Комментарии 60
Баннерорезки блокируют левые js
Приватный режим браузера. А также дополнения типа Ghostery, disconnect.me
вконец обнаглели! хоть бери и, дествительно, ходи по интернетам только в приватном режиме браузера, но это же не дело
он же платный, кажется
disconnect.me
он же платный, кажется
Бесплатный
Если хочешь, можно заплатить, причем сколько хочешь, да еще и выбрать сколько из оплаченого идет девелоперам, а сколько на благотворительность. Платить можно картой, пэйпалом или биткоином. Можно и не платить.
А я только в приватном режиме и ищу информацию в интернете, стандартный режим использую только для проверенных сайтов.
В частности из-за того, что при поиске конкретной информации не в приватном режиме все сайты завешиваются «релевантной» рекламой.
В частности из-за того, что при поиске конкретной информации не в приватном режиме все сайты завешиваются «релевантной» рекламой.
Тема старая и прежде чем создавать новый топик, можно было воспользоваться поиском и найти как минимум habrahabr.ru/post/228617/
Сам использую Ghostery для защиты от подобных атак.
Сам использую Ghostery для защиты от подобных атак.
Тут реальный пример как сейчас используется данная «фича»
Поставил Ghostery сейчас — очень удобно и хорошо сделано!
Я верно понимаю, что оно перекрывает функционал AdBlock и его можно убирать?
Я верно понимаю, что оно перекрывает функционал AdBlock и его можно убирать?
Не полностью. У них разные задачи.
Ставить оба.
Плюс для особых случаев: RequestPolicy
Плюс для особых случаев: RequestPolicy
Почему же только для особых? Пользуюсь RP в режиме «по умолчанию блокировать» больше года. Все часто посещаемые сайты уже давно открываются без каких-либо проблем. А вот без RP уже реально страшно: недавно, зайдя «голым» браузером на Kongrеgate, сайт с флеш-игрушками, получил от Avast! предупреждение, что один из подсосанных js-файлов — малварь.
НЛО прилетело и опубликовало эту надпись здесь
NoScript как-то раньше смотрел — не срослось у меня с ним.
Муторно и долго его настраивать, интерфейс громоздкий и путанный.
Другие посмотрю.
Муторно и долго его настраивать, интерфейс громоздкий и путанный.
Другие посмотрю.
NotScript для webkit-ов и NoScript для Firefox включены всегда.
Настроены давно, профили браузеров таскаю копированием папок из AppData
Некоторые сайты не отображаются вообще без JS, но если на одном из выдачи поисковика нашел ответ — то пустые даже не смотрю.
Настроены давно, профили браузеров таскаю копированием папок из AppData
Некоторые сайты не отображаются вообще без JS, но если на одном из выдачи поисковика нашел ответ — то пустые даже не смотрю.
Судя по количеству голосов (+33), эту тему можно заводить хоть раз в месяц (-:
Поставил Ghostery, всем спасибо.
Поставил Ghostery, всем спасибо.
Только в «фичу» из вашего топика прикрыли, а тут все еще работает.
Странно, но для приложения нужно вручную дать разрешения же. По крайней мере у меня всплывает окно запроса разрешений из этого примера.
Clickjacking — не единственная угроза. Несколько лет назад писал статью на эту тему — «Получение информации о пользователях» (https://forum.antichat.ru/showthread.php?t=352133). Большинство примеров уже не работают, но теоретическая часть сейчас не менее актуальна, чем раньше.
Да, тема старая, но она будет и в будущем много раз подниматься, т.к. эта дыра (а иначе и не назовешь) у соцсети ВКонатекте — просто вопиющая вещь. Надо с этим беспределом давно уже покончить. Но как я понял из прошлых постов, ВКонтакте в курсе этого и ничего делать не собирается. Очень жаль.
> Далее вас уже «ведут» по сайту не как ID 327812, а как «Иван Васильевич из Москвы, женат, 2 детей. Номере телефона....».
К счастью, здесь вы не совсем правы. Ваш номер телефона и email недоступны для данного сервиса.
> Далее вас уже «ведут» по сайту не как ID 327812, а как «Иван Васильевич из Москвы, женат, 2 детей. Номере телефона....».
К счастью, здесь вы не совсем правы. Ваш номер телефона и email недоступны для данного сервиса.
Хотел пример показать с их сайта. там в кейсах есть пример, где указан телефон. Да вот на сайте уже висит заглушка (см. upd)
Главная socfishing.ru гласит....
Сейчас она гласит, что автору этого проекта не хватает аккаунта на хабре.
С requestpolicy запросы браузера станут чистыми и шелковистыми, и перестанут шевелиться в направлении доменов, не имеющих отношения к посещаемым сайтам.
Именно. А с click-jacking насколько мне известно умеет бороться только NoScript.
Конечно, если click-jacking используется скриптом загружаемым со стороннего сайта, загрузка которого заблокирована Ghostery — то хватит и его, но если этот скрипт грузится либо с основного сайта либо со стороннего но не заблокированного Ghostery — тогда надежда только на NoScript.
Конечно, если click-jacking используется скриптом загружаемым со стороннего сайта, загрузка которого заблокирована Ghostery — то хватит и его, но если этот скрипт грузится либо с основного сайта либо со стороннего но не заблокированного Ghostery — тогда надежда только на NoScript.
А мне нравится другая тенденция :) Как-то вечер решил почитать про трейдинг — в итоге 2 недели ловил спам на почту только про трейдинг, и никакого спама более. Спам, кстати, сыпался на gmail, в папку спам, но именно направленный на тематику трейдинга. Вот это я понимаю — точечная бомбардировка!
Какая-то надуманная проблема. Только для пользователей соц.сетей.
Автор вы не ошиблись, было дело — ковырял их код, все дело в том, что можно получить данные пользователя (id, ник) без подтверждения каких-либо прав на страничке vk, о чем здесь уже писали. Но в ВК в свою очередь саппорт говорит что это не баг, так и живем.
Те же данные точно так же, без подтверждений, можно получить и в фейсбуке, так что тут втентаклик не уникален. И, вроде бы, у яндекса в его сервисе «мой круг» тоже.
Да, но сейчас, судя по демке: jsfiddle.net/Ej25j/ ситуация поменялась.
Самое интересное в этом то, что вконтакте считает это нормальным и не видит уязвимости. С этой проблемой обращались ещё года два назад и уж точно не один раз.
Лучше всего вообще не светить в инете настоящие данные. Нигде и никогда.
Это не всегда возможно:
- Например, фрилансеру работающему через интернет и желающему получать за свою работу деньги — светить настоящие данные придётся.
- Если есть неодолимая потребность общаться со своими реальными знакомыми через соц.сети — та же фигня (даже если свои данные не раскроете вы сами — за вас это сделают ваши друзья, тщательно отмечая вас на фоточках, обращаясь к вам по настоящему имени, и т.п.).
Достаточно отлогиниваться от социальных сетей, если вы их не используете.
А ещё лучше — отдельная виртуальная машина для социалок. :) Ещё одна для скайпа, например. Ну и оперативы в компьютер гигов от 8-16.
Есть как минимум 3 способа, которые в разы проще виртуалок:
1. Использовать для гугления и серфинга по недоверенным сайтам браузер в режиме нового приватного окна
2. Создать для этого дела отдельного юзера в винде и запускать браузер от его имени, я так делаю (но тут есть некоторые проблемы с отображением языковой панели, ибо она пропадает, когда активируется окно, запущенное от другого пользователя… и еще проблема с запуском ссылок из других приложений: непонятно, какой браузер он выберет, зависит от порядка запуска браузеров, если они одинаковые, но от разных юзеров)
3. Использовать например хром для контакта, гугло аккаунта, фейсбука и прочих, а для гугления и серфинга — оперу.
P. S.: все ведь понимают, что дело в кукисах, сохраненных сессиях и OAuth Open ID?
1. Использовать для гугления и серфинга по недоверенным сайтам браузер в режиме нового приватного окна
2. Создать для этого дела отдельного юзера в винде и запускать браузер от его имени, я так делаю (но тут есть некоторые проблемы с отображением языковой панели, ибо она пропадает, когда активируется окно, запущенное от другого пользователя… и еще проблема с запуском ссылок из других приложений: непонятно, какой браузер он выберет, зависит от порядка запуска браузеров, если они одинаковые, но от разных юзеров)
3. Использовать например хром для контакта, гугло аккаунта, фейсбука и прочих, а для гугления и серфинга — оперу.
P. S.: все ведь понимают, что дело в кукисах, сохраненных сессиях и OAuth Open ID?
Странно, есть же заголовок запрещающий выводить свой сайт в iframe.
НЛО прилетело и опубликовало эту надпись здесь
Ну тогда ещё Cookie Monster для блокирования кук со сторонних сайтов и RefControl для блокирования утечек через Referer:.
К сожалению, настройка всего этого хозяйства — очень нетривиальная задача. Далеко не всегда понятно, что сайт частично не работает из-за этих плагинов. Далеко не всегда понятно, что и как нужно изменить в настройках чтобы сайт заработал — особенно часто это проявляется на сайтах связанных с оплатой, там обычно куча редиректов, сторонних кук и дополнительных проверок того же Referer. Если происходит последовательность редиректов с первого сайта на третий через второй, то в интерфейсе RequestPolicy сложно разрешить второму обращение на третий — приходится отлавливать url-ки через файрбаг и заходить на второй сайт ручками. В общем, учитывая все сложности, которые возникают у меня — советовать этот набор плагинов обычным юзерам нет смысла, им приходится обходиться Ghostery.
К сожалению, настройка всего этого хозяйства — очень нетривиальная задача. Далеко не всегда понятно, что сайт частично не работает из-за этих плагинов. Далеко не всегда понятно, что и как нужно изменить в настройках чтобы сайт заработал — особенно часто это проявляется на сайтах связанных с оплатой, там обычно куча редиректов, сторонних кук и дополнительных проверок того же Referer. Если происходит последовательность редиректов с первого сайта на третий через второй, то в интерфейсе RequestPolicy сложно разрешить второму обращение на третий — приходится отлавливать url-ки через файрбаг и заходить на второй сайт ручками. В общем, учитывая все сложности, которые возникают у меня — советовать этот набор плагинов обычным юзерам нет смысла, им приходится обходиться Ghostery.
спасибо, добавил в hosts
Переформатированный список именно для hosts
Скрытый текст
127.0.0.1 clickdensity.com
127.0.0.1 commontools.net
127.0.0.1 criteo.com
127.0.0.1 getclicky.com
127.0.0.1 google-analytics.com
127.0.0.1 google-analyzing.com
127.0.0.1 mc.yandex.ru
127.0.0.1 mouseflow.com
127.0.0.1 histats.com
127.0.0.1 video-stats.video.google.com
127.0.0.1 radar.imgsmail.ru
127.0.0.1 radarurl.com
127.0.0.1 revsci.net
127.0.0.1 socgate.ru
127.0.0.1 socfishing.ru
127.0.0.1 scorecardresearch.com
127.0.0.1 tubemogul.com
127.0.0.1 visualwebsiteoptimizer.com
127.0.0.1 webtrends.com
Почему принято привязывать нежелательные сайты к 127.0.0.1? В Windows при вызове connect() на этот адрес, если никто не слушает порт, тайм-аут наступает только через 1 секунду, а если ненужные хосты привязывать на адрес 0.0.0.0, ошибка при коннекте появляется мгновенно.
Хех, обычно трояны-вымогатели прописывают что-то в hosts, а с таким подходом скоро появятся трояны, которые наоборот восстанавливают его в первозданном виде!
такой «троян» кстати вполне себе есть — dr.web CureIt называется. по любому чиху предлагает грохнуть hosts нафиг. может и более «полновесные» антивири такое поведение имеют, хз.
у меня самодельная утилитка, которая добавляет в хостс строки из командной строки и автоматически контролирует целостность самого файла контрольной суммой :)
Для себя такой зверинец вывел, ни разу никаких неприятных курьезов не было:
Adblock Plus
Ghostery
Flashblock
Pure URL
Adblock Plus
Ghostery
Flashblock
Pure URL
НЛО прилетело и опубликовало эту надпись здесь
Пользуюсь Chrome'ом. У него есть опция «Block third-party cookies and site data». Блокирует сторонние куки, оставляя только текущего домена. Вручную можно разрешить. Так справляюсь с рекламой сайтов, которые посещал.
habrahabr.ru
а разве это не прикрыли? у меня пример из прошлого поста открывал(и тут же закрывал, но было заметно) окно со страницей вконтакта.
Как блокировать их работу на стороне клиента?
Не ходить по вебу авторизованным где бы то ни было.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
За нами следят или clickjacking для бизнеса