| 1.1, Аноним (-), 21:53, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Вообще-то сайты которые конфеденциальные данные через GET, а не POST передают сами себе буратины, зачем под них прогибаться? Какой смысл рекламным сетям, что то выдергивать через Referrer, когда в подавляющем большинстве случаев они выполняют свой JavaScript-код в контексте тех страниц и могут куда больше вытянуть информации, например из тех же заполненных форм данные выдернуть.
| | |
| |
| 2.11, kai3341 (ok), 22:57, 03/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Каким образом конфеденциальные данные связаны с HTTP-заголовком Referrer?
| | |
| |
| 3.14, echo_donbasskih_podzemok (?), 23:15, 03/02/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Очень просто: через украденные базы мед. заведений диагноз может быть связан с конкретной личностью внутри DMP/DSP.
Текущее законодательство в плане приватности (в т.ч. международное) вовсе не запрещает так делать.
| | |
| |
| 4.16, kai3341 (ok), 23:30, 03/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
Складывается впечатление, что вместо того, чтобы читать новость, вы ухватили ключевые слова и пытаетесь делать вывод. Какие к чёрту украденные БД?
| | |
| |
| |
| 6.50, ыпр (?), 16:00, 04/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
Откуда столько инфы о боте? Не ваш ли бот случаем?;)
| | |
|
|
|
| |
| 4.30, kai3341 (ok), 02:43, 04/02/2018 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Вы почти правы.
Пользователя беспокоит, допустим, лурчанка. Он нашёл в интернете соответствующую статью и начал читать. Всё классно.
Сайт использует внешние js-библиотеки и внешний css. В момент открытия страницы браузер загружает с внешнего ресурса js и css, а в Referrer у него URL статьи про его страшную болезнь.
На внешнем ресурсе статика раздаётся средствами NGINX с достаточно параноидальными настройкам логгирования.
Вот так в третьих руках может оказывается информация о том, что вы болеете лурчанкой.
На странице могут оказаться счётчики аналитики, виджеты социальных сетей и прочие радости
| | |
| |
| 5.45, Аноним (-), 14:14, 04/02/2018 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> В момент открытия страницы браузер загружает с внешнего ресурса js и css
Браузер по умолчанию - Links v2.14. Какие еще js и css???
| | |
| |
| 6.61, DmA (??), 09:22, 05/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
referrer то у linksa есть! и картинки он умеет грузить с чужих сайтов-то!
Так что подвержен!
| | |
| |
| 7.68, Аноним (-), 16:17, 06/02/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> referrer то у linksa есть!
Можно как-то подшаманить Links для отключения этого функционала? В Links вроде же есть какая-то функция типа "$ links2 -anonymous"
> и картинки он умеет грузить с чужих сайтов-то!
А картинки здесь при чём? Кроме того, картинки отключены по дефолту.
| | |
| |
| 8.69, Аноним (-), 12:45, 07/02/2018 [^] [^^] [^^^] [ответить] | +/– | Нету, зато в w3m есть штатный referer suppression, так что он на порядок лучше ... текст свёрнут, показать | | |
|
|
|
|
|
| 3.57, DmA (??), 06:52, 05/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
например друг выложил вам ссылку с котиками на странице в контакте и вы щёлкнули по ней, и вот владелец сайта с котиками с точностью до аккаунта в вашей соцсети знает кто к нему зашёл и с какого ip. Далее этот ip и ваш интерес с котику передаётся сборщикам по слежке и рекламным компаниям(обычно через загрузку незначительных элементов с сайтов этих компаний). Далее через этот ip и строку useragent (и другие элементы отпечатка вашего браузера) отслеживается когда и где вы ходите.
| | |
|
|
| 1.2, Аноним (-), 21:56, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Вспоминается ситуация со Сбербанком и показом на внутренних страницах кода Yandex Metric и Google Analytic. Или засовывание интерактивных виджетов FB, Twitter и VK в личных кабинетах.
| | |
| |
| 2.33, Аноним (-), 04:55, 04/02/2018 [^] [^^] [^^^] [ответить] | +/– | И в ранних версиях можно, с 52 https feeding cloud geek nz posts tweaking-ref... большой текст свёрнут, показать | | |
| 2.58, Анон2 (?), 08:39, 05/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
Думаю, со всеми этими настроками в эбаут конфиг я стану еще более заметным в интернете, т к настройки крутит 1% от 1% от 1% что вообще заходят на _этот_сайт_
| | |
| 2.64, Внезапно (?), 18:37, 05/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
Сейчас можно поставить какой-нибудь блокировщик рекламы и какой был реферер у не отправленного запроса по барабану.
Но в Мозилле уже начали с этим бороться.
Вот для примера у меня:
Ставишь 58 FF. Ublock Origin в него.
Идешь для примера сюда : https://mozilla.github.io/arewefastyet-speedometer/2.0/
смотришь попугаи.
Ставишь 59 бету.
Попугаев в 2-3 раза меньше.
Отключаешь uBlock. Попугаи вернулись.
| | |
|
| 1.4, QroxZ (?), 22:07, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Уже не верю словам разработчика Firefox. То зонды встраивают, то лепят мнимую защиту.
| | |
| |
| 2.26, Vadu (?), 01:46, 04/02/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
И вроде хочется согласиться, но аналогов все-равно нет. Есть какие-то фанатские поделки, на которых сидит 1.5 анонимуса, но без слез на это не взглянешь, да и поддержки всех нужных аддонов нет.
| | |
| |
| 3.39, 1.5 анонимуса (?), 11:28, 04/02/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> да и поддержки всех нужных аддонов нет.
у вас уже никаких аддонов нет, кроме пары хромающих на все лапы неполноценных клонов умерших xul-версий, а вы все повторяете сказки, что у других браузеров "нет поддержки".
| | |
| 3.65, Аноним (-), 22:55, 05/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Есть какие-то фанатские поделки, на которых сидит 1.5 анонимуса...
> да и поддержки всех нужных аддонов нет.
Ты не поверишь, но выбрав "фанатскую поделку, на которой сидит 1.5 анонимуса", я получил поддержку всех нужных мне аддонов.
> ...но без слез на это не взглянешь...
Да ты не плачь. Это фигня, что без аддонов, зато у тебя все супер-мега-быстро теперь.
| | |
|
|
| 1.6, Аноним (-), 22:23, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
А сайты в ответ: "юзай хром или иди на ***". Посещать такие сайты - это себя не уважать. Но ведь большинство-то себя не уважает, так что файрфоксупесец.
| | |
| 1.8, Аноним (-), 22:44, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
about:config
network.http.sendRefererHeader 0
одно из многих .... сразу после установки Firefox
| | |
| |
| |
| 3.19, Аноним (-), 23:46, 03/02/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Многие сайты не будут корректно работать.
Зачем им это нужно?
| | |
| |
| 4.40, Аноним (-), 13:14, 04/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
Издревле повелось отключать отдачу картинок, если в Referrer чужой домен (чтобы на чужие сайты не вставляли). Есть вероятность, что при отсутствующем заголовке тоже не отдадут. Причём могут не только картинки, а вообще всю статику.
| | |
|
| 3.62, DmA (??), 09:24, 05/02/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Многие сайты не будут корректно работать.
на фиг такие сайты.. Но вот правда комментарии на опеннет не будут работать...
| | |
|
| 2.15, 353 (?), 23:19, 03/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
для полноты картины надо так:
"network.http.referer.XOriginPolicy", 2
"network.http.referer.spoofSource", true
"network.http.referer.trimmingPolicy", 2
"network.http.sendRefererHeader", 0
| | |
| |
| 3.41, Аноним (-), 13:19, 04/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
> для полноты картины надо так:
> "network.http.referer.XOriginPolicy", 2
> "network.http.referer.spoofSource", true
> "network.http.referer.trimmingPolicy", 2
> "network.http.sendRefererHeader", 0
Для полноты картины смыть краску растворителем, заново загрунтовать холст, нарисовать что-то совсем другое, замазать чёрной краской, после чего сжечь и пепел развеять по ветру. Примерно так это будет работать.
| | |
|
| 2.17, Аноним (-), 23:40, 03/02/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Сайты ломаются.
Forbidden (403)
CSRF verification failed. Request aborted.
You are seeing this message because this HTTPS site requires a 'Referer header' to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.
If you have configured your browser to disable 'Referer' headers, please re-enable them, at least for this site, or for HTTPS connections, or for 'same-origin' requests.
| | |
| |
| 3.25, kai3341 (ok), 01:34, 04/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
Да-да. Грамотно спроектированный сайт должен ломаться во избежание XSS
| | |
| |
| 4.28, kai3341 (ok), 01:52, 04/02/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Да-да. Грамотно спроектированный сайт должен ломаться во избежание XSS
100 пудов, местные эксперты не поймут. Объясняю.
Проще всего обработать на стороне сервера вообще любой запрос. Теперь ситуация: интернет-банкинг. Вы залогинились в личный кабинет, сайт выслал вашему браузеру cookies, и теперь при открытии этого сайта в новой вкладке вы оказываетесь залогиненными. Удобно.
В другой вкладке вы открыли сайт с котиками. Тоже классно: котики -- движущая сила развития интернета: пользователь хочет, чтобы котики грузились быстрее. Пока всё прекрасно.
Так или иначе, но на сайте с котиками оказался вредоносный код. Не исключено, что сам вредоносный код оказался даже не на самом сайте. Не суть, как он туда попал.
Вредоносный код посылает на сайт вашего банка сперва GET-запрос с вашими cookies и получает данные о том, сколько денег на вашем счёта, и следом POST-запрос (возможно, несколько), переводящий деньги с вашего счёта на счёт некоего Василия Пупкина.
Проблема в том, что в HTTP-заголовке Referrer запроса к сайту вашего банка во 2м случае вовсе не адрес сайта вашего банка.
| | |
| |
| 5.29, Аноним (-), 02:20, 04/02/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
1 чужой сайт без флеша и явы эти данные не получит. А с флешом или явой - ссзб.
2 токены csrf и рефереры тут ни при чём.
| | |
| |
| 6.31, kai3341 (ok), 02:50, 04/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
1) Причём тут flash и java?
2) Когда вредоносный код успешно выполняет GET-запрос, он получает в теле ответа CSRF-токен.
| | |
| |
| 7.52, Аноним (-), 19:16, 04/02/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
2) Он ничего не получает - same origin policy.
1) с помощью них её можно было обойти.
| | |
|
|
| 5.38, mumu (ok), 09:39, 04/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Я может в танке, но разве CSP+HttpOnly эту проблему не решает? Ведь кука идёт по https каналу, как третий сайт через него что-то там пошлёт?
| | |
| |
| 6.43, kai3341 (ok), 14:03, 04/02/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Про механизм CSP не знал. Спасибо, вникаю.
Кажется, понял. CSP не позволит внешнему коду использовать cookies этого сайта. Очень хорошо: GET-запрос тоже выполнить не удастся. Вроде бы решает
Однако ИМХО поодиночке защитные механизмы использовать глупо: поодиночке их можно поиметь. Только CSRF-токен можно обойти, предварительно выполнив GET-запрос. Referrer есть смысл использовать только на POST-запросах, так как блокировать GET-запросы несколько странно.
Что до CSP -- пока не знаю. Выглядит, словно серебряная пуля.
| | |
|
| 5.51, Аноним (-), 18:53, 04/02/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Куки слать в письме не удобно, удобно слать уникальный токен по времени входа.
Пароли и логины не должны быть в куках только токены безопасности которые действуют уникально.
| | |
| 5.59, Анон2 (?), 08:45, 05/02/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Таки что мешает злобным коитам менять реферел в запросе? Браузер же может. Да и котики должны быть изолированы от банка и не знать что тот вообще открыт.
| | |
|
|
|
| 2.18, Аноним (-), 23:45, 03/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
Почему это сразу в мозилле не сделали? Эта опция что-то ломает или есть другие причины?
| | |
| |
| |
| |
| 5.24, kai3341 (ok), 01:25, 04/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
Это не (только) телеметрия. Тоже читаем "CORS и XSS для самых маленьких. С картинками"
| | |
| |
| 6.55, имя (?), 03:08, 05/02/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>CORS и XSS для самых маленьких. С картинками
я даже погуглил в надежде, лол.
| | |
|
|
|
| 3.63, DmA (??), 09:26, 05/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Почему это сразу в мозилле не сделали? Эта опция что-то ломает или
> есть другие причины?
Ломает (например) возможность комментарить на этом сайте
| | |
|
|
| 1.9, th3m3 (ok), 22:50, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Я давно что-то такое уже включал. Дак тогда у меня opennet ломался, при отправке комментов.
| | |
| 1.34, Аноним (-), 05:51, 04/02/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Всегда перехожу на другие сайты с новых вкладок. И вам также советую поступать.
| | |
| |
| 2.35, Аноним (-), 06:34, 04/02/2018 [^] [^^] [^^^] [ответить] | +4 +/– | Первоочерёдная проблема рефереров не в переходах на другие страницы, а в загрузк... большой текст свёрнут, показать | | |
| |
| 3.36, Аноним (-), 07:01, 04/02/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Привет сливу всей истории сёрфа по сайту гуглу.
А ещё твиттеру и bootstapcdn.
| | |
| 3.37, Аноним (-), 07:01, 04/02/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
До Сноудена я ещё один "вывел" аргумент.
Когда человек говорит - Зачем мне скрываться - кому я нужен, что дело не в одном тебе, а именно в количестве таких как ты.
| | |
|
|
| 1.47, Аноним (-), 14:45, 04/02/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А как в Pale Moon обстоят дела с вырезанием параметров заголовков HTTP Referer?
| | |
| |
| 2.53, Аноним (-), 23:33, 04/02/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
Palemoon Commander > Security > Privacy, и крути, как хочешь.
Или традиционно - через about:config.
| | |
|
|
