В том-то и проблема, что баннер не отключает сбор информации, он сообщает постфактум что информация собрана, а если не согласен — вали с сайта, то есть, опции «я не хочу ваши куки идите лесом» пользователям не предоставляют,
Напишите расширение для браузера или возьмите существующее. Заодно отпишитесь о том сколько сайтов работать перестали.
Пруфы типа из 1000 порно пытались подсадить бяку 8 штук, а из «обычных» только 1? Нет, таких нет.
Можно, конечно, почитать всякое, но особого смысла нет.
Скорее внутреннее ощущение, что с хабра подцепить заразу меньше шансов. Хотя и его могут взломать…
В Brave блокировщик рекламы и скриптов встроены сразу и включены по-умолчанию, т.е. по идее пользователю не нужно ставить сторонние расширения, всё есть из коробки.
То есть никакого преимущества перед настроенным chrom* или firefox нет.
их бизнес-модель — резать чужую обязательную рекламу и предлагать свою опциональную
в отличие от AdBlock, например, им нет большого смысла включать некоторых «правильных» рекламодателей в «белые списки».
Что там, что там режется не вся реклама. Я не вижу ни каких оснований доверять одному больше чем другому ни в случае с AdBlock ни в случае с Brave.
Если некая монополия стала таковой по воле рынка, потому что делает своё дело лучше и дешевле кучи мелких компаний, то в такой монополии нет ничего ужасного.
Chrom* идут в комплекте с многими программами, если забудешь снять галочку. Некоторые сайты смотрят на user agent и не пускают в случае если это не chrom*. Некоторые сайты писались так чтобы работать только в chrom*. Очень честная конкуренция.
Если chrom* начнёт превращаться в г., то народ легко перейдёт на другой браузер.
На какой такой другой? Сейчас есть только 3 полноценных браузера: chrom*, FF с форками, webkit с флагманом в виде Safari. webkit браузеры либо просто не поддерживают современные стандарты(Safari), либо ещё и умудряются глючить. Тот же gnome epiphany даёт артефакты интерфейса ютуба. У них нет общего репозитория дополнений и по этому они крайне ограничены в функционале. Возможно отдельные браузеры из этой категории типа Safari и возможно использовать полноценно, но какой-то случайный точно нельзя. Некоторые из этой категории используют устаревшие уязвимые версии webkit.
Насколько мне известро FF форки не имеют достаточно сил для равзвития своих движков и являются скорее откатам к предыдущим версиям. Waterfox: продолжает поддержку XUL. Я так и не понял как там обстоит с servo, но не похоже на то что они способны выжить без FF. IceCat: FF с дополнениями направленный на блокировку несвободного js и другим логотипом. Basilisk: несколько новее Pale Moon, от того же автора. Не поддерживает servo. Pale Moon: форк gecko 26 версии goanna с некоторыми улучшениями из более поздних версий. Поддерживает XUL. Частичная поддержка html5. Поскольку он основан на более старых версиях FF, то и потребляет несколько меньше ресурсов на простых сайтах. На ускорение полученное servo на сложных сайтах можно и не надеятся. Автор успел наехать на openbsd из-за авторских прав, что вызвывает сомнение в его адекватности. SeaMonkey: тоже основан на gecko. Тоже будут проблемы с сложными сайтами, так как servo нет. K-Meleon: goanna (как и в Pale Moon). Интересен не поддержкой стандартов, а низким потреблением ресурсов. FF: собственный современный движок порой превосходящий chrom*. В часности на хабре на страницей с кучей комментариев.
Chrom* являются альтернативой лишь внешнему виду друг друга. Если google завтра что-то решить поломать, то вряд ли они смогут поддерживать свой форк. Те же Opera, Microsoft уже похоронили свой собственный движок. Если такие крупные компании не смогли, то что говорить про энтузиастов? Не смотря на то что исходники открыты изменения принимаются не от всех. В последнее время google периодически предлагает изменения способные усилить его монополию. Однако пока что эти изменения не были приняты в оригинал, так что доказательств, что Opera/Microsoft/Yandex способны противостоять этому, нет.
Я долгое время сидел на FF и радовался, но «что-то пошло не так», они тоже превратились по сути в хром
У них по прежнему свой движок. И они ещё не предлагали поломать блокировщики рекламы, не предлагали смотреть сайты только через гугл, не предлагали скрывать url.
Закон запрещает делать это без спроса! Что тут трудного — спросить?
Закон требует удаления данных если пользователь этого захочет. Закон требует предоставлени всё тех же услуг, даже если пользователь против того чтобы я записывал его ip.
Вот два примера: я создаю репозиторий на блокчейне. Подтверди свою личность(вдруг ты автор бекдора) и я сохраню код. И тут кто-то решает удалить свой код и говорит: «удалите мои персональные данные». Как я должен удалять их из блокчейна, при том что пользователи держат независимые копии? Блокчейн-репозиторий незаконен?
Или я делаю базу данных коррупционеров. Они естественно тоже против использования своих персональных данных. База данных коррупционеров незаконна?
поэтому «либо отвечайте [Да] на всё + отдайте почку, либо не получите ничего».
Где вы находите сайты требующие почку?
Если вы не можете без этих денег — предлагайте взамен платную подписку.
Если этот старый блог продолжает собирать данные, то см. коммент выше: он может продолжать собирать, но обязан раскрывать, что собирает, с какой целью, и что он с этими данными делает, и должен спрашивать согласия пользователей.
Вы точно работаете в информационной безопасности? Ваши рассуждения слишком сильно напоминают рассуждения старшеклассников, которые против всего плохого и за всё хорошее.
Хотя бы не раздавать эти данные налево и направо.
Я не случайно писал про старые cms. Вся суть в том, что даже если админ блога не хочет собирать данные, приходит автоматический сканнер и приносит с собой троян. После чего блог собирает информацию не в пользу своего админа, а в пользу взломщика. И админ может быть даже и не в курсе, так как настроил этот сайт лет 10-20 назад.
Впрочем вы наверняка скажите о том что такие сайты надо прикрыть в пользу монополии гугла/фейсбука.
А каковы требования к системе, и вообще что такое система? Почему безопасность тех же самых ip камеры сейчас волнуют либо техногиков либо взломщиков? Почему государство до сих пор не озаботилось ими? Или пранк над маленькими детьми это законно и полезно?
поэтому мой опыт в основном сводится к тому, чтобы уязвимости не создавать изначально и тщательно тестировать, а не исправлять их впопыхах после выката продукта на прод
Чисто не там где убирают, а там где не сорят. Как видите ваш опыт не противоречит моему.
Кроме того, тот же GDPR появился не в одночасье, его анонсировали за несколько лет до принятия, а до вхождения в силу было ещё 2 года. Если кому-то не хватило 2 года на пересмотр своего хозяйства и приведение его в порядок, то ему уже ничто не поможет.
Интересно, а что делать с каким-нибудь заброшеным/полузаброшеным блогом? Молча уходить под колпак соцсетей? Или побыстрее удалять всю ценную информацию, чтобы ему штраф не выписали? GDPR вполне себе может сократить время жизни средного сайта. Зато гиганты типа гугла и фейсбука наверняка даже и не заметят.
А вы кликаете на всё не читая? Ну что я вам могу сказать на это...
Про банерную слепоту не слышали? Кроме того расширения для блокировки рекламы помогают. Всё равно одного щелчка недостаточно для оформления кредита или начала королевской игры.
Я, разумеется, не проверял весь код, и не питаю иллюзий, поэтому всё равно поставил uBlock поверх
Чуть выше вы писали про
Я рад, что браузеры постепенно движутся по этому пути, и, например, перешёл на Brave, потому что его модель «вознаграждения за внимание» в сочетании со встроенной защитой кажется мне довольно интересной.
Вот мне и стало интересно о какой встроенной защите идёт речь и чем это превосходит уже существующие решения для chrom* и firefox. Если бы вы ничего не говорили про встроенную защиту, то я бы и не задавал соотвутствующий вопрос.
Хотя раз вы в браузерной войне выбираете chrom*, то способствуете усилению монополии гугла.
Почему бы ихначально не сделать свой сайт безопасным для всех сразу, а не только для EC? Тогда и заморочки с детектированием не нужны будут.
У меня нет ни какого желания копаться в юридических тонкостях нарушает ли данное действие GDPR или нет. email, ip вполне себе является персональными данным, а следовательно на работу с ним будут распространятся соответствующие ограничения. Даже механизм сессий позволяет идентифицировать вполне конкретного пользователя. Для того чтобы быть полностью уверенным в том что не сохранил никаких персональных данных нужно поменять даже механизм сессий. Мне будет проще просто не пускать европейцев, чем следить за тем нарушаю я закон или нет. К безопасности это отношения не имеет ровно никакого. Люди выставляют базы данных без паролей не потому что не слышали про GDPR, а потому что не слышали про безопасное администрирование.
Анекдот про хакера и солонку знаете?
Я слышал эту насмешку. Какое она имеет отношение к теме? Если вам не хочеться регистрироваться в чужих сервисах, поднимите свой. Там вы даже сможите узнать от кого произошла утёчка. Технические проблемы надо решать с помощью техники, а не с помощью юристов.
Я думаю многим посетителям хабра будет крайне интересен ваш опыт исправления уязвимостей за крайне сжатые сроки, попутно с добавлением другой функциональности. Надеюсь в своей статье вы упомянёте не только о sql-инъекциях. Или вы совершенно не в теме, зато что-то требуете?
У меня возникло ощущение, что сейчас мир качнулся назад в сторону традиционного общества, куда-то в средневековье/фашизм — где-то больше (например, в России, Польше, Венгрии), где-то пока совсем не качнулся, например, у нас в Канаде. Но на сколько мы можем сопротивляться общемировой тенденции, особенно учитывая то, что канадское гражданское общество спит, и не кричит «Alarm, Alarm!» по поводу людоедских законов не только в России или там Китае, но теперь и в Австралии, не говоря про Prism в США?
Говорить о возвращении в средневековье только в плане политики не объективно. Кроме политики сущесвуют и другие примеры типа антипрививочников, сторонников плоской земли, противников ГМО… Некоторые из них характерны как раз таки для США, возможно для Канады.
И подобные законы принимались бы и в Украине тоже.
Справедливости ради: в Украине тоже блокируют сайты, только гораздо меньше чем в России. И если о блокировке вконтакте или яндекса знают многие, то про детские каналы думаю большинство не знает. В адресах на сайте кроме латинских символов есть и другие, поправьте адрес. Некоторое количество активистов выступали против этого, но запрет так и не отменили. В новостях ещё про dpi говорили, но я не знаю продвинулось ли что-то дальше разговоров.
Молоток как 5000 лет назад позволял устроить дырку в голове при падении с края крыши, так и сейчас позволяет.
Плохая аналогия подобна котёнку с дверцей. Молоток вы сами решаете куда положить. Можите даже вообще к поясу привязать или к руке.
а технику безопасности придумывают теоретики, не забившие ни одного гвоздя, да.
Жду от вас статью, в которой вы рассказываете как в горящие сроки вы успели не только функционал сайта доделать, но и десятилетние дыры прикрыть. Только напишите об этом в ЛС, чтобы я не пропустил.
Вы читаете каждое всплывающее окно и рассматриваете не поменялось ли там ни одно слово на каждом сайте?
Речь не о том, сами ли они открываются (бывают и такие, кстати), а о том, что предупреждение выдаётся после того, как они открылись.
Последуйте примеру RMS и не читайте интернет онлайн.
Я рад, что браузеры постепенно движутся по этому пути, и, например, перешёл на Brave
Вы проверяли на то действительно ли он превосходит в безопасности другие браузеры или повелись на рекламу?
Напоминаю, что GDPR — это в первую очередь не про куки, а про персональные данные и правила их сбора, хранения, обработки и распространения.
И теперь если я захочу создать сайт для себя, с регистрацией, то мне придётся либо детектить пользователей из ЕС и выводить им сообщение о том что сайт недоступен, либо наткнуться на очередную претензию. Плюс если его заблокируют в ЕС, а я окажусь в ЕС, то мне ещё и впн потребуется.
Как приватное окно спасёт вас от сайта, который просит ваш емейл, а потом втихую сольёт его спамерам
Велика беда. Ещё раньше люди додумались заводить два почтовых ящика: один для спама, другой для людей. И спам фильтры тоже изобрели. Может вам ещё и звонки в полночь мешают и вы идёте заявление на них писать?
К вам вопрос: с какими cms вы работали? И вообще, хоть один патч сделали?
Я не вижу оснований, почему инженеры-атомщики не имеют права срезать углы и экономить за счёт безопасности, а инженерам-программистам дозволено отмазываться дисклеймером «absolutely no safety guarantees, use on your own risk».
Если вы работали атомщиком, то это ещё не означает что вы можите понять программистов. Скорее наоборот. Условия труда очень разные. Если реактор работал 10 лет назад, то и спустя 20 лет он продолжит работать. Программы так долго не живут.
но сейчас уже наработано полным-полно good security practices
Где наработано? Сайты как и много лет назад продолжают писать на php. А php как 20 лет назад позволял устроить sql инъекцию, так и сейчас позволяет. И характерно это не только для php.
Если кто не следует им, он должен идти вон из профессии.
Добро пожаловать в legacy проекты. Очень рекомендую вам с ними поработать.
Не способны оценить безопасность своего решения сами — наймите того, кто сможет, он проведёт вам аудит.
Если бизнесмены будут аудиты проводить, то вы пользоваться ничем не сможите, так как оно аудит проходить не будет. В популярных cms дыры находят пачками, но тем не менее их продолжают использовать. И даже не обновляют на новые версии, так как куча плагинов поламается.
Файл манифеста находится как раз в фонарике. Но не суть важно. Важно то, что до тех пор пока вас террористы не принуждают ставить этот фонарик, вам закон не нужен. А когда террористы приставят дуло, то закон вам точно так же не понадобится.
Здравое рассуждение, только важно не перегибать палку и не распространять слухи.
Что там, что там режется не вся реклама. Я не вижу ни каких оснований доверять одному больше чем другому ни в случае с AdBlock ни в случае с Brave.
Chrom* идут в комплекте с многими программами, если забудешь снять галочку. Некоторые сайты смотрят на user agent и не пускают в случае если это не chrom*. Некоторые сайты писались так чтобы работать только в chrom*. Очень честная конкуренция.
На какой такой другой? Сейчас есть только 3 полноценных браузера: chrom*, FF с форками, webkit с флагманом в виде Safari. webkit браузеры либо просто не поддерживают современные стандарты(Safari), либо ещё и умудряются глючить. Тот же gnome epiphany даёт артефакты интерфейса ютуба. У них нет общего репозитория дополнений и по этому они крайне ограничены в функционале. Возможно отдельные браузеры из этой категории типа Safari и возможно использовать полноценно, но какой-то случайный точно нельзя. Некоторые из этой категории используют устаревшие уязвимые версии webkit.
Насколько мне известро FF форки не имеют достаточно сил для равзвития своих движков и являются скорее откатам к предыдущим версиям. Waterfox: продолжает поддержку XUL. Я так и не понял как там обстоит с servo, но не похоже на то что они способны выжить без FF. IceCat: FF с дополнениями направленный на блокировку несвободного js и другим логотипом. Basilisk: несколько новее Pale Moon, от того же автора. Не поддерживает servo. Pale Moon: форк gecko 26 версии goanna с некоторыми улучшениями из более поздних версий. Поддерживает XUL. Частичная поддержка html5. Поскольку он основан на более старых версиях FF, то и потребляет несколько меньше ресурсов на простых сайтах. На ускорение полученное servo на сложных сайтах можно и не надеятся. Автор успел наехать на openbsd из-за авторских прав, что вызвывает сомнение в его адекватности. SeaMonkey: тоже основан на gecko. Тоже будут проблемы с сложными сайтами, так как servo нет. K-Meleon: goanna (как и в Pale Moon). Интересен не поддержкой стандартов, а низким потреблением ресурсов. FF: собственный современный движок порой превосходящий chrom*. В часности на хабре на страницей с кучей комментариев.
Chrom* являются альтернативой лишь внешнему виду друг друга. Если google завтра что-то решить поломать, то вряд ли они смогут поддерживать свой форк. Те же Opera, Microsoft уже похоронили свой собственный движок. Если такие крупные компании не смогли, то что говорить про энтузиастов? Не смотря на то что исходники открыты изменения принимаются не от всех. В последнее время google периодически предлагает изменения способные усилить его монополию. Однако пока что эти изменения не были приняты в оригинал, так что доказательств, что Opera/Microsoft/Yandex способны противостоять этому, нет.
У них по прежнему свой движок. И они ещё не предлагали поломать блокировщики рекламы, не предлагали смотреть сайты только через гугл, не предлагали скрывать url.
Закон требует удаления данных если пользователь этого захочет. Закон требует предоставлени всё тех же услуг, даже если пользователь против того чтобы я записывал его ip.
Вот два примера: я создаю репозиторий на блокчейне. Подтверди свою личность(вдруг ты автор бекдора) и я сохраню код. И тут кто-то решает удалить свой код и говорит: «удалите мои персональные данные». Как я должен удалять их из блокчейна, при том что пользователи держат независимые копии? Блокчейн-репозиторий незаконен?
Или я делаю базу данных коррупционеров. Они естественно тоже против использования своих персональных данных. База данных коррупционеров незаконна?
Где вы находите сайты требующие почку?
Уже иск на фейсбук/гугл/… подали? Нет? Как так?
Вы точно работаете в информационной безопасности? Ваши рассуждения слишком сильно напоминают рассуждения старшеклассников, которые против всего плохого и за всё хорошее.
Я не случайно писал про старые cms. Вся суть в том, что даже если админ блога не хочет собирать данные, приходит автоматический сканнер и приносит с собой троян. После чего блог собирает информацию не в пользу своего админа, а в пользу взломщика. И админ может быть даже и не в курсе, так как настроил этот сайт лет 10-20 назад.
Впрочем вы наверняка скажите о том что такие сайты надо прикрыть в пользу монополии гугла/фейсбука.
Интересно, а что делать с каким-нибудь заброшеным/полузаброшеным блогом? Молча уходить под колпак соцсетей? Или побыстрее удалять всю ценную информацию, чтобы ему штраф не выписали? GDPR вполне себе может сократить время жизни средного сайта. Зато гиганты типа гугла и фейсбука наверняка даже и не заметят.
Чуть выше вы писали про
Вот мне и стало интересно о какой встроенной защите идёт речь и чем это превосходит уже существующие решения для chrom* и firefox. Если бы вы ничего не говорили про встроенную защиту, то я бы и не задавал соотвутствующий вопрос.
Хотя раз вы в браузерной войне выбираете chrom*, то способствуете усилению монополии гугла.
У меня нет ни какого желания копаться в юридических тонкостях нарушает ли данное действие GDPR или нет. email, ip вполне себе является персональными данным, а следовательно на работу с ним будут распространятся соответствующие ограничения. Даже механизм сессий позволяет идентифицировать вполне конкретного пользователя. Для того чтобы быть полностью уверенным в том что не сохранил никаких персональных данных нужно поменять даже механизм сессий. Мне будет проще просто не пускать европейцев, чем следить за тем нарушаю я закон или нет. К безопасности это отношения не имеет ровно никакого. Люди выставляют базы данных без паролей не потому что не слышали про GDPR, а потому что не слышали про безопасное администрирование.
Я слышал эту насмешку. Какое она имеет отношение к теме? Если вам не хочеться регистрироваться в чужих сервисах, поднимите свой. Там вы даже сможите узнать от кого произошла утёчка. Технические проблемы надо решать с помощью техники, а не с помощью юристов.
Жду от вас статью, в которой вы рассказываете как в горящие сроки вы успели не только функционал сайта доделать, но и десятилетние дыры прикрыть. Только напишите об этом в ЛС, чтобы я не пропустил.
Последуйте примеру RMS и не читайте интернет онлайн.
Вы проверяли на то действительно ли он превосходит в безопасности другие браузеры или повелись на рекламу?
И теперь если я захочу создать сайт для себя, с регистрацией, то мне придётся либо детектить пользователей из ЕС и выводить им сообщение о том что сайт недоступен, либо наткнуться на очередную претензию. Плюс если его заблокируют в ЕС, а я окажусь в ЕС, то мне ещё и впн потребуется.
Велика беда. Ещё раньше люди додумались заводить два почтовых ящика: один для спама, другой для людей. И спам фильтры тоже изобрели. Может вам ещё и звонки в полночь мешают и вы идёте заявление на них писать?
Давно у вас сайты сами открываются?
У пользователя нет иллюзии контроля. Или вы контролируете серверную часть?
И чем плохо то, что и без закона у пользователя есть выбор?
Напоминаю, речь идёт о куки. Для этого достаточно один раз нажать «открыть в приватном окне». Это так сложно, что нужно целый закон принять?
Если вы работали атомщиком, то это ещё не означает что вы можите понять программистов. Скорее наоборот. Условия труда очень разные. Если реактор работал 10 лет назад, то и спустя 20 лет он продолжит работать. Программы так долго не живут.
Где наработано? Сайты как и много лет назад продолжают писать на php. А php как 20 лет назад позволял устроить sql инъекцию, так и сейчас позволяет. И характерно это не только для php.
Добро пожаловать в legacy проекты. Очень рекомендую вам с ними поработать.
Если бизнесмены будут аудиты проводить, то вы пользоваться ничем не сможите, так как оно аудит проходить не будет. В популярных cms дыры находят пачками, но тем не менее их продолжают использовать. И даже не обновляют на новые версии, так как куча плагинов поламается.