The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Ресурс, демонстрирующий невозможность сохранения конфиденциальности в web-браузерах

03.09.2009 09:16

Для людей, беспокоящихся о соблюдении конфиденциальности личных данных в сети, открыт сайт whattheinternetknowsaboutyou.com, на котором продемонстрировано несколько неисправленных проблем в современных браузерах, дающих возможность оценить историю посещений через манипуляции с CSS псевдоклассом ":visited" (на сайте проверяется какие из 5000/20000 популярных сайтов посещал пользователь). По заявлению разработчиков, задействованные на сайте особенности CSS остаются неисправленными уже много лет. Подробное описание используемых методов можно найти в данной статье.

Дополнение: Для браузера Firefox существует плагин Link Status, который включает игнорирование уязвимого тега и, соответственно, эксплуатацию данной уязвимости. Для включения в настройках плагина, после его установки, включите опцию "Ignore :visited link style".

  1. Главная ссылка к новости (http://www.boingboing.net/2009...)
  2. Firefox ":visited" support allows queries into global history
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/23268-web
Ключевые слова: web, browser, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Vitaly_loki (ok), 09:29, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Что-то не работает, не показывает где я серфил )
     
  • 1.2, аноним (?), 09:44, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    JavaScript Error
    Statement on line 1: Undefined variable: start

    с такими хацкерами можно не опасаться за свою приватность

     
  • 1.3, Аноним (-), 09:55, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сайт просто выводит ссылки на кучу сайтов и если юзер их посещал, то, как каждая посещенная ссылка, они отобразятся фиолетовым и именно по этому цвету сайт и определит где был юзер.
     
     
  • 2.48, Пипка (?), 21:50, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Сайт просто выводит ссылки на кучу сайтов и если юзер их посещал,
    >то, как каждая посещенная ссылка, они отобразятся фиолетовым и именно по
    >этому цвету сайт и определит где был юзер.

    Нет. Я на сайте ИТМО был и в IE и в FF, определился он только в FF.

     

  • 1.4, SHRDLU (??), 10:28, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Работает, только непонятно по каким признакам определяет "топовость" посещенных сайтов. Так, вытащил в Top 5k websites сайты новотеки и кипа, захождения на каковые я вообще не помню в обозримом прошлом. Зато целый ряд сайтов, с которых я буквально не вылезаю, напрочь игнорирует.
     
     
  • 2.14, anonimous (?), 12:13, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    у меня тоже самое, я узрел всего _7_ сайтов и со странным распределением популярности.
     

  • 1.5, mike lee (?), 10:35, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Opera 9.64:

    Congratulations, we did not find anything in this category in your browser history.
    Feel free to try our other browser history tests.

     
     
  • 2.6, Aleksey (??), 10:48, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Переставляли браузер?
     

  • 1.7, Аноним (-), 10:49, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да уж, результат пара тройка сайтов типа гуглА, лайвжорнал, сорсфорж и ляликс.ком

    Хрень полная.

     
     
  • 2.8, dq0s4y71 (?), 11:05, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Да уж, результат пара тройка сайтов типа гуглА, лайвжорнал, сорсфорж и ляликс.ком

    Вот молодец! Сам все рассказал! ;)

     
     
  • 3.23, User294 (ok), 14:55, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    И много вам это дало? Я вот например тоже заходил в течение этой недели на гугл. Все, я нереально запален этим фактом и теперь все обо мне все знают. Ужас! :)
     
  • 2.9, аывф (?), 11:24, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Да уж, результат пара тройка сайтов типа гуглА, лайвжорнал, сорсфорж и ляликс.ком
    >
    >
    >Хрень полная.

    Сам ты хрень полная. Из моих броузеров эта штука вытянула вполне подробную историю посещений.

     
     
  • 3.12, Tuxoid (?), 11:30, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Нихера оно ничего не вытянуло. Выдало мне cnn.com и fishki.net на которых я ни разу не был.
     
     
  • 4.25, Alexey Vostrikov (?), 15:04, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Раз выдала, значит был :-)
     
  • 4.26, User294 (ok), 15:04, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Нихера оно ничего не вытянуло. Выдало мне cnn.com и fishki.net на которых
    >я ни разу не был.

    А может вы просто о себе чего-то не знаете? :)

     

  • 1.10, Аноним (-), 11:25, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Х..та, а не ресурс. Из всей статистики посещений он выдал мне только гугл. В общем можно спать спокойно, пока у них руки прямо не отрастут.
     
     
  • 2.11, Aleksey (??), 11:30, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Молодец. Только ты не учел, что он проверяет наиболее популярные английские сайты. А те, кто будет ориентироваться на россиян будет выбирать российские сайты. Данный сайт всего лишь демонстрирует возможности технологии, те кто их начнет использовать, поверь, будет получать более интересную для него выборку.
     

  • 1.13, Аноним (-), 12:09, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Midori 0.1.9

    Congratulations, we did not find anything in this category in your browser history.
    Feel free to try our other browser history tests.

     
  • 1.15, Айнаним (?), 12:23, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ведь и незакроиш дырку без потери юзабельности...

    Скептикам - кто мешает цикл генерации ссылки(перебором) забить в это скрипт?
    Долгое время перебора? - php скрипт на каждую запрашиваемую страницу с определённого IP будет владывать свою порцию для перебора...
    Многие хвастаются что их браузер с открытой сотней вкладок весит третий месяц :)
    Так что слопывание/зависание браузера - это не баг, а защитная фича :)

     
  • 1.19, Aleksey (??), 13:41, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нашел расширение для FireFox'а, которое может помочь
    https://addons.mozilla.org/ru/firefox/addon/1502
    но оно работает только со старыми версиями. Но вдруг здесь кто-нить знает XUL и сможет обновить плагин.
     
     
  • 2.20, Aleksey (??), 13:50, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Нашел другой (более простой, но подходящий) плагин - Link Status (https://addons.mozilla.org/ru/firefox/addon/12312). Для включения в настройках плагины выберете "Ignore :visited link style" и можете попробовать пойти на тот сайт и порадоваться.

    P.S.: Ждем рецептов от пользователей других браузеров

     
     
  • 3.39, Аноним (-), 17:53, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А что нельзя чтоли, создать абсурдную ссылку которую пользователь точно не мог никогда пеосетить, типа http://fgfdhgfhfhfghdfhgf.fdgfdgfdg.fdghgh.com
    Считать ее свойства и сравнивать их с нормальными обычными ссылками. И все у которых не совпадают свойства считать посещенными.
     
     
  • 4.41, Aleksey (??), 18:17, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, тот плагин вообще выключает свойство :visited для всех линков. Т.е. в общем у вас все ссылки перестанут отмечаться как посещенные, но зато и враги не узнают где вы шляетесь. :)
     
  • 3.44, Аноним (-), 18:32, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Да действительно проверил, у всех свойства одинаковые. Только это потом самому не удобно, где был не подсвечивает, только в статусе пишет дату.

    кстати у них там опечатка в
    link_el.href = array[i];
    наверное должно быть
    link_el.href = url_array[i];

     

  • 1.21, nehxby (?), 13:59, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все работает, там слева есть меню - по нему можно походить. В фул серч показал довольно много посещенных сайтов
     
     
  • 2.33, Анноним (?), 16:41, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Congratulations, we did not find anything in this category in your browser history.
    Feel free to try our other browser history tests.

    Мож потому что у меня куки отключены?

     
     
  • 3.42, Aleksey (??), 18:21, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Congratulations, we did not find anything in this category in your browser
    >history.
    >Feel free to try our other browser history tests.
    >
    >Мож потому что у меня куки отключены?

    Куки совершенно на это не влияют. Важно периодически стирать историю или не ходить на сайты, которые интересуют злоумышленника.

     

  • 1.22, Аноним (-), 14:35, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Первый раз показал самые наименее посещаемые, второй раз вообще завис...
     
  • 1.24, zoonman (ok), 14:57, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Знаете, а новость сама по себе не нова.
    Очередная волна обсуждений была на http://xpoint.ru/forums/internet/security/thread/44178.xhtml в мае сего года.
    Там приводился в пример другой сайт http://startpanic.com/
     
     
  • 2.27, ьфыеукы (?), 15:15, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Реально какая-то хрень. Показало пару сайтов, на которые я по разу зашел. Зато на которых все время сижу - нет ...

     
     
  • 3.28, Aleksey (??), 15:26, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Еще раз для не понявших технологию. Он проверяет по сути url'ы которые были вбиты владельцем сайта. Т.к. сайты английские, то на них вбиты английские сайты. Можете не переживать - наши рекламщики позаботятся о том, чтобы задетектить именно российские сайты.
     
     
  • 4.31, mregor (?), 16:03, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Еще раз для не понявших технологию. Он проверяет по сути url'ы которые
    >были вбиты владельцем сайта. Т.к. сайты английские, то на них вбиты
    >английские сайты. Можете не переживать - наши рекламщики позаботятся о том,
    >чтобы задетектить именно российские сайты.

    Какие английские? У меня нашло всего 3 url'a - http://translate.google.ru/?hl=ru&tab=wT,
    http://www.google.ru/, http://www.mail.ru/. Ладно первые 2, но mail.ru - мало верится что за бугром про них кто-нибудь знает.

     
     
  • 5.32, Dethman (??), 16:17, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    знают :)
    там же кругом нащи ;)
     
  • 2.30, Аноним (-), 16:02, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не знаю у кого как, а у меня http://startpanic.com/ показал 56 сайтов (включая его самого). А вот сайт означенный в новости не выдал ни фига почти. Справедливости ради отмечу - ически часто бываю на популярных англоязычных ресурсах.
     

  • 1.34, аноним (?), 17:06, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да, неплохо. Среди всего остального показывает торрент трекеры и порнушные сайты. Ну фигли, это лечится css'кой, которая делает visited ссылки такого же цвета как обычные.
     
     
  • 2.35, Aleksey (??), 17:18, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего подобного. На :visited можно навешивать не только цвет, но и кучу других свойств. Единственный способ, видимо, полное игнорирование visited браузером. Для FF плагин, который это делает указан выше.
     
     
  • 3.40, аноним (?), 18:16, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Ничего подобного. На :visited можно навешивать не только цвет, но и кучу других свойств.

    По всей видимости, да.

    > Единственный способ, видимо, полное игнорирование visited браузером.
    > Для FF плагин, который это делает указан выше

    Можете ткнуть? Не вижу.

     
     
  • 4.43, аноним (?), 18:23, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Можете ткнуть? Не вижу.

    А, нашел.

     

  • 1.36, pro100master (ok), 17:23, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    пришел папа-программист домой и зашел на этот сайт. Было больно :)))
     
  • 1.37, Аноним (-), 17:23, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У firefox есть режим приватного просмотра, при котором не должно сохраняться история посещений и всякие кукис. Ну или ручками каждый раз удалять.
    Для того кто хочет быть анонимным, это должно быть правилом.

    Помоему о том, что следует всегда удалять историю и кукисы для сохранения анонимности, даже на torproject, как часть инструкции, уже как сто лет написано, если мне память не изменяет.

     
  • 1.38, Logo (ok), 17:27, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    C Konqueror 4.3.1 (KDE 4.3.1) кто то пробовал? У меня ничего не выдает.
     
  • 1.45, Veter (??), 19:19, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > C Konqueror 4.3.1 (KDE 4.3.1) кто то пробовал? У меня ничего не выдает.

    Еще как выдает. Например, посещенные мною ресурсы по криптографии.

     
  • 1.46, Veter (??), 19:21, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Кстати, на опеннете кривой скрипт при ответе на сообщение - конк выдает вот что:

    Open 'https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=post&om=58463&forum
    Type: plain text document

    Собственно, веб-мастеру надо по рукам давать за отсутствие майм-типа для json-ответов.

     
     
  • 2.49, Logo (ok), 21:58, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Нормально отобразил страницу.
     

  • 1.47, Пипка (?), 21:49, 03/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это пиар MS. В FireFox определяется один сайт, в IE8 ничего не определяется.
     
     
  • 2.50, Пипка (?), 21:59, 03/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Это пиар MS. В FireFox определяется один сайт, в IE8 ничего не
    >определяется.

    Нет, я дурак, в полной статистике тоже 1 сайт выдается.

     

  • 1.51, pavlinux (ok), 01:48, 04/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Loading page...

    NoScript - рулез

     
  • 1.52, Аноним (-), 09:51, 04/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    NoScript это дело не рубит. visited отрабатывает.
     
  • 1.54, Аноним (-), 14:08, 04/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Показал youtube, google, habrahabr.
     
  • 1.55, Антон (??), 23:00, 24/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давно заметил интересную особенность, некоторые рекламные сети, например, doubleclick.net, показывают рекламу релевантную последним поисковым запросам. Когда такое делает Google и Yandex дело понятное, но когда совершенно левая контроа - возникают вопросы. Сейчас специально проверил, поискал в Google на тему аэропортов и doubleclick показал баннер авиакомпании, поискал видеокарту - баннер уже про компьютеры. Совпадением это быть не может (проверял в другом окне, рефереров там не передавалось) и просто так cookie поисковика чужому сайту браузер не отдаст.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру