Pull to refresh

Comments 24

Похоже, при распространении таких систем единственный вариант — это продвигать уход от JS и любого исполнения недоверенного кода на стороне клиента.
Потребуются какие-то другие стандарты для таких действий, как подгрузка превью и комментариев, а выполнение JS должно быть доступно для тех сайтов, где без этого никак (например, онлайн-редакторы документов и т.д.)

Это решение остаётся за администратором ресурса, даже если ему навязать JS-free стандарт, он может трекать посетителей сам и предоставит RTB-аукциону данные по пользователем, если каждый показ сможет продать подороже. Если дальше закручивать гайки, то аукцион "уйдёт" на backend, наверное.
Ну и как сказано в статье и без JS можно трекать по Etag, по поведению (смотреть referer), в целом по заголовкам (User-Agent) и в конце концов по IP.
И чем мешает JS (кроме как может использовать ваш CPU для майнинга :) но и это блокируют)?
fingerprinting тоже научились обходить, вроде бы браузер отдаёт данные хаотично, чтоб отпечаток был разный.


По мне уже блокировка 3rd-party кук серьёзно подрежет возможности трекинга.


Что по внедрению JS от всяких disqus или google analytics, то вроде как есть тренд на переход на свои решения или self-hosted альтернативы. Потому что любой внешний запрос на сайте можно монетизировать (опять же для трекинга).

Поезд уже, к сожалению, ушёл.
Есть множество фреймворков с рендерингом данных на стороне клиента — т.е. вам передаётся набор шаблонов + набор данных, а ваш браузер из этого компота строит web страницу.
Она даже может быть просто статичной страничкой, без интерактивного воздействия с пользователем, но всё-равно с отклбченными JS работать не будет.


Таких сайтов уже крайне много и процесс перехода займёт неопределённое время.

UFO just landed and posted this here
Скрипты для таких фреймворком можно сделать «доверенными». Сделать для браузера реестр доверенных фреймворков по аналогии с дополнениями.
Смысл в том, чтобы:
1. Из существующих рендерящих движков данные никуда не утекали (что можно подтвердить через аудит кода)
2. Автор фреймворка не мог просто так добавить шпионящий функционал с обновлением.
UFO just landed and posted this here
Я не обладаю юридическими знаниями в чтобы делать выводы по новым правилам. Но если они зациклилась на cookie то они немного наивны. Т.к. супер корпорации типа google в настоящее время могут определить клиента например по его почерку работы с мышью. Или даже по почерку работы с клавой имеется в виду время междунажатиями клавиш.

Интересно к чему приведут все эти ограничения в эпоху тотального HTTPS? Здесь трекинг (session id, token) заложен на уровне протокола.

В статье имеется в виду трекинг Васи Пупкина вне зависимости от того, с каких машин и на какие ресурсы он заходит. Что бы можно было знать, что две недели назад Вася с рабочего компьютера интересовался курсами по 1С, потом две недели отдыхал в стране третьего мира и там зачем-то с нетбука искал таблетки от желудочных инфекций (но не нашёл). И вот теперь, когда Вася вернулся из отпуска и зашел в любимый бложик с домашнего ноута, мы насыпем ему рекламы про таблетки, про курсы и про хостинг для фоточек и про вакансии по 1С в его регионе (а в следующий раз еще слегка поднимем ему цены на билеты — специально для него).

Никакой такой session id в HTTPS эту задачу не решает.

Есть возможность затрекать последовательность запросов к одному сайту и это уже неплохо. Условный скрипт google analytics подключен на миллионах сайтов. Добавить сюда же CDN, скрипты соц сетей и т.п Если вы владеете ключевыми ресурсами, то у вас неплохие шансы — для идентификации достаточно, чтобы пользователь был деанонимзирован на любом из ресурсов. Чем не глобальный трекинг?

Без кукисов или любой подобной технологии эти ключевые ресурсы могут только сопоставить между собой разные сессии на разных ресурсах только если они активны прямо сейчас и инициированы одним и тем же процессом (и при этом в браузере нет какой-нибудь песочницы, которая не дает одному сайту повторно использовать соединения, открытые ради того же хоста но уже в соседней вкладке).

В общем и целом: особенности протоколов транспортного и сеансового уровней никак не заменят вам особенностей протоколов прикладного уровня.

Активные соединения не такая уж проблема даже штатными средствами. У людей по 100500 открытых вкладок, в современных браузерах есть всевозможные workers. Я не утверждаю, что https это панацея. Просто он даёт немало возможностей прямо из коробки. В принципе ведь и те же куки можно отключить или ходить каким-нибудь lynks. Но так мало кто делает (а значит это тоже возможность для идентификации).

Весь мир сошел с ума. Я зашел на сайт GDPR. Там перешел в раздел «партнёры». На сайтах обоих партнёров мне насыпали ведро кук и не предупредили об их использовании. Почти все коробочные бэкэнд решения выставляют куки. Многие прокси сервера доставляют. И вообще ничто не мешает не ставить новые, а использовать связку с теми уникальными айдишками и хоть обследиться.
Куки появились на заре развития интернета и они уже здорово ограничены размером в 4кб. Забавно, но про кэширование статики никто пользователя не предупреждает, а она может сожрать намного больше места на диске (изначально до GDPR боролись с тем что сайты пишут без спросу данные на пользовательские компьютеры) и по кэшу тоже можно отлично отслеживать, да точность снизится и разработчикам будет нужно навернуть костылей (проверять что юзер запросил только хэдеры, но не выкачивал тело) на бэкэнд, но когда это останавливало капитал?
Каждый европейский сайт теперь пугает посетителей плашкой о страшных куках — на мой взгляд стало хуже ровно на один попап для каждого нового ресурса, вместо этой борьбы с ветряными мельницами — лучше бы в школах рассказали что такое куки и зачем\как на самом деле порубить их у себя локально.

Законодатели совершили классическую ошибку — попытались разъяснить логику и цель закона в технических терминах с названиями технологий. В ответ бизнес просто чуть-чуть изменил технологии и ушел из-под действия закона ;(

UFO just landed and posted this here
UFO just landed and posted this here
Если бы они реально хотели бороться с трекингом пользователем они бы давно пришли с обысками в гугл, фейсбук, твиттер, ютуб и т.д.

А запрет на куки без разрешения только помогает крупным компаниями, каждый хоть раз бывал на их сайтах и получал куку в браузер
Подо всё это нужно менять технологии, в первую очередь. Кроссайтовое взаимодействие (когда в любом блоге есть скрипты от фейсбука, вконтакта, гугла, твиттера и прочих) должно быть очень сильно ограничено.
Реферреры — убраны как явление.
Куки — у каждого браузера должен быть список сайтов, которым позволено их сохранять, и кнопка сверху: «Сохранять куки от этого сайта / отозвать разрешение» (но только не всплывающее уведомление, как это было в старой опере 10-й версии)
Ну и с кэшированием содержимого придётся что-то делать: полная анонимность потребует куда большего расхода трафика.

Так что никаких обысков не надо. А вот поумерить пыл гугла в протаскивании разных удобных ему нововведений в стандарт — это бы надо, но пока не представляю, как это сделать.
Только не жёстко: разрешить/запретить куки, а выставить время их сохранения.
Например, если я захожу на неизвестный сайт, я хочу, чтобы всё работало, но чтобы через 30 минут обо мне забыли.
Сейчас я этого добиваюсь расширением для браузера, но если бы была встроенная фитча такая, было бы намного комфортнее.
у каждого браузера должен быть список сайтов, которым позволено их сохранять, и кнопка сверху: «Сохранять куки от этого сайта / отозвать разрешение»
В Firefox практически это есть
UFO just landed and posted this here
Т.е. до этого они просто меня идентифицировали как ID сессии, который я могу удалить/поменять/не принимать/взять у друга/придумать свой. И по этому ID можно только понять, что я уже был на этом сайте, но не кто и какой я. А теперь они собирают ВСЮ информацию обо мне? И это типа лучше с точки зрения защиты личной информации? Где-то тут на*бка, не кажется?
Ну да, и собирают всю вашу историю серфинга, если вы про гугл-анал и т.п.
Sign up to leave a comment.