Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 68
… вот сволочи!
Прощай анонимность.
ждём выхода клинера, что автоматом чистит все источники :)
такой проект при правильном подходе можно было б продать Google
Вы серьезно думаете, что он — первый кто до этого додумался?
… вспоминая (уже потертый) топик о Steven Rambam «The next HOPE»…
Отличная статья. Я часто на неё ссылаюсь в своих лекциях. Жаль что она была потёрта на Хабре.
Я связался с автором перевода и продублировал статью у себя в ЖЖ. Поскольку из кэша она тоже уже исчезла.
yasha-somov.livejournal.com/17398.html
не является рекламой.
Я связался с автором перевода и продублировал статью у себя в ЖЖ. Поскольку из кэша она тоже уже исчезла.
yasha-somov.livejournal.com/17398.html
не является рекламой.
Пропустил этот материал на хабре, прочитал у Вас!
Большое спасибо, было очень познавательно. Все это, на самом деле, понятно, но обобщенно прочитав задумываешься еще раз.
Большое спасибо, было очень познавательно. Все это, на самом деле, понятно, но обобщенно прочитав задумываешься еще раз.
В отличии от хабра в жж можно выкладывать очень короткие записи. Пришлось разбить статью аж на 8 частей.
Пока выложил только 4.
Спасибо.
Пока выложил только 4.
Спасибо.
может вернете ее на хабр с разрешения автора?
Мне неизвестна подоплека, но по всей видимости это невозможно.
Да просто потому, что там эмоционально изложенная желтуха вперемешку с Капитаном Очевидность. Что-то типа: «Если вы писали в Твиттер, то об этом может узнать каждый, бида-бида!!! И каждый пост на форуме, который вы подписали именем-фамилией-отчеством — тоже можно найти, вот оно как!!» вперемешку с «А по вашему номеру соцстрахования я расскажу про вас всё!», при этом «забывая» добавить «… если, конечно, я уже занимался расследованием фактов о вас раньше и сохранил это всё в моей базе.»
Собственно я о том, что гиганты наверняка уже используют подобные системы in-house, так что им покупать это нафиг не надо, у них своих систем слежения хватает.
а жить становится все страшнее…
Как интересно… 8 мест хранения кук, а 4 из них — в основе HTML5.
«Пастернака не читал, но...», в общем ерунда это все по-моему, без local shared objects межбраузерность работать не будет, а с ними — другие места хранения на фиг не нужны.
Вам не нужны. А тем, кто хочет следить за своими пользователями — нужны. Кроссбраузерность — это так больше — (не)приятная дополнительная плюшка.
Да тоже это все ерунда :P
Когда например не в меру вумные веб-мастера начали вставлять в страницы проверку «Пажалуйсто зойдите в ынтернет експлорере!» — в браузерах появились механизмы маскировки под оный.
Другие примеры — у frame'ов порезали доступ к содержимому фрейма загруженного с другого домена, потому xmlhttprequest уже по-моему из коробки не позволяет себе такого, в большинстве wysiwyg-редакторов на кнопке «вставить» висит заглушка «нажмите ctrl+v» опять-же из-за проблем с доступом к чужому буферу обмена, потому все к чему приведет такое вот использование новых фич html5 — это то что порезаны они будут в итоге по самое не балуй, и пользоваться ими станет невозможно.
Ну это так… пессимизм веб-разработчика :) А по факту следить за пользователями можно было и раньше, было-бы желание, например давно доступны возможности получить версию ОС и разрешение экрана пользователя, ип-адрес (ну это вообще базовое), уже по одним этим параметрам можно сопоставить пользователя с сессией если он вдруг потер куку.
Когда например не в меру вумные веб-мастера начали вставлять в страницы проверку «Пажалуйсто зойдите в ынтернет експлорере!» — в браузерах появились механизмы маскировки под оный.
Другие примеры — у frame'ов порезали доступ к содержимому фрейма загруженного с другого домена, потому xmlhttprequest уже по-моему из коробки не позволяет себе такого, в большинстве wysiwyg-редакторов на кнопке «вставить» висит заглушка «нажмите ctrl+v» опять-же из-за проблем с доступом к чужому буферу обмена, потому все к чему приведет такое вот использование новых фич html5 — это то что порезаны они будут в итоге по самое не балуй, и пользоваться ими станет невозможно.
Ну это так… пессимизм веб-разработчика :) А по факту следить за пользователями можно было и раньше, было-бы желание, например давно доступны возможности получить версию ОС и разрешение экрана пользователя, ип-адрес (ну это вообще базовое), уже по одним этим параметрам можно сопоставить пользователя с сессией если он вдруг потер куку.
Samy Mamkar смелый парень
Надо заюзать…
Noscript?
Firefox\CookieSafe
Cookie found: id = *checking*
неработает
Cookie found: id = *checking*
неработает
Хех… чувствую, не за горами массовый переход на IE6 без флэшь-объекта, с отключенными куки и хистори )))
Думаю, это можно использовать для глобального счетчика посещений сайтов ))) И отслеживать не пути пользователя по сайту, а пути по сайтАМ )))
Думаю, это можно использовать для глобального счетчика посещений сайтов ))) И отслеживать не пути пользователя по сайту, а пути по сайтАМ )))
В приватном режиме chrome (7.0.517.8 dev) не работает. В firefox не работает совсем.
Пользуюсь такой техникой на одном сайте уже года 3… сам когда-то допер до такого, даше флэшку сделал пиксельную, которая объекты в LSO складывает и восстанавливает в случае необходимости их в кукисы.
Все это легко обходится одновременно чисткой всего. А во флеше это сделать и вовсе просто теперь стало: www.macromedia.com/support/documentation/ru/flashplayer/help/settings_manager07.html
Все это легко обходится одновременно чисткой всего. А во флеше это сделать и вовсе просто теперь стало: www.macromedia.com/support/documentation/ru/flashplayer/help/settings_manager07.html
При включенном Noscript требует сначала включить яваскрипт, потом флэш-объект.
Потом выдает всем один и тот же результат «eleet».
Потом выдает всем один и тот же результат «eleet».
Ну, ерунда — не ерунда, а lso мне так и не удалось потереть, просидел полчаса безрезультатно. Даже не помог плагин BetterPrivacy для Firefox.
www.macromedia.com/support/documentation/ru/flashplayer/help/settings_manager07.html
Это не поможет?
У самого флеш везде заблокирован, пока критическую уязвимость в нём не поправят.
Это не поможет?
У самого флеш везде заблокирован, пока критическую уязвимость в нём не поправят.
Неправильное название!
EvilCookie в самый раз.
EvilCookie в самый раз.
Автор заметки забыл сказать, что куки кросс-доменные, и хранить в них конфиденциальную инфу нельзя
слабо
хранить нужно как минимум в 20 местах
плюс иметь несколько распечаток кукисов, хранящихся (распечаток) в пожаростойких сейфах
хранить нужно как минимум в 20 местах
плюс иметь несколько распечаток кукисов, хранящихся (распечаток) в пожаростойких сейфах
Еще можно сохранять «сессию куки» в E-tag
Шикарно. Заюзаем это в Народном голосовании 2010 :-)
Можно использовать дополнительный сайт, который тоже будет хранить куки и взаимодействовать с главным сайтом. Пример: на сайте main.com размещается рисунок размером 1х1 с адресом cookie.com/getcookie, оттуда идет перенаправление на main.com/setcookie?a=b&c=e.
Давно пользуемся подобным решением, но пока без интервенции в HTML5. Из фиксов рекомендую:
1. Учесть, что кука должна выстрелить еще и по HTTP, чтобы ее поймал даже тот, кто на текущей странице не успеет прогрузить JS (всякое бывает).
2. Добавить контроль над перечнем доменов, в рамках которых действует кука.
3. Учесть, что флеш на сайтах www.i.ru и i.ru будет видеть разные SharedObject.
4. Учесть, что если решение фикса (3) будет путем привязки к флешу на одном домене (со всех субдоменов будет подключаться флеш с www.i.ru и ниоткуда больше), а далее планируется к флешу добавить «стучалку» на основе этой куки, то понадобится прописать в доменах crossdomain.xml для политики безопасности флеша.
1. Учесть, что кука должна выстрелить еще и по HTTP, чтобы ее поймал даже тот, кто на текущей странице не успеет прогрузить JS (всякое бывает).
2. Добавить контроль над перечнем доменов, в рамках которых действует кука.
3. Учесть, что флеш на сайтах www.i.ru и i.ru будет видеть разные SharedObject.
4. Учесть, что если решение фикса (3) будет путем привязки к флешу на одном домене (со всех субдоменов будет подключаться флеш с www.i.ru и ниоткуда больше), а далее планируется к флешу добавить «стучалку» на основе этой куки, то понадобится прописать в доменах crossdomain.xml для политики безопасности флеша.
4. И еще лучше: вставлять два флэша: с www.i.ru и с i.ru
Зачем? Лучше всегда вставлять фиксированный флеш, аля www.i.ru/tracker.swf, который будет всем заведовать, независимо от того, с какого субдомена прошел проброс куки.
Ну значит ждите вскоре скрипт, в автоматическом режиме вычищающий эти evercookies.
«Против лома нет приёма, акромя другого лома!»") Так что и появятся преблуды для одновременного удаления всех куки — это 100%!
Работает даже если пользователь сменит браузер (через Local Shared Objects из Flash).
Этому есть подтверждение? проводил эксперименты с этим, куки в браузерах не пересекались
Этому есть подтверждение? проводил эксперименты с этим, куки в браузерах не пересекались
кстати, а есть и вовсе простое решение: виртуальные машины :)
Вот кто из нас, господа веб-разработчики, не использует виртуальных машин для оценки качества собственной вёрстки в браузерах, работающих на другой ОС? Так ведь это же не единственное возможное применение виртуальных машин. Между разными виртмашинами передаются ли эти куки?
Вот кто из нас, господа веб-разработчики, не использует виртуальных машин для оценки качества собственной вёрстки в браузерах, работающих на другой ОС? Так ведь это же не единственное возможное применение виртуальных машин. Между разными виртмашинами передаются ли эти куки?
Зашел, получил id=3735562. Удалил cookie через firebug, обновил через F5, id=24966052. Что я делаю не так?
Прикольный скрипт, с подобной реализацией ещё не сталкивался.
Добавил в избранное, уже прикинул, где буду в будующем использовать.
Добавил в избранное, уже прикинул, где буду в будующем использовать.
Как уже сказали не раз, идея не нова. И то, что автор выложил готовый к применению код, это только хорошо. Хорошо в том плане, что раз про это уже наслышаны все, теперь противодействие должно появиться и распространиться достаточно быстро. Примерно так же, как публикация эксплоитов обесценивает их.
четное количество мест, что если значение в первых четырех будут отличатся от вторых четырех. Голосованием решить не получится
А вот долбаный касперский ругается на Evercookie.js ;(
Похоже это уже не работает. По крайне мере между браузерами в Win8 ничего не сохраняется, да и в одном и том же браузере чистится очень хорошо в наше время. Эээххх…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Evercookie — самые устойчивые куки