вечная печенька (компьютерное)

[avva]

(эта запись может быть интересна веб-разработчикам и сочувствующим)

Evercookie (проект Сэми Каркара) сохраняет уникальное число в браузере восемью (!) разными способами, включая обычные куки. Если пользователь стирает один из этих способов (например, чистит свои куки), то evercookie автоматически восстанавливает себя там. Некоторые из этих способов весьма изобретательны - мне особенно нравится идея сохранить число в RGB-значениях небольшой картинки, которую браузер сохраняет в кэше, а потом вытащить обратно через canvas mode в джаваскрипте.

Ни один из этих способов не является принципиально новым, исследователям секьюрити браузеров они все известны, но раньше их никто вместе не складывал в столь злопакостной манере.

(кстати, возможно, я упоминал это раньше, но главная страница сайта Сэми использует смешной трюк в своем исходнике - веб-разработчикам предлагаю сделать view-source и разобраться, как она работает вообще. Не очень сложно, но забавно)

Comments

[psilogic.livejournal.com]

Жаль, что такой инструмент могут и будут использовать и модераторы с садистскими наклонностями (чтобы распознавать и банить клонов).

[http://users.livejournal.com/malfet_/]

Отличное применение идей Whitespace

Opera browser

[(Anonymous)]

......картинки, которую браузер сохраняет в кэше, а потом вытащить обратно через.....

Однако что будем делать с браузерами вроде "Opera", которые нажатием 3 клавиш уничтожают одновременно и cookies, и содержание всех caches ??

Re: Opera browser

[(Anonymous)]

..while javascript and flash stay permanently off (I turn them on only when I need to use them, explicitly.
In Opera this is done by ticking a box on a toolbar, i.e. very easy, much easier than going through menus.

So his idea of sneaking on a user will fail then, right?

Re: Opera browser

[webface.livejournal.com]

Не знаю, насколько эффективна Опера, но Хром в режиме инкогнито (флеш-куки я удалил) выдал id даже после очистки кэша.

Re: Opera browser

[max-gashkov.livejournal.com]

Chrome 7.0.517.8 dev — после закрытия incognito-окна и открытия в новом выдает новый id. Без каких-либо чисток.

Re: Opera browser

[kmmbvnr.livejournal.com]

Chrome 6.0.472.62 beta - в каждой новой инкогнито вкладке, свой id

Re: Opera browser

[(Anonymous)]

вы совершенно не то делаете. поэтому и новый id.

Re: Opera browser

[max-gashkov.livejournal.com]

Я делаю совершенно то, а именно доказываю, что в последней версии хрома в инкогнито-режиме метод нежизнеспособен (как, в общем-то, и должно быть).

Re: Opera browser

[(Anonymous)]

а я еще раз говорю, что делаете вы не то. надо не закрывать окно, а жать одну из 2х кнопок в том же окне.

Re: Opera browser

[max-gashkov.livejournal.com]

Вы не понимаете, как работает режим инкогнито в хроме.

Re: Opera browser

[(Anonymous)]

я-то как раз понимаю, зато вы не понимаете как работает скрипт на этой странице. он и должен показывать новый айди при всяком новом (!) заходе, независимо от имеющихся куки и пр.

Re: Opera browser

[max-gashkov.livejournal.com]

Виноват, был неправ.

Re: Opera browser

[romikchef]

Да уж. Более кривую систему демонстрации надо еще постараться выдумать.
При том, что система рекламируется именно как способ запоминания между заходами.

Re: Opera browser

[romikchef]

Собственно, идиотский способ демонстрации не позволяет мне проверить собственный комплект параноика - куки отключены для всех сайтов по умолчанию, NoScript включен для всех сайтов по умолчанию.
Хотя и без проверки понятно, что NoScript делает все 8 способов надрать плохим парням задницу бессмысленным маханием руками.
Лишний аргумент в пользу этой бесценной библиотеки.

Re: Opera browser

[webface.livejournal.com]

Видимо произошел какой-то глюк, во второй раз инкогнито сработало как полагается.

Re: Opera browser

[stas]

У меня не выдал в инкогнито.

[chva.livejournal.com]

С Оперой в приватном режиме не справляется. Да и в обычном, если почистить куки, историю и хранилище — тоже. Опера рулит :)

[(Anonymous)]

фаерфокс тоже

[chva.livejournal.com]

Виноват, был не прав, не понял что нужно пробовать без перезагрузки страницы.

[emdin.livejournal.com]

Не понял, как работает, но сорс через dev console виден на раз. Объясни?

[mipa.livejournal.com]

Глянул вполглаза -- у него там не просто пробелы в регекспе, а пробелы вперемешку с табами, и вот это он берет по 7 символов и меняет пробелы на 0, а табы -- на 1, а потом пишет в документ String.fromCharCode в двоичной системе.

[mipa.livejournal.com]

А кодирует вот так примерно:

<? $s = 'hello'; for ($i = 0, $n = strlen($s); $i < $n; $i++) echo strtr(decbin(ord($s[$i])), '01', " \t");

[stas]

Через dev console скорее всего виден не совсем сорс, а скорее содержимое DOM.

[sly2m.livejournal.com]

Спасибо за код странички Сэми. Я не сразу понял. Улыбнулся.

[jerom.livejournal.com]

Помятуя о модуле Acme::Bleach (http://search.cpan.org/~dconway/Acme-Bleach-1.12/lib/Acme/Bleach.pm), догадаться легко было :)

[rednyrg721.livejournal.com]

а мне нравится https://panopticlick.eff.org/, показывает, что анонимность таки далеко, даже браузер выдает о тебе кучу инфы

[dlazerka.myopenid.com (from livejournal.com)]

вы меня опередили :)
Кстати, ресурс показывает, что не надо вообще ничего хранить на стороне браузера.