Comments 59
Баннерка, размещённая на домене, который отличается от домена поисковика, не может прочитать чужие куки. В той теме, на которую вы разместили ссылку в начале статьи, я уже рассказывалось, что это делается чтением реферера, а не кук.
Пардон за ошибки, спешу.
Хочу ещё добавить, что блокировка Гугловской статистики здесь абсолютно лишняя. AdRiver читает реферер страницы тем же скриптом, что и выводит рекламу. Достаточно заблокировать показ рекламы.
Хочу ещё добавить, что блокировка Гугловской статистики здесь абсолютно лишняя. AdRiver читает реферер страницы тем же скриптом, что и выводит рекламу. Достаточно заблокировать показ рекламы.
Мне не надо блокировать показы рекламы. Если все заблокируют рекламу, Хабру нечего будет есть, например. Мне просто не хочется, чтобы меня считал Гугл. А вместе с ним и любой другой желающий.
Кстати, я ж написал, что вычислить поисковый запрос, приведший на сайт, можно сильно после того, как пользователь пришёл на сайт.
То есть, пользователь пришёл вчера, крутилку поставили сегодня, а она всё равно знает, что за запрос был. В Вашем случае крутилка должна была быть _до_ того, как пользователь пришёл.
То есть, пользователь пришёл вчера, крутилку поставили сегодня, а она всё равно знает, что за запрос был. В Вашем случае крутилка должна была быть _до_ того, как пользователь пришёл.
Спасибо огромное, я это всё читал и знал до того, как Вы написали =)
Моя заметка просто пересекается с заметкой по ссылке причиной исследования, а именно наличием поискового запроса в куке.
Моя заметка просто пересекается с заметкой по ссылке причиной исследования, а именно наличием поискового запроса в куке.
странно, а разве скрипт с одного домена имеет право читать куки с другого домена? Чё-то я ничё не понял...
А можно поподробнее описать техническую сторону вопроса? А то я почти ничего не понял...
Если просто - у броузера можно спросить, с какой ссылки вы пришли на эту страницу. Достаточно? :)
Гугл аналитикс ставится на многие сайты. При чём ставится он так, что может устанавливать куки для этого сайта, смотреть все данные, которые вводит пользователь, ну и вообще, всячески шпионить. Благодаря глобальности Гугла, он легко можно сопоставить все мои логины/пароли с моим именем и паспортными данными. Эта идея не очень мне нравится.
Техническая сторона на пальцах:
Гугл аналитикс на сайтах имеет такие же права, как и скрипты с сайтов. Потому что вставляется на страницу таким образом: <script src="http://www.google-analytics.com/urchin.js" type="text/javascript">
Благодаря тому, что он ставит куки для сайта, этим могут пользоваться и другие, например, некоторые баннерные крутилки.
Техническая сторона на пальцах:
Гугл аналитикс на сайтах имеет такие же права, как и скрипты с сайтов. Потому что вставляется на страницу таким образом: <script src="http://www.google-analytics.com/urchin.js" type="text/javascript">
Благодаря тому, что он ставит куки для сайта, этим могут пользоваться и другие, например, некоторые баннерные крутилки.
Логи и пароли в куках? O_o
Не думаю, что всё будет настолько печально =)
Скорее всего, логины/пароли и прочие данные они уже хранят или будут хранить в других местах. Сопоставлять их между собой и с любыми другими моими данными можно через глобальный идентификатор уже внутрях Гугла.
Получить их можно просто подписавшись на сабмит всех форм страницы. Пользователь всё ввёл, нажал сабмит, Гугл собрал все введённые данные, отправил их к себе на сервер и вызвал настоящий обработчик сабмита. Всё довольно просто.
Скорее всего, логины/пароли и прочие данные они уже хранят или будут хранить в других местах. Сопоставлять их между собой и с любыми другими моими данными можно через глобальный идентификатор уже внутрях Гугла.
Получить их можно просто подписавшись на сабмит всех форм страницы. Пользователь всё ввёл, нажал сабмит, Гугл собрал все введённые данные, отправил их к себе на сервер и вызвал настоящий обработчик сабмита. Всё довольно просто.
Гугл аналитикс на сайтах имеет такие же права, как и скрипты с сайтов.
Снимаю шляпу. Провёл эксперимент, действительно есть такая дыра. Скрипт с чужого домена доступа к самой странице не имеет, а вот куки видит.
Хотя стойте... Видит то видит. Но оперировать с куками он может по идее только в пределах страницы. А это совсем не то же самое, что передать полученную инфу на другой домен. Продолжаю эксперимент. :)
Скрипт с чужого домена, подключенный через script src, может всё, что может скрипт с того же самого домена. Ставить куки для домена сайта, смотреть что я ввожу в формах, отправлять это на свой сервер и так далее.
Опа! А Вы ведь совершенно правы! Только что провёл эксперимент: "кросс-доменно" вычитал ту самую злополучную куку utmctr, которую ставит Google Analytics... Забавно получается, это ведь, если по-хорошему, серьёзная дырочка в безопасности...
Коллеги, за что минусуете пост? Его нужно вверх продвигать!
Коллеги, за что минусуете пост? Его нужно вверх продвигать!
А как дело с запросами из других поисковиков? Ведь баннер подставлял и запросы Яндекса.
Я не знаю, как работал Адривер там. Может быть, он сам смотрел реферер, может быть пользовался кукой Гугла - что мешает Гуглу иметь у себя базу поисковых систем, чтобы правильно выкусывать поисковый запрос? Счётчики на сайтах ведь умеют показывать статистику поисковых запросов =)
Моя заметка в большей степени о том, что глобальность Гугла мне не нравится. Ну и немного о том, что данными Гугла могут пользоваться другие компании.
Моя заметка в большей степени о том, что глобальность Гугла мне не нравится. Ну и немного о том, что данными Гугла могут пользоваться другие компании.
Вы Гугл Аналитикс видели :)? Он знает все ведущие поисковики мира. Для него нет разницы, зашли ли Вы с Гугла или Яндекса, просто в этой куке в поле "ID поисковика" будет написано google или yandex соответственно. Наберите в Яндексе "metal", перейдите по первой ссылке и посмотрите куку __utmz: там будет "...utmccn=(organic)|utmcsr=yandex|utmctr=metal|utmcmd=organic..." - вот Вам и ключевое слово.
Меня пугает другое. Мы размещаем у себя на сайтах код всяких счётчиков. А они имеют полный доступ к нашим кукам. Пять баллов. Вот это действительно Большой Брат...
Меня пугает другое. Мы размещаем у себя на сайтах код всяких счётчиков. А они имеют полный доступ к нашим кукам. Пять баллов. Вот это действительно Большой Брат...
Счётчики размещают картинку.
Да, они считают всех. Но максимум, что им доступно, это определить моё поведение (то есть, на каких страницах бываю). Получить какие-либо мои данные они не могут. А Гугл аналитикс может. И может собрать воедино вообще всё, что я ввожу на сайтах, все мои сообщения, все мои телефоны/адреса/счета и так далее.
Да, они считают всех. Но максимум, что им доступно, это определить моё поведение (то есть, на каких страницах бываю). Получить какие-либо мои данные они не могут. А Гугл аналитикс может. И может собрать воедино вообще всё, что я ввожу на сайтах, все мои сообщения, все мои телефоны/адреса/счета и так далее.
А вот и нет, Гугл Аналитикс нынче далеко не единственный, кто вставляет свой код при помощи внешнего JS-файла. Так что это многим системам доступно.
Счётчики так не вставляются обычно.
А про многих других я писал ещё в заметке - найду блокиратор, который блокирует загрузку всех чужих JS.
А про многих других я писал ещё в заметке - найду блокиратор, который блокирует загрузку всех чужих JS.
Раньше не вставлялись. А, кажется, SpyLOG как раз недавно анонсировал новую версию кода, которая - внимание! - вставляется в одну строку! Угадайте, какую :).
P.S.: Насчёт SpyLOG не уверен, но какой-то из общедоступных сервисов точно.
P.S.: Насчёт SpyLOG не уверен, но какой-то из общедоступных сервисов точно.
Специально сейчас перепроверил. Вот навскидку те сервисы, которые вставляют свой код через script src:
1. Google Analytics
2. Google AdSense
3. Яндекс.Директ (точнее, MixMarket, который - для "розничных" продавцов)
4. SpyLOG
Это просто из тех, чьими услугами я пользуюсь или пользовался у себя на портале. Наверняка есть и многие другие.
1. Google Analytics
2. Google AdSense
3. Яндекс.Директ (точнее, MixMarket, который - для "розничных" продавцов)
4. SpyLOG
Это просто из тех, чьими услугами я пользуюсь или пользовался у себя на портале. Наверняка есть и многие другие.
Тем более блокиратор для внешних скриптов сейчас актуален =)
Ну, это зависит от масштабов паранойи ;). Мне лично даже забавно посмотреть, как инфу о моей истории поиска используют в маркетинговых целях :).
История поиска это ерунда по сравнению с паспортными данными и логинами/паролями =)
Логины-пароли в куках - это нонсенс! Не ходите на сайте, где такую инфу кладут в куки :)!
Логины-пароли и прочие данные могут лежать у них на серверах. В куках только поисковые запросы.
Конечно на серверах. Но туда они попадают только по Вашему согласию, а блокировка js-кода, внешнего к домену, не заставит Вас самостоятельно не регистрироваться в сервисах Гугла :).
Когда я ввожу логин/пароль на drive.ru, я никакого согласия на сохранение этих данных в Гугле не даю. Они могут и без спроса их взять.
Чтобы не могли, надо блокировать внешние JS скрипты.
Регистрация на сервисах Гугла к этому не имеет отношения.
Чтобы не могли, надо блокировать внешние JS скрипты.
Регистрация на сервисах Гугла к этому не имеет отношения.
Мы ведь говорим про анализ Вашего поведения в Сети, который проводят различные сервисы в своих меркантильных целях. Именно этого Вы сможете избежать, включив какие-то блокировки. А логины/пароли - это совсем другое, их никто из кук не украдёт, в отличие от последнего поискового запроса :).
так обьясните же как от этого защитится ?
Очевидно не ставить счетчики и тереть куки судорожно сидя через Tor ;)
Я уже раз 20 написал, что куки это ерунда. Гораздо важнее то, что Гугл и любой другой, кто на сайте появляется в виде JS-скрипта через script src, может читать все данные пользователя, которые пользователь вводит. В случае с Гуглом это любой сайт, где стоит Гугл аналитикс.
Что мешает производителям Firefox'а собирать данные которые пользователь вводит в формы? Что мешает Майкрософту делать это в пределах всей ОС?
На мой взгляд ситуация с Гуглом аналогичная. К тому же всегда можно посмотреть что делает скрипт гугла или я ошибаюсь?
На мой взгляд ситуация с Гуглом аналогичная. К тому же всегда можно посмотреть что делает скрипт гугла или я ошибаюсь?
Firefox'у мешает собирать сообщество его девелоперов =)
Майкрософту мешают спецслужбы правительств стран, куда они отдают исходники на аккредитацию.
Гугл же никому ничего не должен. И Спайлог никому ничего не должен. И крутилки баннеров не должны. Рорер стоит на куче сайтов, ты когда-нибудь слышал, что с ними заключаются договора на тему несобирания данных пользователей? ;)
Посмотреть, что он делает, можно, только хрена с два ты увидишь =) Потому что они могут тебе давать скрипт один, мне другой, а кому-то третий. Их же код лежит на серверах, а не на компе.
Майкрософту мешают спецслужбы правительств стран, куда они отдают исходники на аккредитацию.
Гугл же никому ничего не должен. И Спайлог никому ничего не должен. И крутилки баннеров не должны. Рорер стоит на куче сайтов, ты когда-нибудь слышал, что с ними заключаются договора на тему несобирания данных пользователей? ;)
Посмотреть, что он делает, можно, только хрена с два ты увидишь =) Потому что они могут тебе давать скрипт один, мне другой, а кому-то третий. Их же код лежит на серверах, а не на компе.
Смотря от чего защищаться.
Если от Гугл аналитикс и ко, только блокировкой внешних JS. У меня сейчас стоит в FF плагин Adblock, блокирует только Гугл аналитикс. Как будет время и желание, найду способ блокировать все вшеншние скрипты.
Если от Гугл аналитикс и ко, только блокировкой внешних JS. У меня сейчас стоит в FF плагин Adblock, блокирует только Гугл аналитикс. Как будет время и желание, найду способ блокировать все вшеншние скрипты.
NoScript - очень полезная штука.
А вот и правильное объяснение, как защищаться: NoScript
Автору топика:
Вы забыли учесть одно, что бывают first party и third party куки. Google Analytics использует только first party куки, поэтому эти данные он не может расшаривать для других своих или сторонних сервисов. В отличие от всяческих Spylog'ов и т.д.
Подробно я описал в статье "Куки как счетчик посещений"
http://kpis.ru/2007/03/18/cookies_internet_counter.html
Вы забыли учесть одно, что бывают first party и third party куки. Google Analytics использует только first party куки, поэтому эти данные он не может расшаривать для других своих или сторонних сервисов. В отличие от всяческих Spylog'ов и т.д.
Подробно я описал в статье "Куки как счетчик посещений"
http://kpis.ru/2007/03/18/cookies_internet_counter.html
А гугл аналитикс и не расшаривает. Хоть это 10 party куки. У него никто не спрашивает, потому что доступ к кукам базового домена имеют все, кто грузится через script src. Про другие сервисы надо было применять мозг при чтении когда делается запрос за яваскриптом на сайт Гугла, он выдаёт глобальный идентификтор пользователю, что позволяет любому сервису Гугла получать доступ к любой информации о пользователе, потому что эта информация может храниться не только в куках, но и в БД Гугла.
И статья по ссылке херня. Банальности и глупости. LiveInternet куки ставит для своего домена, а не для домена, на котором стоит счётчик, что вполне законно.
И статья по ссылке херня. Банальности и глупости. LiveInternet куки ставит для своего домена, а не для домена, на котором стоит счётчик, что вполне законно.
Sign up to leave a comment.
Про поисковые запросы в куках