Myosotis Jun 26 2017 at 11:58

Дискриминация котов: веб-трекинг через невидимые картинки

8 min

24K

IT Standards*Python*SQL*BrowsersInformation Security*

+12

Comments 39

T-362 Jun 26 2017 at 12:33

Есть решение чуть более громоздкое, но простое — два разных браузера. Пользуетесь как основным чем-то на основе хромиума — поставьте лисичку и ходите в соц-цети только с нее, или наоборот. Конечно еще вариант использовать разные профили в браузере или два производных от хромиума/две лисы, но лучше не рисковать.

Для полной секъюрности соц-сети можно держать на портабл версии браузера, стоящей в отдельном шифрованном томе ~~и стирать его перед использованием~~.

mayorovp Jun 26 2017 at 13:49

Какой риск использования разных профилей пользователя и почему это хуже чем портабл-версия браузера?

T-362 Jun 26 2017 at 13:59

При использовании одного браузера есть большая вероятность что из-за ошибок/аддонов/злого умысла получится взаимодействовать с другим профилем или просто иметь общедоступные данные.
Портабл версии же специально затачиваются на изолированную работу не вылезая из своих директорий и не разбрасываясь данными (собственно для обеспечения переносимости).

mayorovp Jun 26 2017 at 14:14

Насколько я знаю, для портабл-версий используется тот же самый механизм, что и для переключения профилей пользователей...

T-362 Jun 26 2017 at 14:46

И что с того, если это две независимые копии браузера? У портабельной версии заданы относительные пути что-бы она хранила и использовала нужные файлы из своих собственных папок (в основном, может отличаться от браузера к браузеру).

Ну и что-бы наверняка см. пункт 1 — "два разных браузера"

qw1 Jun 26 2017 at 20:30

Какой риск использования разных профилей

Главный риск — человеческий фактор. Лучше, чтобы браузеры для разных сценариев отличались как можно сильнее. И привычка не даст ошибиться, когда окно логина выглядит «как-то не так».

http2 Jun 26 2017 at 13:56

1. Некоторые сайты приотключении сторонних кук перестают работать :)
2. AdBlock

Myosotis Jun 26 2017 at 14:26

AdBlock не блокирует маяки, они и не являются рекламой сами по себе. Они фиксируют, на каких сайтах был пользователь и передают эту информацию заинтересованной стороне.
Я еще не сталкивалась с тем, что блокировка 3rd party cookies приводит к неработоспособности сайта. Вы не путаете с 1st party cookies?

Nord001 Jun 26 2017 at 15:22

Большая часть «маяков» идут вместе с рекламой — так что — блокирует.

Остальное что ставят напрямую: метрика — гугл аналитика — шаринг соц. сетей и реже ставят пиксели для ретаргетинга.

По поводу не принимать сторонние куки — как я помню — достаточно 1 раз посетить сайт *.domain.com и куки будут приниматься и посылаться при запросах на *.domain.com со сторонних сайтах.

Myosotis Jun 26 2017 at 16:15

Если включить эту опцию и повторить предыдущие эксперименты, можно увидеть, что cookies сторонних сайтов (Facebook и Google соответственно) не будут приниматься и отправляться.

Они не будут отправляться при включенной опции "Блокировать сторонние cookies", это и проверялось в эксперименте в браузерах Firefox, Safari и Chrome.

А на 2012 год ситуация была, как вы помните:

While Firefox blocks third-party cookies both from being set as well as from being sent, most other browsers
(including Chrome, Safari, and Internet Explorer) only block the setting of third-party cookies. So, for example,
Facebook can set a first-party cookie when the user visits facebook.com; in browsers other than Firefox, this
cookie, once set, is available to Facebook from a thirdpartyposition (when embedded on another page).

Myosotis Jun 26 2017 at 16:21

Большая часть «маяков» идут вместе с рекламой — так что — блокирует.

В смысле реклама идёт с маяком? Запросы возвращают одну картинку 1x1, цель которой только получить идентификатор пользователя. А реклама может показываться совсем с других доменов. То, что AdBlock блокирует рекламу — да, но это не отменяет тот факт, что, например, Facebook знает какой пользователь заходил на какие сайты. Потому что он в одном окне авторизован в Facebook, а в других сёрфит сайты, напичканные маяками.

sacrefacker Jun 26 2017 at 23:05

Похоже, Atlassian не пускает:

Something has gone wrong
Please make sure your browser has third-party cookies enabled and then try again using the button below. Don't refresh the page.

AndKost Jun 26 2017 at 14:29

Интересная статья, продажа пользовательской информации — огромнейший бизнес для компаний.

poznawatel Jun 26 2017 at 14:57

Disconnect.

dbagaev Jun 26 2017 at 18:37

Уже давно есть специальные плагины для браузеров, которые блокируют трекеры, например, Ghostery. Он показывает, какие трекеры стоят на странице, позволяет отключить все или выборочно.

Точно так же следят за действиями пользователей все кнопки социальных сетей. Сайт вроде бы дает вам возможность расшарить что-то в сетях, а на самом деле дает сети возможность следить за всеми посетителями страницы.

Если хочется анонимности, то надо ходить по Сети не логинясь ни в какие аккаунты вообще.

lostpassword Jun 26 2017 at 20:32

А можете эти топ-20 доменов выложить в виде текстового списка?
Интересно в hosts добавить и посмотреть, не отвалится ли что-нибудь.

Myosotis Jun 26 2017 at 23:30

Вот держите топ-50

но у вас отвалится google, например

google-analytics.com
doubleclick.net
google.fr
rubiconproject.com
facebook.com
twitter.com
gstatic.com
mathtag.com
pubmatic.com
advertising.com
googlesyndication.com
rlcdn.com
adnxs.com
casalemedia.com
quantserve.com
bluekai.com
smartadserver.com
exelator.com
stickyadstv.com
betrad.com
bidswitch.net
demdex.net
yahoo.com
adform.net
nexac.com
krxd.net
turn.com
bidr.io
360yield.com
adsrvr.org
load.s3.amazonaws.com
openx.net
mookie1.com
chango.com
lijit.com
adledge.com
adsafeprotected.com
teads.tv
adgrx.com
atdmt.com
kiosked.com
tapad.com
truste.com
yldcrt.com
moatads.com
scorecardresearch.com
d5nxst8fruw4z.cloudfront.net
agkn.com
everesttech.net
gwallet.com

lostpassword Jun 27 2017 at 07:38

Спасибо!

P.S. А что именно отвалится? Проверил сейчас — поиск работает, почта работает, Hangouts работает, переводчик работает…
А больше мне и не надо ничего.)

Myosotis Jun 27 2017 at 11:15

А, потому что в списке google.fr
Вот так отвалится поиск:
0.0.0.0 www.google.com
0.0.0.0 www.google.ru
Только блокировать google через hosts это серьезно)

lostpassword Jun 27 2017 at 11:32

Ну так я google блокировать и не планировал)
Только рекламные домены и аналитику (типа google-analytics.com).

UFO just landed and posted this here

mayorovp Jun 27 2017 at 08:39

Закрыть вкладку. Самый надежный способ отказа.

FreeMind2000 Jun 26 2017 at 23:56

В Firefox есть приватное окно, по идее оно должно спасать от открытых залогиненых страниц в основном окне.

ZoomLS Jun 27 2017 at 02:11

В Firefox ещё есть контекстные контейнеры. Можно создать контекстный контейнер, например для соц сетей. И только через него в них заходить.

FreeMind2000 Jun 27 2017 at 14:54

Что-то у себя в FF 52.2.0 ничего такого в меню не нашел.

ZoomLS Jun 27 2017 at 22:42

Зачем такую старую версию использовать? Недавно уже Firefox 44 вышел.
Вообще, нужно зайти в about:config, там найти privacy.userContext и выставить true. После перезагрузки заработают. Но в 52 версии, вроде ещё нельзя было их редактировать, может даже новые ещё нельзя создавать. Вот в 44 версии всё ок. Советую обновиться до последней версии.

FreeMind2000 Jun 28 2017 at 00:55

Это последняя версия для хп. Да в конфиге есть, но как-то муторно немного всё, перепутать вкладки легко да еще и искать надо в куче других, у меня их много обычно открыто… приватное окно на мой взгляд удобнее, да и особого смысла куки сохранять не вижу. Открыл прив.окно выбрал сайт в избранном и всё.

ZoomLS Jun 28 2017 at 16:16

Контекстные вкладки подсвечиваются, они отличаются от стандартных.

ElectroGuard Jun 27 2017 at 01:59

Кроме AdBlock'а есть еще AdGuard. Насколько я знаю — он блокирует 'маяки'. Его и использую.

lpUsher Jun 27 2017 at 11:08

Интересно поданный приступ критической паранойи, но, как говорилось, реклама — двигатель прогресса, вы не получаете никакой проблемы вроде, кроме сменяющихся картинок в соц.сетях (какие-то будут всегда).
А вообще, чем не подходит каждый раз заходить из-под инкогнито? Тот же самый ТОР каждый раз создает новое соединение с чистого листа.

nmaltsev Jun 27 2017 at 12:33

Проблемы появляются для пользователей если собранную статистику начинает использовать тот кто может проанализировать большой объем информации. Например крупный ретейлер как Amazon или Uber.

lpUsher Jun 27 2017 at 12:40

Проблемы в виде рассылок? Что мешает настроить ящик на спам? Многие проблемы выдумывают сами пользователи.

nmaltsev Jun 27 2017 at 14:28

Изменение цены на один и тот же товар/услугу, для разных пользователей, опираясь на предположение о платежеспособности этих самых пользователей.

VtD Jun 27 2017 at 13:17

>использовала tld библиотеку
Пожалуйста, поправить. Россия язык не использует такие конструкции.

UFO just landed and posted this here

vlivyur Mar 18 2019 at 17:29

Ха-ха. И сдать им сразу всё.

qw1 Mar 18 2019 at 19:37

Поставить на отдельный телефон, где кроме FB ничего нет.

UFO just landed and posted this here

Myosotis May 2 2019 at 15:43

Мобильные приложения хранят свои идентификаторы пользователей. Вот, например, в Android. Бывало у вас, что вы искали какой-то товар в приложении от Amazon, а через некоторое время он уже появляется в вашей ленте приложения Instagram? У меня такое частенько.