Comments 87
"Моя ошибка
Я веду небольшой телеграм-канал" тематичный абзац )
Все новые сайты должны открываться со scriptblock плагином как по мне. Хром все грозился отключить сторонние куки.
>хорошая новость в том, что сторонние cookies Google Chrome умеет блокировать по умолчанию, вы только посмотрите, сколько их было заблокировано: 72 (!).
Это не блокировка, это предупреждение, что сторонние куки будут блокироваться по умолчанию в будущих версиях хрома, можно почитать про это здесь же на хабре - Смерть third-party cookies. Что ждет нас в 2024?
Кто-нибудь встречал ещё подобные сайты?
Вообще, есть аналоги, да, но, как по мне, они менее агрессивные: https://socfishing.com/ (тут хотя бы требуется дать явное согласие на обработку данных, без этого на сайт не пустит) и http://soceffect.ru/ (тут детектится только страница во ВКонтакте, а не телефон).
Если коротко, то fingerprint.js
по библиотеке находится статья на хабре "Browser Fingerprint – анонимная идентификация браузеров"
https://habr.com/ru/companies/oleg-bunin/articles/321294/
На данный момент используется в таких компаниях как Baidu, это Google в Китае, MasterCard, сайт президента США, AddThis — сайт размещениz виджетов и т.д. Эта библиотека быстро стала очень популярной. Она используется примерно на 6-7% всех самых посещаемых сайтов в Интернете на данный момент.
Да их полно на самом деле.
Несколько лет назад на корпоративном сайте, через форму обратной связи, повадился один сотрудник кляузы на коллег писать (писал анонимно, из дома, в нерабочее время, со старой мобилки, через VPN). Все сообщения регистрировались в журнале входящей документации, на которых руководство оставляло резолюцию «разобраться».
В итоге на сайт установили подобный «счетчик» — нагуглили штук 5 за пол часа. И собрали много информации о посетителях. Правда, чтобы не собирать лишнюю статистику, пришлось форму обратной связи вынести на отдельную страницу, а также текст под ней скорректировать.
Так нашли в итоге автора?)
"следствие вышло на самих себя"
И да и нет. Нашли профиль VK и почту. Сделали предположение чьим другом/родственником искомого сотрудника был хозяин трубки. Сообщили руководителю предполагаемого сотрудника, чтобы навел порядок у себя в подразделении.
upd: чтобы совсем уж не раскрывать карты отвечу так: подозрение пало на токсичную бабушку, сотрудницу лаборатории, которая пользовалась трубкой внука, у которого был выявлен VK на вымышленное имя.
Одна из таких компаний даже на хабр карьере есть: https://career.habr.com/companies/wantresult
Если пользователь находится во вкладке инкогнито, необходимо уважать выбор пользователя и не собирать его фингерпринт и другие данные.
И всё бы хорошо, да только инкогнито не предназначен для анонимизации. Он предназначен исключительно для того, чтобы после закрытия страницы автоматизировать её удаление из истории браузера.
не, ну куки вроде тоже подчищает...
инкогнито не предназначен для анонимизации. Он предназначен исключительно для того, чтобы после закрытия страницы автоматизировать её удаление из истории браузера.
Если бы вы были правы, то режим "инкогнито" отдавал бы все кукисы. Но этого не происходит, чем и достигается некоторая анонимность.
Браузер Brave создан специально для защиты от подобных вещей. При этом прост в использовании как тот же Хром.
Что-то у меня пазл не складывается. Насколько я знаю спецификацию cookie (если я не прав, поправьте), куку устанавливает браузер, получив от сервера заголовок Set-Cookie.
Читаю спеку:
Domain=<domain-value>
Defines the host to which the cookie will be sent.
Only the current domain can be set as the value, or a domain of a higher order, unless it is a public suffix. Setting the domain will make the cookie available to it, as well as to all its subdomains.
If omitted, this attribute defaults to the host of the current document URL, not including subdomains.
Contrary to earlier specifications, leading dots in domain names (
.example.com) are ignored.Multiple host/domain values are not allowed, but if a domain is specified, then subdomains are always include
Итого: невозможно установить куку, с атрибутом Domain, отличным от домена, с которого пришёл заголовок.
А если невозможно её установить, то и передавать эту куку серверу dmp.one браузер не будет.
Получается, что собрать данные о сторонних куках невозможно. Браузер их просто не пришлёт.
А чтобы с куками не работал js достаточно установить атрибут HttpOnly.
Сайт может загрузить скрипт dmp.one, а тот, в свою очередь, отправить запрос (из пользовательского браузера с помощью javascript) своему партнёру, который сообщит в ответе о куках (или какой-то производной от них информации, позволяющей идентифицировать пользователя) для своего домена, ведь они будут переданы вместе с этим запросом.
Тоже не совсем пазл складывается. Передали запрос партнёру, о, скажем так, параметрах браузера и что там ещё может быть доступно? Как сайт-партнёр идентифицирует пользователя браузера? А откуда он возьмём куки? Куки-то на локальной машине пользователя. Хранить информацию об атрибутах куки на сервере? А зачем? Проще же передать требуемую информацию.
Партнёру передали запрос "расскажи нам всё, что тебе известно об этом пользователе". Так как запрос передан из пользовательского браузера, то к партнёру он улетел вместе со всеми куками, которые партнёр поставил для своего домена.
У условной доски объявлений может наружу торчать ручка /api/v1/auth/me, которая при правильных входных параметрах (таким может быть, например, подпись referer) выдаст ID пользователя. Это как CSRF-атака, только это не злоумышленник ломает сервис, а сервис специально так спроектирован.
Партнёры — это сайты, которые сознательно разглашают данные пользователей (в обмен на вознаграждение, допустим)? Или там используется уязвимые API сторонних сайтов, выдающие данные о пользователе?
То есть, какая рекомендация в данном случае важна: не светить свой номер телефона на не заслуживающих доверия сайтах, или что Интернет настолько дыряв, что данные, введённые на нормальных сайтах, легко могут быть извлечены на стороннем ресурсе?
В моём комментарии речь шла про первый вариант - партнёры сознательно разглашают данные. Возможно, с помощью других своих партнёров, которые ставят на свой сайт "рекламные" скрипты за вознаграждение. У операторов сотовой связи обычно есть внутренний механизм, позволяющий по идентификатору HTTP-запроса к их системе получить номер абонента - не удивлюсь, если есть какие-нибудь полулегальные способы за деньги получить такой API.
Современный веб, конечно же, дыряв - в сети полно интернет-магазинов, построенных на базе древних скриптов, которые владелец не будет обновлять, пока они хоть как-то работают. Если я выключу у себя спам-фильтр, то буду каждый день читать письма, отправленные (судя по заголовкам) из таких магазинов.
Да, это так и работает, я не стал светить своей вкладкой network из-за токена, но скрипт около 30-ти запросов делает к своим партнерам после загрузки страницы. Поэтому и в моих правилах uBlock несколько доменов.
Достаточно ли будет для защиты не разрешать в NoScript домен dmp.one (и прочие, что у вас под спойлером "Правила для uBlock")? Кстати, у вас там counter.yadro.ru два раза встречается.
А для обычных пользователей пока совет только один: используйте актуальный блокировщик рекламы
Не только лишь один: можно еще не вежливо просить хулиганов не бить вас спамеров удалить телефон из базы, а сразу отправлять жалобу в ФАС.
Отличное расследование!
Буквально несколько часов назад стал "жертвой", и вероятно по схожей схеме.
Накануне через моб. тел. спокойно интересовался некоторыми услугами, а сегодня получил чёткий маркетинговый звонок от неизвестной мне организации (возможно фейковой, не гуглится), которая заявила что номер у них оказался автоматически, потому что я якобы заходил на их сайт, чего разумеется, не было.
Пожалуй, ухожу с Chrome на Brave и перевожу AdGuard на постоянную работу.
Готовьтесь к тому, что вас везде будут считать ботом. Со включенным Адгвардом все норовят капчу подсунуть. Даже Яндекс, в котором я залогинен, являюсь пользователем ряда подписок и т.д.
Да, бывает такое, но вовсе не часто. С фильтрацией главное не жестить и найти золотую серединку.
AdGuard на ПК использую уже почти 5 лет и доволен как удав.
В качестве параноидального дополнения в браузере ещё и Ghostery стоит, который иногда ломает юзабилити единичных сайтов.
Пользую огнелиса с AdNausem. Редко подсовывают капчу.
Яндекс без всякого adguard записывает в боты. Они прям насильно заставили меня пользоваться гугл.
аналогично. тем более больно видеть то, куда и во что скатился яндекс за последние лет 10. в редких случаях, когда открываю яндекс вылезает капча. несколько раз писал им в техподдержку, что же они ироды делают, насильственно заставляют пользователей перестать пользоваться яндексом как поисковиком, обещали поправить, но воз и ныне там. я уж думал в прокуратуру написать, т.к. злонамеренное действие они совершают этим.
А МТСовский ленчер не стоит? Все отечественные ленчервы дырявы и текут данными как дуршлаг.
А может номер спамерам передали те, кому вы звонили? Может сотрудник некоей компании сливает потенциальных клиентов конкурентам. То есть, Интернет в этой схеме вообще может быть не задействован.
Отличное расследование, спасибо за инфу!
Самое противное в том что большинство сервисов перешло га использование почты или номера телефона как имени пользователя, причем в открытой связке (как ВК или ГосУслуги). В комбинации с тем что многие телефоны идентифицируют себя по IMEI... Это дверь к личным данным размером с самосвал.
ЕМНИП, средствами андроида можно легко идентифицировать девайс, при наличии разрешения. Заодно вспомнились лихие расследования в ковидные времена, когда некоторые контролирующие приложения пытались обходными путями (без пермишенов) доставать идентификаторы и фингерпринтить устройство.
А потом удивляются что на устройства (китайский телефон с очень кастомной прошивкой) с
--
✔️id toolkit
меняем "на лету" АБСОЛЮТНО все идентификаторы телефона, от imei до процессора, под реальные слепки (178 моделей на выбор), в пару касаний
(📝подробнее про id toolkit)
✔️контроль системы
☑️вырезано 2/3 системы (в т.ч. google, bluetooth, nfc, faceid, сканер отпечатка, логеры/трекеры/удаленные доступы)
☑️root
☑️xposed
✔️контроль сети (фаервол)
☑️разрешаем/запрещаем интернет любому из приложений/сервисов/служб
☑️интернет работает только через vpn
✔️защита и анонимность сети
☑️годовая подписка на <вырезано>VPN В🎁ПОДАРОК
☑️vpn +tor | +dnscrypt/dnssec | +i2p
☑️vpn+proxy
✔️vpn'd-wifi (раздача wifi с vpn'ом)
☑️hotspot: sim -> vpn'd-wifi
☑️repeater: wifi -> vpn'd-wifi
(📝подробнее про vpn'd-wifi)
✔️gsm с подменой номера
sip-телефония, сторонний провайдер, возможна аренда номера (все страны)
✔️panic toolkit (безвозвратная зачистка всех данных)
9 сценариев:
☑️2 разных кнопки в шторке
☑️специальный pin
☑️pin-попытки
☑️fake-приложение
☑️специальное уведомление (сообщение)
☑️специальное смс
☑️lock (период НЕразблокировки)
☑️USB (подключение в заблокированном состоянии)
☑️вытащить сим
⚠️все panic-сценарии настраиваются, включаются/выключаются и работают в любых сочетаниях независимо друг от друга
(📝подробнее про panic-toolkit)
✔️fake/real gps
☑️fake: точка либо движение по реальным маршрутам
✔️виртуальные машины (2ое дно)
☑️андроид внутри андроида, полностью изолированное от основной машины пространство
☑️на базе android 10
☑️virtual id toolkit: меняем "на лету" АБСОЛЮТНО все виртуальные идентификаторы, под реальные слепки (100 моделей на выбор)
☑️чистая ОС
☑️google
☑️root, в т.ч. magisk (+zygisk/modules)
☑️proxy (socks5)
☑️мультизапуск (несколько VM одновременно)
☑️snapshots (снимки состояния)
☑️работают: контакты, камера, fake gps, tor
(📝подробнее про виртуальные машины)
✔️бонусы:
☑️калькулятор - скрытое пространство (2ое дно)
☑️защита wifi-передатчика
☑️premium youtube
☑️<вырезано>Fox - безопасный браузер, без рекламы
☑️перемешивание цифр пин
☑️американский номер (+1..) для регистрации мессенджеров В🎁ПОДАРОК
✔️gentleman's / beautiful ladies' pack
☑️полный набор видео-инструкций
☑️видео-обзор всех функций и возможностей <вырезано мной чтобы не было совсем уж рекламой>
☑️видео-решения наиболее распространенных проблем
☑️AfterPanic (самостоятельное восстановление после panic'и): просто и понятно, не больше 15 минут на все про все
✔️🎛[по запросу] кастомизация сборки
"верни bluetooth/nfc..", "отрежь камеру/gsm..", "поставь приложение такое-то", "хочу пройти SafetyNet (basic+cts)" и даже "установи Kali Linux (nethunter)"
✔️оперативная клиентская поддержка
--
есть спрос достаточный чтобы такое делали
С чего бы это интересно?
В списке для блокировки дважды прописан counter.yadro.ru
Если вы заходите на avito.ru с мобильного интернета операторов МТС, Мегафон, Билайн, Йота, Теле2, Ростелеком, сервис взаимодействует с мобильным оператором для «проверки благонадёжности», о чём сказано в политике конфиденциальности.
Технически это выглядит так: оператор, при подключении к IP-адресам Avito, вставляет дополнительную TCP-опцию в TCP SYN-пакет, с идентификатором клиента оператора.
Регистрация в сервисе не требуется. Не требуется даже браузер как таковой.
Недостаточно просто поместить counter.yadro.ru и dmp.one в hosts? Для тех случаев, когда нет возможности установить дополнения к хромам и Firefox.
Brave действительно поможет в описанной ситуации? Я бы не прочь перейти на него, но смущают многочисленные хвалебные отзывовы о нём при его сравнительно малой распространённости. Легче ли он детектится (простите за такое выражение) среди других браузеров своим уровнем приватности? И зачем на него лепят блокировщики рекламы, если он настолько крут?
Можно попросить ответить в двух словах — так ли он хорош?
Долго пользовался Brave, но надоело находить в системе внезапные новые их плюшки, то впн появится какой то принудительный, то еще что то.
И кстати во времена его использвоания попадал на спам атаки после посещения тематического сайта по телефону.
Ушел на унгуглед хромиум, это конечно не то же самое. У него кстати проблема с залогинами, на многих сайтах вылетают.
Не знаю, зачем на него лепят блокировщики рекламы. Мне встроенного полностью достаточно. Только подписки на русские списки включил в настройках.
Есть сайты для проверки защищённости броузеров. Они пытаются вот так вот всячески вас детектить, а потом сообщают, сколько надетектили. Так что можете сами проверить, насколько он хорош.
Свежеустановленный Brave набит рекламной шелухой и VPNами, но это один раз выключается в настройках и больше за 5 лет ни разу не вернулось.
В целом, да, можно и просто добавлять dmp.one в hosts, но это не спасет, если создатели сервиса поменяют домен для своих js-ок.
дополнения к хромам и Firefox
Firefox по умолчанию изолирует куки с привязкой к домену, где кука была поставлена (а ещё блокирует куки от известных трекеров).
Например, вы зашли на Хабр, на Хабре встроен счётчик Фейсбука, счётчик ставит вам куку. Когда вы после этого зайдёте на Фейсбук, он не сможет прочитать куку, т.к. кука хоть и установлена счётчиком Фейсбука, но находится в отдельном хранилище с надписью "habr.com", а домену facebook.com доступ в хранилище habr.com запрещён, поскольку домены разные.
Можно провести аналогию: представим, что возле каждого здания в городе некая контора поставила своих людей, которые фотографируют посетителей и передают эти снимки в головной офис (который их сопоставляет и понимает маршрут каждого гражданина). А тут им всем обрубили связь - снимки они по-прежнему делают, но головной офис эти данные от наблюдателей получить не может.
Некоторые застройщики давно пользуются чем-то подобным. Например, раньше при заходе на сайт «Гранель» стабильно в течение суток я получал звонок от них, мол, вы интересовались приобретением квартиры у нас? Потом перестали. Разумеется, я там не был зарегистрирован и телефон не указывал.
Там скорее всего через форму обратной связи реализовано. Если в этом сервисе оставлял телефон (например для опции "перезвоните мне"), причём не только на конкретно этом сайте, а вообще, то потом они записывают соответствие cookies телефону и указывают клиенту, что такой-то заходил.
Поэтому оставляю там в рандомном порядке номера спамеров. Интересно, часто ли им звонят.
о, как раз собирался написать про подобное. этим мне кажется занимается ещё сайт новострой-м. Никогда никаких телефонов не оставлял. Раньше считал, что они через вконтакт как-то получают данные, но на работе та же фигня.
Ни одного сообщения об использовании
виртуальных номеров
Получил СМС с кодом, или посмотрел последние 4 цифры входящего номера. Снова нажал кнопочку, она погасла и номер стал недоступен. Всё.
Это настолько простая и рабочая схема, что я выложил скриншоты с моим настоящим виртуальным номером. Воруйте его, звоните на него, пишите на него. Это никак не помешает мне.
А у кого вы купили этот номер?
Ни у кого. Стандартная фича оператора. Я думал, такое есть у всех операторов.
upd: только что погуглил "виртуальный номер " + названия операторов большой тройки, у всех это есть.
Виртуальный SIP номер, не eSim? Не вижу у того же билайна такой услуги для физиков. Что за оператор у вас?
Не вижу у того же билайна такой услуги для физиков.
У них в зависимости от города почему то.
Для Москвы «Данное предложение недоступно».
Для Ярославля стоимость подключения 3000 руб. Абонентская плата 120 руб. в месяц
Странные цены. Для мегафона дешевле в разы: Стоимость подключения — 30 ₽, а абонентская плата от 2 ₽ в день
У моего смартфона нет поддержки eSim. Это стандартная опция в меню услуг в мобильном приложении для управления тарифом. Если я правильно понимаю, после включения виртуального номера оператор переадресовывает всё что на него идёт на мой основной номер. Оператор созвучен с Пенькофф.
У Тинькова точно есть, про других не скажу.
"виртуальный номер ростелеком" -- что-то ничего релевантного не обнаруживается, результаты на тему виртуальной АТС для бизнеса.
Если коротко, то fingerprint.js - это библиотека, которая позволяет получить уникальный отпечаток (хэш) вашего браузера ... Именно поэтому в начале статьи я порекомендовал заходить на сайт не только в режиме инкогнито, но и с включённым блокировщиком рекламы
Это поможет только если разработчики не настроят защиту от блокировщиков. dmp.one использует один из дефолтных доменов Fingerprint Pro (fpnpmcdn.net), который есть во многих списках блокировки трекеров, поэтому нет необходимости защищаться от фингерпринтинга отдельно.
А для обычных пользователей пока совет только один: используйте актуальный блокировщик рекламы со списком маркетинговых доменов и добавьте туда пока как минимум ссылку
dmp.one/sync
Вы можете помочь большому количеству пользователей, добавив этот и другие их адреса в список EasyList Privacy через их GitHub репозиторий. Этого правила должно быть достаточно: ||dmp.one^$third-party (блокирует все пути и поддомены, если они запрашиваются с других сайтов).
Разве режим инкогнито не для избежания подобного?
Мне кажется решение проблемы тут должно быть не только техническое, но и правовое. Потому что вся соль в том что партнёры по запросу сливают о тебе всю информацию 3 лицам. Как они технически делают, не столь важно. Так же как сейчас оператор имеет возможность добавить в хедера нужную информацию для "определенных" сайтов. Был бы штраф миллиард рублей, контрольная закупка и количество желающих продавать данные поуменьшилось, по крайней мере из крупных сайтов типа циана, Авито и т.д.
Пользуюсь следующей схемой уже долгое время: все одноразовые ссылки открываются в одном профиле браузера. Все постоянные логины и сайты (почта, твиттер, хабр и т.д.) в другом профиле, используя контейнеры Firefox в одном профиле можно использовать несколько "подпрофилей" и разные сервисы будут полностью изолированны. Все рабочие ссылки в третьем профиле. Так же отдельные профили для телеграма и соцсетей. Если нужно что-то заказать например - делаю это в инкогнито и просто закрываю окно после заказа.
необходимо уважать выбор пользователя
С таким подходом слона ты не продашь. ))))
Прекрасный список собираемых данных, не хватает только кода безопасности карты, фотку рожи через вебку, отпечатков пальцев и днк
Честно говоря, никакие запреты куков и прочие вещи со стороны клиента не помогут, если вы заходили на портал через мобильный интернет. У каждого из мобильных операторов есть услуга, в рамках которой они предоставляют в обезличенном виде контакты релевантных абонентов (например, зашедших на определённый сайт) бизнес-заказчикам. У Билайна это "голосовой обзвон", у МТС - "МТС маркетолог", у Мегафона - "Мегафон таргет". И да, вашего номера у компании при этом нет до тех пор, пока вы сами его не предоставите - компания получает лишь пул номеров, при звонке на которые с помощью специального софта идёт переадресация на номера конечного пользователя. Так что надо бороться не только с шпионскими скриптами, но и с мобильными операторами, продающими нас в качестве ценного актива.
Ок. А какая польза от всей этой информации? Вот, например, хочу я узнать номер телефона кого-то. Как мне сайт dmp.one в этом поможет? Или это просто предупреждение всем, чтобы не открывали сайт? Так я и так по непонятным сервисам не лажу
Я попал на такой сайт, когда искал ступени из ДПК. Зашел на сайт woodgrand.ru, там стали появляться окошки с акциями и скидками, которые я закрывал. И через полчаса мне звонят, говорят " Вы смотрел ступени из ДПК, что-то выбрали? Собираетесь что-то купить". Я немного обалдел от таких агрессивных продаж и сказал, что ничего у них покупать не хочу.
Перейди по ссылке, и я узнаю твой номер