10 лет назад использовались flash-куки от Adobe Flash Player (https://habr.com/ru/articles/111176/), для Куки до 100 КБ Flash даже не запрашивал разрешение о хранении. Их юзер не мог просто так ни посмотреть, ни стереть (сделать это можно было только на сайте Adobe).
Вы правы в части чистой математики теории вероятностей, а ваш оппонент - прав в части её применения в реальных условиях. Днём +30℃, вечером +15, на другой вкладке у меня работает ютуб, потом ролик кончился, завтра Хром обновился, потом я отключил в настройках ускорение видеокарты… Вносимые в каждый тип фингерпринтинга шумы и флуктуация метрик сводят на нет однозначность определения.
Система: “Маша, г. Москва -> 300000чел, ВУЗ МГУ -> 2000чел, год окончания 2007 -> 30чел, месяц рождения сентябрь -> 2чел -> обе страницы VK - её” работает пока параметры поиска неизменны. А если через 5 минут она не Маша, а - Катя, а завтра она стала не из Москвы, и ВУЗ вдруг стал МГТУ, и она в нём не доучилась…
Да, бороться с XSS одной лишь санацией пользовательского ввода - путь тупиковый. Ваш вариант с ифреймом - красивое решение, но если родительский документ опубликует свою CSP, ваш ифрейм её унаследует. И, если родительская CSP более строгая, она заблокирует весь рендеринг SVG (отключит img-src и style-src из мета тега) или ифрейм целиком. Недостаточно защищать от XSS только вставку SVG, надо защищать весь сайт / приложение. CSP default-src 'self'; img-src 'self' data:; style-src 'self' 'unsafe-inline' data:; и пусть вставляют свои SVG без санации. За границы сайта запросы не уйдут. Более того, при вставке SVG можно перехватывать событие securitypolicyviolation и давать адекватную диагностику: “скрипты не поддерживаются в SVG” / “обработчики событий не поддерживаются в SVG” / “внешние картинки не поддерживаются”. Тогда пользователь будет знать, почему его супер-пупер картинка не работает как он хотел.
или послужить триггером народных волнений. Или стать последней каплей. Делай, что считаешь правильным, а там будет то, что будет. Claudfalre поступает правильно - незачем потакать властям в их грязных играх. Слова “национальный” и “государственный”, конечно, звучат внушительно, но кто(что) за ними стоит? Граждане и народ РФ? Очень сомневаюсь.
WinXP не поддерживает TLS-SNI. Chrome использует системный WinHTTP, поэтому SNI в нём не работает. Юзайте Firefox, он использует собственную SSL-библиотеку и свои SSL-сертификаты, поэтому будет работать везде (почти).
Многие SSL-сертификаты в WinXP устарели. Надо обновлять. Для The Bat я подсовывал root.RCA от новой версии Бата. Firefox решит проблему с сертификатами.
Для поддержки SHA-256 в XP надо ставить KB3055973-v3
Если нужна поддержка TLS 1.1 и TLS 1.2 под XP - надо накатить обновления от Windows Embedded POSReady 2009, см https://habr.com/ru/articles/200260/
Ставьте форк Firefox (https://habr.com/ru/articles/789120/). И поставьте в него аддон TamperMonkey - сможете добавлять UserScriprs и с помощью полифилов эмулировать новые API JavaScript, если сайты их используют. Так я эмулировал поддержку window.URL и window.URLSearchParamsURL в старом FF.
PS: На май 2023, WinXP отлично работала на домашнем ПК (сейчас - не знаю, я не дома).
Ибо SIM - пошёл и купил. Нужны закрытые площадки для людей. Россиян - регать по СНИЛСу или ИНН, англичан - по UTR/NIN, израильтян - по номеру Теудат Зеут и тд. Проблема - одна, это всё - персональные данные, хотя и не секретные. Многие можно чекать на валидность на гос.сервисах соответствующих стран.
Интернет, действительно, вымирает как источник информации, юзается больше как средство её передачи.
10 лет назад использовались flash-куки от Adobe Flash Player (https://habr.com/ru/articles/111176/), для Куки до 100 КБ Flash даже не запрашивал разрешение о хранении. Их юзер не мог просто так ни посмотреть, ни стереть (сделать это можно было только на сайте Adobe).
Вы правы в части чистой математики теории вероятностей, а ваш оппонент - прав в части её применения в реальных условиях.
Днём +30℃, вечером +15, на другой вкладке у меня работает ютуб, потом ролик кончился, завтра Хром обновился, потом я отключил в настройках ускорение видеокарты… Вносимые в каждый тип фингерпринтинга шумы и флуктуация метрик сводят на нет однозначность определения.
Система: “Маша, г. Москва -> 300000чел, ВУЗ МГУ -> 2000чел, год окончания 2007 -> 30чел, месяц рождения сентябрь -> 2чел -> обе страницы VK - её” работает пока параметры поиска неизменны. А если через 5 минут она не Маша, а - Катя, а завтра она стала не из Москвы, и ВУЗ вдруг стал МГТУ, и она в нём не доучилась…
Да, бороться с XSS одной лишь санацией пользовательского ввода - путь тупиковый.
Ваш вариант с ифреймом - красивое решение, но если родительский документ опубликует свою CSP, ваш ифрейм её унаследует. И, если родительская CSP более строгая, она заблокирует весь рендеринг SVG (отключит img-src и style-src из мета тега) или ифрейм целиком.
Недостаточно защищать от XSS только вставку SVG, надо защищать весь сайт / приложение.
CSP
default-src 'self'; img-src 'self' data:; style-src 'self' 'unsafe-inline' data:;и пусть вставляют свои SVG без санации. За границы сайта запросы не уйдут.Более того, при вставке SVG можно перехватывать событие
securitypolicyviolationи давать адекватную диагностику: “скрипты не поддерживаются в SVG” / “обработчики событий не поддерживаются в SVG” / “внешние картинки не поддерживаются”. Тогда пользователь будет знать, почему его супер-пупер картинка не работает как он хотел.Бот - это хорошо. Ботов надо сразу блокировать - их сейчас шастает 9 из 10 посетителей (и это без учёта ботов ПС).
или послужить триггером народных волнений. Или стать последней каплей. Делай, что считаешь правильным, а там будет то, что будет. Claudfalre поступает правильно - незачем потакать властям в их грязных играх. Слова “национальный” и “государственный”, конечно, звучат внушительно, но кто(что) за ними стоит? Граждане и народ РФ? Очень сомневаюсь.
На свой хостинг в РФ из-за рубежа:
входящие VPN-соединения РКН стал резать с 6 января 2026.
по SSH(22) / FTP(21) доступ открыт, по порту 3306(MySQL) - тоже. Как начнут блокировать - свалю на заубежный хостинг. А пока - лень.
WinXP не поддерживает TLS-SNI. Chrome использует системный WinHTTP, поэтому SNI в нём не работает. Юзайте Firefox, он использует собственную SSL-библиотеку и свои SSL-сертификаты, поэтому будет работать везде (почти).
Многие SSL-сертификаты в WinXP устарели. Надо обновлять. Для The Bat я подсовывал root.RCA от новой версии Бата. Firefox решит проблему с сертификатами.
Для поддержки SHA-256 в XP надо ставить KB3055973-v3
Если нужна поддержка TLS 1.1 и TLS 1.2 под XP - надо накатить обновления от Windows Embedded POSReady 2009, см https://habr.com/ru/articles/200260/
Ставьте форк Firefox (https://habr.com/ru/articles/789120/). И поставьте в него аддон TamperMonkey - сможете добавлять UserScriprs и с помощью полифилов эмулировать новые API JavaScript, если сайты их используют. Так я эмулировал поддержку window.URL и window.URLSearchParamsURL в старом FF.
PS: На май 2023, WinXP отлично работала на домашнем ПК (сейчас - не знаю, я не дома).
Ибо SIM - пошёл и купил. Нужны закрытые площадки для людей. Россиян - регать по СНИЛСу или ИНН, англичан - по UTR/NIN, израильтян - по номеру Теудат Зеут и тд. Проблема - одна, это всё - персональные данные, хотя и не секретные. Многие можно чекать на валидность на гос.сервисах соответствующих стран.
Интернет, действительно, вымирает как источник информации, юзается больше как средство её передачи.
Достаточно поставить uBlock и все Я.метрики и G.аналитики пойдут лесом. uBlock - начальный уровень цифровой гигиены, “must have” в каждом браузере.
В личных кабинетах через браузер функционал урезан.
В сбербанке при добавлении автоплатежа появляется плашка, что исправить этот автоплатёж можно только в приложении.
В МТС исправление/добавление платежей доступно только через приложение.