The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Firefox-дополнении Web Security выявлена отправка информации о посещениях

16.08.2018 08:41

В Firefox-дополнении Web Security, насчитывающем более 220 тысяч установок и входившем в список рекомендованных Mozilla дополнений для охраны частной жизни пользователя (после инцидента дополнение уже удалено из этого списка), выявлена недокументированная сетевая активность, в результате которой на сторонний сервер отправлялись данные о всех страницах, открываемых пользователем.

Разработчики дополнения попытались оправдать отправку данных выполнением проверки URL по чёрным спискам на стороне сервера для блокирования сайтов с вредоносным контентом, но обычно для подобных целей отправляются хэши от URL, а не ссылки в открытом виде. Более того, отправка данных производилась в привязке к идентификатору пользователя и также передавался прошлый URL, с которого был произведён переход на текущую страницу. Перед передачей данные скрывались при помощи шифрования. Примечательно, что в прикреплённом к дополнению соглашении разработчики заверили пользователей, что дополнение ни в каком виде автоматически не собирает сведения о пользователях, а на деле всё оказалось наоборот.

Дополнение: Компания Mozilla удалила Web Security и ещё 22 дополнения, содержащих похожий код для отправки сведений, из каталога дополнений к Firefox.

  1. Главная ссылка к новости (https://www.ghacks.net/2018/08...)
  2. OpenNews: В браузерном дополнении Stylish выявлен код для отправки истории посещений
  3. OpenNews: В результате фишинга получен контроль ещё над 6 дополнениями к Chrome
  4. OpenNews: Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей
  5. OpenNews: В 5 браузерных дополнениях и 6 мобильных приложениях обнаружен шпионящий код
  6. OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: privacy
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (117) Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 08:49, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]
  • +15 +/
    Никому верить нельзя
     
     
  • 2.3, A.Stahl (ok), 08:54, 16/08/2018 [^] [ответить]    [к модератору]
  • +25 +/
    Мюллер: "Мне -- можно".
     
     
  • 3.43, Аноним (-), 11:20, 16/08/2018 [^] [ответить]    [к модератору]
  • –4 +/
    мертвым можете верить, если хотите
     
     
  • 4.141, Dmitry77 (ok), 23:20, 19/08/2018 [^] [ответить]    [к модератору]
  • +/
    Можно верить коду
     
  • 2.56, J.L. (?), 12:24, 16/08/2018 [^] [ответить]    [к модератору]
  • +1 +/
    > Никому верить нельзя

    ну что ты, мантейнерам линуксовых репозиториев - можно *сарказм*

     
     
  • 3.97, user (??), 17:21, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    "we have root"
     
  • 2.64, AntonAlekseevich (ok), 12:51, 16/08/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Что за религия "о неверии кому-либо"?
     
     
  • 3.66, Аноним (-), 12:59, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    здравый смысл
     
     
  • 4.92, AntonAlekseevich (ok), 16:01, 16/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > здравый смысл

    Так религия "здравый смысл" есть вера в науку, правду(пост-правду) и людям которые открыли свои глазки.

     
     
  • 5.98, user (??), 17:21, 16/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    религия и пост-правда у тебя в методичке
     
     
  • 6.108, Аноним (108), 18:00, 16/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    А не оскорбляешь ли ты своим высказыванием чувств верующего?
     
     
  • 7.110, Аноним (110), 19:40, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Ты назвал его священную книгу методичкой, за это можно и партбилет на стол положить.
     
  • 6.111, AntonAlekseevich (ok), 19:55, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > религия и пост-правда у тебя в методичке

    Если бы у меня была методичка по общению на тему религии и пост-правды, то может быть я почаще общался бы на такую тему, но увы это мой первый опыт общения на данную тему.

     
     
  • 7.114, Аноним (114), 22:32, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    >но увы это мой первый опыт общения на данную тему.

    И он неудачный. Не делай так больше.

     
     
  • 8.115, AntonAlekseevich (ok), 23:43, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > И он неудачный.

    И могу сказать хорошо, что этот опыт неудачный.

    > Не делай так больше.

    Постараюсь, через силу но постараюсь такого более не допустить. (Общения на данную тему.)

     
  • 7.133, Аноним (133), 20:29, 17/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > это мой первый опыт общения на данную тему

    Смотри аккуратнее так данной темой, а то неровен час и опыт может стать последним на долгий срок.

     
     
  • 8.138, AntonAlekseevich (ok), 11:40, 18/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Смотри аккуратнее так данной темой, а то неровен час и опыт может стать последним на долгий срок.

    Если честно мне плевать.
    Давно процветает доносительство, и я прекрасно понимаю что после того что я написал на меня его уже накатали.
    Увы страна в которой я живу уже давно хочет самоуничтожиться и доносительство(которое прилагается с пакетом имени [РосКомНадзор]) её разрушит как морально(Любое логичное умозаключение это станет как зло) так и физический(Людям жрать нечего потом начнут грызть себе подобных).

     
  • 5.104, Аноним (104), 17:48, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Сам-то понимаешь, что несешь?
     
     
  • 6.112, AntonAlekseevich (ok), 20:08, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Сам-то понимаешь, что несешь?

    Вопрос хороший и, да я понимаю что я пишу.

     
  • 5.128, kai3341 (ok), 14:32, 17/08/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > Так религия "здравый смысл" есть вера в науку, правду(пост-правду) и людям которые открыли свои глазки.

    Дурик, тебе в учебниках зачем доказательства приведены? Какая это 'вера', если она требует доказательств? Первое сентября ещё не наступило, но домашку тебе задам:

    https://ru.wikipedia.org/wiki/%D0%9D%D0%B0%D1%83

    А ещё полуркай критерий Поппера

     
     
  • 6.139, AntonAlekseevich (ok), 12:18, 18/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Дурик, тебе в учебниках зачем доказательства приведены?

    Начало, прости, но оно похоже на "Ты что, умный что ли?".
    Доказательства представлены в учебниках как готовый вывод.

    > Какая это 'вера', если она требует доказательств?

    Вера в доказательства требует доказательства.
    Вера в правду либо пост-правду требует поиска истинной информации, отслеживания и реагирования на ложную информацию.
    Вера в людей требует чтобы люди сами хотели верить в себя и других.

    А вера направленная на недоверие всему, порочна, а последователи данной веры привыкают к культуре доносительства на тех кто не верит им.

    Последний обрубок я комментировать не стану.
    Ещё не хватало получить донос от вас, что станет последним звоночком между самоубийством после тюрьмы либо безработным до смерти.

     
  • 1.2, Аноняшка (?), 08:49, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • –2 +/
    А есть файерволл для Linux, позволяющий избегать подобних "недоработок"?)
     
     
  • 2.4, A.Stahl (ok), 08:55, 16/08/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    Да, в линуксе есть файрволл.
     
     
  • 3.6, Аноняшка (?), 08:55, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    и как его настроить, чтобы не было подобной "заботы о пользователе"?
     
     
  • 4.7, Аноним (7), 08:58, 16/08/2018 [^] [ответить]    [к модератору]  
  • +33 +/
    Нужно запретить браузеру выход в интернет.
     
  • 4.8, A.Stahl (ok), 08:58, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Закрыть коннекты к серверам сбора статистики.
     
  • 4.9, Аноне (?), 08:58, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Накрыть белым списком
     
     
  • 5.12, Аноняшка (?), 09:02, 16/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    как именно настроить белый списек, на уровне файрволла?
     
     
  • 6.23, Админ (?), 09:37, 16/08/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    iptables -P INPUT DROP
    iptables -P FORWARD REJECT
    iptables -P OUTPUT REJECT
     
     
  • 7.31, Роскомнадзор (?), 10:03, 16/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Это значительно упрощает нашу работу. Спасибо за информацию!
     
  • 6.27, captcha 20168 (?), 09:49, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    запретить всё, что не разрешено
     
  • 4.38, Аноним (38), 10:41, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    https://github.com/evilsocket/opensnitch

     
     
  • 5.52, Аноним (52), 12:20, 16/08/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    > sudo make install

    Руки бы за такое, да по самые ноги!

     
     
  • 6.125, Анончик (?), 11:51, 17/08/2018 [^] [ответить]    [к модератору]  
  • +/
    А что не так?
     
     
  • 7.126, TrueMakeINSTALL (?), 11:57, 17/08/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > А что не так?

    Для профессионалов, которые знают, что делаю в системе те или иные команды, или действия - всё нормально.
    А для попугаев и малограмотных пользователей - это страхи и не знание.

     
     
  • 8.130, Michael Shigorin (ok), 15:04, 17/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Для профессионалов, которые знают, что делаю в системе те или иные команды,
    > или действия - всё нормально.

    (дружески) Чайник, успокойся -- а то из малограмотного станешь не попугаем, а ламером.  Те, кто высказывается о вреде головы в качестве единственной замены пакетному менеджеру, всего лишь давно прошли этап любовного вылизывания одного-единственного локалхоста.

     
     
  • 9.137, Анонимный пользователь. (?), 08:21, 18/08/2018 [^] [ответить]    [к модератору]  
  • +/
    >> Для профессионалов, которые знают, что делаю в системе те или иные команды,
    >> или действия - всё нормально.
    > (дружески) Чайник, успокойся -- а то из малограмотного станешь не попугаем, а
    > ламером.  Те, кто высказывается о вреде головы в качестве единственной
    > замены пакетному менеджеру, всего лишь давно прошли этап любовного вылизывания одного-единственного
    > локалхоста.

    Есть варианты, когда создание пакета избыточно. Это надо понимать. Надо понимать, как работает и собирается программа. Куда и что она ставит. Есть и вариант использования префиксов/"сборки по с одну директорию", а не размазывание по системе.
    Естественно, что 90% это уже не надо. Пакетные менеджеры это очень хорошо, и отказываться от них не надо.
    Но думать головой тоже полезно и повторять "не нужно" только потому что все это делают - бред.
    Если это не понятно с твоим опытом, то чайник тут ты.

     
  • 4.118, Аноним (118), 03:11, 17/08/2018 [^] [ответить]    [к модератору]  
  • +/
    iptables -A OUTPUT -j DROP
     
  • 3.15, Аноняшка (?), 09:03, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    какой бесполезный ответ! напоминает анекдот про Холмса и Ваисона на воздушном шаре, и маркетолога
     
     
  • 4.19, Михалыч (?), 09:13, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    я не знаю такой анекдот
     
     
  • 5.26, Anonimus (??), 09:45, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    ничего, я знаю!
     
  • 5.28, Анекдотмэн (?), 09:51, 16/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    https://www.anekdot.ru/id/82175/
    https://pikabu.ru/story/remeyk_drevnego_anekdota_5694147
     
     
  • 6.53, Michael Shigorin (ok), 12:22, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > https://pikabu.ru/story/remeyk_drevnego_anekdota_5694147

    Отличный вариант, спасибо!

     
     
  • 7.62, Аноним (62), 12:37, 16/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Топ-менеджер приземлился в воду в 80 км к западу от Джорджтауна, Малайзия. В принципе да, там большой трафик, только разговаривал он бы не с математиком, а с капитаном какого-нибудь судна.

    //Математик

     
  • 4.29, ivn86 (ok), 09:58, 16/08/2018 [^] [ответить]    [к модератору]  
  • –10 +/
    Сама идея безопасности открытого софта напоминает анекдот про неуловимого Джо.
     
     
  • 5.33, Аноним (33), 10:08, 16/08/2018 [^] [ответить]    [к модератору]  
  • +9 +/
    А идея безопасности закрытого софта что напоминает?
     
     
  • 6.37, ivn86 (ok), 10:31, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > А идея безопасности закрытого софта что напоминает?

    Религию -- остаётся только верить, что всё работает так, как сказали. Я написал конкретно про открытый софт. Есть толпы людей на форумах, для которых опенсорс это синоним безопасности, которые осилили прочитать ридми, но не осилили исходник, но их успокаивает мысль, что раз есть доступ к исходникам, значит никакой подставы быть не может в принципе. В этом смысле Джо неуловим -- раз написано в ридми, что мы ничего не собираем, значит ничего не собирают, ведь никто в Интернете врать не будет, а они ещё и исходники выложили.

     
     
  • 7.46, Аноним84701 (ok), 11:44, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Я написал конкретно про открытый софт. Есть толпы людей на форумах, для которых опенсорс это синоним безопасности, которые осилили прочитать ридми, но не осилили исходник, но их успокаивает мысль, что раз есть доступ к исходникам, значит никакой подставы быть не может в принципе. В этом  смысле Джо неуловим -- раз написано в ридми, что мы ничего не собираем, значит ничего не собирают, ведь никто в Интернете врать не будет, а они ещё и исходники выложили.

    И все бы хорошо, но … где на этот код  "нормально" посмотреть можно? Ни репозитория, ни публичного, прозрачного процесса разработки – вся открытость "для галочки".

     
     
  • 8.65, ivn86 (ok), 12:56, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Ставите расширение, смотрите исходники, если интересно:

    unzip -l ~/.mozilla/firefox/*/extensions/contact@web-security.com.xpi

    Причём замечу, что это будут исходники, которые выполняются непосредственно на Вашей машине.

     
     
  • 9.71, Аноним84701 (ok), 13:23, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Ставите расширение, смотрите исходники, если интересно:
    > unzip -l ~/.mozilla/firefox/*/extensions/contact@web-security.com.xpi
    > Причём замечу, что это будут исходники, которые выполняются непосредственно на Вашей машине.

    *Вздыхая*
    Во-первых: зачем ставить (и тем более, выполнять), если можно просто скачать и распаковать?
    [CODE]% find /tmp/web_sec -iname "*.js"
    /tmp/web_sec/include/content.js
    /tmp/web_sec/include/background.js
    /tmp/web_sec/panel/panel.js
    /tmp/web_sec/main.js
    /tmp/web_sec/warning.js
    /tmp/web_sec/data/bs.js
    [/CODE]
    Во-вторых: я не зря писал, что тут эта открытость только для галочки, т.к. JS не "скроешь", а обфускация будет выглядеть подозрительно. Но вот то, что на таких условиях никто серьезно пытаться улучшить (а значит и серьезно изучать) не будет - вполне ожидаемо/логично.

     
     
  • 10.75, ivn86 (ok), 13:53, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    На каких "таких" условиях? Вы действительно искренне верите, что наличие публичного репозитория или публичного процесса разработки убережёт Вас от подобных неожиданностей? Никогда не было такого, что в публичном проекте уязвимость внедрялась на глазах сотен разработчиков? Никогда не было такого, что при сборке публичного проекта ментейнер добавлял кое-что от себя?
     
     
  • 11.91, Аноним84701 (ok), 15:53, 16/08/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    На отсутствующих Не зря на их странице речь о free , но нигде не встречается... текст скрыт, показать
     
  • 7.68, анноним (?), 13:10, 16/08/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    > Я написал конкретно про открытый софт.

    Ты написал в таком контексте, будто это относится ТОЛЬКО к открытому софту. И сделал это намеренно, за что и схлопотал.

     
     
  • 8.69, ivn86 (ok), 13:14, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Что схлопотал? И я написал то, что хотел написать -- неуловимый Джо относится ТОЛЬКО к открытому софту, потому что никому нет дела до того, как оно работает, хоть и есть возможность проверить. В случае закрытого софта такой возможности нет.
     
     
  • 9.82, Аноним (82), 15:14, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Подобные сюрпризы существуют относительно не долго, в отличии от закрытого софта. Но и в закрытом софте ковыряются те кому это надо и интересно. Достаточно сравнить кол-во такой телеметрии в открытом и закрытом софте. Так что да, лучше по возможности использовать открытый софт. Не панацея, но шансов гораздо меньше, в закрытом софте это почти всегда присутствует
     
  • 6.54, Michael Shigorin (ok), 12:23, 16/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > А идея безопасности закрытого софта что напоминает?

    Песню Лисы: "я б ночей не спала, всё бы кур стерегла, петушка как родного лелеяла".

     
  • 2.11, Аноняшка (?), 09:00, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    те, кто чекнули, не успели пикнуть, и крякнулись?
     
  • 2.13, max5775 (?), 09:02, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Я бы чекнул, но ни умею
     
  • 2.20, Аноним (20), 09:16, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Где там такое? http://web-security.com
     
     
  • 3.21, Аноним (20), 09:17, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    пардон, где там исходники вообще
     
     
  • 4.22, Анонс (?), 09:30, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Тип лицензии на странице дополнения написан: https://addons.mozilla.org/firefox/addon/web-security/
     
  • 4.25, odd.mean (ok), 09:41, 16/08/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Исходники внутри shitty_addon.xpi (zip). JS же.
     
  • 1.14, ryoken (ok), 09:03, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • –1 +/
    >>  входившем в список рекомендованных Mozilla

    "У семи нянек..."

     
     
  • 2.80, Аноним (80), 14:43, 16/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Можно подумать, эти ребята были не в курсе.
     
  • 2.134, Аноним (133), 20:30, 17/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > "У семи нянек..."

    14 сисек.

     
  • 1.24, iZEN (ok), 09:39, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +1 +/
    Фальшивые надежды. Кривые зеркала.
     
     
  • 2.96, Аноним (96), 17:14, 16/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Ух ты, звучит как строчка из песни.
     
     
  • 3.116, Аноним (-), 00:11, 17/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Фальшивые надежды. Кривые зеркала.

    Звучит как строчка с песни. Такие вот дела.

     
  • 1.32, evkogan (?), 10:05, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +2 +/
    Прямое нарушение соглашения о приватности, разве с ними нельзя судиться по этому поводу?
    Вот в данном случае судебный троль очень бы пригодился.
     
     
  • 2.47, Аноним (47), 11:55, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    а суть иска. какой ущерб? или давить на моральный?
     
     
  • 3.58, Michael Shigorin (ok), 12:26, 16/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > а суть иска. какой ущерб? или давить на моральный?

    Введение в заблуждение -- точно, мошенничество -- возможно.  Эт сходу как не-юристу видно.

     
  • 3.89, Wulframe (?), 15:29, 16/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    злоупотребление доверием с целью выгоды == мошенничество
     
  • 3.102, Maxim (??), 17:40, 16/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    По GDPR можно тупо большим штрафом наказать!
     
  • 1.34, Аноним (34), 10:14, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +1 +/
    >Примечательно, что в прикреплённом к дополнению соглашении разработчики заверили пользователей, что дополнение ни в каком виде автоматически не собирает сведения о пользователях, а на деле всё оказалось наоборот.

    И что, на них даже в суд не подали?

     
  • 1.35, Аноним (35), 10:17, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +6 +/
    А знаете, что самое интересное? Это ни разу не техническая проблема.
    Это проблема административно-уголовная. Если в достаточно большом числе стран, вот такой вот тайный сбор сведений станет уголовно наказуемым, с большими штрафами и приличными сроками - то количество таких случаев упадет порядка на два.
    А если исследователям и тем кто находит такие закладки отстегивать хороший процент от этих штрафов, то не успеешь ты отправить приложение сборщик\червяк\майнер, как за тобой уже приедут.
    Вот так, затрат - почти ноль, добавить статью в уголовный кодекс. А результат - отличный!
     
     
  • 2.41, Аноним (41), 10:59, 16/08/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    В России сейчас по законам наоборот. Все обязаны собирать всю информацию о пользователях и выдавать по первому требованию.
     
     
  • 3.45, user (??), 11:34, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    RTFM
    http://constitution.kremlin.ru/
     
     
  • 4.49, Аноним (47), 11:56, 16/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    только вслух не читайте. чревато.
     
     
  • 5.51, A.Stahl (ok), 12:04, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    В Роскомнадзор ссылочку-то скиньте. Реставрация возможна только если все россияне, каждый по чуть-чуть, помогут выполоть демократическую заразу.
     
     
  • 6.105, user (??), 17:52, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Назвать чекистов демократической заразой - это сильно.
     
     
  • 7.121, Степан Николаевич (?), 07:18, 17/08/2018 [^] [ответить]    [к модератору]  
  • +/
    как, мы разьве не эпоху Большого Террора восстанавливаем?

     
     
  • 8.123, ouicgw634t9078 (?), 09:40, 17/08/2018 [^] [ответить]    [к модератору]  
  • +/
    импортозамещение фашизма
     
  • 3.59, Michael Shigorin (ok), 12:27, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > В России сейчас по законам наоборот. Все обязаны собирать всю
    > информацию о пользователях и выдавать по первому требованию.

    Раз уж ссылаетесь на законы -- будьте добры предоставить перечень конкретных нормативных актов, изучив которые, Вы такое ляпнули.

    По умолчанию -- разумеется, балабол.

     
     
  • 4.73, Аноним (41), 13:48, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Постановление Правительства РФ от 26.06.2018 N 728 "Об утверждении Правил хранения организатором распространения информации в информационно-телекоммуникационной сети "Интернет" текстовых сообщений пользователей информационно-телекоммуникационной сети "Интернет", голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет"".
     
     
  • 5.94, Аноним (94), 16:13, 16/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Ну вот и выясняется, что а) не все б) не всю и в) не всем обязаны выдавать.

    Достаточно почитать первоисточник.

     
  • 4.74, Аноним (41), 13:48, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    https://habr.com/post/415647/
     
  • 3.63, Аноним (62), 12:39, 16/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    И много ты уже информации собрал и выдал? Или ты не все, тебя это не касается?
     
  • 2.124, Аноним (124), 11:05, 17/08/2018 [^] [ответить]    [к модератору]  
  • +/
    В европе сейчас закон новый, что каждый хостер присылает соглашение о принятие.
     
  • 1.55, тбдщ (?), 12:24, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +3 +/
    Не только Web Security. Другие расширения тоже отравляют историю посещений (судя по всему один и тот же автор(ы). Смотрите мои комменты под постом из статьи https://www.ghacks.net/2018/08/15/mozilla-recommended-privacy-extension-had-ph
     
     
  • 2.60, Michael Shigorin (ok), 12:29, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Не только Web Security. Другие расширения тоже отравляют историю
    > посещений (судя по всему один и тот же автор(ы).

    Спасибо за труды.

     
     
  • 3.117, тбдщ (?), 00:33, 17/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Мозиловцы таки забанили эти расширения https://bugzilla.mozilla.org/show_bug.cgi?id=1483995
     
  • 3.127, ник (??), 12:45, 17/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    да свали ты уже, в каждой дырке затычка
     
  • 1.76, AnonPlus (?), 14:03, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • –1 +/
    Дополнение, которое пробивает репутацию посещаемых сайтов по своей базе, сверяет посещённый адрес с базой на сервере. Удивительно.
     
     
  • 2.77, AnonPlus (?), 14:04, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    >> для подобных целей отправляются хэши от URL

    Так ведь заранее известно сопоставление "хэш = сайт", разве нет? Иначе, как тогда сервер выдаст вердикт, плохой это сайт или нет?

     
     
  • 3.81, odd.mean (ok), 14:46, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > "хэш = сайт", разве нет?

    Не совсем. Вот два URL c хэшами md5:
    https://www.opennet.ru/ (b2a306e2069f7fa1bbb1d44afe955975)
    https://www.opennet.ru/opennews/art.shtml?num=49143 (426dfb7e3bf5ba085ef41554b11779cd)
    Сайт один и тот же.

     
     
  • 4.90, Sw00p aka Jerom (?), 15:44, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    смотря кто список хешей составлял, разницы нет - отправил урл или хеш, хеш просто экономичнее и быстрее
     
     
  • 5.99, odd.mean (ok), 17:22, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Если аддон отправляет *только* хэши, то хотя бы не сольёт URLы, позволяющие явно определить юзера типа https://linkedin.com/BasilPupkin/edit а со стороны сервера все возможные URLы перехэшировать едва ли кто станет.
    По-хорошему, серверу вообще должно быть достаточно хэшей от аддонов с рейтингами от юзеров. В качестве примера можно поглядеть на API haveibeenpwned.com, там одни хэши гуляют и всё норм работает.
     
     
  • 6.103, Аноним (41), 17:46, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    А если сам аддон будет хэши делать, а сервер расшифрововать?
     
     
  • 7.107, odd.mean (ok), 17:58, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    В смысле "расшифровывать"? Хэш-функция математически необратима. Прямо как тот фарш, который "невозможно провернуть назад". Можно только подобрать по совпадению хэшей предполагаемую начальную строку.
     
  • 1.78, Аноним (78), 14:08, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +1 +/
    Ну всё равно до гугловской помойки (т.н. выбсторе) далеко. Пока что.
     
  • 1.79, Аноним (80), 14:41, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +5 +/
    >список рекомендованных Mozilla дополнений для охраны частной жизни пользователя
    >выявлена отправка информации о посещениях

    Это все, что нужно знать о Mozilla в 2018.

     
     
  • 2.86, Андроним (?), 15:18, 16/08/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    Зря ты это написал. Сейчас тебя фанатики мозилловские заминусуют.
     
  • 1.87, Аноним (87), 15:25, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • –4 +/
    ну и поделом инфобез-дрoчилaм
     
  • 1.93, Аноним (93), 16:09, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    Может тогда и ublock сливает?
     
     
  • 2.95, Аноним (94), 16:14, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Иди, проверь.
     
     
  • 3.101, нах (?), 17:37, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    а смысл, сегодня проверит - не сливает, все ок.
    Завтра савтоапдейтилось - слили.

    мазила через пару месяцев извинится.

     
     
  • 4.106, user (??), 17:54, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    академик тоже пользователь?
     
  • 2.100, нах (?), 17:36, 16/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    есть слабенькая надежда, что, поскольку ему все еще приходится _скачивать_ базы - сливает он только сам факт что ты используешь ublock.

    Но да, доверять никому нельзя.

     
  • 1.109, Pistrun (?), 18:14, 16/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • –1 +/
    >после инцидента дополнение уже удалено из этого списка

    Выпустить бюллетень с уведомлением пользователей и извинениями? Удалить плагин из магазина? Нет?

    Это что, попытка сохранить репутацию? Обосрлись ещё сильнее в итоге

     
     
  • 2.119, KonstantinB (ok), 05:03, 17/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    >Удалить плагин из магазина? Нет?

    "This add-on has been disabled by an administrator".

     
     
  • 3.129, Pistrun (?), 14:46, 17/08/2018 [^] [ответить]    [к модератору]  
  • +/
    И то хорошо. На момент комментария он там ещё был
     
  • 1.120, ыы (?), 06:42, 17/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +1 +/
    "Никогда такого небыло, и вот опять" (с)
     
     
  • 2.131, user (??), 17:49, 17/08/2018 [^] [ответить]    [к модератору]  
  • +/
    хотели как лучше, а получилось как всегда
     
  • 1.122, bbbbbb (?), 08:49, 17/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +1 +/
    Ох плагин удалили, а то что сама Мозилла телеметрию союирает ничего, хозяину можно
     
  • 1.132, Аноним (132), 18:24, 17/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    В android-версии ничего не удалило, сам удалял.
     
  • 1.136, Pilat66 (?), 00:16, 18/08/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    "но обычно для подобных целей отправляются хэши от URL, а не ссылки в открытом виде"

    Неужели непонятно, что, отправляя самому себе хэш от URL, серверная сторона знает какому URL этот хэш соответствует? То есть это ничего не меняет в плане приватности. Чисто работа на публику.

     
     
  • 2.142, нах (?), 10:37, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    справедливости ради - не совсем. Во-первых, серверная сторона должна знать о существовании того url и заранее посчитать его хэш - что существенно ограничивает ее возможности тебя трекать - даже если предположить наличие там немерянных ресурсов для архивирования всего интернета в хэши, есть еще уникальные per-user и те, куда просто не пускают без авторизации.

    во-вторых, отправляя урл вместо хэша - ты делишься им еще и с товарищ-майором и прочими васянами, а в случае с хэшами им придется самим похэшить "весь интернет", даже если ты их плейнтекстом шлешь, чтобы понять, к какому урлу какой хэш относится.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:


    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру
    Hosting by Ihor