Comments 26
Когда банки сливают данные KYC - это мы сразу чувствуем и поэтому понимаем. То же самое с госуслугами, всеми прочими госами (в т.ч. ВК и Я) и опсосами. Когда мне в телегу стучится фейковый руководитель, я понимаю, что это привет от соцфонда, госуслуг или опсоса.
Но вот совет
откажитесь от использования продукции корпораций
не понятен. Ну да, гуглы и прочие фейсбуки (ровно как и скрепный касперский, и сбер) собирают каждый клик, сохраняют введенные и не отправленные тексты, сам характер ввода, фактически представляющий собой биометрию.
Но звонки из "Центральных Банков", "Центральных Аппаратов МВД" и прочих "опросов общественного мнения" происходят явно не по вине гугла.
Почему? Потому что гугл оштрафован на квадратную сумму, а представившийся ментом мошенник знает, что разговор записан несколько раз, что он наговорил уже достаточно для его определения по голосу с третьего звука, что при минимальном желании найти его на зоне не представляет никакой сложности (и нашли уже, и на блюдечке принесли), но никто никогда не будет в этой стране заниматься защитой миллионов обманутых сетевыми мошенниками граждан.
Приватность - право каждого пользователя
Это про страну с официально запрещенными ВПН и TLS 1.3 с ECH?
Вам не кажется, что в стремлении донести до нас Вашу гражданскую позицию, Вы слегка скатываетесь в обсуждение вопроса: Уместно ли пока у нас холопов порют, нам упоминать что где-то негров линчуют... Автор поднимает верную тему. Вас же ответ - о наболевшем, а не по теме.
JavaScript: Удобство или Угроза?
Ни в постановке, ни при раскрытии вопроса акцент на "там и здесь" отсутствует.
совет
откажитесь от использования продукции корпораций
не понятен
Именно мне непонятен, не кому-то "там". Я с "там" не сравниваю и "тамом" не интересуюсь.
Если вам понятен, то раскройте вред от гугла в российском правовом ландшафте.
Почему вы думаете, что Яндекс дяде майору стучит, а Гугл — нет? На основе чего сделан такой вывод? От связи с АНБ им уже никогда не отмыться (из-за чего приличные люди вот уж несколько лет шарахаются от гугловских офферов с баснословными бонусами на вход — как от огня), из какого пальца высосана ваша уверенность, что любовь с РКН — не обоюдная, можно узнать?
Если вам понятен, то раскройте вред от гугла в российском правовом ландшафте.
Тут все просто... То, что вы назвали "Российский правовой ландшафт" не более чем колдобины на магистральном пути который прокладывает Гугл (и иже с ними). И колдобины это одно, а то что общий путь свернул не туда - это другое. И решать куда пойдет путь будет решать не "рос.ком что то там", а Трамп с Маском и корпораты.
Именно Гугл превратил торговлю данными пользователя в бизнес. Потом к этому бизнесу присоединились другие корпорации. А мошенники, про которых вы пишете, мелкая рыбешка на общем фоне. И они ВООБЩЕ к теме JS отношения чаще всего не имеют. Это так же, как в обсуждении свой почтовый ящик или Гугла постоянно всплывают нигерийские спамеры. Хотя вопрос со спамом на своем ящике решается. И, как мне кажется - эта тема выдается с целью свернуть обсуждение в сторону.
Вот и у Вас, как мне кажется, вбоквел получился. По местным мотивам.
И еще...
Приватность - право каждого пользователя
Это про страну с официально запрещенными ВПН и TLS 1.3 с ECH?
Если право не реализовано или ущемляется, то это еще не значит, что оно отсутствует. https://documents.un.org/doc/undoc/gen/n18/450/00/pdf/n1845000.pdf
Права человека неотъемлемы, то есть неотделимы от самого человека.
Это означает, что все люди от рождения обладают определёнными правами (естественными), которые сохраняются за ними при любом общественном строе, при любом государственном порядке. Государство не вправе изъять основные права и свободы или ввести запрет на их реализацию человеком.
Да! Это просто декларация. И чтобы это не было просто декларацией надо помнить вторую часть фразы
Приватность - право каждого пользователя, равно как и его личная ответственность.
Давайте уточним формулировку вопроса.
Вы утверждаете, что гугл украл у вас нечто, что у вас было и заработал на этом.
Назовите конкретные убытки, которые необходимо компенсировать для восстановления нарушенного права. Как изменились после нарушения права ваши жизненные обстоятельства? Каких конкретных благ вы были лишены?
Приватность - это абстрактное понятие, которое невозможно измерить. Вот слив ПД измеряется миллиардами украденных денег. А сбор обезличенных данных, который приобретает ценность только при переходе количества в качество, не несет никаких убытков. Гугл продает не приватность, а статистику, которую сделал сам и ни у кого ее не отбирал.
Давайте уточним...
гугл украл у вас нечто, что у вас было и заработал на этом.
Не стоит полемически усиливать мои слова и заставлять защищать меня позицию, которую я не отстаивал. Зачем Вы это делаете, мне не понятно.
Мы то обсуждаем
совет откажитесь от использования продукции корпораций не понятен
Понятный это совершенно совет. Просто ценность его не для всех. И отказываться можно не только после того, как у тебя что то украли. А просто так... Или в рамках неких своих убеждений.
Для меня, Гугл - масдай. ИМХО посмотрим как Гугл демонополизируют в США. Я с оптимизмом смотрю на связку Трамп/Маск в этом вопросе.
Автор же статьи, по моему, просто предлагает игнорировать корпоративные решения из профилактики. Если посмотреть обсуждение, он сам только начал разбираться в этом вопросе и выложил свои открытия. Ниже ему уточнили позицию открыв еще пару уязвимостей приватности от корпорации добра.
посмотрим как Гугл демонополизируют в США
Это шутка? Для этого придется сначала демонополизировать АНБ и отменить Patriot Act. Курицу, несущую золотые яйца, — никакой Трамп даже пытаться отменять не станет, а Маску она и вовсе вообще не по зубам.
Все эти «рыночек порешал» — уже давно сказки для людей, ничего вообще про устройство США не знающих. Более полицейского государства на земле сейчас просто не существует, а вы ждете, что президент, хотя бы косвенно интересующийся процветанием страны, попрет против службы, которая его в порошок сотрет и не поперхнется?
С Маском история еще ироничнее: сто́ит ему обналичить хотя бы сто миллионов из его так называемого «состояния» — и он банкрот.
Тема приватности в целом и обсуждения о ее ущемлении могут идти намного дальше, согласен. Эта статья узко про веб-браузеры и скрытые угрозы, которые многие из нас привыкли не видеть.
Может быть в этом и есть какой-то намек на реальное состояние дел, то он настолько тонкий, что ег совершенно не видно. Как я сказал по приведенной ссылке, польза от фингерпринтинга выглядит вполне осязаемо. А вот вред от того, что гугл&co может увидеть меня среди миллиардов - не обозначен совершенно. В чем угроза то?
Если вам нечего скрывать - ничего не скрывайте. Статья о том, что вдруг кому-то не безразлична его приватность, а браузер незаметно позволяет ее красть. Это не завершенный философский трактат, чтобы искать в нем строгую систему от причин до следствий; лишь заметка о неожиданных фичах в привычном браузере.
Вы заявили наличие угрозы, но в чем конкретно пострадает мое материальное и моральное положение от того, что меня посчитают, называть отказываетесь.
Мне недавно предъявили ДТП на основании того, что мимокрокодил слышал звук и видел меня рядом с ним. Но даже менты с первой попытки сообразили, что при отсутствии ущерба событие ДТП не существует по определению. (Справедливости ради - это дошло только до эксперта и то только по факту того, что ему нечего было заносить в акт осмотра. Остальным не давало покоя наличие свидетеля, который что-то слышал и видеозаписи, на которой ничего не видно.)
Пчелайн мне официально предлагал пользоваться их базой для идентификации пользователей нашего сайта. Наверное , тоже как то с куки связано
Думаю всё куда проще. Так как DNS не шифруется, сим-карты привязаны к паспортным данным, а сам пчелайн является оператором связи, то он вполне себе может видеть куда отправляются запросы и от какого лица они были отправлены. В итоге, оператор просто формирует базу данных по типу <пользователь:сайт:время>, а далее её продаёт в "обезличенной" форме.
Про приватность (и тем более про анонимность) в контексте обычного интернета очень сложно говорить. Каждый аспект заслуживает отдельного туториала и мозговой активности пользователя для грамотной настройки своего устройства, но риск утечки каких-либо данных все равно очень вероятен просто из-за пробелов в теории и неаккуратности.
Эта статья по узкой и неочевидной теме, о которой иногда даже опытные пользователи защещенного DNS и супер-трипл-VPN не задумываются. Постарался поднять флаг к тому, что не лишним будет еще раз вспомнить, что современные браузеры и сайты - это своеобразный тихий ужас.
Пусть это будет Firefox или его форк — никакой привязки к корпорации со своим поисковиком из коробки, как это сделано в Google Chrome и прочих хромиумных клонах.
Ну вот это довольно спорное утверждение (хотя со всем остальным я согласен, конечно). Вы же не думаете, что ФФ до сих пор пилят пара энтузиастов на коленке? Почитайте, что ли, про скандалы вокруг Mozilla Foundation, и подумайте: что лучше, вылизанный на основе открытого движка какой-нибудь Brave, или ФФ от жадных до денег ребят, которые при случае будут сливать ваши следы не Брендану Эйху, а как раз таки в Гугл.
Моя субъективщина, основанная на том, что Firefox известен обычному пользователю "из Одноклассников" и, учитывая все возможные настройки FF из коробки, этот браузер можно наделить статусом "потенциал приватности", а вот Chromium-поделия без особых навыков даже тестировать затруднительно. Например, WebRTC в хромах вообще не отключается нативно by design.
Но я с вами не спорю. Много факторов зависит от того кому именно рекомендация и кто ее дает.
Если пользователя можно научить влезть в настройки и отключить WebRTC, и ему недостаточно политики «Default Public Interface Only» — намного проще научить его открывать тор-вкладку, не?
Вы правы, спасибо.
Стараюсь не уйти в дебри дискуссий, так как статья не о хороших и плохих браузерах и движках, да и не о безопасности в целом, а о JS и неожиданных фичах, из-за которых в некоторых кругах пользователей его наглухо отрубают.
Это не гайд к действию, а скорее небольшое чтиво на "подумать". Вполне вероятно, после статьи и ваших комментариев кто-то придет к использованию Brave. Я не против.
технология не безобидная и использовать ее надо осторожно, ответственно и с теоритической подготовкой
Поскольку статья очень сильно по теме которой я занимаюсь - позволю себе высказаться.
Во первых - не упомянули hsts pinning, по сравнению с ним все остальные техники трекинга - беззубые котята.
Во вторых, зная о существовании hsts pinning-а И зная как он реализован в хроме/хромиуме, вот это утверждение:
Шизофренией будет сказать, что все это придумано злодеями.
уже звучит не настолько уверенно. Гуглеры хранят hsts записи по хэшу от домена - то есть в принципе информации о том какие именно домены и что именно они положили в hsts хранилище - не достать если заранее не знать домен.
Далее про шизофрению - общался с типуганчиком который делал денег на подслушивающем софте. В общем кухня там следующая - мобильный софт (точнее модуль монетизации) который слушает микрофон на определенных частотах (звуковых) А в торговых центрах крутят всякие музыку/зазывалки/объявления и вот там тоже на определенных частотах пробрасывается инфа, немного, буквально байты, что то вроде id. Так вот, благодаря этому мобильное приложение подслушивающее - может этот id распознать и скинуть агрегатору. А тот уже собирает статистику и определяет потоки трафика. Свучит фантастически но тут надо понимать - это модуль монетиации, они сами мобильный софт не пишут. Это уже разрабы тащат это говно в свои поделия что бы хоть как то отбиться. Да, звучит как ОБС агентство, я сам в эту тему глубоко не погружался но в принципе выглядит как рабочая схема. Помножить на человеческую глупость и жадность - на выходе вполне может быть ощутимый выхлоп.
Далее, вы смешивание два вида различных техник в одну кучу. Фингерпринтинг - это способ определить модель - браузера, железа, операционки. С точки зрения этих техник два разных пользователя на одинаковом железе/софте будут неотличимы. И отдельно идут техники трекинга, это именно то что позволяет навесить на пользователя ярлычок и опознать его в дальнейшем.
Далее, говоря о таких вещах странно не упомянуть антидетект браузеры и мультиаккаунтинг- это именно те сборки которые позволяют обойти все эти шпионские приблуды черезчур активного бизнеса (и не только)
Далее, evercookie устарели, там половина того что они используют уже в браузерах выпилено, supercookie используют только favicons (их Вы тоже не упомянули а стоило бы)
Далее, мест куда можно писать немного больше, есть как минимум еще https://developer.mozilla.org/en-US/docs/Web/API/CacheStorage и он отличается от http кеша.
Ну и напоследок - есть как минимум две техники обхода - сбрасывать к **ам все и не позволять сайтам сохранять в разных укромных местах id пользователя (как делает brave с favicons) либо дать пользователю возможность вести сессии (мультиаккаутнтинг) и в нужный момент переключаться между ними, как делает большинство коммерческих антидетект браузеров (и да, firefox тут вас не спасет, какое бы славное прошлое у него ни было - надо уже найти в себе силенки и посмотреть правде в глаза)
Ну и совсем напоследок похвастаюсь своей сборкой хромиума по этой теме, Ultimatum - мы здесь всерьез и надолго ) https://habr.com/ru/articles/868604/
PPS это не поливание, это конструктивная критика. О безопасности в сети говорить надо и говорить много, уровень осведомленности к сожалению падает, так что за статью и приложенные усилия - отдельное спасибо!
Есть ещё пассивные методы отслеживания без JS, например https://test.noleaks.eu/
Куки баннеры все же не про "цивилизованный мир", а про реализацию согласия для соответствия GDPR в конкретной юрисдикции. Уловки притвориться 1st party там тоже имеются.
JavaScript: Удобство или Угроза? Размышления о Приватности и Вебе