Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

[Bo0oM]

Старинный способ, должно быть, о нем писали на хабре.
Один из примеров
https://bo0om.ru/zn2014/sd/

[napa3um]

В Гугл+ опознаюсь как незалогиненный, хотя на самом деле залогинен (проверил несколько раз). Возможно, починили уязвимость. P.S.: На https://bo0om.ru/zn2014/sd/ определяется залогиненность и на Г+.

[Alukardd]

У меня ни чего не детектится ни по вашей ссылке, ни по ссылке в начале статьи.

[miraage]

Надо открывать не в инкогнито. /s

[Alukardd]

Спасибо кэп.

[workless]

В обычном режиме тоже не определяет. Может дело в anti-social фильтрах ublock-а

[nathanael]

Аналагочино с адблоком (социальные списки подключены), после выключения адблока начинает показывать что, где и чего.

[xBrowser]

Если вы серьезно, то инкогнито не помогает.
А вообще это тревожная информация, т.к. может докатится до онлайн банкингов.

Пруф

[grossws]

Если вы залогинены в vk в incognito mode, то естественно.

[f0rk]

ни разу не видел онлайн банкинга с автологином

[xBrowser]

Надеюсь, что не увидим.

[steff]

В Опере спасает настройка блокировки куков сторонних сайтов: https://imgd.ru/image/uchm, а при её отключении «всё становится явным».
Как в других браузерах, проверял кто?

[tubecleaner]

Да, у меня также всегда включена эта опция в Хроме и также не определила подключение к сайтам. Все сайты, среди посещаемых мной, которые используют внешнюю аутентификацию, нормально работают с этой опцией.

[stokker]

А как в Мозилле это сделать?

[tubecleaner]

Надеюсь, эта информация вам поможет

[Andy_U]

Tools->Options->Privacy->History: Firefox will: заменить «remember history» на «use custom settings for history», потом «accept third party cookies» -> Never,

[Frankenstine]

Включил. На всякий случай :)

[ingumsky]

Спасибо за подсказку. Интересно, а как может включение этой опции отразиться на работе с сайтами и UX, в целом? Ну, кроме того, что таргетированной рекламы, по идее, должно стать меньше (что лично я считаю плюсом).

[steff]

Особо не разбирался, но, если не ошибаюсь, при включенной опции у меня не работает вебвизор Яндекса. Он как бы зацикливается при открытии страницы с картой кликов, ссылок и т.д.

[ingumsky]

Спасибо. То есть всё-таки в некоторых случаях функциональность страдает. Буду иметь в виду.

[msts2017]

Demonstration

You are logged in to:
No platform
(or you're using something like Privacy Badger)

[xaja]

adblock

[Einherjar]

Т.е. в 2016 году уже вариант что люди могут быть никуда не залогинены в принципе даже теоретически не рассматривается?

[xaja]

я столкнулся ровно с таким же сообщением, и после отключения adblock все пошло-поехало.

[belurd]

Это модно лишь в узких кругах как наш в Вами. Я думаю, что 90% пользователей даже не задумывались над анонимностью в вебе, что это такое и зачем оно надо.

[AndreyRubankov]

При выключенном js такое же сообщение было =)

[ragequit]

Адблок адблоку рознь. Тут скорее дело в фильтрах, потому что у меня при включении «коробочного» adblock все работало. Собственно, с ним и сделан скриншот на КДПВ.

[DenVdmj]

Или фильтры в Опере:
https://cdn.rawgit.com/uBlockOrigin/uAssets/master/thirdparties/easylist-downloads.adblockplus.org/easylist.txt
https://cdn.rawgit.com/uBlockOrigin/uAssets/master/thirdparties/easylist-downloads.adblockplus.org/easyprivacy.txt
https://easylist-downloads.adblockplus.org/fanboy-annoyance.txt

[ingumsky]

У меня включен Адблок, но было видно, где я залогинен.

[Myrddin]

Privacy Badger — хорошее расширение, рекомендую

[Seekeer]

Лучше Ghostery?

[RouR]

У меня Ghostery, не защитил.

[Myrddin]

Трудно сказать, еще не тестил. Но Privacy Badger рекомендуется EFF.

[dvor]

Согласно FAQ, можно использовать оба, они не конфликтуют:

Privacy Badger is compatible with most extensions. Whether it makes sense to run it with another adblocker varies. If you have customized your adblocker settings to block trackers as well, Privacy Badger may be partially redundant (though it may offer advantages like cookie blocking that other tracker blockers do not). However if you run extensions like Adblock Plus or Ghostery in their default configurations, Privacy Badger can significantly increase your privacy online. (Adblock does not block invisible trackers by default, Ghostery does not block anything by default.)

[format1981]

Можно сделать умные соц. кнопки — показывать только те сервисы, в которых авторизован. Ничего лишнего.

[zelenin]

соц. кнопки сделаны не для того, чтобы постить в той соцсети, в которой залогинен, а чтобы постить в той соцсети, в которой ты можешь залогиниться)

[format1981]

Или показывать их первыми в списке.

[zelenin]

а вот уже юзер френдли)

[OldFisher]

В Vivaldi чудо-сайт ничего не видит.

[TimsTims]

Надеюсь, нормальные вебмастеры используют этот трюк, чтобы показывать кнопку «ПОДЕЛИТЬСЯ» и выводить только те соцсети, где ты есть. А не выводить 1000 иконок всех соцсетей мира, на которые даже смотреть не хочется.

[Skreep]

Или, как вариант, выводить «авторизованные» соцсети в первую очередь, скрывая остальные «под кат».
То же самое можно делать для кнопок «войти через...». По идее, должно повысить конверсию.

[fenst]

Пардоньте, а какой из указанных на картинке сервисов является «сайтом для взрослых»?

[ragequit]

Парсит в фоновом режиме.

[mwizard]

А почему в исходниках этого нет?

[Methos]

Пустота. Этот сайт ничего обо мне не знает, как и все остальные, которым я не доверяю и не включаю js

[Methos]

Но даже когда я включил js, то тоже ничего не узнал, ибо я пользуюсь Chostery и adblock

[plus79501445397]

И Вам не стыдно быть «велосипедистом»?
К тому же это тянет на гнусное предательство Вашей профессии!

Ирония конечно )

[Tufed]

да, Ghostery в этом отношении рулит. Как раз ловит то что отслеживает (яндекс-метрики всякие, гугл аналитику и кнопки соц.сетей) и блокирует как отображение так и активность этих скриптов (зачастую излишнюю). Приятно когда гугл не начинает рекламировать памперсы после посещения двух десятков сайтов с памперсами (да купил я уже, не надо мне уже, все хватит, горшочек не вари — но алгоритм всё-же туповат и продолжает).

[LynXzp]

Стоят nojs, ghostery и ublock origin. Когда влючил вскрипты эта страница обнаружила что я залогинен на github, но потом перепроверил увидев эти комментарии — уже не обнаруживает. Странно.

Страница https://bo0om.ru/zn2014/sd/ аналогично обнаружила только при первом входе.

Беда-печаль.

[LynXzp]

Прошу прощения, сам виноват. Отключил сторонние cookies по совету выше. (значит помогает)

[ZoomLS]

RequestPolicy и подобные плагины, обрезают всю эту слежку на корню.
А вообще, ждём контекстные контейнеры в Firefox. Если их использовать с умом, тогда такое вычисление будет невозможно в принципе.

[PFight77]

Вообще так Гугл и Яндекс знают не только где я залогинен, но все чем я интересовался в последнее время. Стоит поискать какой-то товар, как сразу все рекламные блоки наполняются соответствующей рекламой. Если не параноить со всякими RequestPolicy, то приватность в интернете штука вообще весьма относительная.

[AndreyRubankov]

Попробуйте включить опцию DNT (Do Not Track), Честные сервисы аналитики учитывают ее, а так же можно включить блокирование сторонних кукисов. Как результат — меньше мусора в истории и гугловая реклама не предлагает ничего из того, что ты посещал или гуглил. Для этого нету необходимости ставить сторонние плагины.

[AlexanderG]

>Честные сервисы аналитики

[Oxoron]

Я на этом чуть не спалился, когда жене обручальное кольцо выбирал. Никакой секретности.

[Pongo]

У яндекса учет интересов при показе рекламы можно отключить https://yandex.ru/tune/adv/

[esudnik]

По поводу Гугла: Я уже как несколько лет пользуюсь следующем методом:

Добавляю следующую строчку в /etc/hosts
127.0.0.1 tpc.googlesyndication.com googleads.g.doubleclick.net doubleclick.net googleadservices.com www.googleadservices.com pagead2.googlesyndication.com www.google-analytics.com google-analytics.com

… после этого Адвордс реклама а также разные трекинг миханизмы перестают работать.

[Svet6os6laV6]

Ни где увы от слежки не спастись, все как ни крути делается не для удобства а на оборот, что бы больше контролировать народ.Выпуская всякие луковицы, выдавая будто они прибавляют +99 к вашей беспалевности. Как мне кажется это только для нас, обычных пользователей это уязвимость…

[Svet6os6laV6]

Тут на самом деле смотря с какой стороны посмотреть, главное оставаться в нейтралитете… Да бы не было войны ахахах

[izuware]

Автор подобной страницы получит список сервисов с которым скрытно можно сделать… что? Я думаю то-же самое что и на странице «логин с помощью OpenID». Причем тут плюсом можно выяснить наиболее предпочтительную сеть.

[kid_a]

Показывает только логины в браузере?
Запущенные скайп, баттлнет и стим не видит.

[AlexanderG]

И rm -rf / сделать удаленно не дает, бесполезный хак, плохо зделали, тупо.

[Apathetic]

Интересно, какая реакция ожидается от того же фейсбука, если возможность определения, авторизован посетитель на фейсбуке или нет, есть в JS SDK.

[ProfBiss]

Да никакой абсолютно. Т.к. если ты приложение не авторизовал то ничего не узнаешь…

[Apathetic]

Этот метод предназначен для того, чтобы определять, авторизовал пользователь приложение, или нет. Для использования авторизация не нужна. Почитайте по ссылке.

[ProfBiss]

Только вы не внимательно прочитали документацию… Метод предназначен предназначен для того, чтобы определять, авторизовал посетитель приложение, или нет. Для использования авторизация не нужна. И если посетитель приложение не авторизовал то невозможно получить данные о пользователе ФБ, а соответственно «никакой угрозы» конфиденциальности нет. ФБ ответит именно так на багрепорт…

[Apathetic]

Боюсь, скорее это вы неверно интерпретировали мой комментарий :)
Я говорю о том, что странно ожидать от фейсбука какой-то реакции, раз уж в самом фейсбучном SDK есть возможность без всяких авторизаций определить, залогинен посетитель в фейсбуке или нет, то есть сделать ровно то же самое, что описано в статье. О доступе к прочей информации о пользователе я не говорил.

[bertmsk]

Методу сто лет в обед. С добрым утром, как говорится. Как спалось последние четыре года?

http://www.tomanthony.co.uk/tools/detect-social-network-logins/ — на дату статьи посмотри

[igorgusarov]

Кое-что неправильно определяет — Netflix, например.

[alvik48]

По-моему, это действительно сложно считать уязвимостью. Но вот у некоторых сервисов присутствует возможность разлогинить юзера без его непосредственного участия, что грустно — вот эти ребята так делают (ОСТОРОЖНО! Вы можете быть разлогинены в некоторых сервисах после перехода по ссылке): http://superlogout.com. Правда, работает мало где — толи уже прикрыли дырки, толи никогда и не работало, но в gmail на текущий момент меня выкидывает.

[Godless]

В гмыле выкидывает по каждому подозрительному чиху

[Ohar]

GitHub не выкинул

[sidristij]

Гораздо интереснее узнать кто конкретно :)

[gearbox]

Резать все обращения к социалкам (только на уровне расширения броузера). Разрешать только по белому списку социалка+сайт. Думаю во всяких гостери и адблоках должен быть похожий функционал, но вообще не проблема накидать самому на основе любого бойлерплейта (https://github.com/orbitbot/chrome-extensions-examples).

[gearbox]

А, в этом смысле. Токены. То есть вместе с кукой (http only) должен передаваться токен (js only) — при ПРАВИЛЬНОЙ реализации это МОЖЕТ гарантировать что запрос сделан вашим кодом.

[LynXzp]

Да, это бесит. Я когда захожу в vk — хочу чтобы там все работало (скрипты от vk, кнопочки и финтиклюшки), а когда на habrahabr — видеть в списке загружаемых скриптов vk — как-то неприятно (сейчас нету, но раньше был). И особо ничего не поможет. Nojs и т.п. — блокируют, но тогда соцсети не работают, а когда не блокируют — грузится на любой чих на любом домене. Логика существующих блокировщиков… странная.

Самому писать не хочется, увы.

[Pongo]

Используйте umatrix или ublock origin в продвинутом режиме (в нем можно отключить загрузку скриптов с внешних сайтов)

[LynXzp]

Ура, спасибо. Ublock origin и стоял, но в обычном режиме. (Я так понял что он в расширеном режиме заменяет собой и noscript и даже лучше него).

[Pongo]

Не совсем. Он не отключает джаваскрипт, а блокирует загрузку посторонних скриптов. В вики проекта есть руководство по режимам использования. Кроме того его можно использовать в режиме черного списка: по-умолчанию вся реклама на всех сайтах показывается, но можно добавить сайт в черный список — тогда на нем она будет резаться.

[novoxudonoser]

Для хрома в настройках приватности ставим галочку — блокировать cookie сторонних сайтов, и всё, этим способом за вами не следят.

[Homakov]

Мой Profilejacking который есть среди ссылок намного опасней и все еще реализуем на большинстве сервисов.

[Botchal]

Давно использую данный способ. Персонализирую форму входа через соц. сети. Логично выводить только «нужные» кнопки. ИМХО, ничего страшного в этом не вижу.

[belurd]

Кто-нибудь делал похожее, но более ориентированное на восточную Европу? В списке не хватает большого количества социальных сетей и сервисов актуальных в наших краях.

[funnybanana]

Пока тут все видят уязвимость, я уже придумываю как я сортирую кнопочки авторизации у себя на сайте через социалки — используя сервисы где пользователь уже авторизован…

Т.е заходит пользователь на мой сайт, я ему предлагаю авторизоваться на сайте через VK|facebook|google+ и т.д — при этом на верх списка высовываю те кнопочки в которых пользователь уже авторизован… удобно же =)

Но… пока у меня дойдут до этого руки — возможно эту фишку уже пофиксят…

[izuware]

А авторизован вконтакте совсем другой чел, а в твоем специально для таких случаев заведенном фйесбуке ты как раз сегодня не логинился… И получается нафига? Проще в кукисы записать что конкретному индивиду надо. А в первый раз так и быть, простыню вывалить.

[QuantCat]

У меня совсем интересные эффекты. Даже после разрешения скриптов на странице (стоит NoScript) и отключения AdBlock оно не нашло меня в Google+, VK и FB. Зато упорно говорит, что я есть на Blogger, а там меня в жизни не водилось.
Первое можно свалить на Disconnect, а второе-то откуда?

[kolemik]

сложности какие… разве нет возможности считывать цвет ссылок и собирать «посещённые» из списка на скрытом диве каком-нить?