера

вместе с html, вот где настоящее-то зло!

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

46. "Метод идентификации через определение дополнений, установлен..."  –1 +/
Сообщение от Пауль on 01-Сен-17, 12:42 
Кстати разработчики собираются изымать firefox из своих дистров.
Где же вся эта свобода если в их ОС сидит зонд от гугль.
Есть какие нибудь новости?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

83. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от Аноним (??) on 01-Сен-17, 23:05 
> Кстати разработчики собираются изымать firefox из своих дистров.
> Где же вся эта свобода если в их ОС сидит зонд от
> гугль.
> Есть какие нибудь новости?

Ну и пусть собираются. А мы их дистрами пользоваться не будем.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

75. "Метод идентификации через определение дополнений, установлен..."  +1 +/
Сообщение от DmA (??) on 01-Сен-17, 16:34 
недовольных браузером много, ну а  кто возьмётся  вычистить все зонды из Firefox? ну или не все, а которые найдёт, с каждым новым релизом разработчики удаляют один старый зонд и добавляют пару новых.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

96. "Метод идентификации через определение дополнений, установлен..."  +/
Сообщение от user (??) on 02-Сен-17, 17:00 
браузер гипертекста проще с нуля написать, а платформа для веб-приложений будет реш#том by design
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor