вечная печенька (компьютерное)

Sep. 22nd, 2010 09:43 am
avva: (Default)
[personal profile] avva
(эта запись может быть интересна веб-разработчикам и сочувствующим)

Evercookie (проект Сэми Каркара) сохраняет уникальное число в браузере восемью (!) разными способами, включая обычные куки. Если пользователь стирает один из этих способов (например, чистит свои куки), то evercookie автоматически восстанавливает себя там. Некоторые из этих способов весьма изобретательны - мне особенно нравится идея сохранить число в RGB-значениях небольшой картинки, которую браузер сохраняет в кэше, а потом вытащить обратно через canvas mode в джаваскрипте.

Ни один из этих способов не является принципиально новым, исследователям секьюрити браузеров они все известны, но раньше их никто вместе не складывал в столь злопакостной манере.

(кстати, возможно, я упоминал это раньше, но главная страница сайта Сэми использует смешной трюк в своем исходнике - веб-разработчикам предлагаю сделать view-source и разобраться, как она работает вообще. Не очень сложно, но забавно)
  • Add Memory
  • Share This Entry
Threaded | Top-Level Comments Only

Date: 2010-09-22 07:57 am (UTC)
From: [identity profile] psilogic.livejournal.com
Жаль, что такой инструмент могут и будут использовать и модераторы с садистскими наклонностями (чтобы распознавать и банить клонов).

Date: 2010-09-22 08:06 am (UTC)
From: [identity profile] http://users.livejournal.com/malfet_/
Отличное применение идей Whitespace

Opera browser

Date: 2010-09-22 08:15 am (UTC)
From: (Anonymous)
......картинки, которую браузер сохраняет в кэше, а потом вытащить обратно через.....

Однако что будем делать с браузерами вроде "Opera", которые нажатием 3 клавиш уничтожают одновременно и cookies, и содержание всех caches ??

Re: Opera browser

Date: 2010-09-22 08:21 am (UTC)
From: (Anonymous)
..while javascript and flash stay permanently off (I turn them on only when I need to use them, explicitly.
In Opera this is done by ticking a box on a toolbar, i.e. very easy, much easier than going through menus.

So his idea of sneaking on a user will fail then, right?

Re: Opera browser

Date: 2010-09-22 08:23 am (UTC)
From: [identity profile] webface.livejournal.com
Не знаю, насколько эффективна Опера, но Хром в режиме инкогнито (флеш-куки я удалил) выдал id даже после очистки кэша.

Date: 2010-09-22 08:52 am (UTC)
From: [identity profile] chva.livejournal.com
С Оперой в приватном режиме не справляется. Да и в обычном, если почистить куки, историю и хранилище — тоже. Опера рулит :)

Re: Opera browser

Date: 2010-09-22 09:26 am (UTC)
From: [identity profile] max-gashkov.livejournal.com
Chrome 7.0.517.8 dev — после закрытия incognito-окна и открытия в новом выдает новый id. Без каких-либо чисток.

Date: 2010-09-22 09:27 am (UTC)
From: (Anonymous)
фаерфокс тоже

Re: Opera browser

Date: 2010-09-22 09:50 am (UTC)
From: [identity profile] kmmbvnr.livejournal.com
Chrome 6.0.472.62 beta - в каждой новой инкогнито вкладке, свой id

Re: Opera browser

Date: 2010-09-22 09:59 am (UTC)
From: (Anonymous)
вы совершенно не то делаете. поэтому и новый id.

Re: Opera browser

Date: 2010-09-22 10:05 am (UTC)
From: [identity profile] max-gashkov.livejournal.com
Я делаю совершенно то, а именно доказываю, что в последней версии хрома в инкогнито-режиме метод нежизнеспособен (как, в общем-то, и должно быть).

Re: Opera browser

Date: 2010-09-22 10:12 am (UTC)
From: (Anonymous)
а я еще раз говорю, что делаете вы не то. надо не закрывать окно, а жать одну из 2х кнопок в том же окне.

Re: Opera browser

Date: 2010-09-22 10:15 am (UTC)
From: [identity profile] max-gashkov.livejournal.com
Вы не понимаете, как работает режим инкогнито в хроме.

Re: Opera browser

Date: 2010-09-22 10:20 am (UTC)
From: [identity profile] webface.livejournal.com
Видимо произошел какой-то глюк, во второй раз инкогнито сработало как полагается.

Re: Opera browser

Date: 2010-09-22 10:31 am (UTC)
From: (Anonymous)
я-то как раз понимаю, зато вы не понимаете как работает скрипт на этой странице. он и должен показывать новый айди при всяком новом (!) заходе, независимо от имеющихся куки и пр.

Re: Opera browser

Date: 2010-09-22 10:35 am (UTC)
From: [identity profile] max-gashkov.livejournal.com
Виноват, был неправ.

Date: 2010-09-22 10:53 am (UTC)
From: [identity profile] chva.livejournal.com
Виноват, был не прав, не понял что нужно пробовать без перезагрузки страницы.

Re: Opera browser

Date: 2010-09-22 10:55 am (UTC)
romikchef: (Default)
From: [personal profile] romikchef
Да уж. Более кривую систему демонстрации надо еще постараться выдумать.
При том, что система рекламируется именно как способ запоминания между заходами.

Re: Opera browser

Date: 2010-09-22 12:03 pm (UTC)
romikchef: (Default)
From: [personal profile] romikchef
Собственно, идиотский способ демонстрации не позволяет мне проверить собственный комплект параноика - куки отключены для всех сайтов по умолчанию, NoScript включен для всех сайтов по умолчанию.
Хотя и без проверки понятно, что NoScript делает все 8 способов надрать плохим парням задницу бессмысленным маханием руками.
Лишний аргумент в пользу этой бесценной библиотеки.

Date: 2010-09-22 01:52 pm (UTC)
From: [identity profile] emdin.livejournal.com
Не понял, как работает, но сорс через dev console виден на раз. Объясни?

Date: 2010-09-22 02:35 pm (UTC)
From: [identity profile] mipa.livejournal.com
Глянул вполглаза -- у него там не просто пробелы в регекспе, а пробелы вперемешку с табами, и вот это он берет по 7 символов и меняет пробелы на 0, а табы -- на 1, а потом пишет в документ String.fromCharCode в двоичной системе.

Date: 2010-09-22 02:55 pm (UTC)
From: [identity profile] mipa.livejournal.com
А кодирует вот так примерно:

<? $s = 'hello'; for ($i = 0, $n = strlen($s); $i < $n; $i++) echo strtr(decbin(ord($s[$i])), '01', " \t");

Date: 2010-09-22 03:44 pm (UTC)
From: [identity profile] sly2m.livejournal.com
Спасибо за код странички Сэми. Я не сразу понял. Улыбнулся.

Date: 2010-09-22 06:31 pm (UTC)
From: [identity profile] jerom.livejournal.com
Помятуя о модуле Acme::Bleach (http://search.cpan.org/~dconway/Acme-Bleach-1.12/lib/Acme/Bleach.pm), догадаться легко было :)

Date: 2010-09-22 10:21 pm (UTC)
From: [identity profile] rednyrg721.livejournal.com
а мне нравится https://panopticlick.eff.org/, показывает, что анонимность таки далеко, даже браузер выдает о тебе кучу инфы

Re: Opera browser

Date: 2010-09-23 01:21 am (UTC)
stas: (Default)
From: [personal profile] stas
У меня не выдал в инкогнито.

Date: 2010-09-23 01:23 am (UTC)
stas: (Default)
From: [personal profile] stas
Через dev console скорее всего виден не совсем сорс, а скорее содержимое DOM.

Date: 2010-10-08 03:14 am (UTC)
From: [identity profile] dlazerka.myopenid.com (from livejournal.com)
вы меня опередили :)
Кстати, ресурс показывает, что не надо вообще ничего хранить на стороне браузера.
  • Add Memory
  • Share This Entry
Threaded | Top-Level Comments Only

Profile

avva: (Default)
avva
Website

December 2025

S M T W T F S
  123 4 56
78 9 10 11 1213
1415 1617181920
21 22 23 24 2526 27
28293031   

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Dec. 29th, 2025 11:27 pm
Powered by Dreamwidth Studios