The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Анализ средств отслеживания действий пользователей на сайтах

22.11.2017 20:59

Исследователи из Принстонского университета изучили 10 тысяч самых популярных сайтов по рейтингу Alexa и обнаружили, что на 1239 из них применяются сторонние скрипты для анализа поведения пользователей, которые в реальном режиме времени отслеживают нажатия клавиш, прокрутку экрана, движения мыши и клики, передавая сведения на сайт аналитики до окончания заполнения и отправки web-форм. Впоследствии, оператор подобных систем аналитики может повторно прокрутить сеанс, воссоздав все действия пользователя на странице.

Среди сайтов, на которых применяются скрипты для записи действий во время сеанса работы со страницей, такие ресурсы как yandex.ru, wordpress.com, microsoft.com, adobe.com, godaddy.com, avito.ru, spotify.com, livejournal.com, hp.com, skype.com, evernote.com, samsung.com, sberbank.ru, reuters.com, bitbucket.org, ibm.com, rbc.ru, intel.com, lenovo.com, ria.ru и digitalocean.com. Так как некоторые из рассмотренных систем аналитики в зависимости от настроек позволяют отключить детальное отслеживание действий пользователя во время сеанса, при построении списка оценивалось не просто присутствие кода счётчика, а именно определялся факт отправки меток.

При помощи фреймворка OpenWPM был подготовлен краулер, который загружал страницу, симулировал действия пользователя через подстановку уникальной метки в HTML и отслеживал попытки отправить данную метку на сервер аналитики (возможность передачи метки в составе закодированного набора данных учитывалось через подстановку достаточно большого блока и оценки изменения размера передаваемых данных). Пользователи могут определить применение систем анализа сеансов лишь при помощи встроенных в бразуеры средств для web-разработчиков, так как сайты никак не информируют посетителей о записи их действий со страницей.

Самое неприятное, что рассмотренные системы отслеживания сеансов не только передают на сторонние серверы содержимое web-форм до их отправки на основной сайт, но и транслируют поля с номерами кредитных карт, паспортными данными, адресами и другой персональной информацией. При этом все рассмотренные сервисы не передают сведения вводимые в полях для ввода паролей, а некоторые сервисы пытаются фильтровать данные кредитных карт. Сервисы Smartlook и UserReplay передают число символов в поле с паролем, а UserReplay последние 4 цифры номера кредитной карты. Сервис FullStory позволяет посимвольно восстановить ввод номеров кредитных карт на некоторых сайтах. Yandex, Hotjar и Smartlook предоставляют возможность входа в web-интерфейс аналитики по HTTP без шифрования. Опасность также представляет утечка учётных записей для входа в сервис аналитики, которые могут быть использованы злоумышленниками для организации сбора приватных данных.

Самыми навязчивыми исследователи назвали сервисы Yandex Metrika, FullStory, Hotjar и Smartlook, так как они по умолчанию обеспечивают запись ввода в полях форм. Но следует учитывать настройки конкретного сайта, например, в отчёте в общем виде указано, что Yandex Metrika передаёт на внешний сервер вводимые параметры кредитных карт и персональные данные, пропуская лишь значения в полях ввода паролей, но не для всех сайтов в списке это действует. Ручная проверка присутствующего в списке sberbank.ru показала, что отправляются только данные о кликах и прокрутке без передачи непосредственного содержимого web-форм.



  1. Главная ссылка к новости (https://freedom-to-tinker.com/...)
  2. OpenNews: На страницах портала Госуслуг РФ обнаружен посторонний вредоносный код
  3. OpenNews: Расширенный метод идентификации системы и браузера без применения cookie
  4. OpenNews: Отслеживание перемещения в соседней комнате при помощи динамика и микрофона обычного ПК
  5. OpenNews: Firefox Focus для iOS вышел с включенной отправкой статистики на серверы компании Adjust
  6. OpenNews: Mozilla использует Google Analytics в менеджере дополнений Firefox
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: spy, privacy
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (115) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, web1.0 (?), 22:38, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +49 +/
    Выходит, без хорошего блокировщика рекламы и трекеров опасно вообще куда-либо заходить в современном Вебе?
     
     
  • 2.5, Аноним (-), 22:46, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    выходит лишь то что авторы сайта делятся инфой +ещё и с другими людьми..

    ...а насколько это опасно -- неизвестно, так как мы не знаем сколько всего человек с которыми автор сайта делится инфой (кроме описанного в новости). например по своим offline-каналам.

    например если автор сайта делится инфой (через USB-флешку, прям загружая данные с сервера на неё) со сто разными компаниями.. и яндекс-метрика это всего лишь сто-первая компания. то значит нет особой разницы с точки зрения безопасности -- от кого именно из этих сто-одной компании произойдёт утечка к хакерам.

    короче всё это находится на совести сайтостроителей. и вся ответственность есть только на них:-)

     
     
  • 3.114, Аноним (-), 12:43, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > выходит лишь то что авторы сайта делятся инфой +ещё и с другими людьми..

    Если это "лишь" - тогда и с нами поделись номером кредитки и паролями, чтоли.

     
     
  • 4.138, Sirob (?), 16:58, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Если тебе нужен номер кредитки чужого человека - возьми номер своей кредитки и измени пару цифр. Но смысл?
     
  • 2.9, нах (?), 23:01, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Выходит, без хорошего блокировщика рекламы и трекеров опасно вообще куда-либо заходить в
    > современном Вебе?

    во всяком случае, вводить личную информацию - да.

    насколько ты считаешь опасной просто тотальную слежку, независимо от знания ей еще и твоих паролей/кредиток - дело твое. Вероятно, не считаешь, раз вообще возник вопрос.

     
  • 2.15, VINRARUS (ok), 23:47, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > Выходит, без хорошего блокировщика рекламы и трекеров опасно вообще куда-либо заходить в современном Вебе?

    Выходит без хорошего блокировщика следящих систем опасно вообще в интернет заходить.
    Не зря у нас ядекс с мылору заблокировали. :D
    Верховна рада України — лучшый блокировщик рекламы и слежения в интернете. xD

     
     
  • 3.18, dfhgfh (?), 00:01, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Жаль что мусор с яндекса и мэйла всё равно в каждой проге сомнительного качества. Я-то у себя его давно не видел, опенсорсное всё, а вот у других, уу. Обидно за товарищей!
     
     
  • 4.42, ввв (?), 08:28, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Этот мусор финансирует разработку бесплатного софта. Так что сними галки и не ной.
    А вообще, яндекс - бледная тень сами знаете чего, т к даже притворного наличия некоего кодекса чести нет.
     
     
  • 5.73, Аноним (-), 12:33, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > даже притворного наличия некоего кодекса чести нет

    Ну почему же, притворный есть. Помнится, когда гугля поймали на анализе содержимого почтовых ящиков для отображения контекстной рекламы, яндекс заявил, что такого у них не было и не будет. Кто-нибудь в курсе, кстати, это "не будет" уже закончилось, или всё ещё пытаются изображать честность?

     
     
  • 6.79, яндекс (?), 12:50, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто-нибудь в курсе, кстати, это "не будет" уже закончилось

    да зачем нам читать присланный тебе спам? Во-первых, мы его сами и писали.
    Во-вторых, мы уже знаем о тебе все, включая твой любимый сорт пива (спасибо сберу).

    мы ж не гугль, у которого аналитика не дружит с почтой настолько, что одни к другим на территорию кампуса не имеют права попадать. Вот и приходится там каждому выкручиваться с тем, что имеет.

    P.S. мэйлрушечка - читает, если что.

     
  • 3.19, нах (?), 00:02, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Не зря у нас ядекс с мылору заблокировали.

    а гугля с мордокнигой - не заблокировали. Причем за первого еще не уверен, оне жадные, а вот за второго уверен 100%, что информацией он делится. С втентакликом в том числе.
    При этом ее сбор поставлен гораздо гораздее, чем у паршивенькой фсбшной копии.

    > Верховна рада України — лучшый блокировщик рекламы и слежения в интернете. xD

    да нет, такие же упыри как и в РФ.
    Первый шаг к строительству чебурнета под прекрасными лозунгами вы уже сделали.

    Кстати, я бы рекомендовал проверить предложенным скриптом privat.ua. Потому что исследователям из той лавки он пох, и вряд ли они вообще знают о его существовании.

     
     
  • 4.35, Аноним (-), 06:38, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а вот за второго уверен 100%, что информацией он делится.

    Мордакнига обещает поделиться со всеми ее пользователям инфой о том были ли они подписаны на акки с Савушкина/Ольгино - https://www.svoboda.org/a/28870574.html

     
     
  • 5.44, Аноним (-), 08:52, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а инфой про фсбшных крыс из лондонского офиса, блокировавших пачками по фейковым жалобам (да и видел ли кто-то кроме них те жалобы) акаунты определенной направленности, и не блокировавших эти фейки - не обещает.

    уж не говоря о том, чтобы провести расследование и уволить их к чертям.

    хотя зарплату они явно в одной и той же кассе получали.

     
     
  • 6.68, rshadow (ok), 12:01, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Господи, как приятно что меня нет в соцсетях. Столько го*на со всех сторон и все мимо пролетает...
     
     
  • 7.71, Анонымоус (?), 12:30, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что такое соцсети?
     
  • 7.84, Аноним (-), 14:20, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Господи, как приятно что меня нет в соцсетях. Столько го*на со всех
    > сторон и все мимо пролетает...

    У тебя просто нет родственников, которые постоянно пытаются достать тебя втентакле в скупе и прочем ненужно.

     
     
  • 8.92, Аноним (-), 15:47, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    С тех пор, как послал подальше всех так называемых друзей и родственников , с... текст свёрнут, показать
     
     
  • 9.96, Аноним (-), 17:58, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Интересные у тебя отношения с друзьями и родственниками Смею предположить, ... текст свёрнут, показать
     
     
  • 10.108, Тот_Самый_Анонимус (?), 07:19, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Когда беда случится, сразу про них вспомнит Паразиты они такие, да ... текст свёрнут, показать
     
     
  • 11.109, Аноним (-), 09:05, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вот именно потому что оказалось не на кого положиться в трудную минуту Пока все... текст свёрнут, показать
     
     
  • 12.113, Аноним (-), 12:09, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен с вами, тоже сменил в направлении друзей точку зрения и действитель... текст свёрнут, показать
     
     
  • 13.126, так называемый друг (?), 16:31, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    стало больше времени - для никого ... текст свёрнут, показать
     
  • 11.116, Аноним (-), 12:47, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Глядя на тебя - очень похоже Кто еще кроме паразита будет пытаться навязать чел... текст свёрнут, показать
     
  • 8.115, Аноним (-), 12:45, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я объяснил родственникам и друзьям что меня там нет и для доставания следует и... текст свёрнут, показать
     
  • 7.134, DmA (??), 14:53, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    кроме соцсетей там за одним яндексом числится более 500 сайтов. от новостных, банков, порносайтов, гейские сайты даже есть thegay.com, игровые, киношные, торренты,магазины, для мам  итд . В общем ничем не гнушаются, для сбора компромат на граждан Земли
     
  • 3.102, Anonim (??), 20:23, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Верховна рада України — лучшый блокировщик рекламы и слежения в интернете. xD

    Гугл уже заблокировали?

     
  • 3.122, Аноним (-), 13:25, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Верховна рада України — лучшый блокировщик рекламы и слежения в интернете.

    Если вам кажется что дела идут хорошо, вы просто чего-то не заметили. Например, это: https://itc.ua/news/natsionalnaya-politsiya-i-kompaniya-microsoft-ukraina-podp

     
  • 2.36, ryoken (ok), 07:04, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Выходит, без хорошего блокировщика рекламы и трекеров опасно вообще куда-либо заходить
    > в современном Вебе?

    Иногда выходит, что С блокировщиками ваще никуда зайдёшь или не увидишь того, что хотел увидеть.

     
     
  • 3.45, Аноним (-), 08:55, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Иногда выходит, что С блокировщиками ваще никуда зайдёшь или не увидишь того,
    > что хотел увидеть.

    вот вам, кстати, да: https://www.planet.com/products/planet-imagery/ - попробуйте тут подписаться на trial. Лучше через tor. Заодно о...ейте от того, какое количество треш-cdn'ов и хочу-все-знать-скриптов индусский разработчик уместил на одной-единственной странице с формой из одного-единственного поля во всю страницу.

     
     
  • 4.123, Аноним (-), 13:49, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > вот вам, кстати, да: https://www.planet.com/products/planet-imagery/ - попробуйте тут
    > подписаться на trial. Лучше через tor.

    Ну, попробовал, и чего? CDNов там согласно umatrix-у есть, конечно, но это не мешает разрешить лишь полторы нужные на пару минут. Знаешь, это как с незнакомыми - лучше потратить минуту и резиночку натянуть, чем от гриппера лечиться.

     
     
  • 5.124, Аноним (-), 14:26, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, попробовал, и чего?

    из гуглоакка выйти забыл?
    а то - ничего. В смысле, подписаться не получится.

    > CDNов там согласно umatrix-у есть, конечно, но это не мешает разрешить лишь полторы нужные на
    > пару минут.

    какие из этих полутора десятков - нужные, и как ты это собираешься угадывать?

    > Знаешь, это как с незнакомыми - лучше потратить минуту и резиночку натянуть, чем от гриппера
    > лечиться.

    от того, что ты натянешь резиночку на кактус, твоей жопе приятнее не станет (а кактус никто не спрашивает).

    да, можно не совать в жoпу кактус, конечно - но карты и деньги выдают только с кактусом в жопе.

     
     
  • 6.132, Аноним (-), 12:44, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Почти Я иногда завожу тестовые аккаунты гугля Живут недолго, интересных данных... текст свёрнут, показать
     
  • 5.135, DmA (??), 15:27, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> вот вам, кстати, да: https://www.planet.com/products/planet-imagery/ - попробуйте тут
    >> подписаться на trial. Лучше через tor.
    > Ну, попробовал, и чего? CDNов там согласно umatrix-у есть, конечно, но это
    > не мешает разрешить лишь полторы нужные на пару минут. Знаешь, это
    > как с незнакомыми - лучше потратить минуту и резиночку натянуть, чем
    > от гриппера лечиться.

    точно, uMatrix сила, его уже давно пора встроить в Firefox, он заменяет и антирекламные фильтры и трекеры и заодно понимаешь насколько  убогие есть вебмастера у которых одна страничка грузится  с 10-70 хостов...
    Башку им оторвать за такие сайты.
    Шрифты грузить с гугла или ajax скрипты это вообще тупизм полнейший.
    Сами уже ничего не могут

     
  • 2.49, metakeks (?), 09:27, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ничего себе вы с другой планеты... =)
     

  • 1.3, Аноним (-), 22:38, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дык на то ж EasyPrivacy и создан.
     
     
  • 2.6, Аноним (-), 23:00, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Дык на то ж EasyPrivacy и создан.

    "Two commonly used ad-blocking lists EasyList and EasyPrivacy do not block FullStory, Smartlook, or UserReplay scripts. EasyPrivacy has filter rules that block Yandex, Hotjar, ClickTale and SessionCam."

    А им в ответ
    https://github.com/easylist/easylist/commit/e559d9c https://github.com/easylist/easylist/commit/0f9e24d https://github.com/easylist/easylist/commit/7161793

     
     
  • 3.47, пох (?), 09:21, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    то есть, когда все желающие уже собрали на тебя плотненькое портфолио - эти торм... текст свёрнут, показать
     
     
  • 4.85, Аноним (-), 14:26, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >вместо того чтобы заблокировать этот нужный и полезный сайт

    И сломать тьму овносайтов.

     
     
  • 5.103, пох (?), 20:33, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>вместо того чтобы заблокировать этот нужный и полезный сайт
    > И сломать тьму овносайтов.

    э... name first two?
    У меня аналитика редиректит на мой сервер - что у меня сломалось?

    вроде как из-за любви гугля к гуглю, этот чудесный сайт можно давить совершенно безнаказанно, в отличие от mc.yandex.ru, который, теоретически (на практике тоже не встречалось) может что-то ломать, например, в остальном яндексе.

    К тому же он частично в списках чудо-скриптов, блокирующих телеметрию винды (ага, ms тоже любит ga) - и вроде тоже никто пока не жаловался.

     
     
  • 6.107, Аноним (-), 03:38, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    https://forums.lanik.us/viewtopic.php?f=62&t=13270&p=48943&hilit=ga.js#p48943
    https://forums.lanik.us/viewtopic.php?f=64&t=26326&p=80460&hilit=ga.js#p80460
    https://forums.lanik.us/viewtopic.php?f=64&t=35453&p=113289&hilit=googleanalyt
    https://forums.lanik.us/viewtopic.php?t=5257&p=21477#p21570
    https://forums.lanik.us/viewtopic.php?p=31831#p31831
    https://forums.lanik.us/viewtopic.php?p=31808#p31808

    1.5 минуты поиска по форуму изилиста.

    https://adblockplus.org/forum/viewtopic.php?p=27886&sid=b6a119f3cfc8bbd5d9253c

    И забавные костыли лепили в свое время. Только не помогло.

    "У меня" капли в океане: https://twitter.com/timberners_lee/status/511988109211627520

     
     
  • 7.110, пох (?), 09:33, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    я не понял, что именно ты искал Я спрашивал - какие сайты у меня сломались А н... текст свёрнут, показать
     
  • 2.105, Аноним (-), 22:44, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    для этого создан ScriptSafe
     

  • 1.4, Аноним Анонимович Анонимов (?), 22:44, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Блокировщики реклама, EasyPrivacy... у вас есть /etc/hosts. Добавьте в него всё лишнее и живите спокойно. Вот вам в помощь https://github.com/StevenBlack/hosts
     
     
  • 2.7, Аноним (-), 23:01, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Шестой подвиг Геракла предлагаешь?
     
     
  • 3.10, нах (?), 23:08, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Шестой подвиг Геракла предлагаешь?

    второй же ж.


     
  • 2.83, Аноним (-), 13:28, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Добавьте в него всё лишнее и живите спокойно.

    Это, конечно, хорошо, есть даже более хорошие решения, можно даже скрипт написать. Одно НО не даёт покоя. Косметические фильтры сам будешь писать? Ну это ладно ещё, чёрт с ним. А блокировать отдельные ЖабаСкрипты как? А другие методы атак как отсекать?

     

  • 1.8, Анонисмус (?), 23:01, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А noscript поможет?
     
     
  • 2.22, paulus (ok), 01:31, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    noscript поможет, но только старый
     
  • 2.82, Аноним (-), 13:26, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А noscript поможет?

    Поможет javascript.enabled=false

     
     
  • 3.130, DmA (??), 12:05, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> А noscript поможет?
    > Поможет javascript.enabled=false

    от чего-то поможет( движения мышки   и нажатия клавиш не будут никуда передаваться, потому что не будет работать xmlhttprequest), от чего то нет(картинки и шрифты будут всё равно грузится с яндекс и гугл, а значит они будут знать, что вы зашли в личный кабинет сбербанка!)

     
     
  • 4.140, пох (?), 23:55, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>> А noscript поможет?
    >> Поможет javascript.enabled=false
    > от чего-то поможет( движения мышки   и нажатия клавиш не будут

    он от всего поможет - только куда проще и быстрее просто закрыть браузер и идти со своей сберкнижкой стоять в очереди в ближайшей сберкассе, деды стояли и мы будем!

    > а значит они будут знать, что вы зашли в личный кабинет
    > сбербанка!)

    не, не будут, гарантия 100% - там форма логина, помнится, аж аяксовая (для более лучшей безопасности, конечно же)  - так что никто никуда уже не зайдет ;-)

     
  • 3.137, Аноним (-), 12:00, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Поможет javascript.enabled=false

    Неудобно искать в куче настроек. Если бы был URL, включающий/отключающий, ещё куда не шло.

     
  • 2.129, DmA (??), 11:51, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    поможет только uMatrix, в котором заблокированы и джваскрипты и загрузка тупых шрифтов с гугла и стилей тоже, плагинов, медиа и xmlhttprequest. Разрешён только контент с сайта на который я зашёл и его поддоменов, все остальные идут лесом!
    Я уже обращался в сбербанк, при нахождении личном кабине их сайта с сайтов гугла и яндекса происходят отслеживающие соединения. Но в сбербанке наплевать, что информация об их клиенте передаётся в рекламные компании, ну и мне плевать на сбербанк, у меня uMatrix установлен и всякие рекламные компании не видят, что я хожу по тем или иным страницам в Интернете
     

  • 1.11, Петр (??), 23:13, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Ну, конечно, а самый главный мировой зонд - Google, который - в этот список почему-то не попал.
    Совпадение? Не думаю!
     
     
  • 2.13, Аноним (-), 23:29, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну, конечно, а самый главный мировой зонд - Google, который - в
    > этот список почему-то не попал.

    Google Analytics не разбирает что пользователь делает во время сеанса и уже тем более данные из форм не заливает себе.


     
     
  • 3.20, нах (?), 00:05, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Google Analytics не разбирает что пользователь делает во время сеанса и уже
    > тем более данные из форм не заливает себе.

    по второму пункту поздравляю тебя совравши. соответственно, нет смысла верить тебе и по первому (яндекс раньше тоже ТАКОГО себе не позволял - ну, видимо, не стоят на месте, идут в ногу со врем...с зондами, заботливо внедряемыми w3c под мудрым руководством гуглезиллы)

     
  • 3.58, хрю (?), 11:11, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Google Analytics не разбирает что пользователь делает во время сеанса и уже тем более данные из форм не заливает себе.

    ню-ню. Такой большой, а в глупые сказки веришь.

     
     
  • 4.104, пох (?), 20:34, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>Google Analytics не разбирает что пользователь делает во время сеанса
    >>и уже тем более данные из форм не заливает себе.
    > ню-ню. Такой большой, а в глупые сказки веришь.

    зочэм вэрыт? Рассказываэт!


     
  • 2.136, DmA (??), 15:44, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, конечно, а самый главный мировой зонд - Google, который - в
    > этот список почему-то не попал.
    > Совпадение? Не думаю!

    может гугл спонсор исследований :)
    Вообще, даже в личном кабинете сбербанка онлайн(https://online.sberbank.ru) есть ссылки и скрипты на гугл :
    <noscript>
        <iframe src="//www.googletagmanager.com/ns.html?id=GTM-NRDX7Z"
                height="0" width="0" style="display:none;visibility:hidden"></iframe>
    </noscript>
    Есть даже комментарий в странице "<!--фэйковые поля логина и пароля. нужны чтоб особо умный google chrome не запоминал пароль -->"


    Есть также ссылка на google-analytics.com/ga.js.

     

  • 1.12, Аноним (-), 23:20, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    До появления JS интернет был лучше.
     
     
  • 2.14, анонимный аноним (ok), 23:38, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +10 +/
    java script сам по себе ничего не делает,делают люди.
     
     
  • 3.16, Заварной Крем (?), 23:48, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    javascript, ecmascript просто гадость
     

  • 1.17, Sw00p aka Jerom (?), 23:58, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а идея всё пихать в бандлы ваще суперская, хрен заблочишь работу скрипта
     
     
  • 2.32, Аноним (-), 06:31, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    К счастью, мода на CDN'ы и желание сервисов мониторинга иметь возможность произвольной модификации скриптов пока не дают этой идее реализоваться.
     
     
  • 3.50, пох (?), 09:29, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > К счастью, мода на CDN'ы и желание сервисов мониторинга иметь возможность произвольной
    > модификации скриптов пока не дают этой идее реализоваться.

    необходимо и достаточно собрать в бандл, к примеру, гoвноаналитику и гoвнокапчу - я в общем удивляюсь, почему гугл до сих пор не делает этого.
    Наверное, разные отделы этого крысятника пока не могут между собой договориться.
    Приходится бедным веб-кодерам реализовывать обходным путем.
    Благо возможностей сделать, чтобы без ценного скрипта не работало ничего - мильен с тыщами.


     
     
  • 4.80, Аноним (-), 12:53, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > необходимо и достаточно собрать в бандл, к примеру, гoвноаналитику и гoвнокапчу -
    > я в общем удивляюсь, почему гугл до сих пор не делает
    > этого.

    У гугла более тонкие решения. BIG Data же, ну.

     
     
  • 5.111, пох (?), 09:40, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > У гугла более тонкие решения. BIG Data же, ну.

    ну может у нынешнего индусского гугля - я новостей последние несколько лет не слышал.
    Но раньше говорю же - крысятник (а индусы его скорее расширют и углубют, чем наоборот). Сотрудники отдела анала невхожи даже на территорию отдела отсутствия интеллекта. Потому что сопрут булочку и нагадят в углу. Между руководителями среднего звена - война за ресурсы не на жизнь, а на смерть. Какое уж тут объединение кодов. И у каждого своя маленькая бигдейта, нетакаякаквсе.

    им, в общем, и того хватало - учитывая масштабы, нифига она и при этом не маленькая.

     

  • 1.21, Тот самый (?), 01:21, 23/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Как-то обратил внимание, что внутри (!) личного кабинета "Сбербанк-онлайн" присутствуют скрипты от google-analytics и googletagmanager. Гугловые зонды подключены, естественно, по https и чего они на самом деле выкачивают не знает ни кто.

    Я написал запрос в техподдержку Сбербанка с напоминанием об уголовной ответственности за разглашение банковской тайны и об ответственности за нарушения 152-ФЗ "О персональных данных". Ответ был потрясающим: не волнуйтесь, данная ситуация соответствует политике безопасности, принятой в Сбербанке.

    Вот и думаю, если написать жалобу в Прокуратуру и ФСТЭК, может тогда до них дойдет, что внутренняя политика безопасности не может быть оправданием нарушений Федерального законодательства.

     
     
  • 2.29, Аноним (-), 05:28, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +9 +/
    мм, надо покопать этот вопрос, я всегда за подгадить долбонутой компании, а сбер отлично подходит под эти критерии.
     
     
  • 3.74, Аноним (-), 12:39, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Оно бы хорошо, только у сбера всё куплено, а в контролирующих организациях лютая бюрократия.
     
     
  • 4.118, нах (?), 13:09, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    это вы зря У сбера далеко не все куплено, жырные крысы очень любят в подходящий... текст свёрнут, показать
     
  • 2.33, Аноним (-), 06:34, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот и думаю, если написать жалобу в Прокуратуру и ФСТЭК, может тогда
    > до них дойдет, что внутренняя политика безопасности не может быть оправданием
    > нарушений Федерального законодательства.

    Обязательно пиши. Лучше побыстрее, пока банковскую тайну не отменили.

     
  • 2.43, Анотоним (?), 08:34, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Как-то обратил внимание, что внутри (!) личного кабинета "Сбербанк-онлайн" присутствуют
    > скрипты

    это обсуждалось еще в 2014 году. ты "тот самый" кто нашел это? ты за три года так и не смог решить что делать?

     
  • 2.67, прохожий (?), 11:54, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    http://txt.newsru.com/finance/22nov2017/stolenid.html тут пишут, что Роскомнадзор более отзывчивое ведомство, поскольку дело касается сохранности персональных данных.
     
     
  • 3.81, Аноним (-), 13:03, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > сохранности персональных данных.

    Сохранности на территории государства. Всё остальное так же как и везде.


     
  • 2.70, Andrey Mitrofanov (?), 12:17, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Как-то обратил внимание, что внутри (!) личного кабинета "Сбербанк-онлайн" присутствуют
    > скрипты от google-analytics и googletagmanager.

    При встрече с СБ-о поспрашиваю
       https://packages.debian.org/src%3Arequestpolicy
    в моём
       https://packages.debian.org/src%3Afirefox-esr
    ...  , если не забуду.

     
  • 2.75, Аноним (-), 12:42, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > написать жалобу в Прокуратуру и ФСТЭК

    Контролем исполнения закона о ПД вроде бы занимается РКН, а не ФСТЭК.

     
  • 2.117, Аноним (-), 12:51, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ответ был потрясающим: не волнуйтесь, данная ситуация соответствует политике
    > безопасности, принятой в Сбербанке.

    А что тебя удивляет? Сбербанк всегда так работал.

     

  • 1.23, ползкрокодил (?), 01:48, 23/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –22 +/
    Линуксоиды такие смешные --- старательно огораживаются от всяких анализаторов использования и прочей телеметрии, а потом жалуются, что их нигде не учитывают и вечно что-то ломают. Как же потребности параноиков учитывать, если о них некак узнать? Визор --- офигенный инструмент; открываешь и смотришь видео, как пользователь тыкал, где застрял; помогает решить, как улучшить сайт. А получается, что в визоре видны преимущественно "блондинки", потому что продвинутые пользователи от него скрываются. И как после этого удивляться тому, что веб деградирует?
     
     
  • 2.24, Sw00p aka Jerom (?), 01:56, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    лет 10 назад интернет клубы сидели на дайлапе по 10 компов играли в онлайн игры, параллельно кто-то качал в казе порнуху, и всё работало, а щас что ? обычный сайт весит как порнуха 2000 годов
     
     
  • 3.25, user (??), 02:07, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +11 +/
    современные сайты - порнуха в плохом смысле
     
     
  • 4.26, Аноним (-), 02:40, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Хороших в техническом плане сайтов совсем не осталось?
     
     
  • 5.27, Sw00p aka Jerom (?), 02:52, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ну опеннет 12 год на нём, вроде норм
     
     
  • 6.40, Аноним (-), 07:55, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Две версии главной страницы. Две версии комментов.
    Это не то, чему следует подражать.
     
     
  • 7.88, Sw00p aka Jerom (?), 15:01, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Две версии главной страницы. Две версии комментов.
    > Это не то, чему следует подражать.

    )) я без ввв

     
  • 6.51, DiJey (ok), 10:04, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Больше я в 2001 году универ закончил опеннет уже был.
     
     
  • 7.87, Sw00p aka Jerom (?), 15:00, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    в курсе, внизу как бы дата висит Created 1996-2017 by Maxim Chirkov
     
  • 7.101, Аноним (-), 19:40, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Больше я в 2001 году универ закончил опеннет уже был.

    Что ж тебя даже в универе не научили знаки препинания использовать?

     
  • 2.66, Аноним (-), 11:52, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Веб начал деградировать, когда на него стали добавлять рекламу и трекеры. А ещё кучу ненужных анимаций а текста всего на две строчки, остальное повторяющиеся менюшки, повторяющиеся по три раза кнопочки, анимации; это называется нынче "дизайн", но он абсолютно безвкусный. Просто разработчикам наконец нужно понять одно простое правило: контента больше, всего остального поменьше и не нужно будет ничего анализировать. С перегруженного элементами управления сайта я и сам уйду, и не учтёт меня никто, кроме того, что я там был.
     
     
  • 3.128, пох (?), 10:03, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    то есть сразу, как перестал быть хипс тогда это так не называлось, но в общем ... текст свёрнут, показать
     

  • 1.31, Аноним (-), 06:29, 23/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вопрос: когда в мелкобраузерах вроде qutebrowser, luakit, epiphany и qupzilla будут средства блокировки трафика на третьесторонние ресурсы вроде расширения RequestPolicy для firefox'а? Как без них блокировать это безобразие превентивно?
     
     
  • 2.76, Аноним (-), 12:44, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В qupzilla же есть adblock, остальные не пробовал
     

  • 1.38, Петр А (?), 07:37, 23/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    The Verge отмечает, что существование такой возможности определить примерное местоположение устройства, даже если из него извлечь SIM-карту может неприятно удивить тех, кто хотел бы скрыть, где находится. Также не исключено, что эта функция может заинтересовать хакеров.

    https://hitech.newsru.com/article/22nov2017/googlespy

     
     
  • 2.48, Аноним (-), 09:25, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Издание Register сообщило, что это был вброс через газету Quartz, проспонсированный компанией Oracle. Никаких фактов не было предоставлено, просто голословные заявления от имени журналист. Все их доказательства сведены к какому-то левому скриншоту, набор цифр на котором якобы данные о базовой станции. https://www.theregister.co.uk/2017/11/22/google_oracle_location_privacy/

    Любой мобильный учитывает местоположение при выборе базовой станции.  А про SIM-карту вообще бред, если отправил данные авторизации в Google, то подключен через Wifi, а в этом случае известен IP-адрес точки доступа и можно примерно с той же точностью вычислить местоположение по IP.

     
     
  • 3.69, гугль (?), 12:08, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > а в этом случае известен IP-адрес точки доступа и можно примерно с той же точностью вычислить
    > местоположение по IP.

    наивный! Как мы, по-твоему, вычисляем местоположения самих точек доступа? Включая те, которые в закрытых помещениях, где от gps толку ноль.

    хотя, конечно, нам приятно узнать о существовании лохов, зачем-то вынимающих из мабилы симкарту, оставляя включенным gsm-модуль, вместо того чтобы сделать с точностью наоборот.

     
     
  • 4.89, Sw00p aka Jerom (?), 15:03, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> а в этом случае известен IP-адрес точки доступа и можно примерно с той же точностью вычислить
    >> местоположение по IP.
    > наивный! Как мы, по-твоему, вычисляем местоположения самих точек доступа? Включая те, которые
    > в закрытых помещениях, где от gps толку ноль.
    > хотя, конечно, нам приятно узнать о существовании лохов, зачем-то вынимающих из мабилы
    > симкарту, оставляя включенным gsm-модуль, вместо того чтобы сделать с точностью наоборот.

    в таких случаях ношу с собой холодильник )))

     
     
  • 5.119, нах (?), 13:10, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > в таких случаях ношу с собой холодильник )))

    меня заставляют оставлять его на парковке :-(

     
  • 5.121, Аноним (-), 13:21, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > в таких случаях ношу с собой холодильник )))

    T-800, залогинься!

     
  • 4.120, Аноним (-), 13:20, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > хотя, конечно, нам приятно узнать о существовании лохов, зачем-то вынимающих из мабилы
    > симкарту, оставляя включенным gsm-модуль, вместо того чтобы сделать с точностью наоборот.

    Без симкарты модуль пролетает - он не знает к какой сети он принадлежит. Поэтому не имеет права соваться вообще никуда. Абсолютный максимум который можно без симкарты - экстренный звонок 112. И тот зачастую без симкарты не срабатывает. В таком виде вреда от модуля минимум - он в сети даже не пытается регистрироваться.

     
     
  • 5.125, гугль (?), 16:30, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Без симкарты модуль пролетает - он не знает к какой сети он принадлежит

    ему и не надо. МЫ знаем, какой сети принадлежат (и заодно - где расположены, с точностью в метры) базовые станции, которые он видит - и умеем у него спросить, что именно ему видно. А он, даже без симкарты, умеет отдать эту информацию.

    сольем мы ее себе, если нам тоже интересно где он был - потом, через wifi.

     
     
  • 6.133, Аноним (-), 13:07, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > - и умеем у него спросить, что именно ему видно.

    Сотовые сети не передают данные для тех кто в сети не зарегистрировался. Хотя если это было о том что ведроид может смотреть какие БС вокруг а потом слить награбленное гуглу через допустим вайфай - ок, это возможно. Насколько конкретный модем операбелен без симкарты на предмет посмотреть ID бсок вокруг - зависит от. Многие модемы без SIM не хотят делать вообще ничего.

    > А он, даже без симкарты, умеет отдать эту информацию.

    Это кто как на самом деле, зависит от модема и прошивки.

    > сольем мы ее себе, если нам тоже интересно где он был - потом, через wifi.

    Айпитаблеса на вас нет.

     
     
  • 7.139, гугль (?), 23:46, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Насколько конкретный модем операбелен без симкарты

    все современные gsm-модули в soc, имеющиеся в широком доступе. Патамушта 911 - требование сертифицирующих органов.

    >> сольем мы ее себе, если нам тоже интересно где он был - потом, через wifi.
    > Айпитаблеса на вас нет.

    конечно нет. Ты же не собрался себе заблокировать - гугл (что само по себе интересное занятие, у нас много адресов, даже очень много)?
    А различить траффик внутри ssl (да еще и с pkp, чтобы твои любопытные глазки не могли подсмотреть ничего лишнего) ты не сможешь.

     

  • 1.55, Аноним (-), 10:30, 23/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну дык нет ничего в этом удивительного. Капиталисты хотят соблюсти свою огромную норму прибыли в несколько сотен (а то и тысяч) процентов. И ничто сейчас не даст такой прибыли, окромя всяких незаконных гадостей, как торговля сведениями о людях. Давно уже посчитали, сколько сведения о каждом из нас стоят. Если оптом, то не так уж и много -- весьма мало, прямо скажем, если ничем особым не выделяетесь и за вашими данными не гоняются.

    Так что сейчас самый ценный товар -- личные сведения. С сим и поздравляю тех, кто только что проснулся :)

     
  • 1.60, qwerty_qwert1 (?), 11:22, 23/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну не может быть так, вот эти все сборщики статистики они все плохие, так не бывает. Скорее всего 70% кода все выше перечисленных сайтов криво написано и только по этому они передают что то лишнее. Лепят счетчики куда попало.
     
     
  • 2.78, Аноним (-), 12:48, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Товарищ из гугл, перелогиньтесь.
     
  • 2.100, Аноним (-), 19:38, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Одно другому не противоречит.
     

  • 1.63, Амомин (?), 11:34, 23/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А кто-нибудь в курсе, насколько хорошо режет "статистику" прикладушка ДрВеба - оно понятно, что тот еще свою собирает для кого-надо - но лучше быть под лупой одного "кого-надо", чем жить в стеклянной бане...
     
     
  • 2.86, Crazy Alex (ok), 14:59, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А просто блокировать без лупы "кого надо" теми же uBO/uMatrix - религия не велит?
     
  • 2.94, Аноним (-), 16:05, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Use Privacy Bager, Luke.
     

  • 1.95, Аноним (-), 16:07, 23/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    На сегодня выход только один - VM + браузер внутри, с которого и только с которого заходить на сайты, влекущие оплату. Причём судя по уязвимостям, для каждого сайта - своя VM (ну, или докер).
     
     
  • 2.127, нах (?), 00:46, 25/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    фу таким криворуким быть. vm одна. автооткатываемая на снапшот с чистой исторей, профилем и всякими dom storage.

     

  • 1.98, ZetaRam (?), 18:26, 23/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    cvc... Как мило((( Правила блокировки надо будет чуточку пересмотреть. Самое забавное, что как раз там, где надо вводить такие данные, страница с блокировщиком нормально не работает. >_<
     
     
  • 2.112, пох (?), 09:50, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > cvc... Как мило((( Правила блокировки надо будет чуточку пересмотреть. Самое забавное,
    > что как раз там, где надо вводить такие данные, страница с
    > блокировщиком нормально не работает. >_<

    потому что антифрод работает ровно так же. но облегчает жизнь то, что он точно не гуглоаналитика (потому что ему надо срабатывать по факту, а не собирать тихо статистику - иначе кто-то попадает на бабки) - то есть если в списке заблокированных скриптов ты не видишь что-то хорошо тебе знакомое - значит, их, скорее всего, можно разрешить.

    А вообще, конечно, было бы неплохо стучать на такие сайты куда следует. Теоретически, visa на такое реагирует.

     

  • 1.106, Аноним (-), 01:03, 24/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > bitbucket.org

    Так вот почему он без яваскрипта и/или с микроматрицей и/или с носкриптом не работает совсем - нужно же вынудить пользователя завайтлистить слежку!

     
  • 1.141, Вареник (?), 18:33, 04/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    yandex.ru sberbank.ru avito.ru livejournal.com rbc.ru  ria.ru

    - Вот и все "персональные данные", в понимании чекистов

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру