Pull to refresh
  • by relevance
  • by date
  • by rating

В Европе адвокат требует тысячу евро за каждый cookie, установленный без согласия

Information Security *Legislation in IT
Необычный случай произошел в Австрии. Адвокат из Зальцбурга потребовал взыскать с немецкой компании круглую сумму за нарушение правил использования cookies.

Читать дальше →
Total votes 20: ↑17 and ↓3 +14
Views 15K
Comments 50

Браузер Safari отныне блокирует все сторонние cookie-файлы по умолчанию

Safari Browsers


Компания Apple выпустила обновление системы конфиденциальности Intelligent Tracking Prevention (ITP) для браузера Safari 13.1. Отныне браузер по умолчанию блокирует все сторонние файлы cookie. Это означает, что рекламодатели и аналитические компании больше не смогут использовать cookie-файлы для отслеживания активности пользователей в интернете.
Читать дальше →
Total votes 12: ↑10 and ↓2 +8
Views 9.9K
Comments 16

Google на время снимает ограничения в Chrome 80 на передачу Cookie между сайтами, не использующими HTTPS

Google Chrome Browsers


3 апреля 2020 года Джастин Шух (Justin Schuh), директор отдела Chrome Engineering, сообщил в корпоративном блоге Chromium Blog о том, что Google на неопределенное время снимает ограничения в Chrome 80 на передачу Cookie между сайтами, не использующими HTTPS.
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Views 7.3K
Comments 11

Chrome уличили в хранении данных сайтов Google

Information Security *Google Chrome Browsers
image

Пользователь обнаружил, что Chrome исключает собственные сайты Google, такие как поисковик и YouTube, из настройки в браузере «Файлы cookie и данные сайта», где можно включить параметр «Очистить файлы cookie и данные сайта при выходе из Chrome».
Читать дальше →
Total votes 11: ↑10 and ↓1 +9
Views 6K
Comments 2

Apple обвинили в слежке за пользователями через рекламный трекер IDFA

Information Security *Legislation in IT Reading room

Правозащитная организация Noyb подала две жалобы на Apple в немецкий и испанский органы по защите персональных данных. Компанию обвиняют в нарушении законов ЕС о конфиденциальности.

Читать далее
Total votes 19: ↑19 and ↓0 +19
Views 3.9K
Comments 3

Внедрение со стороны Google API FLoC вместо Cookie может только повысить уровень слежки за пользователям

ITSumma corporate blog Information Security *Google Chrome API *Browsers

Организация Electronic Frontier Fondaution (EFF), которая специализируется на соблюдении прав пользователей в интернет-пространстве, раскритиковала новую разработку Google — FLoC, которая преподносится как альтернатива классическим Cookie. По мнению специалистов, новая и якобы обезличенная система, решая проблемы Cookie при этом создает целый ряд своих собственных, некоторые их которых — весьма серьезны в плане сохранения анонимности.

Напомним, компания Google в рамках инициативы Privacy Sandbox, представила публике систему API Federated Learning of Cohorts (FLoC) — систему таргетирования на основе «слепка интересов».

Основная цель новой разработки, которая будет реализована на базе Chrome и уже включена как экспериментальная функция в сборку Chrome 89 — собирать данные о пользователях, на строне устройства обрабатывать данные с помощью машинного обучения, и уже после предавать на серверы «обезличенные» данные, т.е. без конкретной истории поиска или посещений сайтов. Основная идея — создавать на стороне браузера полуфабрикат, который бы относил пользователя к какой-то группе по интересам (когорте), на базе информации о которой будет выстраиваться рекламная политика.

Компания заявила, что с новой системой рекламодатели смогут получить конверсию на уровне 95% за каждый доллар, потраченный на рекламу.

EFF обеспокоены тем, что продвигая новый API FLoC вместо привычных Cookie, Google просто устраняет существующие проблемы созданием новых. Так, если данные о когортах сможет получить любой сайт, то это создает условия для предварительной жесткой фильтрации целых групп пользователей исходя из их обобщенных предпочтений. Также растет вероятность активного применения хищнического таргетинга.

Вместо того, чтобы полностью отказаться от таргетинга, Google пытается просто внедрить новый метод, но уже со своими проблемами. В EFF считают, что пользователь должен сам решать, какую информацию передать каждому сайту.

Наибольшее беспокойство вызывают потенциальные манипуляции пользовательским поведением, исходя из обобщений его предыдущей деятельности и посещений. В итоге мы можем столкнуться с «клеймением» со стороны Google, когда какой-то период деятельности человека в сети будет тащиться за ним хвостом неопределенное время, переходя от сайта к сайту.

Читать далее
Total votes 17: ↑17 and ↓0 +17
Views 6.3K
Comments 8

Расширение DuckDuckGo для Chrome блокирует новую технику отслеживания FLoC от Google

Information Security *Google Chrome Browser extensions Browsers Contextual advertising

В марте Google внедрила в Chrome свою альтернативу cookie — Federated Learning of Cohorts (FLoC). По мнению экспертов, она не позволяет сохранить анонимность пользователей. Теперь DuckDuckGo выпустил расширение для Chrome, которое блокирует спорную функцию.

Читать далее
Total votes 21: ↑20 and ↓1 +19
Views 12K
Comments 23

Исследователи обнаружили базу с 26 млн паролей с 3 млн компьютеров

Information Security *

Исследователи кибербезопасности NordLocker нашли в интернете базу данных объемом 1,2 ТБ, содержащую учетные данные для входа, файлы cookie браузера, данные для автозаполнения и платежную информацию. Она включает 26 млн паролей с 3 млн ПК.

Читать далее
Total votes 14: ↑14 and ↓0 +14
Views 3.6K
Comments 4

Google отложила блокировку сторонних файлов cookie и FloC в Chrome до 2023 года

Google Chrome Google API *Browsers Project management *Contextual advertising

Google объявила, что откладывает свои планы по поэтапному отказу от сторонних файлов cookie в браузере Chrome до 2023 года, то есть на год позже, чем планировалось.

Читать далее
Total votes 15: ↑14 and ↓1 +13
Views 2.6K
Comments 7

Исследователи показали, что дизайн баннера cookie влияет на решение пользователя

Information Security *Research and forecasts in IT Contextual advertising E-commerce management *Sales management *

Баннер cookie веб-сайта — это инструмент, который позволяет пользователям давать свое согласие на обработку персональных данных. GDPR и его аналоги в разных странах обязывают компании делать форму согласия активной. Исследователи решили выяснить, как формат баннера может повлиять на решение пользователя. 

Читать далее
Total votes 12: ↑12 and ↓0 +12
Views 1.2K
Comments 8

Испечём печеньку (cookie)

IT Terminology
Приходилось ли видеть, или придумывать, нормальный термин для HTTP cookie?

Я видел несклоняемые «куки, кукис, кукес», они же, но в кавычках, и просто непереведённое, как в предыдущем предложении у меня. Эстетствующие маргиналы говорят
Читать дальше →
Total votes 10: ↑8 and ↓2 +6
Views 1.2K
Comments 24

Безопасный метод авторизации на PHP

PHP *
Примечание: мини-статья написана для новичков

Давайте посмотрим вокруг: форумы, интернет магазины, гостевые книги и т.д. используют регистрацию и последующую авторизацию пользователей. Можно даже сказать, что это почти необходимая функция каждого сайта (только если это не домашняя страничка Васи Пупкина или не визитная карточка, какой-нибудь небольшой компании). Сегодня я хочу поделиться со всеми новичками информацией, о том, как лучше это все реализовать.
Читать дальше →
Total votes 37: ↑28 and ↓9 +19
Views 351K
Comments 229

JFStorage: Альтернатива cookies

Lumber room
Навеяно топиком Альтернатива cookies посредством Java Script

Ипользование cookie ограничено 4 кб. размера, так же они видны пользователю.
При использование Flash Storage прочитать cookie немного сложнее и позволяет сохранять до 100 кб и выше данных на компьютере пользователя.

Управление очень простое:


setCookie(key,value) - установить печеньку
getCookie(key) - взять печеньку
removeCookie(key) - удалить печеньку
isExistCookie(key) - есть ли печенька?

Размер: 3 кб.
Демо: jfstorage.agrr.org/JFStorage.html
Google Code: code.google.com/p/jfstorage

Технологии


Часть работающая с SharedObject взята с ntt.cc/2008/07/13/the-source-code-of-actionscript-3-cookie-class-enables-you-to-read-write-and-edit-shared-objects-on-the-user-hard-disk.html и чуточку обработана напильником.
Взаимодействие между JavaScript и Flash написано мной. Использованы стандартные библиотеки.

Как можно использовать?


Как хранилище скрытых данных.
Как хранилище больших данных.
Как способ offline-ой подгрузки данных.
Total votes 15: ↑14 and ↓1 +13
Views 394
Comments 9

(Java) Tomcat: делаем кросс-доменную сессию

Website development *

Описание задачи:


Вы делаете проект на java под Tomcat. И решили организовать разделы своего сайта в виде поддоменов.
К примеру, на сайте www.domen.xx сделать разделы: mail.domen.xx, user.domen.xx и т.п. В какой-то момент разработки вы с удивлением обанружите, что пользовательская сессия вопреки ожиданиям существует строго в рамках одного домена. То есть юзер авторизовавшись на главной странице (www.domen.xx), переходя почту (mail.domen.xx), теряет авторизацию.

Дело в том, что сессия привязывается к клиенту через cookie с именем JSESSIONID и с пустым доменом. А когда домен не указан, браузер использует полный текущий домен. То есть сессия привязывается не к «domen.xx», а к «www.domen.xx». По неизвестной мне причине в Томкэте нет настроек позволяющих управлять этим поведением.

Читать дальше →
Total votes 30: ↑30 and ↓0 +30
Views 11K
Comments 36

Символ подчеркивания в именах сайтов и cookie

Website development *
Столкнулся сегодня с интересной проблемой, которая нагло выжрала 1.5 часа драгоценного времени. Надеюсь поможет другим избежать той же участи. :-)
Читать дальше →
Total votes 81: ↑62 and ↓19 +43
Views 17K
Comments 71

Опера отдыхает 1 января?

Opera
Столкнулся с интересным поведением кукисов в опере в день 1 января 1997/2001/2005… годов.
Мои действия:
1. перевожу системную дату на 1 января 1997 года,
2. устанавливаю в скрипте куки со временем жизни 100 секунд,
3. вывожу document.cookie.
Результат — куки не установлен.

Повторяю те же действия, но устанавливаю время жизни куки в 1 сутки (86400 секунда). Результат — всё работает.

В другие даты всё работает ожидаемо, т.е. куки устанавливается.

Проверочный скрипт. Откройте в опере. Должен установиться куки с именем test_100sec. Теперь переведите дату и обновите страницу (можете для чистоты эксперимента почистить куки). Ваши комментарии?

Обновл. Сначала дал неверную ссылку. Исправил.
Total votes 62: ↑48 and ↓14 +34
Views 453
Comments 15

Персонализация для анонимов

Social networks and communities IT-companies
Когда Google внедрил персонализированный поиск четыре года назад, он работал только для зарегистрированных пользователей, включивших опцию Web History, но теперь Google меняет своё поведение кардинальным образом. Отныне персональные настройки поиска будут действовать для всех пользователей, даже после окончания сессии (когда вы нажали “Sign out”) и даже у тех, кто ещё не завёл себе Google Account. Идентификация пользователей осуществляется через анонимные cookies.

Это правило действует по умолчанию для всех пользователей. Если вы не желаете видеть анонимную персонализацию, то нужно отключить её в настройках, либо просто стереть сookie.
Читать дальше →
Total votes 12: ↑8 and ↓4 +4
Views 369
Comments 6

Покупка Plus аккаунта на vimeo.com

Information Security *
VimeoОдним зимним утром коллега по работе заметил, что в разных браузерах на странице Presenting Vimeo Plus, показывается разная стоимость подписки. У него это было $49.95 и $59.95. Сразу закрались подозрения, почему это Vimeo так странно проставляет стоимость годовой подписки. Хотя на моей машине все браузеры показывали одинаковую сумму.
Читать дальше →
Total votes 121: ↑113 and ↓8 +105
Views 8.4K
Comments 44

Перехват cookie в реальном времени в открытых WiFi-сетях

Information Security *


На видео показан угон сессии вконтакте.ру, который почему-то до сих пор не использует авторизацию с https и передает пароли открытым текстом.
Дамп трафика собирается программой kismac в формате libpcap и параллельно парсится grep-ом с использованием регулярных выражений, что позволяет в реальном времени выводить на экран все интересующие куки и пароли. При этом не используется никаких анализаторов пакетов.

regexp для перехвата вконтакте.ру:

tail -F pcap.файл | cat | grep -aEo «remixsid=[0-9a-f]+|l=[0-9]{3,12}|p=[0-9a-f]{36}|email=[^&]+&pass=[^ ]+»

для фейсбука:

c_user=[0-9]+|sid=[0-9]{1,5}|xs=[0-9a-f]{32}

Аналогичная конструкция будет работать и с дампом собранным с помощью airdump-ng.
Total votes 173: ↑158 and ↓15 +143
Views 62K
Comments 162

Local Shared Objects — Флеш куки

Adobe Flash
Sandbox
Вступления

Приветствую жителей хабры!
Часто бывает случаи, где нас обязывают сохранять данные над которыми работает пользователь во Flash (очки игры, оформления рабочей области и т.д.).
Многие думают что нужно создавать мост между PHP и Flash. В некоторых случаях это нужно делать, для того чтобы хранить долгое время в сети данные о тех или иных действиях пользователя. Но иногда требуется на стороне клиента сохранить данные, которые предназначены только для определения того, какую функцию пользователь выбрал и в зависимости от этого предоставить ему нужную информацию. Мы сегодня рассмотрим сохранения данных на компьютере, а именно Local Shared Object (далее LSO), что в народе иногда звется флеш куки.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 21K
Comments 6