The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Утечка идентификаторов пользователя через встроенный в браузер менеджер паролей

28.12.2017 14:16

Исследователи из Принстонского университета обратили внимание на применение некоторыми системами аналитики и показа рекламы особенности автозаполнения полей браузером для скрытого определения логина пользователя на текущем сайте. В частности, на 1110 из миллиона крупнейших сайтов по рейтингу Alexa загружался скрипт, который извлекал данные о email пользователя для использования в качестве идентификатора.

Скрипт пользуется недоработкой во встроенных в браузеры менеджерах паролей, которые автоматически заполняют формы для входа. На страницах, на которых нет штатных форм входа, формируются подставные невидимые формы ввода логина и пароля, после чего проверяется какие данные в них подставил менеджер паролей. Если в качестве логина указан email, то на его основе формируется хэш и отправляется на внешний сервер. Метод позволяет определить и пароль, но выявленные скрипты ограничиваются передачей хэша от email. Так как email уникален и обычно не меняется, хэш от него является отличным идентификатором конкретного пользователя, позволяющего сохранить привязку к профилю активности пользователя независимо от чистки cookie, выбора иного браузера и смены устройства.

Проблеме подвержены менеджеры паролей всех популярных браузеров, но если Firefox, Internet Explorer, Edge и Safari заполняют форму входа сразу после загрузки страницы, то Chrome лишь после клика пользователя в любой части страницы. Примечательно, что способ определения информации через автозаполнения форм известен уже более 10 лет, но раньше использовался только для перехвата данных в рамках XSS-атак, а теперь стал применяться и для отслеживания пользователей легитимными сервисами. На проанализированных сайтах выявлено как минимум два сервиса для отслеживания перемещений (Adthink - audienceinsights.net и OnAudience - behavioralengine.com, применяющих рассмотренный способ. Оценить работу метода можно на специально подготовленной демонстрационной странице.

Дополнительно можно упомянуть публикацию компанией Akamai исследования возможности косвенной идентификации пользователя в сети на основании анализа параметров и полей в заголовках протокола HTTP/2, которые отличаются для разных браузеров и операционных систем. Имеющихся различий недостаточно для явной идентификации, но она вполне может использоваться в качестве дополнительного источника информации для классификации пользователей, для определения входа через VPN и прокси, для получения деталей о типе и версии браузера и определения ОС, при указании фиктивных значений User Agent.



  1. Главная ссылка к новости (https://freedom-to-tinker.com/...)
  2. OpenNews: Метод идентификации пользователей на сайте по манере ввода с клавиатуры
  3. OpenNews: Расширенный метод идентификации системы и браузера без применения cookie
  4. OpenNews: Исследование степени идентификации пользователя по web-браузеру
  5. OpenNews: Оценка возможности идентификации клиента через анализ параметров HTTPS
  6. OpenNews: Анализ средств отслеживания действий пользователей на сайтах
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/47821-browser
Ключевые слова: browser, password
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (98) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 14:51, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +26 +/
    Вот и какой я теперь анонимус?
     
     
  • 2.16, EHLO (?), 16:01, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и какая это новость?
     
  • 2.19, rshadow (ok), 16:12, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    тор браузер говорили они...
     
     
  • 3.33, Michael Shigorin (ok), 18:26, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • –9 +/
    > тор браузер говорили они...

    Через тор и другие полезные для корреляции косвенные штуки утекают, как у нас тут вчера упоминали опытные люди.

     
  • 2.69, ryoken (ok), 07:06, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Вот и какой я теперь анонимус?

    Никакой.

    Вот потому никогда в браузерах пароли не сохраняю.

     
     
  • 3.90, koblin (ok), 14:20, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    не переживайте, все равно вас идентифицируют
     
     
  • 4.102, Аноним (-), 04:40, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > не переживайте, все равно вас идентифицируют

    Вопрос в том кто, когда, как и с какой достоверностью.

     

  • 1.3, Crazy Alex (ok), 14:55, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну, чисто теоретически чинится просто - надо заполнять поля только когда в них пользователь ставит курсор. ВпрочемЮ для распространённых случаев uBlock/uMatrix тоже помогут
     
     
  • 2.5, Аноним (-), 15:13, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +15 +/
    > Ну, чисто теоретически чинится просто - надо заполнять поля только когда в них пользователь ставит курсор.

    Opera Magic Wand, вставляет пароль при нажатии на кнопку. Всё уже было в Opera.

     
     
  • 3.12, Crazy Alex (ok), 15:50, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А ведь точно, я и забыл уже
     
  • 3.30, Аноним (-), 18:17, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Точно, "было". Хороший был браузер. С 5 по 12 версий.
     
     
  • 4.85, Аноним (-), 12:23, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    С рекламой - в 7-ой точно
     
  • 3.106, Аноним (-), 13:08, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Расширение для ФФ с таким же поведением
    https://firefox.add0n.com/secure-login.html
     

  • 1.4, Аноним (-), 14:57, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Не зря я не пользовался встроенными запоминалками паролей.
     
     
  • 2.43, Аноним (-), 19:33, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Не зря я юзаю хромиум
     
     
  • 3.45, Аноним (-), 19:56, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Который делает то же самое, только после клика по странице?
     

  • 1.6, Аноним (-), 15:15, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Палю тему - запоминайте пароль с парой недостающих или лишних символов и тогда никакие автозаполнители будут не страшны :)
    И юзайте разные профили браузеров для разных задач. +приватный режим.
     
     
  • 2.7, Аноним (-), 15:28, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Какая разница? "Вы"-то для таргетинга один и тот же. Что с буквами, что с недостающими.
     
     
  • 3.11, pavlinux (ok), 15:40, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Цель атаки - запомненный хэш пароля из "Менеджера",таргетинг это маленькая неприятность.
     
     
  • 4.25, Анм (?), 17:13, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Заполненный весь пароль, а не хеш.
    Но подставляется только на этом сайте где был заполнен, что как бы делает бессмысленным что-то воровать. Разве что, если ты не логинишься в своем контакте и думаешь, что анонимен (наивный)
     
     
  • 5.49, iZEN (ok), 20:42, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Знаю ещё один способ обмануть таргетинг (я сам был в ахуе, когда узнал): пароль на всех сайтах один и тот же. А запоминаешь только уникальный логин, он секретный. Хотя с идентификацией по полю e-mail, где оно требуется, фокус не так прост - нужно создавать много виртуалов с уникальными почтовыми ящиками, что не всегда удобно.
     
     
  • 6.91, Гентушник (ok), 15:37, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Логин обычно не является чем-то секретным, так что в зависимости от сайта сторонний человек может увидеть логин (в профиле, в поиске, при восстановлении пароля и т.д.). Ну например как на этом сайте.

    Плюс логины обычно хранятся в БД не зашифрованными, так что в случае если сопрут базу, то его подбирать даже не нужно будет.

     
  • 4.52, iZEN (ok), 20:51, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В менеджере паролей запоминаются логин и пароль, привязанные к сайту, на котором... большой текст свёрнут, показать
     
     
  • 5.115, Аноним (-), 10:43, 09/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Последнее время наблюдаю "таргетирование" по IP, ох как мне любят показывать детские мультики :)
     
  • 2.10, pavlinux (ok), 15:33, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Палю тему - запоминайте пароль с парой недостающих

    Шо, вместо *****, запоминать ******** ?

    > И юзайте разные профили браузеров для разных задач. +приватный режим.

    Один сайт - одна виртуалка, а лучше комп!

     
     
  • 3.81, whiteout (?), 11:18, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Один сайт - одна виртуалка, а лучше комп!

    Может Qubes наконец взлетит...

     
  • 3.116, Аноним (-), 10:44, 09/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> И юзайте разные профили браузеров для разных задач. +приватный режим.
    > Один сайт - одна виртуалка, а лучше комп!

    с отдельным IP из отдельного датацентра в отдельном города выделенной страны на отдельной планете

     
  • 2.70, ryoken (ok), 07:07, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Палю тему - запоминайте пароль с парой недостающих или лишних символов и
    > тогда никакие автозаполнители будут не страшны :)
    > И юзайте разные профили браузеров для разных задач. +приватный режим.

    Так там ПОКА ЕЩЁ не в пароле дело, а в утащенном адресе мыла.

     
  • 2.74, DmA (??), 08:45, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Палю тему - запоминайте пароль с парой недостающих или лишних символов и
    > тогда никакие автозаполнители будут не страшны :)
    > И юзайте разные профили браузеров для разных задач. +приватный режим.

    есть ещё и более-менее постоянный ip адрес. Для идентификации пользователя достаточно email адреса

     

  • 1.8, Аноним (-), 15:32, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Минутку, но ведь пользователь зарегистрирован на этом сайте и скорее всего лишь не успел залогиниться снова. К чему такие сложности?
     
     
  • 2.13, Crazy Alex (ok), 15:52, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Или не хочет логиниться
     
     
  • 3.15, pavlinux (ok), 15:56, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Или не хочет логиниться

    Заставить

     
     
  • 4.92, Гентушник (ok), 15:41, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну раз логин и пароль скрипт может получить, то можно сразу и залогинить пользователя автоматом :)
     
     
  • 5.104, Аноним (-), 04:59, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну раз логин и пароль скрипт может получить, то можно сразу и
    > залогинить пользователя автоматом :)

    И спам от его имени автоматом отправить. Ты только что почти изобрел спамеров.

     
  • 2.117, Аноним (-), 10:46, 09/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Минутку, но ведь пользователь зарегистрирован на этом сайте и скорее всего лишь
    > не успел залогиниться снова. К чему такие сложности?

    Огромная часть сайтов продаёт место, а за содержимым не следит.

     

  • 1.9, Аноним (-), 15:32, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В FF по клику выпадает список. Автоматом не заполняет.
     
     
  • 2.14, Crazy Alex (ok), 15:52, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это если у тебя несколько вариантов запомнено. Если один - подставляет сразу
     
     
  • 3.29, Аноним (-), 17:57, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не совсем По клику выпадает form history https support mozilla org ru kb upra... большой текст свёрнут, показать
     

  • 1.17, Аноним (-), 16:07, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Что там насчёт Pale Moon? https://github.com/MoonchildProductions/Pale-Moon/issues/1559
     
     
  • 2.32, Crazy Alex (ok), 18:25, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да что - подвержен, конечно.
     
     
  • 3.68, Аноним (-), 04:00, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Таки да... https://github.com/MoonchildProductions/Pale-Moon/issues/1559#issuecomment-354
     
  • 2.84, ойой (?), 12:23, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Так там же и написано "решение" (предложенное выше - заполнять, когда кликнул на форму)
    В о:настройках ставим в ложь signon.autofillForms
     
  • 2.100, Аноним (-), 19:30, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В Pale Moon уже пофиксили - отключили автозаполнение по умолчанию. - https://github.com/MoonchildProductions/Pale-Moon/commit/ce1aca868c070fa4ba932
     

  • 1.18, Дуплик (ok), 16:07, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >ещё существуют люди, сохраняющие пароли в браузерах
     
     
  • 2.23, Отражение луны (ok), 16:37, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если ты не хранишь пароли в браузере, ты либо хранишь пароли на листочке, либо у тебя на многих сервисах пароли совпадают, либо ты используешь какую-нибудь утилиту для хранения паролей и каждый раз копипастишь их. Либо все твои пароли попросту недостаточно устойчивы к подбору, что позволяет тебе их запоминать. В лучшем случае ты ресторишь пароль каждый раз когда тебе нужно залогиниться в сервис.
    Каждый из этих способов имеет огромные недостатки и гораздо менее безопасен чем хранение паролей в браузере.
     
     
  • 3.24, XoRe (ok), 16:56, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Каждый из этих способов имеет огромные недостатки и гораздо менее безопасен чем
    > хранение паролей в браузере.

    А так хорошо начинали...
    Пароли, сохраненные в браузере, не зашифрованы каким-то только вам известным мастер паролем.
    В отличие от нормальных утилит для хранения паролей.
    Поэтому хранить пароли прямо в браузере - это все равно что держать их в открытом виде в txt файле на рабочем столе.

     
     
  • 4.27, Анм (?), 17:16, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Каждый из этих способов имеет огромные недостатки и гораздо менее безопасен чем
    >> хранение паролей в браузере.
    > А так хорошо начинали...
    > Пароли, сохраненные в браузере, не зашифрованы каким-то только вам известным мастер паролем.
    > В отличие от нормальных утилит для хранения паролей.
    > Поэтому хранить пароли прямо в браузере - это все равно что держать
    > их в открытом виде в txt файле на рабочем столе.

    В фаерфоксе зашифрованы мастер паролем, в хроме и наверно клонах пароли в реесте и используют учетные данные юзера для доступа, в лине может и открытым текстом.

     
     
  • 5.88, Вася (??), 12:52, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В хроме и хромоподобных пароли открытым текстом лежат в БД SQLite. Enjoy ё безопасность.
     
  • 4.31, Crazy Alex (ok), 18:23, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    начинать тут надо с модели угроз. Если мы подразумеваем более-менее обновляющийся домашний линукс и отсутствие какой-то адово секретной информации (что вообще другой случай) безопаснее было бы даже держать их в этом самом текстовом файлике чем запоминать неизбежно менее сложные пароли или сложный - но один-два. Атак на линуксовые локалхосты, тем более успешных, на порядки меньше, чем чем взломов разнообразных сетевых сервисов или подборов пароля.
     
     
  • 5.66, XoRe (ok), 01:06, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > начинать тут надо с модели угроз.

    Стырили ноут/телефон.

     
     
  • 6.95, Гентушник (ok), 15:51, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Стырили ноут/телефон.

    В этом случае лучше полное шифрование на уровне ФС или блочного устройства, ибо кроме паролей там может быть ещё какая-нибудь конфиденциальная информация.

     
  • 4.35, Аноним (-), 18:56, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Пароли, сохраненные в браузере, не зашифрованы каким-то только вам известным мастер паролем

    В Сафари и ФФ зашиврованы.

     
  • 4.56, user (??), 22:19, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Для этого есть encfs.
     
  • 4.87, PnDx (ok), 12:28, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Хинт: Firefox FIPS-140.
     
  • 4.94, Гентушник (ok), 15:49, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В FF есть мастер пароль.
    Плюс можно синхронизировать пароли между девайсами на которых стоит FF (через штатную синхронизацю) и они будут зашифрованы как на стороне сервера, так и в браузере.
     
  • 4.96, Отражение луны (ok), 15:51, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не совсем. Хром хранит пароли в гном кейринге. Ты можешь настроить его так, что он будет спрашивать у тебя мастер пароль при каждом запуске хрома, не разблокируя этот самый кейринг автоматом. По дефолту мастер паролем является пароль твоего юзера.
     
  • 3.71, ryoken (ok), 07:11, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > пароли попросту недостаточно устойчивы к подбору, что позволяет тебе их запоминать.
    > Каждый из этих способов имеет огромные недостатки и гораздо менее безопасен чем
    > хранение паролей в браузере.

    Как связана запоминаемость пароля и устойчивость к подбору? Например есть пароль из 20 символов, цифробуквы разный регистр, знаки препинания и спецсимволы. Вы таки считаете, что его нельзя втупую вызубрить?

    А если (теоретически) пароль хранится в файле на шифрованном диске - это тоже недостаточно безопасно и браузерная паролехранилка будет лучше?

     
     
  • 4.93, Отражение луны (ok), 15:48, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Один такой пароль - можно. Десятки - нет. Твой вариант - один пароль для множества сервисов.
     
  • 4.97, Отражение луны (ok), 15:55, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Основная проблема хранения паролей в файле - то, что они проходят через буфер обмена. Так что да, менее безопасно чем автозаполнение.
     
     
  • 5.105, Аноним (-), 05:04, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Основная проблема хранения паролей в файле - то, что они проходят через
    > буфер обмена. Так что да, менее безопасно чем автозаполнение.

    Это спорно. В буфере обмена может быть что угодно а в менеджере паролей заведомо пароли. Красть пароли из менеджера паролей удобнее и результативнее. Трояны которые вынимают пароли из лиса вообще существуют более 10 лет. Половина бонусом ухватывает серийник винды и прочие ключи от стима и чего там еще у хомяков бывает. В общем уносят все что общеизвестное и ценное.

     
     
  • 6.112, Аноним84701 (ok), 16:43, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Однако, исправно обламываются о мастер-пароль Чтобы стырить пароли, малвари нуж... большой текст свёрнут, показать
     

  • 1.20, Аноним (-), 16:13, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > но если Firefox

    почему же тогда мой фурефокс не ведет себя столь постыдным образом, а вставляет данные лишь при явном клике в форму?

     
     
  • 2.86, ойой (?), 12:25, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно дело в настройках не по умолчанию?
     

  • 1.22, Аноним (-), 16:37, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Тем веселее, кстати, смотрится недавняя новость о новом менеджере паролей в фаерфоксе. С уже встроенным сбором статистики.

    https://www.ghacks.net/2017/12/23/firefox-lockbox-alpha-by-mozilla-replaces-bu

    Не стоит, мол, дорогой наш пользователь, беспокоиться о своей приватности. Нет нужды беспокоиться о том, чего нет, бгг.

     
  • 1.26, Аноним (-), 17:16, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Господи да вот вам идея для авторизации на сатйах опишите ее кто-нибдуь в RFC, а то эти бараны никак не придумают уже.

    Итак, у SSL есть отпечаток ( Fingerprint = FA:E0 .. DF )
    У меня есть логин и пароль, а точнее ключ для доступа к сайту SITE_KEY ( binary ).
    Заходя на сайт нажимая кнопку Войти срабатывает JavaScript запрашивающий этот самый SITE_KEY и сайту выдают мой SITE_KEY соответствующий SSL фингерпринту.

    Почему это не сделать, а нужно городить всяике oAuth и прочую чепушню?

    P.S. Каждый раз когда просят SITE_KEY выдавать окно с подтверждением.

     
     
  • 2.41, Аноним (-), 19:17, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кажется, Вы описали клиентские сертификаты. Это уже есть в браузере и используется, например, WebMoney.

    oAuth - это немного о другом, это не для того, чтобы авторизовать пользователя, а чтобы авторизоваться третьим сайтам от имени пользователя.

     
  • 2.101, Аноним (-), 01:16, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    у меня была идея получше, но это как оказалось был велосипед
     
  • 2.103, Анонимный Алкоголик (??), 04:47, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    JavaScript?
    Было бы смешно... Если бы не навевало. Тоску. И грусть.
    Вот между прочим можно просто не "выходить" после "входа" и сайт будет знать. Вас... Без всяких паролей... Как вам?
     

  • 1.28, Аноним (-), 17:38, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    безопасность уровня фаерфопс. В Chrome с этим все в порядке -- требуется явно кликнуть.
     
     
  • 2.34, Crazy Alex (ok), 18:27, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Разницы никакой
     
  • 2.38, Аноним (-), 19:00, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > требуется явно кликнуть

    Так это же всё меняет!

     
  • 2.42, Аноним (-), 19:23, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Если я правильно понимаю, имелся в виду любой клик на странице, а не на форме ввода.
     
     
  • 3.46, Аноним (-), 19:58, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Если я правильно понимаю, имелся в виду любой клик на странице, а
    > не на форме ввода.

    Да.


     
  • 3.65, rpm (?), 00:25, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если я правильно понимаю, имелся в виду любой клик на странице, а
    > не на форме ввода.

    А скриптовый клик прокатит?

     
     
  • 4.79, КО (?), 10:17, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А что на 99.9% прозрачная форма поверх всего уже не катит в качестве ловушки для клика?
     
     
  • 5.82, Аноним (-), 11:41, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем? Юзер и так тыкнет в какое-то место, никаких прозрачных ловушек не надо.
     

  • 1.37, Аноним (-), 18:59, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Пользователь, зарегистрировавшийся на сайте с определенным идентификатором, видимо, доверяет этому сайту знать этот идентификатор. Соответственно, браузер правомерно автоматически подставляет его в формы на этом сайте. И если владельцы сайта допускают показ такой рекламы, вытягивающей доверенную пользователем информацию, значит владельцы сайта предали своих пользователей и вся вина лежит только на них.

    Это не уязвимость, а вопрос доверия. Можно ли доверять сайтам, которые позволяют рекламным сетям, лайкокнопкам и всяким аналитиксам собирать информацию о своих пользователях? Например, opennet.ru делится как минимум с Google, Facebook, Gravatar и Yandex.

     
     
  • 2.50, vitalif (ok), 20:42, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Более того, и бороться с этим бесполезно, т.к если у тебя на сайте в профиле введен емейл, точно так же можно его взять и на стороне сервера скормить рекламной сети. А при выходе запомнить в куках.

    Единственный момент - надо, конечно, сделать, чтобы в невидимые формы ничего не подставлялось. Но проблему отслеживания это не решит...

    Ну или уже по дефолту вообще всю информацию надо очищать, то есть перетаскивать функционал тор браузера в ФФ.

     
     
  • 3.98, Гентушник (ok), 15:56, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Тут как бы весь цимес в том что пользователь идентифицируется даже если он на сайт не залогинен и кукисы не сохраняет.
     

  • 1.55, Ordu (ok), 21:06, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    NoScript успешно спасает от этих проблем. Даже если разрешить выполнение скриптов на демостранице, всё равно ничего не работает, потому что third-party скрипты не отрабатывают. Надо разрешить скрипты с левого домена (на демостранице это rawgit.com), чтобы это заработало.
     
     
  • 2.57, Аноним (-), 22:36, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Хватит форсить этот древний бренд. Давеча на форчане появились малварные домены. Утята с носкриптом удивлялись, почему это у них не ломается вёрстка, а юзеры юматрикса жалуются и шумиху поднимают. Наивно вякая: да не разрешайте сторонние скрипты и всё ок. А разгадка одна: носкрипт не блочит XHR запросы, а суть была именно в них, никаких скриптов с тех малварных доменов не тянулось, всё чисто на родных скриптах форчана (и если левые домены не отвечали на XHR запросы, свои скрипты ломали css сайта). И утята, посещая форчан и разрешая 1st-party скрипты, делают те же запросы, что и люди без носкрипта.
     
     
  • 3.61, Аноним (-), 23:46, 28/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >носкрипт не блочит XHR запросы

    Их только юматрикс блокирует?
    Или, например, адблок-плюс тоже может?

     
     
  • 4.67, Аноним (-), 01:15, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ABP может наверное, юблок точно может , но проблема в том, что там блеклист с ... большой текст свёрнут, показать
     
     
  • 5.75, DmA (??), 08:56, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И даже если ты разрешил
    > на условном форчане скрипты и XHR гугла, для работы рекапчи, то
    > когда там внезапно появляются новые левые домены, ты от них по
    > дефолту защищён.

    Наконец-то понял, для чего сайты запршивают капчю с дорожными знаками и фасадами зданий :) - чтобы я этого сайта скрипты и XHR разрешил хотя бы временно в своём  uMatrix :)
    В общем, если встретите капчю "а ля дорожные знаки", то бегите с этого сайта!

     
     
  • 6.108, Аноним (-), 13:38, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А сайт и рад - чел с блокировщиком рекламы и слежки дохода не приносит, а ресурсы сервера тратит.

    Вот только с такими замашками вообще от инета надо отключаться, потому что удаком быть выгоднее, и кто не будет использовать малейшую возможность использовать что-то для потенциальной выгоды проиграет конкурентам, обанкротится и вылетит с рынка на йух. Рыночек порешал. Естественный отбор в действии.

     
  • 5.80, Аноним (-), 10:30, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо!
    В Adblock-plus блеклист (с вайтлистом) я не использую, потому что они уж очень большие, а блокирую вручную то, что мешает, как мне кажется.
    Т.е. всякие лишние картинки.
    Или открываю Open blockable items и смотрю там, что можно заблокировать, в т.ч. скрипты и xss, хотя из-за последнего может нарушаться разметка.
    Куки у меня разрешены только на сайтах, где я авторизуюсь.

    Вопрос (извините, я не специалист): как через Adblock-plus найти и вручную заблокировать шпионские скрипты и XHR?


     
     
  • 6.83, Аноним (-), 11:49, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Вопрос (извините, я не специалист): как через Adblock-plus найти и вручную заблокировать шпионские скрипты

    ||example.com/js/main.js или ||example.com/*$script
    Но есть ещё инлайн-скрипты.
    > и XHR?

    Только полностью домен блокировать ||example.com^
    С 1st-party XHR не получится блокировать (это только в юматриксе видел).
    Лучше юблок, юматрикс или RP юзать для этого. С ABP какое-то извращение.

     
     
  • 7.99, Аноним (-), 18:34, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Вопрос (извините, я не специалист): как через Adblock-plus найти и вручную заблокировать шпионские скрипты
    > ||example.com/js/main.js или ||example.com/*$script
    > Но есть ещё инлайн-скрипты.
    >> и XHR?
    > Только полностью домен блокировать ||example.com^
    > С 1st-party XHR не получится блокировать (это только в юматриксе видел).
    > Лучше юблок, юматрикс или RP юзать для этого. С ABP какое-то извращение.

    Спасибо!


     
  • 3.62, Ordu (ok), 00:15, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Хватит форсить этот древний бренд.

    Что ж ты так переживаешь, что кто-нибудь что-нибудь зафорсит, да тебя не спросит? Вся жизнь -- игра^W информационная война? Хочешь я тебе подкину пару ресурсов, которые специализированы на осасывании информационных военов из прочих частей интернета -- им там весело жить таким воюющим концентратом, и другим они при этом не столь мешают. Всем хорошо.

     

  • 1.58, Аноним (-), 23:34, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Firefox about:config
    signon.autofillForms -> false
    http://kb.mozillazine.org/Signon.autofillForms
     
  • 1.59, Аноним (-), 23:37, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    1. Не использовать менеджер паролей.
    2. Использовать для электронной почты отдельный браузер.
     
     
  • 2.72, ryoken (ok), 07:16, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > 2. Использовать для электронной почты

    ...почтовый клиент

     
  • 2.110, Аноним (-), 13:43, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 1. Не использовать менеджер паролей.
    > 2. Использовать для электронной почты отдельный браузер.

    в firefox есть контейнеры

     

  • 1.73, DmA (??), 08:42, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давно отключаю в Firefox запоминание истории, не фиг мой диск изнашивать всякими временными страницами, для этого есть оперативная память, а если в оперативной памяти уже нет этой страницы(вытеснилась), то пусть она снова запрашивается из Интернета.
     
  • 1.76, DmA (??), 09:04, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Мозиле фундешен нужно разок проучить всех пользователей Firefox: добавить  в какую-нибудь свежию версию автоматическую отсылку всех сохраннёных паролей и прочих полей на сервера Мозиллы и потом опубликовать это всё...
    А может они уже это делали не раз :)
    Вообще вводить какую-то критическую  для пользователя информацию(пароли,кредитки итд) в любых современных браузера просто небезопасно. Считайте, что клавиатура вашего компьютера принадлежит ещё вам, а вот всё что видите на экране можно считать общеизвестной информацией! Вы сели за компьютер - значит вы собираетесь какую-то информацию о себе поведать миру :)
     
     
  • 2.89, DmA (??), 13:44, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Мозиле фундешен нужно разок проучить всех пользователей Firefox: добавить  в какую-нибудь
    > свежию версию автоматическую отсылку всех сохраннёных паролей и прочих полей на
    > сервера Мозиллы и потом опубликовать это всё...
    > А может они уже это делали не раз :)
    > Вообще вводить какую-то критическую  для пользователя информацию(пароли,кредитки итд)
    > в любых современных браузера просто небезопасно. Считайте, что клавиатура вашего компьютера
    > принадлежит ещё вам, а вот всё что видите на экране можно
    > считать общеизвестной информацией! Вы сели за компьютер - значит вы собираетесь
    > какую-то информацию о себе поведать миру :)

    А ещё лучше не только сохранённых паролей, но и вводимых пользователем без сохранения...

     
  • 2.107, Аноним (-), 13:30, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    между действительностью и её описанием всегда есть глубокий разлом, переполненный трупами доверчивых пользователей


     
  • 2.109, eganru (?), 13:40, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    [i]Bы сели за компьютер - значит вы собираетесь какую-то информацию о себе поведать миру :) [/i] - я просто стучу по клавишам!
     
     
  • 3.111, Аноним (-), 13:44, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    На себя стучишь.
     
  • 2.114, Аноним (-), 09:54, 31/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Какие будут ваши предложения? Не сохранять пароли, это первое правило. Отчищать куки по таймеру это второе правило. Отчищать DOM cache и вообще любой cache это тертье правило. Ну и отбрасывать хедеры с ETAg, блокировать canvas, ставить блокировщики рекламы, научиться пользоваться iptables и контейнерами, наконец, настроить браузер, использовать VPN и шифрование DNS. Если всех этих мер не принял, считай что ты и без паролей и кредиток слил свою третим лицам, которые ей уже активно пользуются.
     

  • 1.113, Аноним (-), 09:50, 31/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > во встроенных в браузеры менеджерах паролей

    Кто ими пользуется ССЗБ.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру