Pull to refresh
  • by relevance
  • by date
  • by rating

Google и Facebook следят за нами даже на порносайтах

Information Security *Legislation in IT
Исследователи из Microsoft, университета Карнеги — Меллона и университета Пенсильвании проверили 22 484 порносайта и обнаружили, что 93% из них передают данные о посетителях третьей стороне. Главный «шпион» на порносайтах — компания Google (DoubleClick), чьи трекеры установлены на 93% страниц. Трекеры Facebook установлены на 10% порносайтов.

Конечно, посещать порносайты рекомендуется в режиме инкогнито, чтобы не оставлять адреса в истории посещённых страниц. Однако даже режим инкогнито не гарантирует защиту от трекинга.

Научная статья “Tracking sex: The implications of widespread sexual data leakage and tracking on porn websites“ опубликована 15 июля 2019 года на сайте препринтов arXiv.org (arXiv:1907.06520). Статья принята для публикации в журнале New Media & Society.
Читать дальше →
Total votes 16: ↑14 and ↓2 +12
Views 19K
Comments 41

В Европе адвокат требует тысячу евро за каждый cookie, установленный без согласия

Information Security *Legislation in IT
Необычный случай произошел в Австрии. Адвокат из Зальцбурга потребовал взыскать с немецкой компании круглую сумму за нарушение правил использования cookies.

Читать дальше →
Total votes 20: ↑17 and ↓3 +14
Views 15K
Comments 50

GitHub убрал предупреждение о куки, потому что сторонних сервисов на сайте больше нет

GitHub IT-companies


17 декабря 2020 года глава GitHub Нэт Фридман (Nat Friedman) в блоге компании рассказал, что на сайте сервиса теперь нет предупреждения о куки (cookie-баннера). Разработчики полностью убрали из кода сайта ссылки на сторонние сервисы для аналитики, отслеживания и рекламы.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 4.5K
Comments 7

Британское правительство открыло расследование действий Google со сторонними куки в Chrome

Google Chrome Browsers Legislation in IT

Управление по вопросам конкуренции и рынкам, британское внемистерское правительственное ведомство, начало расследование действий Google по удалению сторонних файлов куки в браузере Chrome.

Читать далее
Total votes 5: ↑5 and ↓0 +5
Views 7K
Comments 4

Вышел Firefox 86 с блокировкой межсайтовых куки

Firefox Information Security *Browsers

Mozilla выпустила версию Firefox 86 с функцией приватности Total Cookie Protection. Она блокирует отслеживание активности пользователя. Компания поясняет, что Total Cookie Protection обеспечит каждому сайту собственное «хранилище cookie», чтобы предотвратить межсайтовое отслеживание активности.

Читать далее
Total votes 17: ↑16 and ↓1 +15
Views 5.7K
Comments 10

«Яндекс.Браузер» наконец-то заблокировал сторонние трекеры

Information Security *Browsers
«Яндекс.Браузер» по умолчанию ограничил передачу файлов cookie сторонним трекерам, объявила компания в официальном блоге.

Технология идентификации пользователей через куки разработана несколько десятилетий назад, а современные браузеры постепенно отказываются от неё, поскольку сторонние куки не обеспечивает достаточную конфиденциальность данных.

Браузеры Firefox и Safari уже запретили сторонние куки. Защищённые браузеры типа Brave и Tor никогда их не разрешали. В ближайшие два года трекинг пользователей по умолчанию обещают отключить в Chrome.
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 3.8K
Comments 3

Внедрение со стороны Google API FLoC вместо Cookie может только повысить уровень слежки за пользователям

ITSumma corporate blog Information Security *Google Chrome API *Browsers

Организация Electronic Frontier Fondaution (EFF), которая специализируется на соблюдении прав пользователей в интернет-пространстве, раскритиковала новую разработку Google — FLoC, которая преподносится как альтернатива классическим Cookie. По мнению специалистов, новая и якобы обезличенная система, решая проблемы Cookie при этом создает целый ряд своих собственных, некоторые их которых — весьма серьезны в плане сохранения анонимности.

Напомним, компания Google в рамках инициативы Privacy Sandbox, представила публике систему API Federated Learning of Cohorts (FLoC) — систему таргетирования на основе «слепка интересов».

Основная цель новой разработки, которая будет реализована на базе Chrome и уже включена как экспериментальная функция в сборку Chrome 89 — собирать данные о пользователях, на строне устройства обрабатывать данные с помощью машинного обучения, и уже после предавать на серверы «обезличенные» данные, т.е. без конкретной истории поиска или посещений сайтов. Основная идея — создавать на стороне браузера полуфабрикат, который бы относил пользователя к какой-то группе по интересам (когорте), на базе информации о которой будет выстраиваться рекламная политика.

Компания заявила, что с новой системой рекламодатели смогут получить конверсию на уровне 95% за каждый доллар, потраченный на рекламу.

EFF обеспокоены тем, что продвигая новый API FLoC вместо привычных Cookie, Google просто устраняет существующие проблемы созданием новых. Так, если данные о когортах сможет получить любой сайт, то это создает условия для предварительной жесткой фильтрации целых групп пользователей исходя из их обобщенных предпочтений. Также растет вероятность активного применения хищнического таргетинга.

Вместо того, чтобы полностью отказаться от таргетинга, Google пытается просто внедрить новый метод, но уже со своими проблемами. В EFF считают, что пользователь должен сам решать, какую информацию передать каждому сайту.

Наибольшее беспокойство вызывают потенциальные манипуляции пользовательским поведением, исходя из обобщений его предыдущей деятельности и посещений. В итоге мы можем столкнуться с «клеймением» со стороны Google, когда какой-то период деятельности человека в сети будет тащиться за ним хвостом неопределенное время, переходя от сайта к сайту.

Читать далее
Total votes 17: ↑17 and ↓0 +17
Views 6.1K
Comments 8

Сайты начали добавлять фейковую задержку для тех, кто не принимает куки

ITSumma corporate blog Website development *Interfaces *Usability *Design


Сайт Starbucks UK стал одним из первых крупных сайтов, который внедрил тёмные паттерны для установки куков. Если пользователь отказывается, сайт выводит диалог: «Обработка заявки на изменение предпочтений. В данный момент мы обрабатываем вашу заявку на изменение настроек куков. Это может занять несколько минут».

Если согласиться на вариант по умолчанию, «заявка» обрабатывается мгновенно.
Читать дальше →
Total votes 48: ↑48 and ↓0 +48
Views 14K
Comments 33

Кроссдоменная авторизация

Lumber room
Вот сижу я и думаю как лучше реализовать (начитавшись всякого), сделать через фреймы или через <script src="..."/> с передачей SID на другой домен.
Пока не знаю :(
Rating 0
Views 798
Comments 0

Авторизация — решение

Lumber room
В общем ни через фреймы/script ничего путнего не вышло — подвел IE…

1. в Opera, FF все гут авторизация по 26 доменам проходит быстрой и приятно для пользователя, но в IE на стандартных настройках не принимает куки если страница или файл который пытается их поставить находится на другом домене.

2. Подумав было решено сделать просто редиректами по списку, но и тут не все так гладко. У FF в настройках по дефолту 20 редиректов подряд максимум :(

3. И наконец всё все было сделано опять же на редиректах на JS при которых на странице пользователю отображется прогресс авторизации и в итоге кидает на домен на котором пользователь авторизовывался.

P.S. OpenID не подходит ввиду того что необходимо вводить логин.
Total votes 11: ↑2 and ↓9 -7
Views 251
Comments 5

Переменные сессии на яваскрипте без кук

Website development *
Translation
Мне никогда не нравилась реализация кук в Яваскрипте. Объем ограничен (4х20 Кб на домен), хранить возможно только в строковом типе, синтаксис для установки и получения кук избыточно сложен.

И более того, браузер добавляет куки в заголовок запроса — а так как многие корпоративные файрволы пропускают только заголовки до некоторого размера, то ваши страницы могут вообще не загрузиться (я видел — это ужасно).

Поэтому я написал маленький скрипт, который позволит вам использовать переменные сессии в Яваскрипте без установки кук. Он позволяет хранить до 2 Мб данных, что намного меньше ограничивает в возможностях, чем решение на основе кук.

Читать дальше →
Total votes 70: ↑66 and ↓4 +62
Views 29K
Comments 135

Безопасность на хабре

Website development *
А расскажу я вам сегодня про фичу, которую совсем недавно мне понадобилось сделать в одном проекте. А именно о функции «Запомнить меня на этом компьютере». Смешно не правда ли? Что же тут сложного? Сохраняй куки на две недели, месяц, потом вытаскивай и восстанавливай сессию. Ага, всё просто. А я встал в тупик. Меня часто ставят в тупик самые простые вещи.Так что же меня смутило…

Читать дальше →
Total votes 155: ↑142 and ↓13 +129
Views 1.8K
Comments 68

(Java) Tomcat: делаем кросс-доменную сессию

Website development *

Описание задачи:


Вы делаете проект на java под Tomcat. И решили организовать разделы своего сайта в виде поддоменов.
К примеру, на сайте www.domen.xx сделать разделы: mail.domen.xx, user.domen.xx и т.п. В какой-то момент разработки вы с удивлением обанружите, что пользовательская сессия вопреки ожиданиям существует строго в рамках одного домена. То есть юзер авторизовавшись на главной странице (www.domen.xx), переходя почту (mail.domen.xx), теряет авторизацию.

Дело в том, что сессия привязывается к клиенту через cookie с именем JSESSIONID и с пустым доменом. А когда домен не указан, браузер использует полный текущий домен. То есть сессия привязывается не к «domen.xx», а к «www.domen.xx». По неизвестной мне причине в Томкэте нет настроек позволяющих управлять этим поведением.

Читать дальше →
Total votes 30: ↑30 and ↓0 +30
Views 11K
Comments 36

Символ подчеркивания в именах сайтов и cookie

Website development *
Столкнулся сегодня с интересной проблемой, которая нагло выжрала 1.5 часа драгоценного времени. Надеюсь поможет другим избежать той же участи. :-)
Читать дальше →
Total votes 81: ↑62 and ↓19 +43
Views 17K
Comments 71

О самоподписных сертификатах

Information Security *
В связи с моим участием в проекте fin-ack.com постоянно сталкиваюсь с подобными замечаниями:
я не доверяю вашому самоподписному сертификату, почему вы не купите «нормальный» сертификат?

Как по мне, это один из случаев недопонимания и предрассудков, которых так много в отношении безопасности в Интернете. (Вроде знаменитых «Хакеров, крекеров, спамов, куки» :). Хочу разобрать его с двух точек зрения: как человека, некоторое время проработавшего в сфере защиты информации в банке и имевшего дело с большинством аспектов информационной безопасности, и как человека, занимающегося разработкой и развитием интернет-сервиса.

Но сперва отвечу на вопрос, почему у нас нет «нормального» сертификата? (На самом деле, с недавнего времени есть :) Самая главная причина в том, что в нашем списке приоритетов этот пункт стоял на N-ном месте, и только сейчас все N-1 предыдущих пунктов были выполнены. Когда работаешь над новым проектом, всегда приходится от чего-то отказываться, потому что ресурсы, прежде всего временные, ограничены…

А почему же он стоял аж на N-ном месте?
Во-первых, зачем вообще нужен сертификат SSL? Для того, чтобы зашифровать HTTP-соединение между браузером и сайтом, по которому будет передаваться пароль и какие-то другие конфиденциальные данные. Что изменится, если сертификат не подписан доверенным центром сертификации? Ничего! Соединение все равно будет зашифрованно точно также. Единственная возможная проблема: атака человек-посредине, которая в Интернете обычно является phishing'ом или pharming'ом.
  • При фишинге пользователя перенаправляют на сайт с похожим URL. При этом в браузере обязательно появится предупреждение про сертификат (такое же предупреждение появляется и при первом заходе на реальный сайт с самоподписным сертификатом).

    В общем-то, в этой ситуации достаточно просто посмотреть к какому домену относится сертификат, и если это именно тот домен, на который вы хотели попасть, добавить сертификат в доверенные. После этого любое сообщение о недоверенном сертификате для данного сайта можно воспринимать как тревожный звоночек.
  • Отличие фарминга в том, что в данном случае пользователь попадет как-бы на тот сайт, на который хотел (судя по URL). Впрочем, ему также как и при фишинге будет показано сообщение о недоверенном сертификате.

Но это только начало...
Total votes 83: ↑59 and ↓24 +35
Views 22K
Comments 174

Опера отдыхает 1 января?

Opera
Столкнулся с интересным поведением кукисов в опере в день 1 января 1997/2001/2005… годов.
Мои действия:
1. перевожу системную дату на 1 января 1997 года,
2. устанавливаю в скрипте куки со временем жизни 100 секунд,
3. вывожу document.cookie.
Результат — куки не установлен.

Повторяю те же действия, но устанавливаю время жизни куки в 1 сутки (86400 секунда). Результат — всё работает.

В другие даты всё работает ожидаемо, т.е. куки устанавливается.

Проверочный скрипт. Откройте в опере. Должен установиться куки с именем test_100sec. Теперь переведите дату и обновите страницу (можете для чистоты эксперимента почистить куки). Ваши комментарии?

Обновл. Сначала дал неверную ссылку. Исправил.
Total votes 62: ↑48 and ↓14 +34
Views 450
Comments 15

Автор SauceKit арестован

Lumber room
В Лас-Вегасе арестован Кристофер Кеннеди (Christopher Kennedy), который обвиняется в продаже зловредного софта под названием SauceKit. Это программа позволяет незаметно внедрять ничего не подозревающим пользователям чужие реферальские куки. Достаточно просто опубликовать специальный скрипт на каком-нибудь форуме (скрипт можно внедрить разными способами) — и все посетители форума станут вашими рефералами на eBay. Соответственно, вы получите своё партнёрское вознаграждение от eBay Partner Network. Как сообщается, некоторые владельцы SauceKit зарабатывают до $10 000 ежемесячно, используя этот софт (подробности см. в ордере на арест, PDF).
Читать дальше →
Total votes 38: ↑34 and ↓4 +30
Views 206
Comments 30

Про «забывчивость» веб-сервисов

Lumber room
Практически каждый сервис, имеющий регистрацию пользователей, при входе дает возможность запомнить пользователя. Реализовано это через куки, для пользователя — лишь скромная галочка «запомнить меня» в форме авторизации и/или регистрации. Простая технология, предназначенная для упрощения работы пользователей с сервисом, удобная и уже ставшая привычной.

Однако как же раздражает, когда сервис вдруг в определенный момент «забывает меня», — попросту подходит к концу срок на который куки устанавливались с того самого момента, когда пользователь поставил галочку и вошел. У пользователя появляется проблема вспомнить и ввести пароль (разумеется речь об отключенном менеджере паролей в браузере), а одновременно с этим возникает и вопрос мотивации продолжения использования данного веб-сервиса.

Как этого избежать? Существуют простые решения
Total votes 50: ↑24 and ↓26 -2
Views 157
Comments 27

Evercookie — самые устойчивые куки

Website development *
Samy Mamkar разработал систему, которая позволяет хранить куки в 8 местах, автоматически восстанавливая друг друга, и даже добиться того, чтобы куки, поставленное в одном браузере, действовало и в другом.

Удалить это куки практически невозможно! (Все возможно, конечно, но слишком много мороки)

Куки хранятся в:
  • HTTP Cookies;
  • Local Shared Objects (Flash);
  • Сохранение куки в значениях RGB автосгенерированных и форсированно кэшированных PNG с использованием HTML5 canvas;
  • Сохранение куки в Web History;
  • HTML5 Session Storage;
  • HTML5 Local Storage;
  • HTML5 Global Storage;
  • HTML5 Database Storage через SQLite.

При удалении из одного из этих мест кука автоматически восстанавливается из оставшихся. Работает даже если пользователь сменит браузер (через Local Shared Objects из Flash).

Описание (на английском) и демо: http://samy.pl/evercookie/.
Попробуйте удалить куки, почистить систему и зайти назад.



Как пользоваться?
Читать дальше →
Total votes 111: ↑107 and ↓4 +103
Views 66K
Comments 68

Авторизация через JS

JavaScript *VK API *
Сегодня что-то дернуло прикрутить к своему сайту авторизацию через Вконтакте. Покрутился по интернету, посмотрел на типовое решение на сайте Вконтакта. Решил проверить. И не получилось.

Более того — отправился на сайт великого и могучего. Но и там не получилось.

Поискал информацию на хабре, потом на гугле, потом начал тестировать.
Читать дальше →
Total votes 16: ↑9 and ↓7 +2
Views 14K
Comments 7
1