Comments 25
Мой пароль, который я ввожу на сайте с HTTPS улетает таким вот скриптом?
Я, конечно, предполагал, что всеобщее повальное увлечение HTTPS немного… наивно, но что настолько!
Одна и та же компания сначала понижает в выдаче HTTP сайты и везде говорит про пользу шифрования, а сама ставит сбор, хм, аналитики в HTTP.
Я, конечно, предполагал, что всеобщее повальное увлечение HTTPS немного… наивно, но что настолько!
Одна и та же компания сначала понижает в выдаче HTTP сайты и везде говорит про пользу шифрования, а сама ставит сбор, хм, аналитики в HTTP.
А вы думали, что эта одна компания затеяла бучу с https ради всеобщего блага? Весьма наивно с вашей стороны. Всё сводится к защите пользовательских данных от конкурентов, чтобы использовать их единолично.
Добрый день. К сожалению, суть статьи Motherboard была искажена при переводе. Для доставки данных от пользователей до Метрики мы используем только HTTPS. А для воспроизведения посещений в интерфейсе самой Метрики мы вынуждены использовать HTTP из-за ограничений браузеров на загрузку HTTP-контента с HTTPS-сайтов.
Ваш пароль — это данные реальном элементе на веб странице. Любой скрипт который имеет доступ к странице — видит её целиком.
А ещё обратите внимание на IP адреса откуда Вам отдают HTTPS контент. Очень часто сейчас это CDN которая не имеет никакого отношения к самой компании. А CDN не может кешировать зашифрованный контент. Поэтому контент дешифруется на стороне CDN и она имеет все данные переданные пользователем в сторону сайта в открытом виде. И разумеется может точечно подсунуть посетителю свой скрипт.
А ещё обратите внимание на IP адреса откуда Вам отдают HTTPS контент. Очень часто сейчас это CDN которая не имеет никакого отношения к самой компании. А CDN не может кешировать зашифрованный контент. Поэтому контент дешифруется на стороне CDN и она имеет все данные переданные пользователем в сторону сайта в открытом виде. И разумеется может точечно подсунуть посетителю свой скрипт.
«HTTP используется намеренно, поскольку записи сеансов загружают сайты по iframe. К сожалению, загрузка HTTP-контента на HTTPS-сайтах запрещена на уровне браузера, поэтому HTTP-плееру приходится поддерживать HTTP-сайты для этой функции», — говорится в заявлении.
Яндекс: это не баг, а фича!
Помнится, Олег Тиньков говорил, что на сайте их банка логируется заполнение онлайн-форм (заявки на кредит/кредитные карты). Например, ввёл ли пользователь имя и телефон сразу или менял содержимое этих полей в процессе заполнения. Вроде как это учитывается при принятии решения по заявке.
Может, в том числе и поэтому скорость работы сайта банка много жалоб?)
Может, в том числе и поэтому скорость работы сайта банка много жалоб?)
Разве это не обычная практика?
У меня есть сайт, на нем стоит Яндекс-метрика. Я захожу в аналитику и смотрю все действия посетителя в виде роика. Где мышкой водит, куда тыкает. Насчет заполенния форм не знаю, правда.
У меня есть сайт, на нем стоит Яндекс-метрика. Я захожу в аналитику и смотрю все действия посетителя в виде роика. Где мышкой водит, куда тыкает. Насчет заполенния форм не знаю, правда.
Так вот почему современные сайты тормозят на AMD Athlon X2.
А по сути нужен uBlock с правильными подписками, а лучше RequestPolicy с белым списком.
А по сути нужен uBlock с правильными подписками, а лучше RequestPolicy с белым списком.
ScriptSafe или NoScript режут всё, что прямо не разрешено
я.метрика кстати на хабре/гт пишет все действия пользователя
я.метрика кстати на хабре/гт пишет все действия пользователя
UFO just landed and posted this here
Пользовательские сессии записываются только если вебмастер принимает решение включить session replay в Метрике. Сами сессии при этом анонимизированы, все персональные данные, такие как IP-адрес или электронная почта, не показываются.
не показываются, но они есть, так? значит для веб-мастера анонимизированы, а для вас нет
Пароли не записываются и никуда не передаются.
да, мы уже поняли, что часть данных не отображается для простых смертных.
но это не значит, что данные не записываются.
даже если сейчас не записываются — кто гарантирует, что они раньше не записывались, или не будут записываться позже? что все подлежащие маскированию данные правильно анализируются и действительно весь объем маскируется?
и почему речь только о паролях? лично меня например напрягает, когда на странице оплаты е-магазина висит веб-визор, а там вполне себе карточные данные вводятся.
я никого не обвиняю, не подумайте. исключительно констатация фактов.
всё, что шевелится мышью или вводится в интернете — в лучшем случае там и остается.
в худшем сливается на сторону или используется против вас, достаточно вспомнить те же звонки ТКС на телефоны из недозаполненных форм анкет.
но это не значит, что данные не записываются.
даже если сейчас не записываются — кто гарантирует, что они раньше не записывались, или не будут записываться позже? что все подлежащие маскированию данные правильно анализируются и действительно весь объем маскируется?
и почему речь только о паролях? лично меня например напрягает, когда на странице оплаты е-магазина висит веб-визор, а там вполне себе карточные данные вводятся.
я никого не обвиняю, не подумайте. исключительно констатация фактов.
всё, что шевелится мышью или вводится в интернете — в лучшем случае там и остается.
в худшем сливается на сторону или используется против вас, достаточно вспомнить те же звонки ТКС на телефоны из недозаполненных форм анкет.
правильный ответ:
"- да, мы собираем все возможные данные. да, заботливо храним их и показываем только часть. да, пока не придумали, как заработать на оставшейся части, но работаем над этим. и да — мы заботимся о безопасности наших данных."
но этот ответ никто вам не озвучит
"- да, мы собираем все возможные данные. да, заботливо храним их и показываем только часть. да, пока не придумали, как заработать на оставшейся части, но работаем над этим. и да — мы заботимся о безопасности наших данных."
но этот ответ никто вам не озвучит
Я думал что Ghost блокирует эти скрипты. По крайней мере это когда то работало для яндекс метрики.
Исследователи установили, что подписки на списки блокировки EasyList и EasyPrivacy не блокируют скрипты FullStory, Smarlook или UserReplay, но содержат правила фильтрации, препятствующие скриптам «Яндекса», Hotjar, ClickTale и SessionCam собирать данные.
Смотрю в подписку EasyPrivacy:
||userreplay.net^$third-party
||fullstory.com^$third-party
||smartlook.com^$third-party
Ну да записывают данные, и что?
Типа это плохо и давайте попросим правительство чтоб оно им это запретило?
Или какой посыл?
Как вебмастер, я всегда считал что все данные которые попали в мои логи — это мои данные.
Когда я понял что яндекс метрика прячет от меня часть этих данных, что я ip своих посетителей не вижу, если пользуюсь только их статистикой, я был возмущен.
Sign up to leave a comment.
Исследование: более 400 крупных популярных сайтов записывают пользовательские сессии