Комментарии 15
ни один из отправляющих запросы браузеров не предоставил пользователю возможность отказаться от начальной отправки данных — многие браузеры позволяют в настройках отключить передачу телеметрии, но изменить эти настройки можно уже после того данные переданы при первом запуске
Отчасти это можно обойти, подготовив профиль с настройками заранее программным путем - до первого запуска браузера. Например, так делают фреймворки, которые используют браузеры для исполнения e2e автотестов. Это сокращает время запуска и размер трафика. Но даже в этом случае проблема до конца не решается - браузеры отправляют "служебные" запросы в сеть невзирая ни на какие флажки.
Количество хостов странная метрика. Можно слить много данных через один хост, а можно просто попинговать много разных. Тут более адекватно было бы суммарный объем измерить.
О! Пользуясь случаем, хочу передать привет привлечь внимание понимающих людей к своему вопросу на Q&A. В двух словах: при помощи DNSLookupView от NirSoft вы сами можете посмотреть, какие процессы куда "ломятся" с вашей машины. Я, при этом, неожиданно обнаружил, что часть подобных "ломлений" у меня происходят от имени других, совершенно невинных процессов. Хочется понять, "кто виноват и что делать"?
Ну хотя бы посмотреть настройки лол
А если соединения процесса через ProcMon сверить? Ставлю плюс кармы на то, что DNSLookupView приписывает не тому процессу запрос. Да и вообще понять надо, какое API он передергивает. Можно же просто UDP-пакетики отправить, а нынче и DNSCrypt, DoH, DoT.
DNSLookupView берёт информацию из подсистемы windows events, куда её поставляет (вероятно) подсистема резолва имён (сервис Dnscache, который, собственно и шлёт запросы по сети). Шанс, что в этой машинерии есть ошибка аттрибуции запросов, конечно, существует, но я оцениваю его как крайне маловероятный. Про то, что, в принципе, "можно", я тоже в курсе, но пока хочу выяснить, откуда берутся те запросы, которые ловит именно DNSLookupView.
И ProcMon тут плохой помощник. sleep.exe у меня запускается в цикле, несколько раз в минуту, на несколько секунд. Подозрительный запрос DNSLookupView ловит раз в час, а то и реже...
И ProcMon тут плохой помощник.
Нулевая гипотеза, что sleep.exe не при делах. И вообще с ним уйти можно далеко:
работаем как ни в чем не бывало
DNS от "sleep.exe" в DNSLookupView
Смотрим, кто на самом деле после этого запроса открывал TCP-соединение на конкретный IP из резолва
И только после такого sanity check я бы смотрел, что надо будет делать дальше.
Спасибо за идею, вы оказались правы! И помог мне в этом убедиться именно ProcMon. Судя по всему, DNSLookupView действительно неправильно определяет процесс, который обращается к DNS. Вернее, PID он отображает правильно, а вот имя (и путь) исполняемого файла - не всегда (похоже, что ошибается в том случае, если на момент обработки события процесс уже завершился).
Денис, ну вы бы хоть под спойлеры картинки спрятали.
Зачем нужно было всё выкладывать в картинках, если в оригинале статьи всё текстом?
Кто куда ломится
| Браузер | Количество соединений | Список соединений |
|-----------------------|-----------------------|------------------|
| Ungoogled Chromium | 0 | - |
| Kagi Orion | 0 | - |
| Tor Browser | 0 | - |
| Pale Moon | 0 | - |
| Brave | 17 | d17ndjuagurpsr.cloudfront.net, star-randsrv.bsg.brave.com, updates.bravesoftware.com, go-updater-1830831421.us-west-2.elb.amazonaws.com, dualstack.o.sni.global.fastly.net, usage-ping.brave.com, go-updater.brave.com, d1vbftvkf37ah3.cloudfront.net, dualstack.k.sni.global.fastly.net, brave-production-proxy-238320562.us-west-2.elb.amazonaws.com, c365508cba5e4c13b0de402838df76aa.pacloudflare.com, safe-browsing-quorum.wdp-public.brave.com, brave-core-ext.s3.brave.com, d1bvmdanhrl7qk.cloudfront.net, d1gtt36mgrexoi.cloudfront.net, redirector.brave.com, collector.bsg.brave.com |
| Vivaldi | 11 | clients.l.google.com, vivaldi.map.fastly.net, mimir2.vivaldi.com, update.vivaldi.com, weather.vivaldi.com, downloads.vivaldi.com, vivaldi.com, update.googleapis.com, player.vimeo.com.cdn.cloudflare.net |
| Opera | 31 | clients.l.google.com, trn.lb.opera.technology, e125010.b.akamaiedge.net, merchandise.opera-api2.com, addons.opera.com, na-autoupdate.opera.com, ams-weather.opera-api2.com, am4-speeddials.opera.com, lati.lb.opera.technology, weather.opera-api2.com, exchange.opera.com, autoupdate.opera.com, sd-images.operacdn.com, extension-updates.opera.com, sitecheck.opera.com, submit-trn.osp.opera.software, update.googleapis.com, e9428.a.akamaiedge.net, safebrowsing.googleapis.com, www.facebook.com, me-ycpi-cf-www.g06.yahoodns.net, mdundo.com, e6520.b.akamaiedge.net, apex-football.com, firebaseinstallations.googleapis.com, download5.operacdn.com, edgedl.me.gvt1.com, firebaseremoteconfig.googleapis.com, us.get.opera.com |
| Google Chrome | 25 | clients.l.google.com, safebrowsingohttpgateway.googleapis.com, accounts.google.com, googlehosted.l.googleusercontent.com, optimizationguide-pa.googleapis.com, clients2.googleusercontent.com, redirector.gvt1.com, update.googleapis.com, edgedl.me.gvt1.com, clientservices.googleapis.com, www.googleapis.com, chromewebstore.googleapis.com, www.google.com, www.gstatic.com, ogads-pa.clients6.google.com, plus.l.google.com, play.google.com |
| Microsoft Edge | 48 | ax-0002.ax-msedge.net, clients.l.google.com, e107108.dscx.akamaiedge.net, clients2.google.com, copilot.microsoft.com, a2033.dscd.akamai.net, s-part-0019.t-0009.t-msedge.net, prod-agic-je-2.japaneast.cloudapp.azure.com, edge.microsoft.com, self.events.data.microsoft.com, onedscolprdwus01.westus.cloudapp.azure.com, www.bing.com, nav-edge.smartscreen.microsoft.com, config.edge.skype.com, ntp.msn.com, bx-0002.bx-msedge.net, onedscolprdeus00.eastus.cloudapp.azure.com, e11290.dspg.akamaiedge.net, onedscolprdcus01.centralus.cloudapp.azure.com, www.microsoft.com, prod-agic-jw-3.japanwest.cloudapp.azure.com, sb.scorecardresearch.com, a233.dscd.akamai.net, ax-0001.ax-msedge.net, c-msn-pme.trafficmanager.net, prod-agic-jw-2.japanwest.cloudapp.azure.com, edgecdn-embza6g8cacagcbn.z01.azurefd.net, img-s-msn-com.akamaized.net, onedscolprdeus09.eastus.cloudapp.azure.com, a-0016.a-msedge.net, browser.events.data.msn.com, onedscolprdcus21.centralus.cloudapp.azure.com, onedscolprdcus09.centralus.cloudapp.azure.com |
| Apple Safari | 6 | token.safebrowsing.apple, www.apple.com, securemetrics.apple.com, securemvt.apple.com, gateway.icloud.com, api-glb-euc1b.smoot.apple.com |
| Yandex Browser | 24 | api.browser.yandex.com, update.googleapis.com, browser.yandex.com, sba.yandex.net, 300.ya.ru, neuro.translate.yandex.ru, s3.yandex.net, ya.ru, yandex.ru, browser.yandex.ru, yastatic.net, mail.yandex.ru, dr.yandex.net, brontp-pre.yandex.ru, dr2.yandex.net, cloud.cdn.yandex.net, dzen.ru, suggest.dzen.ru, mc.yandex.ru, suggest.sso.dzen.ru, cloudcdn-ams19.cdn.yandex.net |
| Mullvad Browser | 15 | dns.mullvad.net, a1887.dscq.akamai.net, publicsuffix.org, versioncheck-bg.addons.mozilla.org, cdn.mullvad.net, ublockorigin.pages.dev, e3913.cd.akamaiedge.net, secure.fanboy.co.nz, filters.adtidy.org, pgl.yoyo.org, cdn.jsdelivr.net, ublockorigin.github.io |
| Librewolf | 24 | addons.mozilla.org, push.services.mozilla.com, services.addons.mozilla.org, gitlab.com, a1887.dscq.akamai.net, firefox.settings.services.mozilla.com, versioncheck-bg.addons.mozilla.org, publicsuffix.org, prod.remote-settings.prod.webservices.mozgcp.net, ublockorigin.pages.dev, prod.content-signature-chains.prod.webservices.mozgcp.net, raw.githubusercontent.com, malware-filter.gitlab.io, 1278313086.rsc.cdn77.org, prod.globalsign.map.fastly.net, curbengh.github.io, pgl.yoyo.org, cdn.jsdelivr.net.cdn.cloudflare.net, filters.adtidy.org, dualstack.n.sni.global.fastly.net, cdn.statically.io, ublockorigin.github.io |
| Arc browser | 16 | mobile.launchdarkly.com, clientstream.launchdarkly.com, cdn-settings.segment.com, securetoken.googleapis.com, o298668.ingest.sentry.io, update.googleapis.com, 0.datadog.pool.ntp.org, content.arc.net, releases.arc.net, firestore.googleapis.com, api.segment.io, safebrowsing.googleapis.com, edgedl.me.gvt1.com, www.googleapis.com |
| Floorp | 42 | prod.classify-client.prod.webservices.mozgcp.net, prod.remote-settings.prod.webservices.mozgcp.net, www.google.com, docs.ablaze.one, prod.detectportal.prod.cloudops.mozgcp.net, m33.coreserver.jp, mc.prod.ads.prod.webservices.mozgcp.net, push.services.mozilla.com, floorp-update.ablaze.one, raw.githubusercontent.com, shavar.prod.mozaws.net, a1887.dscq.akamai.net, prod.content-signature-chains.prod.webservices.mozgcp.net, pki-goog.l.google.com, t0.gstatic.com, t2.gstatic.com, location.services.mozilla.com, services.addons.mozilla.org, safebrowsing.googleapis.com, r10.o.lencr.org, js.hcaptcha.com, detectportal.firefox.com, o.pki.goog, docs.ablaze.one, static.cloudflareinsights.com, cdn.jsdelivr.net.cdn.cloudflare.net, floorp-update.ablaze.one, content-signature-2.cdn.mozilla.net, attachments.prod.remote-settings.prod.webservices.mozgcp.net, addons.mozilla.org, support.ablaze.one, www3.l.google.com, docs.floorp.app, prod.balrog.prod.cloudops.mozgcp.net, a19.dscg10.akamai.net, edgedl.me.gvt1.com, firefox-settings-attachments.cdn.mozilla.net, translate.google.com, support.ablaze.one |
| Zen browser | 82 | prod.remote-settings.prod.webservices.mozgcp.net, prod.classify-client.prod.webservices.mozgcp.net, zen-browser.app, merino.services.mozilla.com, push.services.mozilla.com, updates.zen-browser.app, attachments.prod.remote-settings.prod.webservices.mozgcp.net, static.cloudflareinsights.com, bunnyfonts.b-cdn.net, services.addons.mozilla.org, location.services.mozilla.com, fonts.bunny.net, prod.balrog.prod.cloudops.mozgcp.net, a19.dscg10.akamai.net, edgedl.me.gvt1.com, firefox-settings-attachments.cdn.mozilla.net, firefox.settings.services.mozilla.com, github.githubassets.com, mmx-ds.cdn.whatsapp.net, www.google.com, calendar.google.com, www.notion.so, www.youtube.com, youtube-ui.l.google.com, trello.com, twimg.twitter.map.fastly.net, d29id7n8587nnz.cloudfront.net, discord.com, x.com, reddit.com, notion.com, accounts.google.com, fonts.googleapis.com, fonts.gstatic.com, ajax.googleapis.com, cdn.prod.website-files.com, cdn.localizeapi.com, d3e54v103j8qbb.cloudfront.net, abs-zero.twimg.com, cf.x.com, api.x.com, workspace.google.com, play.google.com, storage.googleapis.com, ssl.google-analytics.com, www.google-analytics.com, region1.google-analytics.com, lh3.googleusercontent.com |
| Waterfox | 21 | dooh.cloudflare-dns.com, prod.classify-client.prod.webservices.mozgcp.net, prod.remote-settings.prod.webservices.mozgcp.net, www.waterfox.net, aus1.waterfox.net, accounts.firefox.com, push.services.mozilla.com, shavar.prod.mozaws.net, firefox.settings.services.mozilla.com, location.services.mozilla.com, services.addons.mozilla.org, waterfox-ohttp-relay.fastly-edge.com, dooh.waterfox.net, prod.balrog.prod.cloudops.mozgcp.net, edgedl.me.gvt1.com, www.google.com |
| Thorium | 10 | accounts.google.com, www.google.com, www.gstatic.com, ogads-pa.clients6.google.com, plus.l.google.com, play.google.com, apis.google.com, update.googleapis.com |Нужно будет как-нибудь заняться, заблокировать все эти узлы и провести автотесты браузеров, посмотреть, что реально можно отключить
Заблокировать всё!
#!/bin/bash
# Создаем таблицу и цепочку
nft add table inet block_browser_telemetry
nft add chain inet block_browser_telemetry domains "{ type filter hook output priority filter; policy accept; }"
# Функция для добавления правил
add_domain() {
domain=$1
nft add rule inet block_browser_telemetry domains ip daddr $domain drop
}
# Массив со всеми уникальными доменами
domains=(
accounts.firefox.com
ads.mozilla.org
ajax.googleapis.com
a-0003.a-msedge.net
a-0016.a-msedge.net
abs-zero.twimg.com
addons.mozilla.org
api.browser.yandex.com
api.browser.yandex.ru
api.segment.io
api.x.com
apex-football.com
arc.net
aus1.waterfox.net
aus5.mozilla.org
ax-0001.ax-msedge.net
ax-0002.ax-msedge.net
balrog.prod.cloudops.mozgcp.net
bx-0002.bx-msedge.net
cdn.jsdelivr.net
cdn.localizeapi.com
cdn.prod.website-files.com
cdn.statically.io
chromewebstore.googleapis.com
clientstream.launchdarkly.com
clients.l.google.com
clients2.google.com
clients2.googleusercontent.com
clientservices.googleapis.com
cloud.cdn.yandex.net
cloudcdn-ams19.cdn.yandex.net
com.apple.safari.safebrowsing.service
content-signature-2.cdn.mozilla.net
content.arc.net
copilot.microsoft.com
c-msn-pme.trafficmanager.net
curbengh.github.io
d17ndjuagurpsr.cloudfront.net
d1bvmdanhrl7qk.cloudfront.net
d1gtt36mgrexoi.cloudfront.net
d29id7n8587nnz.cloudfront.net
d3e54v103j8qbb.cloudfront.net
detectportal.firefox.com
discord.com
dooh.cloudflare-dns.com
dooh.waterfox.net
downloads.vivaldi.com
dr.yandex.net
dr2.yandex.net
dscx.akamaiedge.net
dscq.akamai.net
dsni.fastly.net
dv.maxcdn.com
e107108.dscx.akamaiedge.net
e11290.dspg.akamaiedge.net
e125010.b.akamaiedge.net
e13678.dscb.akamaiedge.net
e3913.cd.akamaiedge.net
e6520.b.akamaiedge.net
e86303.dscx.akamaiedge.net
e9428.a.akamaiedge.net
edgecdn-embza6g8cacagcbn.z01.azurefd.net
edge.microsoft.com
edgedl.me.gvt1.com
facebook.com
fastly-edge.com
fastly.net
firefox.settings.services.mozilla.com
firebaseremoteconfig.googleapis.com
floorp-update.ablaze.one
gateway.icloud.com
github.githubassets.com
gitlab.com
google-analytics.com
google.com
googlehosted.l.googleusercontent.com
googleusercontent.com
gstatic.com
hcaptcha.com
icloud.com
img-s-msn-com.akamaized.net
incoming.telemetry.mozilla.org
jsdelivr.net
l-0007.l-msedge.net
lati.lb.opera.technology
launchdarkly.com
location.services.mozilla.com
mail.yandex.ru
mc.yandex.ru
me-ycpi-cf-www.g06.yahoodns.net
merino.services.mozilla.com
microsoft.com
mime.types
mimir2.vivaldi.com
mobile.launchdarkly.com
mozilla.org
mullvad.net
neuro.translate.yandex.ru
notion.so
ntp.msn.com
o.pki.goog
ocsp.digicert.com
ogads-pa.clients6.google.com
onedscolprdcus01.centralus.cloudapp.azure.com
onedscolprdeus00.eastus.cloudapp.azure.com
onedscolprdwus01.westus.cloudapp.azure.com
opera-api2.com
operacdn.com
optimize.google.com
optimizationguide-pa.googleapis.com
parsecd
pgl.yoyo.org
player.vimeo.com.cdn.cloudflare.net
plus.l.google.com
prod.autograph.services.mozaws.net
prod.balrog.prod.cloudops.mozgcp.net
prod.classify-client.prod.webservices.mozgcp.net
prod.content-signature-chains.prod.webservices.mozgcp.net
prod.detectportal.prod.cloudops.mozgcp.net
prod.globalsign.map.fastly.net
prod.remote-settings.prod.webservices.mozgcp.net
prod.webservices.mozgcp.net
publicsuffix.org
push.services.mozilla.com
raw.githubusercontent.com
redirector.brave.com
redirector.gvt1.com
reddit.com
s-part-0019.t-0009.t-msedge.net
safebrowsing.googleapis.com
safebrowsingohttpgateway.googleapis.com
sb.scorecardresearch.com
secure.fanboy.co.nz
securemvt.apple.com
securemetrics.apple.com
self.events.data.microsoft.com
services.addons.mozilla.org
shavar.prod.mozaws.net
sitecheck.opera.com
skype.com
smoot.apple.com
speeddials.opera.com
spotify.com
sso.dzen.ru
ssl.gstatic.com
suggest.dzen.ru
suggest.sso.dzen.ru
support.ablaze.one
telemetry-incoming.r53-2.services.mozilla.com
thorium-browser.com
token.safebrowsing.apple
trn.lb.opera.technology
trello.com
twitter.com
ublockorigin.github.io
ublockorigin.pages.dev
update.brave.com
update.googleapis.com
update.vivaldi.com
updates.bravesoftware.com
updates.zen-browser.app
usage-ping.brave.com
versioncheck-bg.addons.mozilla.org
vivaldi.map.fastly.net
webservices.mozgcp.net
yastatic.net
youtube-ui.l.google.com
)
# Добавляем правила для каждого домена
for domain in "${domains[@]}"; do
add_domain $domain
done
# Сохраняем правила
nft list ruleset > /etc/nftables.confНо стоит отметить, что уже сейчас видно, что блокировать всё подряд нельзя, т.к. некоторые ресурсы нужны для например функционала поисковиков, встроенных мессенджеров и т.п.:
и т.д.
addons.mozilla.org
Стрела в ногу
Моментальная ампутация ноги посредством кинетического воздействия снаряда сверхбольшого калибра с высокой энергией.
Для этого и нужно проводить автотесты :)
Но подозреваю, что всякие Lynx, Links (Links2), Elinks, w3m и Browsh это не обрабатывают и ведь как-то пользуются ими.
Проще же до(вы)пилить бездумно написанные стартовые страницы (или что ещё там может с CDN тянуть), чем нацеливать пушку на воробьев.
Меня один из браузеров развеселил, по-моему который японский форк ФФ. На странице, мол думаем о вас и данных. Хотя по кол-ву доменов при старте, они вообще при написании чего-либо думать не умеют. Вишенка на торте: "заинтересованные" приватностью сообщества, у которых основной канал общения -- Discord.
Оценка количества и путей сетевых запросов, отправляемых 19 разными веб-браузерами при первом запуске на ПК пользователя