И именно выход за рамки «этого протокола» и есть отпечаток, так как, понятное дело, лисицы, обвешанные плагинами, превращаются хоть в Звезду Смерти, хоть в искусственный интеллект, не суть, главное — получается как в детской песенке «это что угодно, только вовсе не трамвай»… на этой оригинальности и ловят) Но оставаться в этих рамках скучно, грустно и картинки не грузяццо )
Боюсь, тут скорее иной вопрос… Ясное дело, что ваяя весь этот опус я основательно познакомился с сей тематикой «с той стороны», этих-то вообще никто не банил… в общем там тоже нередко полемики сводится к тому, что неясно чего оно вообще делает и как и какой ты функционал за 2.5$К получаешь, для этого надо хоть немного в программировании шарить, а если в нем шарить, то нафиг это все надо, программеры итак неплохо получают, что верно :) Хотя это скорее все грустно…
Но смысл в том, что там как и сказал dartraiden — основное сводится к «пропатчиванию» ряда моментов, связанных со «спецификой» + эти гибриды ужа с ежом подтягивают готовые «слепки отпечатков» из баз. Короче вся эта шаткая конструкция и впрямь только для определенных целей.
А если «определенные цели» исключить, то остается та же бесплатная, но расово-верно настроенная лисица и те же бесплатные плагины, т.к. они ими же тоже и пользуются, как и «профи приватности» из США (см. 2 ссылку в главе с тестированием) и то, к чему приходят рано или поздно все, кто этим вопросом озадачился и начал изобретать велосипеды)
В общем ИМХО можно так сказать, что есть некий «протокол» обеспечения приватности (типа протокола лечения в доказательной медицине) и он для всех один. Только некоторые умудряются продавать его за деньги даже в неизменном виде, а изменив 2.5 байта под определенные цели, цена возрастает в разы :)
А дальше получается ситуация, что для того, чтоб понять, что эта та же лисица, только в профиль — надо в этом шарить, а если шаришь, то покупать чего-то за 100500К в голову просто не придет, если не преследуешь определенных целей… в общем вопрос скорее даже не в сливе данных, а что это все тоже просто бизнес)
Угу :) а тут разве что добавил найденные более-менее удачные тесты, которые в рунете нефига не гуглятся + насчет DNS ну и ВПН… В отличии от Хомака — xХомяка так и не разбанили же) а эта VPN-хреновина и без пользователя затыкает большую часть дыр и не дает выставить оперу из под DOS + в десктопе молча вышибает шлюз и не дает уйти p2p лесами-огородами) Отсюда же и упорный игнор вопросов, связанных с палевом по размеру пакетов, туннелем и прочими пробросами vpn-tor-vps и т.д. так как сие и впрямь только что для определенных целей и в конечном счете упирается в вопрос «а зачем вам такие картинки, доктор?» :)
Вечер добрый.
Да, все верно с технической точки зрения) Но с социальной — статья как раз наоборот, дабы минимизировать риски для пользователей, что владельцем их карты станет кто-то чужой)
«Хитрый план» предыдущей статьи, если зайти с этой точки зрения, думаю станет очевиден. Воткнуть пользователю 3 кнопки без лишней теоретической нагрузки, которые поставить не сложно и можно про них забыть, в отличи от баннерорезок которые и впрямь полинета способны выпилить)
Да и тут — почти все тесты связанные опять же с безопасностью и пробоями в ней + сам тест одна кнопка + результат красное\зеленое) А «сферические рекламные отпечатки» уже так, до кучи) Отсюда же и намеки на контакт, банкинг и т.п. )
И тесты DNS — IP, дабы избежать случайной идентификации, а насчет того, что будет если идентификация станет «преднамеренной» и проведена спецами, как раз намек в пунктах насчет траблов с юзерагентами и т.д. и что лучше бы до этого не доводить, оставаясь неуловимым Джо по озвученным в анекдоте причинам)
В общем, смысл не в том, чтоб превратить юзера в вектора, а чтоб минимальным числом кликов прокачать лисицу по максимуму до хоть какой-то степени «internet security», благо в нее много чего в последнее время заложили, а кнопки эти просто включают\отключают заложенный функционал)
Насчет «бонуса» — нда… я не подумал… надо было выложить два user.js один полный, второй относительно «безопасный» для пользователей. Спасибо, поправлю)
Исходил из того, что там поделено в одном файле на утечки, безопасность и т.д. с тем, что именно это можно перенести и использовать, а то, что там «возможно ненужные может быть, вроде как» идет отдельным «блоком» и это лучше пользователю целиком и полностью исключить) А то в итоге будет ситуация как с yastatic.
webgl.enable-debug-renderer-info — там над бонусом — заголовок «debug render info»
user_pref("webgl.disable-extensions", false);// По умолчанию: false
user_pref("webgl.min_capability_mode", true);// По умолчанию: false
user_pref("webgl.enable-debug-renderer-info", false);// По умолчанию: true
После обновления страницы — хеш меняется) Хотя я там выше написал, что делать так не советую, хоть оно и по умолчанию установлено. Просто, если продолжить «логику», а не технологию, фингпринта — как только хромо-лисицо-эксплореры начнут такой фигней дружно заниматься, самое просто для вычисления будет — сравнить с какой скоростью у них подлого хеша меняется )
Или еще проще — по тихому их подразнить и взять хеш от степени «кусабельности») Что, кстати, с антибанерами и происходит, когда их а) дофига б) у многих их больше чем 1 в) наличие — отсутствие тоже отпечаток)
Добрый день) Да, спасибо, все верно. Надо было про тестирование написать побольше
Насчет ссылки на первый сайт — там все сложнее, поэтому и не стал тут… Это скорее для пользователей статья)
Чтоб такую картинку получить, как я выложил — надо дополнение поставить (ссылка там есть у них) дать ему разрешение «последить» за вами, а потом сравнить 2-3 отпечатка в разные моменты времени.
На первый взгляд — замечательно. Шустрый, легкий, удобный и многое учтено. Даже — почти что UrlAlbum добавили)
Но вот в связи с этим «все учтено» пара вопросов возникла. Уж очень хочется браузер, где все «в одном флаконе», а не мудрить, разыскивать дополнения, которые, к тому же, потом перестают поддерживаться и прочие танцы танцы с бубнами устраивать. Не планируете ли вы добавить такой функционал:
— Аналог ScrapBook FireFox. Уж очень удобен был для работы, пока на квантуме не выпилили, да и количество пользователей этой фичи кажется в млн. исчисляется.
— Изменение тайм-зоны браузера. Может быть даже автоматом, при подключении к VPN.
— «Устойчивость» или «рандомная генерация» — связанная с Fingerprint (хотя бы для основных — canvas, webGL, audio, history, window, DOMRect, font).
— DNS over HTTPS (хотя, возможно, это есть, просто сразу не нашел).
Да, согласен, все верно с точки зрения «заметания следов» и повышения безопасности. Но, известный постулат — безопасность и удобство очень плохо совместимы… А в статье, все же, больше с точки зрения «совершенно стандартного пользователя». Это ни в коем случае не стеб, просто определение)
IT-специалистам это или известно или читать будут в основном материалы\источники, а не статью, к тому же, думаю, больше из академического интереса, нежли из-за нечистой совести)
Тем, кто осознанно вышел на большую дорогу — и известно и что-то сопровождать их на этом пути охоты нет, их и недотроги не любят и деятельность сказывается на пользователях. А пользователей надо… см. коммент выше)
«За пол-дня»… угу… хотя это и было про другое, но я как-раз про это))
Разобраться-то пользователи разберутся, да вот вопрос, надо ли лезть в дебри) Городить огороды, обнося их колючей проволокой, противотанковыми ежами и рвами, минными полями и прыгая потом по пол-дня по всем этим буеракам, ради написания одного документа в Word и отправки его по почте… «оно, конечно, спокойнее, но уж больно грустно». Да еще и потребует месяцами изучать тактику и стратегию… в общем, ИМХО, получается «комп, ради изучения компа», а не ради упрощения жизни и работы…
Опять же, ИМХО, если дело дойдет до специалистов криминалистического анализа, а не до форензиков среднего пошиба, то это все не серьезно, да и не только это. Или надо быть уж первоклассным спецом, но тут см. выше «комп, ради компа». Да и спец такого уровня, но употребляющий сие «во зло»… ладно, это уже лирика.
В остальном – пользователям в основном что? Опыт работы и общения подсказывает — по работе\дому\хозяйству что-то (в т.ч. бюджет, банки-оплаты и т.д.), пообщаться, поиграть, посмотреть, скачать… При этом, люди, в общем-то, правильно мыслят «я же ничего такого не делаю», кроме в общем-то мелких огрехов, типа слямзить фильмец или программку, ну тут уж «кто не без греха». Да и тем более, что тот же M$ как и обещал когда-то «домашних пользователей за пиратки преследовать не будем», разве что диких. Да и прочие разработчики тоже. Хотя — это не повод расслабляться)
В общем, разве что — по-моему, не лишне бы перестраховаться, минимально усложнив себе при этом жизнь. От тех, о ком написал под заголовком «причем тут форензика». Да и от случайного посещения сотрудниками «обычных органов» (а не отдела «К» и прочими страшными людьми), которые просто по случаю могут запустить средства «форнезики» (я не про аутопсию и иже с ней, тут спец нужен), и те им выдадут список «а вот это плохо и нельзя, за это можно задерживать» … вполне вероятно, потом отпустят, но осадочек останется. А могут и сильно нервы измотать.
В общем, мое решение – не устраивать все-таки ералаш, но перестраховаться. Особенно в инете, но это таки отдельная тема, а локально с компом — вот это. Может быть будет и 2 часть статьи, с решением, как это сделать с минимальным голвняком, типа двух кнопок перед завершением работы «я вел себя хорошо» и «я вел себя не очень, готов остаться без сладкого без некоторых удобств на следующую загрузку ОС».
Насчет Нира Софера — угу… Утилиты SysInternals мне тоже гораздо больше доверия внушают, чем многие инновации, так как Марк Руссинович все же у самых истоков разработки Винды стоял) Да и описания к ним. Как пример к sDelete (принцип работы программы) фактически исчерпывающая инфа о возможностях и ограничениях безвозвратного удаления)
«Главная странность, что описанные вещи есть давно, еще в ХР это все вроде уже было.»
Вот тут несколько спорный момент) Собственно и LastActivityView тогда была тоже, а вот поди ж ты. Но, статья рассчитана больше на пользователей, и «сводная» инфа для тех, кто этим раньше просто не озадачивался, чтоб не шарить в поисках.
Мне, в этом плане, форумы «форензиков» Рашен Эдишен — неиллюзорно доставили.
Ну, пользователи — понятно… у них своих дел в реале хватает, им это все не надо, и вообще их надо любить и беречь их нервную систему.
А эти — вроде ж должны быть спецами или хоть учиться, причем, вроде не школьники-то, вполне по-взрослому все. Ан нет. Гуру… гуры… гурии, как их там, по-русски, стало быть, на полном серьезе излагают материал о реестре, причем таким заговорщицким тоном, что складывается впечатление, шо это до них никогда не форезенковалось, не форензикуется и даже не собирается форезенковаться впредь. Адепты с трепетом и восторгом внемлют и выражают восторги, хотя половина обсуждаемых там вопросов отпадает сама, после простого поиска по реестру, а с прочтением материалов даже в инете, не говоря уж про хоть одну специализированную книжку, отпадает и вторая половина.
Но ведь нет, чего-то обсуждают, проводят вебинары. Их что, поголовно в гугле забанили, админ или Frojan.ShellBag права на regedit выпилил или в самообразовании еще до хоткеев Ctrl+F не дошли?
Не-не, безусловно есть и специалисты и статьи и познавательные и даже уникальные, но, нередко, именно так.
Благодарствую) Что ж, надо отдать должно, по делу. Насчет телеметрии и слежки — статья несколько не об этом, но да, ни в названии, ни во вступлении однозначно на это не указывается. Внес комментарий в соответствующий раздел, как и о выключении служб и прочего функционала, спасибо.
Насчет самой статьи — тоже есть такое. В «новой редакции» несколько расширил, хотя не сказать, что сильно-то углубил. Но хоть «канва» какая-никакая: что за данные -> где хранятся (теперь со ссылками на углубленные материалы) -> чем чревато их удаление -> как удалить.
Спасибо) Поправил. Угу, в коде подобное убрал, а дальше что-то расслабился… Дело вкуса, конечно, но и впрямь, попробуй я такое написать в хелпе к чему-нибудь на фирме… не поймут, или поймут, но не правильно — «А теперь мы остаемся без премии».
Но смысл в том, что там как и сказал dartraiden — основное сводится к «пропатчиванию» ряда моментов, связанных со «спецификой» + эти гибриды ужа с ежом подтягивают готовые «слепки отпечатков» из баз. Короче вся эта шаткая конструкция и впрямь только для определенных целей.
А если «определенные цели» исключить, то остается та же бесплатная, но расово-верно настроенная лисица и те же бесплатные плагины, т.к. они ими же тоже и пользуются, как и «профи приватности» из США (см. 2 ссылку в главе с тестированием) и то, к чему приходят рано или поздно все, кто этим вопросом озадачился и начал изобретать велосипеды)
В общем ИМХО можно так сказать, что есть некий «протокол» обеспечения приватности (типа протокола лечения в доказательной медицине) и он для всех один. Только некоторые умудряются продавать его за деньги даже в неизменном виде, а изменив 2.5 байта под определенные цели, цена возрастает в разы :)
А дальше получается ситуация, что для того, чтоб понять, что эта та же лисица, только в профиль — надо в этом шарить, а если шаришь, то покупать чего-то за 100500К в голову просто не придет, если не преследуешь определенных целей… в общем вопрос скорее даже не в сливе данных, а что это все тоже просто бизнес)
Да, все верно с технической точки зрения) Но с социальной — статья как раз наоборот, дабы минимизировать риски для пользователей, что владельцем их карты станет кто-то чужой)
«Хитрый план» предыдущей статьи, если зайти с этой точки зрения, думаю станет очевиден. Воткнуть пользователю 3 кнопки без лишней теоретической нагрузки, которые поставить не сложно и можно про них забыть, в отличи от баннерорезок которые и впрямь полинета способны выпилить)
Да и тут — почти все тесты связанные опять же с безопасностью и пробоями в ней + сам тест одна кнопка + результат красное\зеленое) А «сферические рекламные отпечатки» уже так, до кучи) Отсюда же и намеки на контакт, банкинг и т.п. )
И тесты DNS — IP, дабы избежать случайной идентификации, а насчет того, что будет если идентификация станет «преднамеренной» и проведена спецами, как раз намек в пунктах насчет траблов с юзерагентами и т.д. и что лучше бы до этого не доводить, оставаясь неуловимым Джо по озвученным в анекдоте причинам)
В общем, смысл не в том, чтоб превратить юзера в вектора, а чтоб минимальным числом кликов прокачать лисицу по максимуму до хоть какой-то степени «internet security», благо в нее много чего в последнее время заложили, а кнопки эти просто включают\отключают заложенный функционал)
Исходил из того, что там поделено в одном файле на утечки, безопасность и т.д. с тем, что именно это можно перенести и использовать, а то, что там «возможно ненужные может быть, вроде как» идет отдельным «блоком» и это лучше пользователю целиком и полностью исключить) А то в итоге будет ситуация как с yastatic.
webgl.enable-debug-renderer-info — там над бонусом — заголовок «debug render info»
Или еще проще — по тихому их подразнить и взять хеш от степени «кусабельности») Что, кстати, с антибанерами и происходит, когда их а) дофига б) у многих их больше чем 1 в) наличие — отсутствие тоже отпечаток)
Насчет ссылки на первый сайт — там все сложнее, поэтому и не стал тут… Это скорее для пользователей статья)
Чтоб такую картинку получить, как я выложил — надо дополнение поставить (ссылка там есть у них) дать ему разрешение «последить» за вами, а потом сравнить 2-3 отпечатка в разные моменты времени.
На первый взгляд — замечательно. Шустрый, легкий, удобный и многое учтено. Даже — почти что UrlAlbum добавили)
Но вот в связи с этим «все учтено» пара вопросов возникла. Уж очень хочется браузер, где все «в одном флаконе», а не мудрить, разыскивать дополнения, которые, к тому же, потом перестают поддерживаться и прочие танцы танцы с бубнами устраивать. Не планируете ли вы добавить такой функционал:
— Аналог ScrapBook FireFox. Уж очень удобен был для работы, пока на квантуме не выпилили, да и количество пользователей этой фичи кажется в млн. исчисляется.
— Изменение тайм-зоны браузера. Может быть даже автоматом, при подключении к VPN.
— «Устойчивость» или «рандомная генерация» — связанная с Fingerprint (хотя бы для основных — canvas, webGL, audio, history, window, DOMRect, font).
— DNS over HTTPS (хотя, возможно, это есть, просто сразу не нашел).
IT-специалистам это или известно или читать будут в основном материалы\источники, а не статью, к тому же, думаю, больше из академического интереса, нежли из-за нечистой совести)
Тем, кто осознанно вышел на большую дорогу — и известно и что-то сопровождать их на этом пути охоты нет, их и недотроги не любят и деятельность сказывается на пользователях. А пользователей надо… см. коммент выше)
«За пол-дня»… угу… хотя это и было про другое, но я как-раз про это))
Разобраться-то пользователи разберутся, да вот вопрос, надо ли лезть в дебри) Городить огороды, обнося их колючей проволокой, противотанковыми ежами и рвами, минными полями и прыгая потом по пол-дня по всем этим буеракам, ради написания одного документа в Word и отправки его по почте… «оно, конечно, спокойнее, но уж больно грустно». Да еще и потребует месяцами изучать тактику и стратегию… в общем, ИМХО, получается «комп, ради изучения компа», а не ради упрощения жизни и работы…
Опять же, ИМХО, если дело дойдет до специалистов криминалистического анализа, а не до форензиков среднего пошиба, то это все не серьезно, да и не только это. Или надо быть уж первоклассным спецом, но тут см. выше «комп, ради компа». Да и спец такого уровня, но употребляющий сие «во зло»… ладно, это уже лирика.
В остальном – пользователям в основном что? Опыт работы и общения подсказывает — по работе\дому\хозяйству что-то (в т.ч. бюджет, банки-оплаты и т.д.), пообщаться, поиграть, посмотреть, скачать… При этом, люди, в общем-то, правильно мыслят «я же ничего такого не делаю», кроме в общем-то мелких огрехов, типа слямзить фильмец или программку, ну тут уж «кто не без греха». Да и тем более, что тот же M$ как и обещал когда-то «домашних пользователей за пиратки преследовать не будем», разве что диких. Да и прочие разработчики тоже. Хотя — это не повод расслабляться)
В общем, разве что — по-моему, не лишне бы перестраховаться, минимально усложнив себе при этом жизнь. От тех, о ком написал под заголовком «причем тут форензика». Да и от случайного посещения сотрудниками «обычных органов» (а не отдела «К» и прочими страшными людьми), которые просто по случаю могут запустить средства «форнезики» (я не про аутопсию и иже с ней, тут спец нужен), и те им выдадут список «а вот это плохо и нельзя, за это можно задерживать» … вполне вероятно, потом отпустят, но осадочек останется. А могут и сильно нервы измотать.
В общем, мое решение – не устраивать все-таки ералаш, но перестраховаться. Особенно в инете, но это таки отдельная тема, а локально с компом — вот это. Может быть будет и 2 часть статьи, с решением, как это сделать с минимальным голвняком, типа двух кнопок перед завершением работы «я вел себя хорошо» и «я вел себя не очень, готов остаться
без сладкогобез некоторых удобств на следующую загрузку ОС».Насчет Нира Софера — угу… Утилиты SysInternals мне тоже гораздо больше доверия внушают, чем многие инновации, так как Марк Руссинович все же у самых истоков разработки Винды стоял) Да и описания к ним. Как пример к sDelete (принцип работы программы) фактически исчерпывающая инфа о возможностях и ограничениях безвозвратного удаления)
Вот тут несколько спорный момент) Собственно и LastActivityView тогда была тоже, а вот поди ж ты. Но, статья рассчитана больше на пользователей, и «сводная» инфа для тех, кто этим раньше просто не озадачивался, чтоб не шарить в поисках.
Мне, в этом плане, форумы «форензиков» Рашен Эдишен — неиллюзорно доставили.
Ну, пользователи — понятно… у них своих дел в реале хватает, им это все не надо, и вообще их надо любить и беречь их нервную систему.
А эти — вроде ж должны быть спецами или хоть учиться, причем, вроде не школьники-то, вполне по-взрослому все. Ан нет. Гуру… гуры… гурии, как их там, по-русски, стало быть, на полном серьезе излагают материал о реестре, причем таким заговорщицким тоном, что складывается впечатление, шо это до них никогда не форезенковалось, не форензикуется и даже не собирается форезенковаться впредь. Адепты с трепетом и восторгом внемлют и выражают восторги, хотя половина обсуждаемых там вопросов отпадает сама, после простого поиска по реестру, а с прочтением материалов даже в инете, не говоря уж про хоть одну специализированную книжку, отпадает и вторая половина.
Но ведь нет, чего-то обсуждают, проводят вебинары. Их что, поголовно в гугле забанили, админ или Frojan.ShellBag права на regedit выпилил или в самообразовании еще до хоткеев Ctrl+F не дошли?
Не-не, безусловно есть и специалисты и статьи и познавательные и даже уникальные, но, нередко, именно так.
Насчет самой статьи — тоже есть такое. В «новой редакции» несколько расширил, хотя не сказать, что сильно-то углубил. Но хоть «канва» какая-никакая: что за данные -> где хранятся (теперь со ссылками на углубленные материалы) -> чем чревато их удаление -> как удалить.