Comments 135
Конечно, спецслужбы справятся,
Спецслужбы какой страны? Той, откуда гражданин-нарушитель? Той, где физически находится ферма VPN? Той, где зарегистрирована компания, оказывающая услуги?
Тут уже не раз был спор на эту тему, однако вернусь к ней. Для работы подавляющего большинства сайтов скрипты на самом деле не нужны. Совсем. Они используются лишь для создания красивой мигающей хрени и (судя по всему в большей части) для показа рекламы и тракинга юзеров. К сожалению любителей «красивой мигающей хрени» всё больше, и скоро, видимо, сайты без скриптов станут не работоспособны совсем. Увы.
Конкретно тут единственный смысл скриптов — отправить набранное на сервер не перезагружая страницу. Только за время написания комментария их количество сильно увеличивается. Собственно приписку «я буду обновлять перед отправкой» тут можно увидеть весьма часто. Так что функция совершенно бесполезная. Это всё равно приходится делать.
Лично у меня скрипты включены на 2х сайтах. youtube и shadertoy. И то первый из них во флешовые времена мог обойтись без них. Гугл, кстати, обходится прекрасно до сих пор (в отличие от яндекса, у которого даже кнопка «отправить» скриптовая зачем-то). Весь остальной тоже вполне нормально себя чувствует без них (ну, кроме самых упоротых). А с появлением возможности делать менюхи и анимацию с помощью CSS вообще большую часть визуальной скриптовой хрени можно выкинуть.
Так что написание начинается с запуска специально для этого поставленной Оперы со всеми разрешениями :(
Раньше, когда такой фигни не было — включал если нужно было написать (в noScript делается одним кликом). Собственно для меня это ресурс больше для чтения (я R&C, так что писать могу сравнительно недавно и делаю это не часто). А читать можно и без них.
Так что да, формально тут они тоже включены. Реально — очень редко и на выделенном браузере. Остальные сайты с которыми я имею дело до сих пор либо работают по старинке либо теряют только функции ввода тегов по клику (что пофиг, написать их не сильно медленнее, чем целиться в кнопку)
На всякий случай сейчас проверил — та же фигня.
«Нечего проверять»
На самом деле тут вообще мутная история. Сначала я пробовал зомбреру. Тот вообще отвалился ещё на https handshake, даже на сайт зайти не смог. Опера тоже не сразу смогла. Причём и в обычном, и в турбо режиме. Больше нигде такого не наблюдал.
Таблица — ок. Таймеры и динамическое обновление? А не для мигания ли лампочкой? ;)
Неограниченная функциональность требует неограниченных ресурсов. Боюсь мой скромный бук не потянет. Не надо впихивать хотя бы тут неограниченную функциональность. Уже давно мода лепить из любого простого и эффективного инструмента мегакомбайн делающий всё, что угодно, и ещё кучу всего такого, смысла чего не знают даже его создатели. И требующего для своей работы маленький сервер. Это проходили уже сотни раз и ни одного удачного из них я не припомню. Таким образом угробили много хороших программ.
При чём тут фреймы? Против CSS вообще не слова не сказал. Как раз наоборот, он сейчас в состоянии заменить большую часть бессмысленных скриптов. По факту, конечно, он сам уже стал скриптом и грузит машину ощутимо анимацией и прочей хренью, но пока не может жить своей собственной жизнью, как скрипты и прочий код. А ширина бордюрчиков, кстати, вполне настраивалась уже тогда :)
Как мне кажется, это заявление без лишних раздумий можно назвать перегибом.
Но вы еще и добавили: "Они используются лишь для создания красивой мигающей хрени"
А так то, конечно, вы скриптов не отрицаете. Только это еще надо понять между строк.
Не стоит перекладывать с больной головы на здоровую. Инструменты для описания алгоритмов нужны повсеместно. Независимо от того, с какой частотой их используют для доставления неудобств — они нужны. Я вот гугло-экселем стараюсь не пользоваться. Более тормозящего браузерного отстоя я еще не видел. Так мне за это на скрипты дуться или на гугль?
Как мне кажется, это заявление без лишних раздумий можно назвать перегибом.
Аргументируйте. Под «красивой мигающей хренью» я имел ввиду отнюдь не положительный пример. Динамическе меню (и прочее подобное) сейчас можно делать и на CSS. Это уже не говоря о том, что в большинстве случаев смысла в них тоже не много. А если нужен большой список — лучше уже делать отдельный список разделов (но это уже вкусовщина, согласен).
Так мне за это на скрипты дуться или на гугль?
Я вообще не предлагаю ни на кого дуться. Ещё раз. Речь не о скриптах, а об их бессмысленном и беспощадном использовании. Когда сайт, который может (а часто и работает) без них кроме 10кб странички грузит ещё 300+кб скриптов, которые непонятно что делают и жрут на это проц — это перебор. Гугль, кстати, отличный пример обратного. И поиск, и почта у них прекрасно себя чувствует и без скриптов. Гугл доки и ютуб без них жить по очевидным причинам не могут и это тоже отрицать бесполезно. А уже использовать или не использовать эти сайты личное дело каждого.
Ради интереса посмотрел гиктаймс (вот конкретно эту страницу). Без малого мегабайт скриптов на 0.5 метра собственно документа. Зачем!? Реально для ответа на комментарий нужен это мегабайт?
>> Реально для ответа на комментарий нужен это мегабайт?
Вы опять трансформировали вопрос «нужны ли скрипты» в вопрос «почему этот скрипт такой большой». Скрипты тут нужны. А почему именно этот такой — ну напишите в саппорт, поинтересуйтесь. Может просто потому, что библиотеки сторонние используются, а не с нуля все написано?
Для работы подавляющего большинства сайтовФормулировка как минимум намекает на наличие меньшинства, которому они всё-таки нужны.
Скрипты тут не являются необходимостью. Даже для написания комментариев. Собственно если бы не блокировали предварительно кнопку отправки — комментировать саму статью можно было бы без них и так.
Специально пытался найти, где они используются ещё и не сумел. Ну, кроме кучи тракеров, аналитики и рекламы. Извините, но их я необходимыми тем более не считаю.
К утверждению «Для работы подавляющего большинства сайтов скрипты на самом деле не нужны. Совсем.» присоединяюсь. Тот же хабр вполне реально сделать работающим без скриптов.
Хорошие, годные сайты делают так, чтобы они и без скриптов прекрасно работали, а скрипты лишь добавляли опциональных плюшек. Тогда обычные люди могут наслаждаться этим вашим удобным UI и сидеть на сайте, а параноики могут отключить скрипты и всё ещё сидеть на сайте)
Зачем?
Он не будет иметь всю имеющуюся сейчас функциональность. Он станет обрубком, которым тем не менее можно отправить сообщение. Как псевдо-автомобиль на деревянных колесах, именуемый обычно телегой. Так зачем? Что бы повыделываться и в последствии ставить убогий сайт в противопоставление другому нормальному, юзающему стандартных библиотек на метр весу? Т.е. потратить уйму времени на цель, не стоящую и ломанной копейки? И так всю жизнь. А потом по итогам будем плакаться в Фидо, как за 100 лет ничего не изменилось и никакого прогресса, хотя сами оказываемся противниками развития и сторонниками забивания гвоздей отверткой.
P.S.: А параноики что вообще забыли в социальных онлайн-сервисах?
Он станет обрубком, которым тем не менее можно отправить сообщение.В том и суть
Как псевдо-автомобиль на деревянных колесах, именуемый обычно телегой.Это лучше, чем без средства передвижения и без ног вообще ;)
Так зачем?Если из хабра сделать обрубок, то может и незачем. Но, повторюсь, хорошие, годные сайты делают так, чтобы они и без скриптов прекрасно работали (именно что прекрасно), и на хабре это совершенно не проблема: не станет он обрубком.
потратить уйму времениС хорошей, годной архитектурой хорошего, годного сайта никакой уймы времени не будет.
никакого прогрессаВеб — совершенно не то место, где нужен прогресс, но это тема для отдельного поста.
А параноики что вообще забыли в социальных онлайн-сервисах?А параноикам ничего не мешает находиться в них анонимно (кроме фингерпринтинга, хех)
>> Но, повторюсь, хорошие, годные сайты
>> С хорошей, годной архитектурой хорошего, годного сайта никакой уймы времени не будет.
Где засилие этих крутых безскриптовых порталов, если это просто, быстро и удобно?
>> Веб — совершенно не то место, где нужен прогресс
Тогда извиняюсь за излишнюю беседу. Я не знал об этом.
«я делаю что то тайное, проследи за мной»
а использование тора и впс не говорит?
тогда уж лучше брать б\у ноут и идти искать не закрытые точки. плюсом накупить вайфай свистков.
Как и несколько браузеров.
У меня один тяжелый, повседневный, заточенный на серфинг, а один — легкий, для быстрого запуска и поиска, при работе в тяжелых программах, где дороги ресурсы и время.
Практика смены браузера, чтобы сменить личность в интернете, является популярным советом от экспертов и специалистов по безопасности.Одни домохозяйки, посоветовали другим домохозяйкам, что бы те пользовались отдельным браузером. Внезапно, этот совет оказался не самым лучшим, потому что настоящие специалисты — всегда советовали, для полного инкогнито, создавать виртуалку со стандартными параметрами, или пользоваться для этого VPS. Но кто же слушает специалистов?
то это вовсе не означает что за вами не следят :)
UPD: ох, очень долго комментарий модерировали, я за это время уже понял что глупость написал) Впрочем, если цель — не перестать быть уникальным, а не допустить связи с основной машиной, то может и пойдёт. Однако любой случайной связи (по стилю сообщений, например) всё равно может деанонимизировать всё и сразу
Сейчас многие сайты без джаваскрипта не работают вообще.
И это, именно те сайты, на которые, в первую очередь, забивают параноики. ;)
Информацию можно отдавать и без скриптов, статически.
И именно так ее и нужно отдавать — это просто, это удобно, это совместимо с большинством устройств (в т.ч. полностью автоматических, рассчитанных на длительную автономную работу).
Скрипты нужны для экономии трафика, для украшения, для рекламы, и для игрушек — ничего этого серьезным людям не нужно. А трафик можно экономить, просто обрезая всю графику, подгружая ее клиентом по запросу — это будет намного эффективнее скриптов.
Правда тогда веб превращается просто в странички текста.
Но именно это и нужно серьезным людям: текст — это информация в чистом виде.
Текст просто форматируется (сейчас вообще автоматически), выглядит прилично, хорошо жмется, мало весит на диске — идеальный формат для оффлайн хранения подборок, коллекций, статей, и т.п.
Плохо, что большинство сайтов тупо разучились отдавать статику.
А ведь в большинстве ситуаций могли бы и отдавать: большинство сайтов отдают информацию именно в виде текста, графика не более чем необязательное украшение, игры редкость, отдавать статику, если клиент отказывается от динамики, ничто не мешает.
Сервера просто не справятся со статикой… это же на каждое действие пользователя необходимо будет перезагружать страничкуНикто не заставляет всем отдавать статику — у большинства скрипты все же включены, а у меньшинства получается просто нет доступа. Либо со скриптами, либо никак.
Ситуация тут та же, что и везде на рынке: жертвуют интересами меньшей части пользователей, ради погони за большей.
Как правила параноики не играют в игры и не сидят в соц сетях. Они предпочитают "живое забвение" всяким там сетевым увлечениям. Но есть такие сайты, которые согласны откатится на IT-век назад и заплатить, чтобы даже параноикам на них было удобно.
Browserleaks же показывает более подробно по пунктам, например:
https://browserleaks.com/canvas
https://browserleaks.com/webgl
https://browserleaks.com/fonts
Любопытно еще то, что у разных браузеров одно и тоже общее количество бит.
Главное проблема/ограничение фингерпринта- он не работает на однотипных устройствах — например на iphone/ipad. Хотя все указанные в статье варианты мы не тестили.
техники CBF позволяют точно идентифицировать около 99,24% всех компьютеров.Что это значит? Просто определить модель компьютера? А толку от этого?
Хотя цифра 99.24 % крайне сомнительна — интересно было б погонять полноценное решение)
Хотя цифра 99.24 % крайне сомнительнаО чём мы тогда рассуждаем? Я именно про эту цифру спрашивал. Я верю, что с некоторой вероятностью можно поймать кого-то. Но в статье утверждается, что можно всегда (99% это можно считать всегда).
Могу предположить, что скорость рендеринга и прочие параметры уникальны для конкретного экземпляра камня/видеокарты. Но там речь идет о величинах чуть ли не в пикосекунды, как они их фиксируют по сети, учитывая нестабильный пинг, для меня загадка.
Так ищут не конкретный камень/карту, а их комбинацию плюс некоторые настройки браузера. Охотно верю, что при таком раскладе можно выделить один компьютер из сотни. Извращенцы с виртуалками и чистыми ноутами тоже бывают, но их слишком мало, чтобы повлиять на статистику.
Установил я Whonix (2 виртуальные машины и TOR внутри), из под него зарегистрировался на 4pda — и модераторы опознали мультиаккаунт. Причем правильно опознали. Так что это работает.
Вряд ли. Название основного аккаунта они угадали. А из той виртуалки я его не использовал.
Был я модератором. Есть такая практика, по речи узнавать. По всяким там привычкам. Даже если человек осознаёт, что по этим привычкам он может быть узнан и специально их подавляет, то он начинает создавать новую сущность, которую к следующей сессии может забыть. Короче говоря, всякие там клоны можно узнать либо по тому, что они сильно похожи на других людей. Либо они ооочень сильно не похожи ни на кого, да и вообще на людей (либо слишком хорошая память, либо слишком плохая).
Короче, пока что автоматических систем для определения клонов не придумали. Точнее придумали, но они не сравняться с реальными людьми, которые начинают "думать как приступник".
На втором же сообщении. Коротком. Вряд ли этого достаточно, чтобы 100% сопоставить новый аккаунт старому, замолчавшему месяц назад. (Забыл пароль, регистрировал на временную почту, которую тоже не помню).
Проще предположить, что, действительно, какие-то характеристики железа доступны из виртуалки и по ним возможен трекинг.
Согласно таблице в статье, фактор со 100% стабильностью — TimeZone. Скорее всего, он включен в хеш. Просто на втором браузере настраиваем рандомизацию при старте и всё)))
Другой весьма стабильный фактор — это Platform. Если я на одном Firefox настрою User-Agent Windows, а на другом — Linux, это гарантировано даст два разных пользователя.
Кроме того, математически некорректно считать параметры GPU независимыми и суммировать их энтропию.
Разные тесты, например Texture и Light, скорее всего либо одновременно дадут одинаковый результат у разных пользователей, либо одновременно разный. Поэтому, вместо внушительного списка в 100500 тестов GPU достаточного одного, наиболее показательного. Но ведь так не получится сделать внушительный список)))
Принцип ооочень не нов и например используется в компьютерных онлайн-играх для определения игроков, ведущих несколько аккаунтов. Ради интереса и еще пары вещей как-то был администратором игровых серверов, там, по крайней мере, на тот момент таких хитростей в плане обработки 3d и прочего не было, но тоже кое-что сравнить можно было. В итоге, когда многие параметры совпадали, а какие-то например были наоборот строго противоположны, точность тоже была неплохой, на мой взгляд.
— доводить свой «повседневный» браузер до полной анонимности — не вариант. Во-первых, его придётся обвешать массой дополнений, тюнинговать тонкие настройки… всё это, во-первых, превращает повседневный сёрфинг в лютый тормознутый и неудобный геморрой, а во-вторых, при обновлении до следующей версии браузера какие-то «тонкие настройки» переименуют, что-то добавят, так что это постоянная трата времени на борьбу с ветряными мельницами. И всё ради того, чтобы сайты не составляли мой рекламный профиль? Да ну, проще рекламу зарезать.
— если же анонимность нужна для дел, за которые может неиллюзорно прилететь реальный срок и реальные проблемы — эти дела нужно делать со специально заточенных под такое решений, например, того же Tor Browser, где даже при попытке изменить размер окна браузера вылезает совет этого не делать. И, конечно, создать «вторую личность», которая ничем не будет связана с той личностью, под которой производится ежедневный обычный сёрфинг в сети (вспоминаем тут, как вышли на Росса Ульбрихта).
а что такое "вечные" куки?
Пожалуй, самый известный из подобных: evercookie.
У них по идее у всех одинаковое железо в рамках одной модели, то есть по сути такой фингерпринтинг как описано в статье будет показывать одинаковые значения сразу для большого числа пользователей?
Софт у людей разный. Кто-то любит обоину покрасивее, кто-то любит экран потемнее. Это всё сказывается на миллисекундах работы всего компа.
Даже если допустить что текущие запущенные программы могут как-то сказаться на этих тестах, они же не постоянно работают. Вот закрыл я какую-то программу — получается у меня «отпечаток» поменялся?
Так вот в последнем выпуске пишут, что например в intel процессорах последних поколений
разница в скорости вычислений до +-5%. На идентичных моделях.
Т.е. есть как-бы «ленивые» и «трудолюбивые» камни.
Выяснилось это на больших вычислительных кластерах укомплектованных идентичными серверами.
Вроде как одной из причин называют speedstep/turboboost с его большим количеством шагов и индивидуальностью систем охлаждения.
А если сюда добавить GPU и RAM то вполне может быть разница даже в 2 одинаковых устройствах только что из коробки.
Или сэмулировать нужную реакцию ОС и железа. Правда для этого нужно сперва раздобыть образец, который вы собрались подделывать, а затем вооружиться заведомо более мощным и функциональным «железом».
Но если не нужно подделывать чьи-то конкретные отпечатки, то проще «затеряться в толпе» используя тор браузер и whonix, какой-нибудь.
ЗЫ: Random Agent Spoofer — по большей части не эмулирует, а отключает всё подряд.
Если уж вам нужно делать что-то, за что могут наступить реально неприятные последствия, то разумнее воспользоваться специализированными инструментами (Tor Browser тот же, где и доступ сайтов к canvas контролируется, и попытки пользователя изменить размер окна браузера пресекаются, и многое другое запатчено), чем пытаться изобрести велосипед, делая приватный браузер из браузера для «повседневного использования».
технология интересная
Фингерпринтинг конкретного ПК с точностью 99,24%: не спасает даже смена браузера