Comments
Верните мне интернет 15-летней давности без всего этого.
А вообще я надеюсь, что когда-нибудь любой сбор информации без прямого разрешения юзера и обязательной ответственности сборщика перед юзером будет законодательно запрещен, а наказанием будут миллиардные штрафы. да, это похоронит таргетированную рекламу — туда ей и дорога, ибо большей дряни сложно придумать.
То же самое — касательно любой биометрии.
Таргетированная реклама — это добро. Дрянь — это плохо таргетированная реклама.
Идеальный сферический таргетинг в вакууме должен предлагать Вам только тот товар, в котором Вы в настоящий момент заинтересованы. Появилась мысль сменить машину — бац, предложение, причём не абы какой машины, а именно нужного класса. Задумались об отпуске — предложение тура или там билетов, с учётом привычек и предпочтений. И никаких там прокладок-олвейс, если Вы не целевая аудитория.
Другое дело, что сейчас таргетированная реклама хромает на все четыре лапы. Но это вопрос времени.
Почитайте про google +1, не только про соцсеть goolge+, а имено изначальный концепт "+1". Великолепная идея, супертаргетированная реклама, создание правильного «поискового пузыря» на основе этих данных. Лавочку прикрыли. Время покажет, лет через 5-10 посмотрим кто и что будет нам показывать.
UFO landed and left these words here
Нет, я не хочу, чтоб меня помещали в некий пузырь, основанный на моей обыденной жизни. Я хочу иметь возможность находить что-то новое, неожиданное, а не смотретьь всю жизнь на туры в Турцию если я туда один раз съездил. может, я на следующий раз захочу на Эльбрус пешком, и вместо машины мотоцикл — но нет, «добрая» таргетированная реклама будет до конца жизни закармливать меня манной кашкой потому что первые 5 лет жизни я ел манную кашу. Нафиг это! Мне нужны альтернативы -много альтернатив, сегодня я хочу стейк, завтра жареную рыбу, послезавтра — блины с творогом, а потом еще что-то. Но нет, по мнению безумных создателей таргетированной рекламы я должен жрать манную кашу.
Вы описываете как раз плохо таргетированную рекламу. Хорошо тарегтированная предложит вам именно тур на Эльбрус и авторский набор разнообразных ужинов на неделю.

Как выглядит не персональная реклама можно легко посмотреть на любом телеканале. Большего зла чем она я даже переставить не могу. Пусть лучше мне показывают рекламу вещей которыми я действительно интересуюсь чем рекламу средств от импотенции и средств для борьбы с запахом пота.
Без телепатии оно мне ничего не предложит, а если телепатические сканеры и будут когда-нибудь созданы, я запрещу им доступ каким-нить neural ad block.
Над этим работают лучшие умы человечества. Они справятся. Лицо не заблокировать. Связь лица с телефоном тоже. Да и с покупками в оффлайн магазинах лицо легко связать. Дальше дело техники.
Кнопочный телефон надежно блокирует это. В крайнем случае можно заклеить камеру. Так что лучшим умам стоит найти более достойное приложение своих усилий нежели тотальная слежка.
Вы серьезно?
Лицо — любой телефон — местоположение — все компьютеры — дальше что угодно. Подвязываем покупки в магазинах, посещенные места, машину, хобби итд.

Все легально, официально и неблокирумо. Персональные данные не нужны. Идентификатор можно сделать на основе биометрического хеша.
А вы тоже серьёзно? Давайте отдельно по пунктам.
Все легально, официально и неблокирумо.
Это пока что легально. Будем голосовать рублём, не ходить в такие заведения, призадумаются. И опять таки аргумент — «если вас насилуют, расслабтесь». А может пройти курсы самообороны? Держать перцовый балончик на всякий случай? Не ходить по тёмным переулкам? Требовать потрулирование милицией злачных мест? Неееееет конечно же. Надо раздвинуть ноги.
хобби
Персональные данные
Вы уж определитесь, нужны персональные данные или нет. А то список у вас уже начинается расширятся, уже вам хобби подавай для правильного распознавания. С этого всё и начинается.
Идентификатор можно сделать на основе биометрического хеша.
Над этим работают лучшие умы человечества. Они справятся.
Нам 70 лет говорили, что вот вот построят коммунизм, подождите ещё чуть чуть. И что в итоге? Изначально затея была неисполнимая. Ну и что что будет хэш? Как обычно этот хэш попадёт на черный рынок с привязкой к конкретному человеку, а потом уже «дело техники». Да, прогресс не остановить, но негативное влияние можно минимизировать только если обращать на это внимание, голосовать рублём и повышать свой уровень знаний. Не придёт дядя, который всё разрулит, ну вот не придёт. Дело только за нами.

Не ходить не выйдет. В один прекрасный момент такими заведениями станут примерно все сетевые магазины и тц. Чтобы не ходить в такие придется уехать в тайгу. Все потуги с куками и неиспользованием в гугла просто смешны.


Самому не выкладывать то чем ты не готов поделиться со всем миром разумно. Остальное смешно.


Как я и написал нет. Данные которые я перечислил без привязке к почте или фио не надо выгружать по gdpr и не надо хранить в России. Запретить хеши? Ну я теперь готов во все поверить, но это будет очередной невыполнимый и неработающий закон.


Ну пока не попадало. Даже всякие поисковики аккаунтов в вк по фото свои базы и алгоритмы не продавали на черном рынке. Не факт что не продадут, но с этим мы сделать ничего может. Про репутационные потери все сервисы и так в курсе.


Нельзя ничего минимизировать. От пользователей уже почти ничего не зависит. В ближайшем будущем от них вообще ничего зависеть не будет. Обучить не ставить вирусы и не выкладывать фотки которыми со всеми делиться не хотят и точка. Дальше можно только расслабиться.

Не хватает только: «Перепишите письмо 20 раз и будет вам счастье».

Если по делу, то могу сказать 3 вещи:
* При массовой слежке пользователь псевдоанонимен и она осуществляется с плохим качеством + систему можно дурить.
* При индивидуальной слежке вам это всё не поможет. Только если от дилетантов.
* Всё бессмысленно, среднестатистический уже под колпаком и под ним будет.

Но если вас действительно это беспокоит, то рекомендую сходить для начала к психотерапевту.
Я тоже когда-то парился, тратил кучу времени на обвешивание браузера плагинами, тюнинг сотен настроек, выяснение, чего же там надо разрешить очередному сайту. Потом просто в один момент понял, что трачу своё время на борьбу с ветряными мельницами. Ну узнает условная Mozilla, что за сутки я открыл в сумме 100 вкладок. Ну и пусть. Мне от этого ущерба нет, зато можно тратить время на что-то интересное, а не каждый день воевать со своим браузером.

И сразу жить становится легче, когда понимаешь, что лично ты нафиг не нужен всем этим корпорациям. Их интересует статистика, интересует показать тебе релевантную рекламу, а на то, смотришь ли ты котиков или BDSM-порно, плевать.

Главное поставить adblock, и почти весь смысл слежки корпораций станет бесполезен.

тратил кучу времени на обвешивание браузера плагинами
Так предлагается для начала всего то 2-3 аддона из которых только 1 надо настраивать, и то для uMatrix в бете так называемые recipes, аналог подписок в блокировщиках рекламы. Всё постепенно упрощается.
а не каждый день воевать со своим браузером
А зачем воевать? Mozilla сама потихиньку в этом направлении движется, да бывают случаи «шаг вперёд, два назад», но в основном они видят, что пользователям нужно больше безопасности и приватности и стараются это обеспечить. Может быть даже они вынуждены, только потому что мы этого требуем, но сути не меняет. Или, например, браузер Tor сейчас скачивается в 1 клик, во второй клик запускается.
что лично ты нафиг не нужен всем этим корпорациям
А как же утечки, взломы, предоставление «левым» компаниям аналитики по каждому пользователю типа «политические воззрения»? Военные подряды в конце концов.
Вот вам в копилочку мненечегоскрывать.
ТЛДР: утекла база китаянок от 15 до 95 лет содержащая: имя, адрес, телефоны и готовность к деторождению.

Далее — скандал с Cambridge Analytica показал тенденцию, при которой корпорация, зная темперамент, финансовое состояние и текущее психилогическое состояние, путём предоставления информации в правильном порядке, может делать с человеком всё что угодно. Если этому не противостоять то человек будет рабом, не зная об этом.

К тому же оно не так уж затратно — 80/20 здесь вполне работает.
Очень обстоятельный и аргументированный комментарий.
При индивидуальной слежке вам это всё не поможет. Только если от дилетантов.
Индивидуальная слежка за более чем 100 миллионов человек? Взломать можно любого, только чтобы взломать некоторых, нужны ресурсы(время+деньги). Чем более защищено большинство, тем меньше останется времени на остальных, тем выше шансы не попасть в поле зрения мошшеников в среднем.
Всё бессмысленно, среднестатистический уже под колпаком и под ним будет.
Почему вы решили что среднестатистический пользователь будет под колпаком и дальше? И что значит среднестатистический в вашем понимании? Аргументация в духе «я буду бросать мусор не в урну, потому что всё равно все так делают и лучше не станет».
Но если вас действительно это беспокоит, то рекомендую сходить для начала к психотерапевту.
А миллионом других пользователей по всему миру, кто обеспокоился той же проблемой тоже надо сходить к психотерапевту? Всем кто уже пользуется антивирусами, кто отказался от облаков, всем разработчикам тех же антивирусов, VPN-ов, Tor-ов, свободных приложений на Android, у всех с головой не в порядке?
Вопрос от «неуловимого Джо»: утекут мои данные и предпочтения в сеть, что в этом плохого? — Будут мне показывать контекстную рекламу в духе «дяденька, купите палатку и ледоруб». Может быть и куплю, если цена и качество устроят. Что в этом плохого?
— Будут формировать мой «поисковый пузырь». ОК, я готов.
— Будут формировать адресные нигерийские письма и спам? Ну и пойдут лесом.
В большинстве случаев (не рассматривая варианты рабочей документации, финансовой информации и тд) затраченное на безопасность время не стоит полученных результатов.
А в остальном — «Матрица» уже слишком много знает про нас, чтобы сильно беспокоиться по этому поводу.
Я извиняюсь за наглость, но хочется спросить, а вы прочитали статью? Дело не только, и не столько в рекламе, а в большом количестве других факторов. Если бы был нормальный инструмент, который бы позволял показывать релевантную рекламу, не идентифицируя вас, и если бы при этом компании не халатно относились к этим данным, то ваш аргумент был бы принят мною в дискусии.
Будут формировать мой «поисковый пузырь». ОК, я готов.
А я не готова. Мне реально уже мешает этот «пузырь». На youtube я смотрела только тематические редкие каналы, мои музыкальные предпочтения — Высоцкий, Окуджава, моими устройствами не пользуется никто кроме меня, но мне всё равно упорно через автовоспроизведение на youtube показывают Бузову. Стоит только отойти от компьютера, и всё, приехали. Вся соль в том, что если я не успею отключить это видео(пошла в магазин, например), то Google засчитает это как будто я это просмотрела намеренно, и не помогает никакие кнопки «не показывать мне это больше». Этот пузырь управляется даже не моими предпочтениями, а кем то другим. А что будет дальше? Кто формирует этот пузырь сейчас? Сожмётся ли он в будущем? На основании чего он будет формироваться в будущем, если он уже формируется вообще безотносительно моих интересов, и интересов моих друзей.
Будут формировать адресные нигерийские письма и спам? Ну и пойдут лесом.
Во первых тратится время на разгребание. Во вторых до сих пор есть уязвимости, через которые могут подменять отправителя. Мне на gmail год назад пришло письмо от меня же, только якобы от google+. Я потратила время на то, чтобы разобраться что это какая то дикая уязвимость и никто не имеет доступ к моей учётке. Не было бы моего почтового адреса в базах, не пришло бы письмо, не потратила бы времени. Также учтите что эта статья не совсем для таких продвинутых как вы, от вас я прошу помощи в выборе инструментов.
затраченное на безопасность время не стоит полученных результатов.
Категорически несогласна. Именно для этого и есть эта статья, чтобы постепенно идти по пунктам. Абсолютной безопасности не бывает, надо искать баланс. А где находится эта точка баланса — пусть каждый решает сам для себя. У вас же скорее всего пароль не QWERTY(надо проверить)? Значит вы тоже не такой уж беспечный, как хотите выглядеть.
А в остальном — «Матрица» уже слишком много знает про нас, чтобы сильно беспокоиться по этому поводу.
Дайте, пожалуйста, более подробную аргументацию. Почему какие то знания о нас дают возможность спрогнозировать что мы будем делать в дальнейшем? Ну спрогнозируют на год вперёд. Ну а дальше пустота в их прогнозах. Подумайте о детях, чтобы они не платили за ваше неосторожно брошенное выссказывание в соцсетях. Или вы фаталист? А вообще такого рода аргументация выглядит как попытка убедить не меня, а себя. Вы и другие комментаторы с одной стороны пишут что им нечего скрывать, с другой стороны тут же говорят, что все и так «под колпаком» или «в матрице». Выглядит так, что вы понимаете, что обеспечением безопасности и приватности надо заниматься, но вам просто лень. Ну вот такой сейчас мир, меняется очень быстро, людям тяжело перестраиваться, даже айтишникам.
Я извиняюсь за наглость, но хочется спросить, а вы прочитали статью?

Прочитал. Более того, несколько лет назад хотел написать что-то аналогичное. Потом понял, что большую часть населения это не интересует. Да и сам начал как-то спокойнее относиться.
Возможно, меняет ситуацию то, что живу в другом государстве, где преступления в сфере ИКТ и кража личности пока ничтожно редки. Наш народ спокойно оставляет копии паспорта повсюду и громко говорит пин-код от карты в супермаркете. Тем не менее, основы ИБ (в онлайне и оффлайне) объяснил и родителям и семье, в странных случаях они звонят мне и консультируются.

Если бы был нормальный инструмент, который бы позволял показывать релевантную рекламу, не идентифицируя вас, и если бы при этом компании не халатно относились к этим данным, то ваш аргумент был бы принят мною в дискусии.

Повторюсь, я не вижу существенных проблем в том, что компании знают мои публичные предпочтения. Ну посоветует ИИ продавать больше шоколадного мороженого в супермаркете поблизости… Разве мне от этого хуже?
Да, бесит порой, навязчивая реклама. Но это белый шум, на который можно не обращать внимания, а в крайнем случае повесить adblock. Повторюсь ещё раз, это личное мнение, а не истина в последней инстанции.

но мне всё равно упорно через автовоспроизведение на youtube показывают Бузову. Стоит только отойти от компьютера, и всё, приехали. Вся соль в том, что если я не успею отключить это видео(пошла в магазин, например), то Google засчитает это как будто я это просмотрела намеренно

Если я хочу что-то посмотреть, в 80% случаев я ввожу это «что-то» в поиск, а не доверяю гуглу формировать мой плейлист на сегодня. Видео с «демонстрацией работы ультразвуковой камнедробилки» вполне можно переключить на «следующее». Дискомфорта не ощущаю.

Во первых тратится время на разгребание. Во вторых до сих пор есть уязвимости, через которые могут подменять отправителя. Мне на gmail год назад пришло письмо от меня же, только якобы от google+.

Спам будет почти всегда, это данность. Как нищие и попрошайки на улице.
В 90% случаев сразу видно, что письмо рекламное/фишинговое, для остальных 9% есть поиск по отправителю и просмотр заголовков письма. 1% потребует дополнительных действий, вроде звонков с вопросами «Федя, это ты мне написал письмо с просьбой занять деньги?». Возможно, это приходит с опытом.

Абсолютной безопасности не бывает, надо искать баланс. А где находится эта точка баланса — пусть каждый решает сам для себя. У вас же скорее всего пароль не QWERTY(надо проверить)? Значит вы тоже не такой уж беспечный, как хотите выглядеть.

Я про то и говорю. Безопасность должна подчиняться правилу разумной достаточности, не всегда надо уходить в полную паранойю. И главное правило: расходы на обеспечение защиты информации (финансовые, моральные, временные) не должны превышать ценности защищаемой информации.
PS. Пароль «123456» использую довольно часто. В основном на форумах, где мне надо задать только один вопрос и больше не заходить. Или на сайтах, где нужна регистрация (и ничего больше) для доступа к контенту.

Дайте, пожалуйста, более подробную аргументацию. Почему какие то знания о нас дают возможность спрогнозировать что мы будем делать в дальнейшем? Ну спрогнозируют на год вперёд. Ну а дальше пустота в их прогнозах…
Вы и другие комментаторы с одной стороны пишут что им нечего скрывать, с другой стороны тут же говорят, что все и так «под колпаком» или «в матрице».

В том-то всё и дело, что мы с вами мало кому нужны, чтобы нами кто-то подробно занимался. В целом:
— Производитель и продавец вашего сотового телефона знает (или может узнать) о ваших предпочтениях и может примерно оценить уровень дохода. Соответственно, делать таргетированную рекламу (если вы покупаете новую модель Samsung каждый раз, как только она выйдет — можно писать на почту, к который подвязан google-аккаунт, индивидуальные предложения).
— Администрация сайта habr.com при диком желании может узнать примерные характеристики вашего компьютера и их изменения, ваши интересы, ваш ритм жизни, ваш примерный адрес, ваших коллег или друзей.
— Особо дотошный филолог по «типовым» речевым оборотам, ошибкам и опечаткам может примерно определить и другие ваши профили в сети.
— Ваш сотовый оператор знает очень много: график вашей «жизни», поездки по стране и за рубеж, ваше положение и социальный статус, с кем вы проводите время.
Ну и так далее, вплоть до кафе с бесплатным Wi-Fi, где вы регулярно пьёте кофе.

Подумайте о детях, чтобы они не платили за ваше неосторожно брошенное выссказывание в соцсетях.

Для защиты от этого я применяю простое правило: стараюсь не допускать неосторожных высказываний. То есть, не нарушаю правил даже в том случае, когда за мной никто не следит.

от вас я прошу помощи в выборе инструментов.

Попробую посмотреть и дать детальные предложения. Но, наверное было бы правильно перенастроить мозги пользователям на понимание «нельзя доверять никому».
что большую часть населения это не интересует
Это же не значит, что мы не должны на это обращать их внимание.
Возможно, меняет ситуацию то, что живу в другом государстве
Возможно. Судя по никнэйму вы живёте в стране, где одна из лучших в мире ситуаций в этой сфере, и для вас это не так критично.
Спам будет почти всегда, это данность.
Всегда будет что то плохое, но его будет тем меньше, чем больше с этим борятся. По такой логике «давайте не будем бороться с нищетой, безграммотностью, ведь всё равно до конца это не искореннить». Я не согласна с вашей позицией, но это моё мнение.
расходы на обеспечение защиты информации (финансовые, моральные, временные) не должны превышать ценности защищаемой информации.
По моему мнению вы недооцениваете «ценность защищаемой информации». Будущее неопределено, и неизвестно как и кто воспользуется вашими данными. Вы считаете рекламу нормой, и то что она вам может быть полезна, но вы детальней поинтересуйтесь, как она формируется. На данный момент показывается реклама того, кто больше заплатит за эту рекламу, а не у кого товар лучше. Я говорю непонаслышке, компания, где я работаю тоже даёт рекламу в интернете, и так как конкуренция в данной сфере немаленькая, то всем в этой отрасли приходится вкладывать в рекламу больше денег, и идёт так называемая раскрутка ставок. Соотвественно предприятия начинают повышать цены на товары, а куда уходят сливки? Правильно — в Google и Яндекс. А отказаться от такой рекламы невозможно — потому что сейчас все ищут сразу в поисковике. Иначе просто останешься без заказов. Это короткий анализ, исследования по этой теме в интернете есть в том или ином виде. Монополия развращает корпорации. Кстати, релевантность рекламы начала падать ещё до массового использования блокировщиков рекламы. Также, помимо публичных потребительских предпочтений есть ещё и политические. Вы об этом не забывайте. Неизвестно кто и какие законы завтра будет писать.
мы с вами мало кому нужны, чтобы нами кто-то подробно занимался
Заблуждение. Интересны ещё как. То что им нужны данные миллионов, не значит что вы лично не ценны для них. Копейка рубль бережёт. И что значит подробно занимался? Если вы имеете ввиду, что там не сидят люди, которые лично читают вашу переписку — я не был бы так уверен, может зависеть от компании. Да, ещё аргумент в копилочку из нового — все кто покупал Huawei остануться без обновлений безопасности на телефоне(и в Германии тоже!). А почему? — потому что так приказали Google'у. А что если завтра скажут отключить все сервисы Google для России? У всех телефоны резко окирпичаться. Страна будет парализована на неделю. Поэтому лучше диверсифицироваться. Помимо корпораций есть и другие аспекты, сейчас по квартирам в России ходят мошенники таргетированые на пожилых людей(счётчики газа за 100 000 рублей и так далее). Возможно, в вашей стране таких случае не наблюдается.
Производитель и продавец вашего сотового телефона знает (или может узнать)
Уже не может.
при диком желании может узнать
— ключевое, при диком. Вы правы, что при диком желании и наличии ресурсов это возможно. Но труднее это будет сделать, как делается сейчас с минимальными затратами массово. У негодяев на всех рук не хватит.
Ваш сотовый оператор знает очень много
Да, я не анонимна, но беседы мои приватны(теперь). Я думаю вам не надо расписывать разницу. Иногда нужна анонимность без приватности, иногда нужна приватность без анонимности.
кафе с бесплатным Wi-Fi
Пользуюсь только через VPN.
Но, наверное было бы правильно перенастроить мозги пользователям на понимание «нельзя доверять никому
Да, этот аспект тоже важен. Писать статью, которую не будет читать тот, кому она предназначаласт — бессмысленное занятие. Поэтому я и прошу не только просмотреть статью на ошибки, но и если постепенно доносить её посылы и инструменты до окружающих.
PS Если в общем — то я думаю лет через 20 ситуация выправится и можно будет смелее пользоваться «облаками», но это только если мы сами возьмём ситуацию в свои руки. Если все будут просто охать и ахать по поводу утечек(и других аспектов типа «поисковых пузырей») то, как показала практика, ничего не изменится. Но как только люди начинают уходить от таких компаний, сразу ситуация начинает выправлятся. В Германии всё неплохо с утечками личных данных не просто так, а потому что там люди осознают степень проблемы и пытаются её решить. И только поэтому.
Например сайт – клуб любителей охоты на сазана.

Бедный сазан

По сути: текста много, и скорей всего общая суть передана верно. Но некоторые описанные методики поставить защиту, вызывают неудомение.
Первым делом необходимо установить расширения, они же дополнения, они же аддоны, они же extensions, они же add-ons.

В контексте такой статьи, нужно тогда было написать «перед установкой плагинов, скачайте их код и внимательно его проанализируйте, вплоть до анализа каждой строки кода каждой библиотеки, которыми пользуется данный плагин»
текста много
Можно было просто дать 30 ссылок на инструменты, но людям надо доносить в понятной манере. Надеюсь что мой кривой стиль изложения не отпугнёт пользователей.
скачайте их код и внимательно его проанализируйте
Для программистов так и следует сделать. Они так и это делают и пишут результаты своих расследований, в том числе и на хабре. Но рядовым пользователям, или тем кто не разбирается во всех языках программирования, я не могу этого посоветовать. Вместо этого я перелопатила огромное количество сайтов на эту тему, чтобы найти оптимальный(с моей точки зрения) вариант для большинства пользователей. Критерии — opensource, известность и популярность инструмента, динамика развития, отсутствие халатности в прошлом, мнения на тематических форумах и даже искала результаты аудита. Кстати, после такого фильтра отпали Adblock,Adblock Plus, Brave, Iron, Ungoogled chromium, практически все VPN и другие инструменты. Так как я сама не программист(хотя что то умею), то и нескромно попросила у вас помощи )). Может быть вы мне поможете, и укажите что неверно. Именно поэтому статья опубликована здесь.
При такой плотности «паранойи» лучший рецепт — это не «качайте плагины», а классический рецепт сисадмина: "… и родилась вселенная, и стали жить в ней юзеры, и сначала все было запрещено, и только по отдельной заявке завизированной господом Богом, примитивным юзерам этой вселенной разрешалось то или иное и то не всегда..."
Ungoogled chromium
Если я еще могу понять что не так с обычным хромиумом, то с этим-то что не так? Люди усердно выдрали из него почти все что можно(по части следилок).
Я тоже когда то попалась на эту удочку. Именно из ungoogled chromium пытаются вырезать «все что можно(по части следилок)». Может вы путаете chromium и ungoogled chromium? Даже название проекта соответствующее — «ungoogled». Вам была представлена ссылка на статью на хабре ещё от лохматого 2010 года, в которой выяснили, что Chromium отсылает данные «куда надо». Далее появился ungoogled chromium, в котором, как утверждают разработчики, провели ряд действий по вырезанию всех ссылок на сервера google. Но там тоже не всё очень гладко. Во первых, они для вырезания ссылок на сервера Google их ищут простым поиском по кодовой базе. А ссылки могут быть защиты не тупо в виде текста. Во вторых, было обсуждение, что в какой то момент времени разработчики ungoogled chromium стали использовать технику перехватов пересыла на сервера google и перенаправления на свои сервера. Они вроде как этого не скрывали и утверждали что делается это для определения того, что они где то недовырезали упоминания серверов google.
Если подытожить — Chromium это тот же Chrome, только без DRM и некоторых видео кодеков. Ungoogled chromium уже гораздо чище, но надо читать на специализированных сайтах/форумах насколько Ungoogled chromium является ungoogled и нет ли там других «подлянок».
Кроме вирусов есть всякие другие “гадости”, которые не являются вирусами напрямую,
Вирус, как тип вредоносного ПО сейчас редкость. А антивирус (нормальный) ловит все типы вредоносного ПО. В том числе и всякую адварь

я знаю что Касперский легко все отсылает в милицию
Пересылать данные всех проверок в милицию? Пожалуй это уже паранойя

Если вы больше не будете устанавливать непонятные приложения на телефон, то можете удалить антивирус
Не магазином единым

некоторые вирусы антивирус сможет обнаружить, но не сможет удалить!, потому что эти вирусы вшиты изначально в телефон.
Если рутовать, то сможет

Если у вас Linux, то 99% процентов вам не о чем беспокоиться
До Мираи так и было

Даже после того как вы проверите всё антивирусами, могут всё равно остаться следы вирусов
Не только остатки вредоносного ПО (на вирус как вредоносную программу сейчас нарваться сложно), но в основном пока неизвестное вендорам антивирусов вредоносное ПО. Поэтому проверяться нужно периодически

Если у вас MacOS и вы устанавливаете всё только с официальных сайтов или из магазина приложений, то о вирусах тоже можно не беспокоиться.
Тем не менее и там вредоносное ПО тоже есть
Вирус, как тип вредоносного ПО сейчас редкость. А антивирус (нормальный) ловит все типы вредоносного ПО. В том числе и всякую адварь
К сожалению нет. Я лично несколько раз смогла вылечить чужой компьютер только после проверки adwcleaner-ом. Когда ко мне обратились с просьбой посмотреть компьютер, то я просто посоветовала использовать dr.web. Мне сказали что непомогло, я рассмеялась. А потом когда лично взяла этот компьютер, то оказалось что «вылечить» смог только adwcleaner. Я не ратую за него — если есть кто то знает что то лучше, то буду рада получить информацию.
Пересылать данные всех проверок в милицию? Пожалуй это уже паранойя
Я не говорила, что всё отсылает, я говорила «легко». Также я спокойно к этому отношусь, сама же и советую использовать(но лучше переходить на Linux).
Поэтому проверяться нужно периодически
Совершенно согласна.
Тем не менее и там вредоносное ПО тоже есть
Спасибо за информацию, надеюсь пользователи прочитают ваш комментарий и будут осторожнее, даже если у них MacOS.
1. Антивирус знает в лучшем случае порядка 70% процентов от созданных в день вредоносных программ. Поэтому (не панацея, но все же) лучше проверять двумя антивирусами (но только не встроенным в майкрософт)
2. Конкретно в Доктор Веб по умолчанию отключено удаление потенциально опасного ПО. После установки нужно это включить
Периодическая смена личности, от лица которой идет повествование в статье — это тоже для обеспечения приватности?
… я бы всё равно советовал бы…
… как я описал выше…
… я бы не стал доверять…
… я хотел бы…
… я включил ВСЕ списки ...

… я успела разобраться…
… считала себе продвинутой…
Я бы советовала разобраться…
… я советовала бы…
… я подбирала популярные сайты…
… я бы советовала обойтись ...
Спасибо за замечание, вы не первый кто это заметил.
Периодическая смена личности, от лица которой идет повествование в статье — это тоже для обеспечения приватности?
Всё куда банальнее, мне помогал писать статью друг, с которым мы на пару озаботились данной темой, но у меня потом замылился глаз и при вычитке я пропустила. А так, как инструмент обеспечения приватности — тоже не плохо, почему бы и нет. Шучу, пока что это лишнее.
Монументальный труд. Да ещё и со ссылкам на источники. Бомбически. В закладки.

PS да, я пользуюсь свободным ПО и знаю 2/3 из описанных угроз

PPS Если объяснять пещерному человеку азы гигиены — куда ходить до ветру, зачем чистить зубы, почему термическая обработка пищи, зачем мыть руки после общения с соседним племенем и т.п. — тоже такая же длинная простыня получится, которую одни сочтут бредом, а другие — банальностью.
Да ещё и со ссылкам на источники.
Спасибо, что оценили потраченное время. Пользователи хабра и так знают большинство из представленного, я могла бы дать ссылки на более авторитетные технические ресурсы, но подбирала сайты более популярные для рядовых пользователей.
знаю 2/3 из описанных угроз
Можете сказать какая 1/3 была для вас новой информацией? Лично я, только в ходе написания статьи узнала, что гранулярные данные о покупках уже продаются.
которую одни сочтут бредом, а другие — банальностью.
Да, существует пропасть между такими группами людей. И я призываю стать мостом между такими группами людей. Нужно попробовать это сделать, с миру по нитке.
Зарегался для критики этой статьи. Начнём.
>Для тех кто это всё уже знает

1)Совесть не проснулась. Потому что для полного и понятного всем описания какого-то одного аспекта безопасности требуется объем средней книги(несколько сотен страниц), в статью всё не влезет. На тематических сайтах уже есть куча статей различного качества на тему анонимности и безопастности, объединять все их в одну не вижу смысла.
2)Всю статью пока ниасилил, но судя по заголовкам знаю всё это и даже больше.
3)Не всем людям нужна безопасность и приватность, многим нечегоскрывать.
4)Посмотри пока ssd.eff.org/ru, я думаю, в формате относительно коротких статей воспринимать материал легче. Критиковать небольшие статьи тоже легче, поскольку критика бывает примерно такого же размера, как и сама статья.
5)Увидел ссылку на эту статью на известном в даркнете сайте, я думаю, что хорошую статью пользователи сами будут распространять.

А во вторых мне кажется, что большинство тех кто пишет что им нечего боятся – это люди которым платят чтобы они так писали.

Так говорят мои родные, согласен с тем, что мысли как под копирку.

На счет ошибок, напишу завтра, когда прочитаю полностью.

По пунктам 1),4) — Да, есть такая проблема, если будет время — буду каждый отдельный пункт расписывать отдельно и подробнее. Вас призываю к тому же. Если поднажать всем сообществом, то можно будет потом и скомпилировать в книгу.
Не всем людям нужна безопасность и приватность, многим нечегоскрывать
Я бы сказала, что пока что люди не осознали что им нужна безопасность и приватность. «Люди делятся на два типа. На тех кто не делает бэкапы, и тех кто уже делает. » Так вот и с данной тематикой будет всё то же самое.
Так говорят мои родные, согласен с тем, что мысли как под копирку.
Просто я прочитала кучу статей на эту тему, и в комментариях везде одни и те же речевые обороты типа «Мне, вот, например, нечего скрывать». Очень похоже на проплаченные комментарии. Особенно любят оборот «вот, например». Мне кажется, что они просто мимикрируют под обываетелей, о которых вы говорите. Да, есть и те кто реально с опаской смотрят на эту затею, это же надо суетится, заниматься вопросом. Нет прямой видимой угрозы — значит и думать о приватности не надо. Но вода камень точит. Ко мне уже люди сами приходят посмотреть их компьютер на вирусы и утечки. Я «почистила» компьютер от гадостей нескольким людям, теперь они сами советуют мои инструменты другим.
Увидел ссылку на эту статью на известном в даркнете сайте, я думаю, что хорошую статью пользователи сами будут распространять.
Мне не нравится слово дарквеб, как будто там всё только ужасное(от слова дарк — тёмный). Читала статью, что большая часть пользователей Tor это просто те, кому нужна приватность и безопасность, и в процентном соотношении число таких пользователей растёт. Я негативно отношусь к сайтам, где продают что то нелегальное, но никто не заставляет кого-либо туда заходить. Tor был придуман не для этого и, к счастью, используется по прямому назначению — обеспечение приватности рядовым пользователям.
Периодически меняйте пароли. Если у вас сложный и уникальный пароль, если вы нигде не вводили ваш пароль на чужих компьютерах, и вы часто проверяете свой компьютер на вирусы, то пароли можно менять не часто, то есть раз в год, в два года.


На чем это основанно? Что станет с моим паролем из 100 символов за год? Протухнет?

Если у вас Linux, то 99% процентов вам не о чем беспокоиться, так как если у вас Linux, то скорее всего вы в курсе и так насчет безопасности.


Сейчас установить линукс может любой школьник, для этого особого ума не надо, а знаний по безопасности это не добавит.

Если ваш внешний жесткий диск сделан по технологии SSD — раз в месяц подключайте его к компьютеру на какое то время.


Это тоже не понял.

Удалить всё лишнее из всех соц. сетей и сайтов

Если взломают ваш аккаунт на сайте, то не смогут понять практически ничего о вас.


Я думаю, стоит добавить, что при целенаправленном взломе удаленные данные тоже могут попасть в руки злоумышленника.

Следите за новостями, спрашивайте у банков торгуют ли они данными, делитесь результатами расследований.


Пошел спрашивать у банков.

К сожалению, для самой последней версии NoScript (и самой наглядной, но немного недостающей по функциональности от предыдущих версий) нормальных инструкций и подробный пояснений с оптимальной методикой настройки и логикой программы.


Я не доебываюсь до очепяток и ошибок, но тут слово пропущено.

Помимо этого периодически, удаляйте cookies через “Настройки”-”Приватность и защита” — “Куки и данные сайтов” — “Удалить данные...” — “Удалить”. Лучше это делать раз в неделю как минимум.


Опять, что с печеньками за неделю сделается? Плесенью покроются?

Через Tor лучше не скачивать большие файлы и не смотреть фильмы.


Наоборот, лучше через тор, фильмы с нормальным инетом спокойно можно через него смотреть, а большие файлы всего на пару десятков минут дольше будут скачиваться, но ничего страшного, мы же за приватность, а не комфорт, да?

На чужих компьютерах и смартфонах не заходите на свою почту, соц. сети и так далее. То есть не вводите никаких данных. С чужих устройств можно только читать статьи. Если же была очень большая необходимость зайти на какой либо сайт на чужом устройстве, то заходите на сайт в режиме “инкогнито” и не забудьте нажать кнопку “Выйти” для выхода из своей учётной записи и закрыть браузер.


Я бы добавил, что после этого будет не лишним сменить пароль.

Карты


Я бы добавил сайт openstreetmap.org

anchor39<hЗ>Мобильные устройства</hЗ>
<anchоr>anchor40

Разметка поломалась.

24.Минимизируйте общение в любых соц. сетях и по телефону. Переходите на более безопасные способы общения. Те, у кого есть Telegram — то общайтесь в секретных чатах с таймером автоудаления. Но лучше всех кого можете переводите на использование технологии XMPP с шифрованием OTR. Для Android это приложения Pix Art Messenger или Conversation Legacy.


Xabber как альтернатива Conversation Legacy. Про Pix Art Messenger в F-droid: Это приложение будет отслеживать ваши действия и сообщать о вашей деятельности.

Для тех кто это всё уже знает


4) Я потратил всю ночь на чтение, статья неплохая, критических ошибок не нашел, но я даже не представляю, сколько времени уйдет на чтение с проверкой ссылок и фактов у новичка.

Просьба писать/делать/объяснять простыми словами. Постарайтесь ограничит себя во фразах по типу — «Да тут то всего то надо поднять сервачек на хостинге за бугром, накатить линух, и установить пару пакетов и всё». Я понимаю что это ресурс для айтишников, но надо быть в ответе за тех кого приручили. Создали и развили для нас интернет, а теперь удивляетесь, почему же мы такие тупые. Ну вот такие. Просьба нас понять.


На вопросы, которые гуглятся по ключевым словам обычно нет желания отвечать(не потому что сложно/долго/ещечто, а потому что на них уже ответили, и не один раз, и на этом форуме тоже). Просьба нас понять.

2.Переводите на русский статьи


Самое важное уже давно выделено, переведено и существует в виде мануалов/инструкций/статей на русском. Новые важные обновления также обозреваются на русском, осталось только научиться искать, а это основной навык для безопасности.

3.Добавьте в комментариях


Для новичка тут и так достаточно, некоторые моменты поможет раскрыть гугл ddg.gg

4.Если вы сами пользуетесь какими то особыми методиками и программами


-Особые методики используются под конкретную задачу, а простым языком, актуально, полно и с аргументацией новичкам обычно объясняют на платных индивидуальных консульциях.

Нет нашлось свежей подробной статьи о менеджерах паролей.


Лови: ssd.eff.org/ru/module/руководство-по-keepassxc

Нет нашлось свежей подробной статьи о установке Linux на флешку для тестирования или о постоянном использовании Linux на USB флешке.


Скачиваешь образ debian с офицально сайта debian.org, мышкой перетаскиваешь из папки downloads на флешку. Готово, сам так ставил первый раз.(debian для примера, потому что я его с винды сам ставил)

Много инструкций, на которые приведены ссылки, находятся на сайтах не совсем заслуживающих доверия.


Это как-то уменьшает ценность инструкции?

Выше в статье предоставлена информация о том что Тиньков банк каким-то образом смог договориться с платёжными системами – чтобы те выдавали Тинькову списки наших покупок напрямую с полной информацией. Но информации об этом очень мало. Просто одна новость на сайте Коммерсант. Товарищи, кто крутится в этих кругах, или если вы юрист или айтишник, скажите – а насколько это законно? Есть какие-нибудь сайты где про это можно почитать? Сейчас разрешили это делать только Тинькову? Получается что другие банки могут легко получать эту информацию? И как себя от этого обезопасить? Это же невиданное поле для мошенничества, шантажа и нарушения безопасности.


Я думаю, что это можно относительно легко сделать незаконно. Себя обезопасить можно шапочкой из фольги. Про современное мошенничество ты многое не знаешь, да.

Также есть ещё расширения для браузеров, которые советуют использовать, но про них не было найдено насколько они эффективны и надёжны. Например, RefControl, Cookie AutoDelete. И насколько их можно и нужно использовать в связке с другими расширениями?


Я думаю, что их можно использовать, если очень хочется, но разработчики торпроджект советуют не добавлять в их браузер ничего лишнего.

Мне не нравится слово дарквеб, как будто там всё только ужасное(от слова дарк — тёмный). Читала статью, что большая часть пользователей Tor это просто те, кому нужна приватность и безопасность, и в процентном соотношении число таких пользователей растёт. Я негативно отношусь к сайтам, где продают что то нелегальное, но никто не заставляет кого-либо туда заходить. Tor был придуман не для этого и, к счастью, используется по прямому назначению — обеспечение приватности рядовым пользователям.

Помимо всего прочего, там обитают хакеры, зная методы которых ты будешь лучше защищаться, а также люди разбирающиеся в ИБ, их советы можно использовать для своей защиты.

Не на все вопросы ответил, наверное, потом еще допишу.

Спасибо! Про «Pix Art Messenger» удалила упоминание. Когда я проверяла, в F-Droid такой надписи не было, или меня «проглючило». Опечатки тоже постаралась убрать.
Что станет с моим паролем из 100 символов за год?
Могут взламывать не вас, а сайты. То есть да, может протухнуть.
а знаний по безопасности это не добавит.
Знаний не добавит, но добавит самой безопасности. Лучше чем ничего. Это просто понижает шансы случайно словить гадость.
Если ваш внешний жесткий диск сделан по технологии SSD — раз в месяц подключайте его к компьютеру на какое то время.
Без питания через время могут терять данные
Я думаю, стоит добавить, что при целенаправленном взломе удаленные данные тоже могут попасть в руки злоумышленника.
Но шансы будут меньше.
Пошел спрашивать у банков.
Зря смеётесь. Любая компания так или иначе боится огласки их халатности. Смотря как спрашивать — если засыпать представителей в Twitter'e или Facebook'е, то результат будет.
лучше через тор, фильмы с нормальным инетом спокойно можно через него смотреть, а большие файлы всего на пару десятков минут дольше будут скачиваться, но ничего страшного, мы же за приватность, а не комфорт, да?
Моя ошибка, неправильно выразилась. Имелось ввиду что будет некомфортно, может падать скорость. Но последнее время скорость через Tor достаточна.
openstreetmap.org
Я написала про OsmAnd и Maps, они на основе данных из openstreetmap.org. Сам сайт openstreetmap.org предназначен для редактирования и знакомства с проектом, там очень непонятный интерфейс.
Скачиваешь образ debian с офицально сайта debian.org, мышкой перетаскиваешь из папки downloads на флешку. Готово, сам так ставил первый раз.(debian для примера, потому что я его с винды сам ставил)
Это для установки на внутреннюю память компьютера или на USB-флешку тоже так можно? Или именно как Live-CD?
Это как-то уменьшает ценность инструкции?
Ценность данной конкретной инструкции не уменьшает, но есть шанс того, что человеку понравится данная инструкция и он будет автоматом доверять всему сайту. Например, есть неплохие инструкции для рядовых пользователей на сайтах типа lifehacker. Но там же есть и заказные статьи на рекомендации «левых» VPN-ов. Если бы такую статью разместили на хабре — её бы заминусовали, написали в комментариях, что это полная лажа. Так вот, было бы идеально если бы на более доверенных сайтах размещались такие инструкции, даже если они для рядовых пользователей.
Могут взламывать не вас, а сайты. То есть да, может протухнуть.

Если сайт взломали, то смысла менять пароль уже нет, я бы просто перестал пользоваться таким сайтом.
Знаний не добавит, но добавит самой безопасности. Лучше чем ничего. Это просто понижает шансы случайно словить гадость.

Еще раз, ты пишешь «если у вас Linux, то скорее всего вы в курсе и так насчет безопасности.»
А я говорю, что вчерашний пользователь виндовса не в курсе.
Без питания через время могут терять данные

Спасибо, не знал этого.
Я написала про OsmAnd и Maps, они на основе данных из openstreetmap.org. Сам сайт openstreetmap.org предназначен для редактирования и знакомства с проектом, там очень непонятный интерфейс.

Про OsmAnd в F-droid: Это приложение включает в себя ресурсы с закрытым исходным кодом. Это приложение продвигает сетевые сервисы с закрытым исходным кодом, собирающие пользовательские данные. Это приложение поддерживает дополнения с закрытым исходным кодом.
А 2gis через тор очень медленно открывается, openstreetmap в разы быстрее.
Это для установки на внутреннюю память компьютера или на USB-флешку тоже так можно? Или именно как Live-CD?

Там одновременно и лайв версия и пакеты для установки.

Upd. Ответь, пожалуйста на вопрос про куки в предыдущем комментарии.
Если сайт взломали, то смысла менять пароль уже нет, я бы просто перестал пользоваться таким сайтом.
А вы можете не узнать что сайт взломали. Всплывали утечки за лохматые года(что уже интересно, что так долго гуляла база по чужим рукам), так пользователи хабра устраивали марафон, кто быстрее определит откуда утечка, и оказывалось что с множества сайтов.
Еще раз, ты пишешь «если у вас Linux, то скорее всего вы в курсе и так насчет безопасности.»
А я говорю, что вчерашний пользователь виндовса не в курсе
Да, я думала что, пользователи Linux — это уже достаточно продвинутые пользователи. Но если вы утверждаете что «нет», то значит мне надо переписать этот кусок статьи.
Про OsmAnd в F-droid: Это приложение включает в себя ресурсы с закрытым исходным кодом.Это приложение продвигает сетевые сервисы с закрытым исходным кодом, собирающие пользовательские данные. Это приложение поддерживает дополнения с закрытым исходным кодом.
Под ресурсами в данном определении могут подразумеаться картинки под некоммерческой лицензией. Дополнения на то и дополнения, что их можно устанавливать, а можно не устанавливать. Но об этом, видимо, надо написать. Сетевые сервисы с закрытым исходным кодом — вот это уже проблема. У них свои сервера, и подготовленные карты приложение скачивает оттуда, и это дилемма, как лучше поступить. Сообщество OSM просит не нагружать свои сервера. Если все будут скачивать с серверов OSM, то они лягут. При всём при этом код приложения открыт. Это хоть как-то может обезопасить от того, что в приложение встроят трекеры, или будут отсылать на сервера разработчиков лишние данные. Приложение, кстати, не просит доступов к контактам, СМС и так далее.
С картами вообще беда. В OsmAnd нормально найти адрес, построить примерный маршрут, но если что то более сложное, например график работы — то это уже проблема. Приходится изощряться. Карты — это последнее приложение, ради которого мне приходится носить с собой два смартфона. Один смартфон для большинства задач(в том числе на котором стоит OsmAnd), и второй смартфон только для Яндекс Карт. И то я его включаю очень редко.
Предвещая вопрос — да, свой городишко я отрисовала. Я первая, кто этот город начал маппить, платила за такси и делала треки, расставляла POI. И всем рекомендую.
Опять, что с печеньками за неделю сделается? Плесенью покроются?
Во первых есть сайты, которые могут обходить запреты на супер куки. Есть один сайт, который упорно определяет меня с отключенными куками в uMatrix и с блокировкой всех третье-сторонних кук в Firefox, хотя сайт популярный и сижу я не на выделенном IP. Сбрасывает куки только если удалять все данные сайтов через настройки. Может быть я неправильно понимаю назначение этих настроек? Может посоветуете что-нибудь, как выборочно вообще не пропускать cookies для некоторых сайтов.
А вы можете не узнать что сайт взломали. Всплывали утечки за лохматые года(что уже интересно, что так долго гуляла база по чужим рукам), так пользователи хабра устраивали марафон, кто быстрее определит откуда утечка, и оказывалось что с множества сайтов.

Куча архивов с логинами и паролями от mailru есть в сети, но это не значит, что сам сайт кто-то сломал.
Да, я думала что, пользователи Linux — это уже достаточно продвинутые пользователи.

Если бы…
С картами вообще беда.

Именно с картами как раз всё хорошо, нету только дополнительного функционала в виде пробок, графика работы etc.
Во первых есть сайты, которые могут обходить запреты на супер куки.

Некоторые сайты могут содрудничать друг с другом, чиста кук только на одном из них не поможет.Если говоришь, что надо чистить куки раз в неделю, то надо объяснять для чего, не всем это нужно
Самый лучший (дешёвый и приватный) способ — сделать VPN самому.

На физическом серваке друга Пети за рубежом? Ибо виртуальные разве не мониторят никак трафик для предотвращения использования в откровенно противоправных целях?
откровенно противоправных целях
А зачем совершать откровенно противоправные действия?
Кто пишет, что надо? Вы утверждаете, что свой VPN — это самый приватный способ, но своим резонным вопросом я подверг это сомнению. Не найдя ответа и не будучи готовой признать возможную ошибку, вы провели попытку манипуляции, рассчитанную на невдумчивых читателей. Если больше приватный VPN без любого мониторинга трафика третьими лицами ни для чего не нужен, тогда это противоречит вашему огромному абзацу на эту тему, где вы горячо за него ратуете. А возможно, вы просто не до конца понимаете работу VPN, и, как следствие, меня, так что не обижайтесь. Я лишь пытаюсь помочь улушить статью, к чему вы и призываете.
возможно, вы просто не до конца понимаете работу VPN, и, как следствие, меня, так что не обижайтесь. Я лишь пытаюсь помочь улушить статью, к чему вы и призываете.
Возможно. Опишите, пожалуйста, в чём ошибка? Может быть я неправильно выразилась. Я имела ввиду, что самый приватный способ по сравнению с тем, чтобы купить чужой VPN. Если это не ясно из моего посыла, то я подкорректирую статью. Или вы имели ввиду что то другое?
Ещё раз прочитал статью. В начале внимательно, к середине устал. Если по конкретным предложениям:
1. Про Linux напишу отдельным постом (чтобы была ветка комментариев).
2. На какие деньги живут сайты и программы. Не рассматриваются сайты, которые живут на пожертвование. Не рассматриваются сайты, которые нужны компаниям для «представительства» в интернете.
3. Следите за своими документами и фотографиями/сканами.. То же самое относится к банковским картам. Теоретически возможно снять деньги с вашей карточки, если получить информацию на лицевой стороне.
4. Не скачивайте непонятные файлы с неизвестных сайтов и в почте от неизвестных отправителей и не запускайте их на своём компьютере. Особенно это касается «exe» и «msi» файлов. Также не безопасны «pdf» и другие. Расширить: иногда файлы маскируются под другое разрешение, например «имяфайла.txt[100_пробелов].exe». Рассказать про «магазины приложений» и доверенные сайты, откуда можно скачать нормальный софт. Иначе народ пойдёт по первым попавшимся ссылкам в Google-запросе (фишинговые сайты) или попрётся в торренты. Так же подозрительно следует относиться к файлам на телефоне/компьютере, появившимся из ниоткуда.
5. Рассказать про сайты в духе virustotal, где можно проверить в онлайне подозрительный файл. Рассказать про первые признаки заражения компьютера вирусом или майнером и как проверить свои подозрения.
6. Есть ряд общих принципов, которые касаются любого человека, вне зависимости от страны проживания, модели и стоимости компьютера/телефона, заработка и других факторов. Дополнить принципом: Не доверяйте никому в интернете. Даже если вам пишет друг/брат/сват, с которым общались вчера — его аккаунт могли взломать. Проверяйте «достоверность» вашего собеседника другими способами (например, звонок по телефону). В случае, если вам кажется что аккаунт вашего друга/родственника взломали — немедленно сообщите ему об этом.
7. Про пароли — сумбурно написано. В текущей версии статьи пользователи напридумывают кучу сложных паролей, а потом будут их забывать или записывать на бумажке. Лучше дополнить про категории паролей (где нужны сложные и уникальные, а где не обязательно). Дополнить про обязательное завершение сеанса (выход из почты) для недоверенных устройств.
8. Https — рассказать про валидные и невалидные сертификаты, разницу между ними.
9. Дополнить основами IoT, который потихоньку наступает.

Общие предложения:
— Со временем разделить статью на несколько конкретных. Очень долго читать.
— Поменьше «воды», поменьше истерики, побольше конкретики. Сейчас статья напоминает классический Дигидрогена монооксид.
— Прокачать свои знания в области ИБ и криптографии. Некоторые моменты вроде «перебор 100 миллионов паролей в секунду» и «вирус, встроенный в клавиатуру» вызывают улыбку.
— Осознать и явно описать в статье, что пользователю зачастую придётся выбирать между безопасностью и удобством («OpenBSD vs Windows» или «Duckduckgo vs Google»).
— Ну и понимать, что все «добрые и пушистые» сайты и программы являются таковыми до поры до времени. Google тоже изначально позиционировался как Корпорация добра в противовес редмондскому гиганту.
Согласна практически со всем, кроме некоторых ньюансов.
Дополнить про обязательное завершение сеанса
Это написано, если вы не увидели, значит в действительности статью надо как то переформатировать, может быть бить на части.
Поменьше «воды», поменьше истерики, побольше конкретики.
Согласна что всё это есть тут, но вопрос — как донести мысль до рядовых пользователей? Я могла бы просто тезисно перечислить инструменты и дать 100 ссылок. Но тогда такую статью вообще бы никто не читал. Хотя я может и не права.
«перебор 100 миллионов паролей в секунду»
Да, в действительно я не сильна в криптографии, но эта цифра взята не с потолка. Понятно что в зависимости от технологии скорость взламывания одного и того же пароля может быть разной(например, zip или rar). Снова поищу эту статью, надеюсь найду.
вирус, встроенный в клавиатуру
Ссылка для примера. Да в данном случае это не вирус, а ещё хуже. Отдельно поищу статью специально для вас, где обозначенны именно клавиатуры, которые запускают именно вирусы на подключенный компьютер. Распознаются как два устройства, HID и накопитель. Да, возможно сейчас от такого взлома операционные системы более защищены.
придётся выбирать между безопасностью и удобством
«добрые и пушистые» сайты и программы являются таковыми до поры до времени
Вроде, это явно описано. Попробую взглянуть на статью со стороны.
Согласна что всё это есть тут, но вопрос — как донести мысль до рядовых пользователей?

Бить статью на части. Первая вводная часть «как всё плохо» и «наша жизнь небезопасна». Остальные части на выбор: или по каждой отдельной тематике «анонимность», «пароли», «полезный софт» и тд. с обзором, теорией и практикой. Или отдельные статьи «чем чревато», «как обнаружить», «как защититься».

Понятно что в зависимости от технологии скорость взламывания одного и того же пароля может быть разной(например, zip или rar). Снова поищу эту статью, надеюсь найду.

Всё сильно зависит от технологий. Да, в самом простом и плохом варианте (хранится MD5 от пароля), перебор может быть достаточно шустрым. Но (я надеюсь), на большинстве нормальных сервисах стоят более жадные алгоритмы.
Для примера
Раздел на моей флешке зашифрован. Ключ получается многократным хешированием от строки (пароль+соль), допустим — 500К раз. Компьютер, за которым я сижу способен проводить 1М операций хеширования в секунду. То есть, фактически он перебирает 2 ключа в секунду.


вирус, встроенный в клавиатуру

Вирус (вредоносная программа, которая может самостоятельно распространяться между устройствами) не может быть встроен в клавиатуру. Вирус теоретически может заражать драйверы клавиатуры, вирус теоретически может подменять драйверы клавиатуры, клавиатура может содержать аппаратный кейлоггер… Но вирус не может быть встроен в клавиатуру.
Нет нашлось свежей подробной статьи о установке Linux на флешку для тестирования или о постоянном использовании Linux на USB флешке. В поисковиках на первых позициях часто выскакивает какая то вроде относительно свежая и понятная статья о том что Linux испортит быстро флешку, если у вас не более 1 ГБ оперативной памяти.

Периодически юзаю флешку с Mageia на борту. Собирал и настраивал сам для себя. Полёт нормальный. Корневая ФС смонтирована «только для чтения», часто изменяемые данные (/tmp, var/log и тд) смонтированы в RAM, swap не использую.
В остальном всё довольно просто: выбирается нужный LiveCD, скачивается его образ и потом через Unetbootin записывается на выбранную флешку.
Некоторые дистрибутивы (kali, tails) распространяются в том числе в виде образа флешки (img-файлы), который можно записать той же самой dd.
Спасибо. Можете поподробнее описать? Или указать ссылку на корректную и понятную статью, для тех, кто пока что далёк от Linux. Особенно про понятие «часто изменяемые данные».
Если не особо мучаться с безопасностью и настройкой под себя, то вот адекватные статьи:
Раз,
два.
Для первого знакомства с ОС вполне достаточно. Вместо Ubuntu можно взять любой User-friendly дистрибутив. Unetbootin довольно прост и интуитивно понятен.

Особенно про понятие «часто изменяемые данные».

USB-накопители не любят частую перезапись данных. Поэтому для длительного использования желательно минимизировать «лишнюю запись» на носитель. Из того, что выключается без проблем:
— Журналирование файловых систем лучше отключить. В идеале корневую файловую систему сделать вообще Read-Only тем или иным способом.
— Папки, где хранятся часто изменяемые данные (временные файлы /tmp, файлы журналов /var/log) смонтировать в оперативную память в виде RAM-диска
Фундаментальный труд :)

Статья полезная, но пусть тут будут несколько замечаний в качестве обратной связи:

На мой взгляд, стоит несколько осторожнее быть с неподтверждёнными заявлениями.
Например фраза «Есть свидетельства что Google прослушивает вас очень часто, когда рядом телефон, даже когда он просто лежит на столе заблокированный.» с последующими ссылками на чей-то частный блог и на статью в Пикабу, в которых говорится немного о другом и тоже без подтверждающих ссылок, выглядят нелепо. Если уж добавлять ссылки, то на что-нибудь серьёзное.

Неподготовленному человеку будет сложно прочитать всю статью.
Проверил — где-то на середине родственник бросил читать, сказав пресловутое «да и пусть знают» (если что, сложные пароли человек уже использует).

По моему опыту на тех, кто не в теме, отлично действуют видосы про бигдату. Например того же вездесущего уже Хачуяна (не реклама, можно заменить любым другим, Хачуян просто весело рассказывает и далёкие от it люди его смотрят с интересом, проверено):
1) www.youtube.com/watch?v=8IJxO44kq24
2) www.youtube.com/watch?v=LZIpsq1YyBg

а дальше уже можно это обсуждать и плавно подходить к конкретным действиям.
На мой взгляд, стоит несколько осторожнее быть с неподтверждёнными заявлениями.
Потому что нет доказательств со стороны самых авторитетных издательств, я и написала «Есть свидетельства». Давайте возьмём для примера случай с Яндекс Такси. Тысячи свидетельств, что в среднем цена выше на поездку для тех у кого дорогой телефон. Я лично проверяла. Яндекс же говорит что у него много факторов, как бы не подтверждает, но и сильно не отрицает. А как доказать? Да, свидетельства есть лично у меня. Да, стопроцентную гарантию дать нельзя, если говорить об отсутствии академических исследований. Давать ссылки на тысячи постов пользователей в соцсетях? Тоже как то не комильфо. А как доказать? Или не говорить об этом вообще? Дилемма. Аналогично с прослушкой Google.
Неподготовленному человеку будет сложно прочитать всю статью.
Проверил — где-то на середине родственник бросил читать, сказав пресловутое «да и пусть знают» (если что, сложные пароли человек уже использует).
А как именно лучше преподносить такой материал и где? Это не наезд на вас, мне реально интересно ваше мнение.
вездесущего уже Хачуяна
Да, но как это вставить в статью? Написать «ребята гляньте пока вот эти ссылки, а потом поговорим»? Да, видео с ним достаточно лёгкие и непринуждённые, но есть и в его словах несостыковочки. Или вы предлагаете просто убрать первую часть, где приводится обоснование? Может быть тому, кто будет показывать эту статью своим близким, так и следует сделать. Просто дать посмотреть пару весёлых видео, а потом сказать, чтобы читали статью без вступления и обоснования.
где-то на середине родственник бросил читать, сказав пресловутое «да и пусть знают» (если что, сложные пароли человек уже использует).
Как вы думаете — это только потому что статья неправильно оформлена, или потому что, как только Ваш родственник увидел, что надо прилагать усилия, ему расхотелось читать дальше? Это тоже важный момент и мне хотелось бы понять насколько сильно надо заморачиваться с форматом. Опять таки не наезд, а я хочу услышать ваше мнение.
Тут важно понимать вашу целевую аудиторию.

На мой взгляд, это отличная статья для тех, кто уже сильно заинтересовался темой безопасности/анонимности и уже готов тратить значительное время на изучение этого вопроса и силы на какие-то действия, но при этом человек не из it и плохо представляет себе «как работает интернет».

Таких, как мне кажется, не много. Обычно люди, готовые много времени уделять анонимности, уже достаточно много знают и умеют. А те, кому плевать — не осилят такой большой текст. Их в первую очередь нужно как-то заинтересовать темой, а практика показывает, что с этим лучше справляются видео или короткие статьи с картинками. И им бы для начала понять, что пароль «ivan1985» никуда не годится.

Возможно, стоит оформить ваши труды в виде роликов на ютуб или серии небольших статей, в которых про безопасность будет рассказываться по чуть-чуть, постепенно. Начиная с элементарных вещей. Что-нибудь вроде видео, в которых первое — завлекательное а-ля Хачуян, второе про то, что нельзя называть коды из смс никому, третье про пароли, а уже сотое — про «снесите все браузеры кроме TOR, поставьте linux и ходите через VPN». Чтобы это была не длинная непосильная статья, а путь из многих, но маленьких шагов.
UFO landed and left these words here
Я Вам могу больше даже сказать ) у яндекса нередко отличается стоимость на одном телефоне в зависимости от выбранного способа оплаты ) например, applepay почти всегда немного выше, чем оплата привязанной в приложении картой.
UFO landed and left these words here
Больше тянет не на статью, а на маленькую дипломную.
Хорошая работа.
Вы проделали очень хорошую работу. И огромное спасибо за это. Я бы Вам очень рекомендовал немного переосмыслить формат этой статьи под курс лекций/учебное пособие интернет-гигиены для чайников.
К сожалению, всё это Вас не сделает незаметным для обозначенных выше компаний, потому что наряду с интернет технологиями, большинство из них пользуются старыми, добрыми и поверенными годами социальными технологиями. А соблюдать такую же гигиену в реальной жизни дико неудобно. Но я абсолютно солидарен с Вами, что каждый человек должен знать как защитить себя и свои данные.
Удачи Вам и еще раз спасибо!
Большое спасибо за этот труд! И отдельный респект за текст без картинок!
Очень тяжелая статья, на мой взгляд. Может стоило разбить на несколько? Есть ли смысл смешивать то, как за нами следят Корпорации и мошенники-хакеры? Это же разные угрозы и разные способы защиты. Какой смысл пользоваться Firefoxом, если нельзя в Одноклассники фото пьяных друзей скидывать?
Не очень понятно, почему детективному агентству дорого получить информацию обо мне, а сосед-шизофреник или цветочница ее получает легко?

PS С пунктуацией совсем беда
Есть ли смысл смешивать то, как за нами следят Корпорации и мошенники-хакеры? Это же разные угрозы и разные способы защиты.
Частично пересекаются и угрозы и способы защиты. Мошенники могут воспользоваться утечками тех же корпораций. Подписки uBlockOrigin убирают как трекеры, так и предупреждают пользователя, когда он хочет перейти на сайт, который значится в недоверенных(то есть с вирусами). Windows отсылает кучу телеметрии на свои сервера, также для этой платформы гораздо больше вирусов. Так что переход на Linux в большей мере решает обе проблемы.
детективному агентству дорого получить информацию обо мне, а сосед-шизофреник или цветочница ее получает легко
Если возле вашего дома будет ошиваться детектив, то вы это заметите. Да и он может не знать вас лично, наоборот ему надо будет определить кто вы по логам, по фото. А сосед уже рядышком, перебирает пароль на роутере вторую неделю.
Может стоило разбить на несколько?
Может и стоило.
Три месяца назад я написала этот текст, но в связи с моей необразованностью и нескончаемым потоком новостей о новых угрозах безопасности мне надоело переделывать, так что пусть в этом тексте остаётся всё как было

Я копаюсь на помойке как червяк!
Статья, как уже было сказано выше, слишком длинная и (что, возможно, и плюс, с учетом аудитории) эмоциональная. Я, если и писал бы подобную простыню на хабр, то разбил бы на блоки вида (проблема — симптоматика — решение), которые, в свою очередь, сгруппировал бы по разделам ОС/телефон/браузер/etc. И каждый кусок текста обязательно под спойлер.

По поводу эмоциональности — например, страшный ярлык «вирус» вешается на все что угодно, от багов и эксплойтов до криптомайнеров с фишерами. Но для неискушенной аудитории пойдет.

OpenWRT вроде бы уже несколько лет, как не развивается. Есть форк (или ребрендинг, не вникал) под названием LEDE.

HTTPSEverywhere — задумка хорошая, вот если бы еще умел распознать HTTPS-заглушку и редиректить на незащищенную версию — цены б ему не было. Ставил его несколько лет назад и каждый день попадались сайты, которые HTTPS-версию реализовали на «отвали» или вообще с багами. Но плагин считает, что она есть и каждый раз приходилось его выключать, лезть в адресную строку стирать 's', включать после ухода с сайта. Дней через пять мне надоело.

В идеале стоило бы статью викифицировать и выложить в общий доступ как основу для доработок и уточнений. Как образец — гляньте на ruxpert.ru, он именно так и начинался.
OpenWRT вроде бы уже несколько лет, как не развивается. Есть форк (или ребрендинг, не вникал) под названием LEDE.
Спасибо за замечание, так и есть. Вроде сначал был форк(ответвление), но потом они «подружились» и теперь это снова один проект.
Про HTTPSEverywhere — да, так и было ранее, сейчас видимо уже большинство сайтов исправили свои реализации, и последние полгода я вообще не попадала на такие сайты. Так что, это уже не просто «годный», а удобный плагин.
Лично я не вижу смысла в HTTPS Everywhere при тотальных редиректах на защищённый протокол и наличии HSTS со списками прелоадера.

Честно говоря, половина советов — все итак знают, остальная половина ОЧЕНЬ спорная, но остановлюсь на своей специфике, а именно процессинг, платёжные системы и банковские карты:


Еще есть такая тема для обсуждения как пароль от банковской карты. То есть пин код. Никому его не говорите. И главное чтобы это не была какая нибудь дата типа 1945 или чей то год рождения. Никому из посторонних не говорите номер вашей карты (это который длинный). 3-ех значный код сзади карты (это который CVV) запомните и заклейте непрозрачным скотчем, если забудете – отклейте, посмотрите и заклейте назад. Если расплачиваетесь в магазинах картой, старайтесь оплачивать бесконтактно и не давайте в руки свою карту кассиру, если у них есть бесконтактная оплата (сейчас в России 99% терминалов которые могут принимать карты, могут принимать и бесконтактно) и ваша карта тоже может оплачивать бесконтактно. Зачастую мошенники подкупают кассиров и те ставят камеры под кассой, и эти камеры фотографируют данные с вашей карты. До сих пор есть куча сайтов где можно купить что то по карте даже без СМС кода и этими свойствами сайтов пользуются мошенники.

НЕ все карты поддерживают бесконтакт. Далее про заклеивание — весьма спорный метод, т.к. у бол-ва отдельная карта для виртуальных покупок + виртуальная.
Про пин-код — да, его должен знать только владелец карты, но куча жён знают пин-коды от карт мужей и это в принципе, ничего страшного, т.к. они семья, как и наоборот.
Про подкуп кассиров, ну положим, они узнают да данные карты, сейчас везде почти юзается 3D-Secure, а мошеннические операции делается тупо chargeback и дальше банк сам разбирается с ТСП.

НЕ все карты поддерживают бесконтакт.
Я специально уточняла на эту тему. Раньше, чтобы карты выдавались с бесконтактом, чуть ли не отдельное завяление надо было писать. Но я сходила в Сбербанк и спросила — говорят что сейчас ВСЕ новые карты, в том числе системы МИР выдаются автоматом с бесконтактом. Даже если это перевыпуск карты. В парочке других банков аналогично. Видимо какой то приказ сверху.
сейчас везде почти юзается 3D-Secure
Только вчера со мной произошёл случай. Оплатила онлайн, списали без подтверждения через СМС. Да, на том сервисе, где я оплачивала, вывод денег очень нетривиален, но всё же.

То, что сайт не прошёл сертификацию PCI-DSS — это ему же хуже, я бы поостерёгся.
Но, например, American Express, позволяет по магните расплачиваться, у них в принципе нету чипа и ничего.


МИР — это наш внутренний огрызок, за рубежом вы им не расплатитесь.

Единственное что могу точно посоветовать – не покупайте “спорные” товары банковской картой, а покупайте за бумажные наличные деньги. Никаких покупок картой в интим магазинах, никаких дорогих покупок через банковские карты (грабители или злодеи мошенники могут вычислить что вы купили что то новое).

Предположим интим-магазин или ещё какой-то не очень честный слил список покупок по картам. Например, девушка купила вибратор, а магазин позвонил её парню каким-то образом вычислив номер телефона и сказал ай-яй-яй?
Про то, что не покупайте по картам продукты в магазинах — тоже смешно, ей богу.

Предположим интим-магазин или ещё какой-то не очень честный слил список покупок по картам. Например, девушка купила вибратор, а магазин позвонил её парню каким-то образом вычислив номер телефона и сказал ай-яй-яй?
Про то, что не покупайте по картам продукты в магазинах — тоже смешно, ей богу.
Оооох, не хочется лезь в политику, но вы посмотрите на последнее выступление 2-го лица(того самого) на тему адресной гос помощи и на основе каких данных. Не поняли? — посмотрите ещё раз и прикиньте у кого и какие системы уже налажены. Вспомните, что у нас в стране все данные уходят из госконтор на черный рынок на раз-два. Да и без слива этих данных не сулит ничего хорошего. Просто очень не хотелось об этом писать, думала, что на хабре люди могут прикидывать «что почём». Ну раз надо толсто намекать, будем толсто намекать:))

А причём тут политика и покупки в магазинах и тем более товаров интим-услуг???
С тем же успехом ваши данные может слить и ЛЮБОЙ магазин вообще в мире, дурное дело нехитрое, поэтому для всех этих процедур МПС и имеют chargeback.

На заметку, в фаерфоксе появилась возможность выбирать какие расширения могут работать в режиме инкогнито.
было бы лучше разбить статью на несколько частей, на мой взгляд) в любом случае огромный респект автору за такой труд)
Даже как заготовка под диплом не пойдет, жаль что такое количество времени автора ушло на это. Но это не мое дело на что люди время тратят.

По сабжу — статья безнадежно устарела… Желтизна и эмоции характерные больше для телепередач по РенТВ.

Цикл статей с живой практикой, вот это да — было бы классно. А так уверен что больше половины инструментов автор даже не использовала. Такое отношение к читателю не приемлемо.
статья безнадежно устарела
Вы имеете ввиду, что чего-то не хватает, или что-то лишнее? Напишите что устарело. Ещё лучше — напишите, пожалуйста, отдельную статью поподробнее. Будет полезно почитать.
Желтизна и эмоции характерные больше для телепередач по РенТВ.
Если честно, когда я перечитывала статью перед публикацией, тоже так подумала и отложила публикацию. Но потом посыпались очередные новости из Китая, новости об утечках данных и я решила её опубликовать. После же публикации этой статьи события так стремительно начали развиваться(история с Яндексом, банками, продажа уже готовых систем из Китая по всему миру), что теперь я с полной увереностью могу заявить, что статья даже слишком «спокойная».
А так уверен что больше половины инструментов автор даже не использовала. Такое отношение к читателю не приемлемо.
Какие, например, я не использовала? Если какие-то инструменты недостаточно описаны — просьба написать подробную статью. Неаргументированные претензии без указания на ошибки — такое отношение к читателю вашего комментария не приемлемо.
Паранойя в острой форме… правда это НЕ значит что за вами не следят. -:)
А если серьезно — не плохая статья и хотя и со странностями, особенно для тех кто СОВСЕМ не понимает что проблемы описанные — таки есть (правда не для всех это проблемы и многие из них решаются гораздо проще) (хотя например к Тинькову предъявлять претензии за кешбэк по категориям товаров… мало смысла, ну вот так вообще ЛЮБЫЕ банковские карты будут что категория будет известна банку, от этого еще и тарифы зависить могут. К Тинькову скорее уж логично претензию про (разумеется добровольно подключаемую и разумеется если вы НЕ подключали — они не собирают данные) услугу www.banki.ru/news/lenta/?id=10424671 — в выписке будет кнопочка где будут… полные данные из чека, нет — фича то полезная если вы в принципе не против).

Насчет галочек про отправку ошибок в программах/общей аналитики — как разработчик скажу: в том что делаю для заказчиков галочек этих — нет, это НЕ значит что нет самого функционала отсылки детальных данных после креша и общей аналитики. Заказчик то в курсе но обычно ему просто плевать когда говоришь что да, отсылка данных, да — полезно для работы. В одном случае заказчик прямо был против… отсылки некоторых технических деталей которые в плане приватности не дают ничего. Изменить это — будет запрос от заказчика конкретного проекта — подумаю. Потому что менять — а на что? Вообще не собирать данные? Они сильно помогают в работе. Отсылать на свой локальный сервер — к сожалению нет полноценных аналогов(неполноценые — есть).
Заказчик попросит по конкретному проекту — будет версия без аналитики. Только скорее просят наоборот.
В принципе доступ к этим данным есть у Яндекса, Amplitude Analytics(в одном проекте) и Google (Firebase потому что) )

Apple кстати иногда прямо заставляет например при оплате (in-app покупки для этого приложение не подходят, используется внешний SDK) методы когда приложение НЕ видит промежуточные этапы оплаты (и не может внедрить свой код в страницу оплаты даже если есть желание).

Кстати еще не упомянуто что Google с Apple ж могут пуш-уведомления собирать и анализировать (все ж через их идет а шифрование пушей ой редко кто делает, особенно если не надо). Зачем? Ну они придумают.

Советовать неподготовленным пользователям uMatrix… это вообще то скорее повод заставить их послать того кто советовал подальше.

А вообще — у меня например в браузере существенно больше одного профиля.
А большая часть того что пишется в интернете — идет под псевдонимами (основной + несколько под разные тематики), да — включая аккаунты соцсетей (нужно мне их иметь нужно), под реальным именем публично — только те сайты где ну никак иначе (вот не оценят на hh.ru псевдоним — правда можно скрыть имя...) (те сайты где нужна оплата — ситуации когда ФИО при оплате/доставке другое — им плевать похоже(речь не про случаи когда данные карты вводятся в форме на сайте платежного посредника, а именно на самом сайте в аккаунте и он потом передает), ни разу не было обратного а во вторых — как то пару раз данные карты вводились не с именем с карты а с псевдонимом и… а ничего, такое впечатление что как минимум части банков, карты которых у меня — плевать на то, какое указано имя в форме оплаты если остальное — верно).
Отсылать на свой локальный сервер — к сожалению нет полноценных аналогов(неполноценые — есть).
Значит будет повод кому-то сделать полноценные.
Кстати еще не упомянуто что Google с Apple ж могут пуш-уведомления собирать и анализировать (все ж через их идет а шифрование пушей ой редко кто делает, особенно если не надо)
Спасибо за информацию про шифрование пушей от глаз Google и Apple. Точнее про отсутствие такого шифрования.
Советовать неподготовленным пользователям uMatrix… это вообще то скорее повод заставить их послать того кто советовал подальше.
Написала же, что лучше неподготовленным начинать с PrivacyBadger. Статью по uMatrix напишу.
А вообще — у меня например в браузере существенно больше одного профиля.
Да, приходится осуществлять компартаментализацию в сети. Надо писать отдельную статью, но раделять профили реально сложно, главное случайно не перепутать окна браузера, логины, и так далее. Я уже один раз ввела не в тот браузер не тот логин. Теперь у меня у разных браузеров разные темы оформления с совершенно разными цветовыми палитрами.
как то пару раз данные карты вводились не с именем с карты а с псевдонимом и… а ничего, такое впечатление что как минимум части банков, карты которых у меня — плевать на то, какое указано имя в форме оплаты если остальное — верно).
Не знаю как сейчас, но один раз отказывали в оплате лет 5 назад. Не знаю в этом ли дело было, но в ФИО я поставила 1у случайную букву, и не пропустили платёж.
Значит будет повод кому-то сделать полноценные.
Скорее будет повод пользователю сказать что он ССЗБ и крешей с того устройства что вы говорите — не зарегистрировано.

Спасибо за информацию про шифрование пушей от глаз Google и Apple. Точнее про отсутствие такого шифрования.

Скажем так — если разработчик заморочился — шифрование сделать можно и там и там. Просто это чаще всего — не требуется (а нужный функционал чаще используют для создание красивых картинок пушей/для реализации сценариев вида 'если пуш не дошел за 1 минуту то шлем смс клиенту'(приложение отсылает серверу сигнал что пуш получен и если сигнал не получен за минуту то сервер кидает СМС)).
При этом система пуши конечно отслеживать может прямо на устройстве. На Андроид — скажем так — при желании пуши может отслеживать не только система, несколькими разными способами (да, для этого нужно чтобы пользователь сам разрешил приложению, приложение откроет экран настроек но дальше — самостоятельно + будет предупреждение от системы). Используется в разных целей — - Scrobbler'ов для Apple Music (с ним нормальные способы не работают)/прокидка нотификаций на часы разнообразные/прокидка нотификаций на компьютер (ну вот удобно мне что всякие СМС и пуши от банка — мне отображаются на компьютере, да я понимаю что даю приложению доступ(кстати это конкретное приложение, Pushbullet, умеет шифровать что передает)). Даже приложение есть вести историю нотификаций (Notificaton History
Если бы здесь был рейтинг самых больших статей, эта бы точно вошла в десятку.
Во-первых. Спасибо за статью. Местами увлекательно и познавательно. Но на правах зануды позволю себе черкнуть пару замечаний ;)

Всё было хорошо до момента когда перешли от рекомендаций к тотальному удалению и отказу от всего и вся :)
Тор. Тор не панацея, а даже наоборот, способ привлечь к себе достаточно много внимания. Все крупные компании знают точки входа, айпишки, узлы сети и отлично их детектят. Все знают для чего обычно используют тор и какие цели преследуются при его использовании. Достаточно глупо сломя голову бежать и защищать себя особенно если уже всё слито давным давно вами же. Тем более начинать пользоваться тем что по факту не защищает вас ни от чего. 100% людей которые будут читать эту статью явно не спец агенты под прикрытием и явно на все 100% несколько раз в жизни прокололись отдав свои персональные данные куда-то. Особенно забавно было читать про потуги защищить мобильные платформы. Покупая смартфон вы уже слились. Всё, финита ля комедия, вы отдали себя в руки корпорации которая похлеще государства, но в отличии от последнего ведёт пока только честную игру, продавая вам релевантные и не очень товары и услуги, предоставляя доступ к информации, развлечениям, «упрощалкам жизни».
Идём дальше. Персональная информация и браузеры. Никому, никогда, ни при каких обстоятельствах не нужны данные конкретно о вас. Это неинтересно и скучно. Суть всего этого сложного мониторинга и слежки состоит в том чтобы дать вам рычаг для быстрого поиска информации и продать вам то что может понадобиться в какой-то момент времени.
Идём дальше. Помимо защиты себя, стоит в гораздо большей мере подумать о своих родных, друзьях, знакомых, коллегах… Ведь именно через них, из-за их активности в интернете ваши данные и вся ваша жизнь может утекать также как если бы вы её сами сливали. С этим как бороться? А никак.
В общем если вы не террорист-смертник и не пытаетесь уничтожить весь мир то рекомендации по выбору «безопасного» браузера, «безопасного плагина» (охоспади кошмар то какой) или мессенджера — выглядит как попытка избавиться от зловонного запаха стоя по пояс в дeрьме.

Да, я не спорю что нужно чётко понимать какие данные и куда утекают и какая информация может стать публичной. Особенно это касается реальных угроз — мошенников, грабителей и разного рода отребья, которые реальны и насолить могут в реальной жизни, а не просто как в случае с поисковыми гигантами — подсунуть вам рекламу вибраторов вместо куклы Барби.

Нужно ли париться насчёт того какую инфу отправляет Chrome, Chromium, Firefox? Пока нет.
Стоит ли париться насчёт отсылки ксерокопии скана паспорта какому-то сервису? Да.

И ещё раз спасибо за статью. Однозначно в закладки.
Все знают для чего обычно используют тор и какие цели преследуются при его использовании.

Поэтому чем больше людей используют Тор для обычных целей, тем быстрее ваше утверждение будет опровергнуто.

Для обычных людей с головой хватит впна. А полная анонимность нужна сами знаете кому

Тор не панацея, а даже наоборот, способ привлечь к себе достаточно много внимания. Все крупные компании знают точки входа
Если сильно боитесь — можно использовать мосты(я использую свой). Если Вы про то, что заходить на сайты из браузера Tor и авторизоваться под своим именем — ну так кто Вас и куда причислит, если Вы и так себя раскрываете?
Все знают для чего обычно используют тор и какие цели преследуются при его использовании.
Это не так. «плохие дяди» всё меньше используют площадки в Tor.
Достаточно глупо сломя голову бежать и защищать себя особенно если уже всё слито давным давно вами же. Тем более начинать пользоваться тем что по факту не защищает вас ни от чего. 100% людей которые будут читать эту статью явно не спец агенты под прикрытием и явно на все 100% несколько раз в жизни прокололись отдав свои персональные данные куда-то.
Мне нравится ваша братия, сначала так аккуратно «да, статья супер», а потом «это всё не работает, бойтесь даже подумать о своей конфиденциальности. Ну вы же не щпиён же?»
Особенно забавно было читать про потуги защищить мобильные платформы. Покупая смартфон вы уже слились.
Читайте мою вторую статью.
Никому, никогда, ни при каких обстоятельствах не нужны данные конкретно о вас.
Ага, конечно. Никому и никогда и ни при каких обстоятельствах. Да да, конечно.
С этим как бороться? А никак.
Вот и то, для чего писался весь ваш комментарий.
выглядит как попытка избавиться от зловонного запаха стоя по пояс в дeрьме.
Вообще супер. Правильно, надо дожать читателя комментария, а то вдруг читатель подумает, что не надо опускать руки. А тут ему аргумент — «расслабься, ты и так в дерьме». Вот на этом Вы и попались.
Логика не выстроена. А тут на хабре люди в основном с логическим мышлением.
«Никому, никогда, ни при каких обстоятельствах не нужны данные конкретно о вас» и тут же «по пояс в дeрьме». Такие обороты хороши на эмоциональном уровне и свою аудиторию найдёте, наверное.

Если попытаться воспринимать Ваш комментарий серьёзно — то я увидела два относительно полезных аргумента.
1) При использовании Tor могу возникнуть проблемы с банками. Да, на сайты банков лучше не заходить через Tor, так как у них настроена защита от угона денег. Заблокируют на время операции и придётся звонить в банк.
2) Тяжело объяснить окружающим. Тяжело, но возможно. Сейчас есть и федеративные соц сети, и неплохие мессенджеры. Да и почему бы заранее не настроить всё своим окружающим.

PS Возможно Вы писали комментарий без злого умысла и реально так считаете. Видимо у Вас просто нет времени сопротивляться слежке и Вы для себя одновременно решили «что никому конкретно не нужны» и в то же время «уже по пояс в дерьме». Тогда я хочу Вас предупредить, что приверженность одновременно двум полярным точкам мировоззрения расшатывает психику. Вы либо выберете для себя что-то одно из ваших аргументов. Либо медленно, не нервничая возвращайте себе право на приватность без самоубеждений.
Ага, конечно. Никому и никогда и ни при каких обстоятельствах. Да да, конечно.
Конкретно поисковым системам и гигантам? Нет. Или вы реально слабо представляете то на чём они зарабатывают. Им не нужен какой-то один юзер. Им нужно выявить модель поведения и выдать вам конкретную рекламу, продукт, сервис согласно шаблону поведения под который вы попадаете. Эта информация обезличена, системе всё равно — вы Вася Пупкин из Бздыщево или Софья Михаловна из Дрюклина. Если ваши модели поведения совпадают — вам будут пытаться продать похожие товары и услуги. Им нужен профит здесь и сейчас. Примеров — море.
Всё остальное — это про государство. Опять же если вы нужны государству, вам стоит задуматься о том стоит ли оставаться жить в такой стране или же возможно нужно уехать, а не строить мосты из торов, прокси, впнов чтобы лелеять себя мечтами о том что это как-то защитит вас от группы захвата, спецназа, омона и прочих служб. Против лома нет приёма, увы и никакой тор вам не поможет.
Мне нравится ваша братия, сначала так аккуратно «да, статья супер», а потом «это всё не работает, бойтесь даже подумать о своей конфиденциальности. Ну вы же не щпиён же?»
Вы путаете нездоровую паранойю с реальной конфиденциальностью и защитой своих персональных данных. Статья супер лишь отчасти, как я и написал.
«Никому, никогда, ни при каких обстоятельствах не нужны данные конкретно о вас» и тут же «по пояс в дeрьме». Такие обороты хороши на эмоциональном уровне и свою аудиторию найдёте, наверное.
Это называется гипербола с ироничным оттенком. Странно что вы зацепились за это :)
Видимо у Вас просто нет времени сопротивляться слежке и Вы для себя одновременно решили «что никому конкретно не нужны» и в то же время «уже по пояс в дерьме». Тогда я хочу Вас предупредить, что приверженность одновременно двум полярным точкам мировоззрения расшатывает психику
Вы зашли в интернет — да вы по пояс в дерьме. Вы пишете на хабре — опустились ещё глубже. Чувствуете градус растёт? :) Паранойю можно кормить сколько угодно, но суть останется та же — слабое звено здесь не технологии, а человек. Если вы хотите жить в «безопасности» и отсутствии слежки — вы родились не в то время или даже не той формой жизни, увы.
Никаких двух полярных точек. Точка зрения одна.
Человек с начала времён когда ещё по Земле ходили мамонты уже находился под слежкой диких животных и своих же собратьев. Это у нас в крови. От этого никуда не деться. Все за всеми следят.
С виртуальной точки зрения — здесь всё намного прозаичней. Компаниям не нужны конкретно вы или я. Им нужно ваше поведение. Ваш «слепок» который можно скормить машине и она решит показывать вам рекламу Барби или всё же вам нужно что-то «поинтереснее» :)

ЗЫ. Один умный дядька-безопасник мне когда-то сказал: «Чтобы не париться по поводу слежки — сделай так чтобы за тобой было скучно следить». Вот и весь рецепт.
Конкретно поисковым системам и гигантам? Нет. Или вы реально слабо представляете то на чём они зарабатывают. Им не нужен какой-то один юзер.
Давайте предложу Вам логические цепочки. А Вы скажете где в них ошибка.
1) Ну «подсматривать» могут не только поисковые системы и гиганты. Например, мошенники разного толка. Конкуренты. Недоброжелатели.
2) По поводу поисковиков. Google и Github заблокировали пользователей из Крыма просто потому что они из Крыма. И вычисляли не по IP, а по профилю. То есть они не будут противиться законам своей страны. И вообще неизвестно какая была позиция этих разработчиков по поводу Крыма в 14 году. Никого не интересует сопутствующий ущерб. Надо кого-то «наказать» — «накажут» аполитичных в том числе.
Google и Microsoft участвуют в военных подрядах США. Другие тоже могут участвовать, но по закону не имеют права об этом говорить. Информация по Google и Microsoft просто «всплыла».
Аналогичные законы(про скрытие информации о сотрудничестве) есть и в других странах. Что помешает, например руководству США, приказать например Google-у прислать всем письмо(или PUSH) чтобы люди начали снимать деньги со счетов, иначе их чувствительные данные разойдутся по знакомым. Да или просто прислать фейк, после которого начнуться погромы. Заметьте — я пишу «например». Аналогичные вещи могут заставить сделать другие компании и другие государства, в которых находятся эти компании.
3) Есть куча сливов данных. каждый день какая-то новость. И в этих сливах есть не только регистрационные данные, но и интересы, подписки и другие данные(вплоть до переписки). Конкретно Google сильнее других заботится о сохранении данных. Но зря Вы думаете что у них всё абсолютно защищено. Да и пункт 2) из этого комментария сам по себе не внушает оптимизма в отношении Google. Если судить по примеру других очень крупных известных Вам(и любому россиянину) поисковых компаний, данные из поисковиков также покупаются. Интересует такая информация — поищите по форумам возможно ли это. И иногда цена на такого рода информацию не такая уж и заоблачная.
Опять же если вы нужны государству, вам стоит задуматься о том стоит ли оставаться жить в такой стране или же возможно нужно уехать, а не строить мосты из торов, прокси, впнов
Дааа, понятно. А что если я не хочу уезжать? Или не имею финансов на это?
лелеять себя мечтами о том что это как-то защитит вас от группы захвата, спецназа, омона и прочих служб. Против лома нет приёма, увы и никакой тор вам не поможет.
Да я то работаю в белую и ничего не нарушаю. Зато против отдельных нечистоплотных служителей, которым надо или «палку» написать или пошатнажировать кого-то себе на новый iPhone(или BMW) — поможет. А дел таких в стране не меньше, чем остальных.
Вы зашли в интернет — да вы по пояс в дерьме. Вы пишете на хабре — опустились ещё глубже. Чувствуете градус растёт? :)
Чувствую. Ну а где по-вашему та грань, при которой надо остановиться в части обеспечения своей конфиденциальности? На каждые 10 сообщений, что я слишком утруждаюсь, мне пишут 10 сообщений, что моих методик недостаточно. Кто может сказать где это линия? Как мы видим по переписываемым квартирам с ЭЦП, частым случаям выводом денег с карт и другим примерам(их огромное количество самых разнообразных) — линия пока что отодвигается только в сторону необходимости усиления защиты своих данных. Вот я 4 года назад начала применять методики описанные в статье и тогда они казались(даже мне) излишними. Делала ради интереса. А сейчас я понимаю, что этого даже было недостаточно. Дело не только в том как обстоят дела в этой сфере. А в том, что они с каждым днем становятся всё хуже.
ЗЫ. Один умный дядька-безопасник мне когда-то сказал: «Чтобы не париться по поводу слежки — сделай так чтобы за тобой было скучно следить». Вот и весь рецепт.
Сейчас это не помогает. Есть хоть какая-то собственность, которая стоит более 100 000 рублей — и уже становится «интересно» сразу нескольким группам. А дальше уже смотрят есть ли за спиной хоть какой-то медийный ресурс или полезные знакомства. Если нет — жди беды. Если есть что-то за спиной — оценивается стоит ли овчинка выделки. Если для них стоит — снова жди беды.
1) Ну «подсматривать» могут не только поисковые системы и гиганты. Например, мошенники разного толка. Конкуренты. Недоброжелатели.
Конкретно вы или ваши близкие или кто-то из людей пострадал от слежки в бразуере? И я говорю про обычных людей, а не спец агентов и преступников.
заблокировали пользователей из Крыма
Это чисто политическое решение. Гугл и корпорации тут не причём. Им нужно соблюдать законы своей страны. Увы, так работает система. Тоже самое сейчас происходит с Андроидом на хуавеях. Давайте не будем разводить тут политический срач.
Google и Microsoft участвуют в военных подрядах США.
Это же бизнес. У гугла есть технологии, правительство США хочет ими пользоваться. Что дальше?
Но зря Вы думаете что у них всё абсолютно защищено
Я так не думаю. Всё что сделано человеком имеет баги. Если в проекте нет багов — значит он не развивается. Если в проекте не дыр — значит он абсолютно никому не нужен. Гугл одна из не многих компаний которая поощряет поиск багов и дыр в своих проектах. Так что это жизнь. Если не вы будете рассказывать о своей жизни, то это сделает кто-то другой. Банально вас могут запечатлеть на видео сегодня, а завтра вы станете звездой coub'а и ютуба.
Увы, но в современном мире информация чаще всего утекает там где без персональных данных никуда. Банки, авиакомпании, жд компании, общественный транспорт, правительства — они все владеют частичкой, большой или маленькой, ваших персональных данных. Можно быть параноиком до мозга костей, но к примеру утёкшая база в том же паспортном столе — это один из вариантов слива там где вы не ожидаете.
Дааа, понятно. А что если я не хочу уезжать? Или не имею финансов на это?
Не хочу? Или вы плохо стараетесь?
Да я то работаю в белую и ничего не нарушаю.
Как правило именно в этом месте всё и утекает и вы ничего не можете с этим поделать. У вас может быть всё идеально по жизни, но мошенники нападут конкретно на вас. Ну блин, вот такая вот жизнь. Испытания и всё такое.
Зато против отдельных нечистоплотных служителей
С нечистоплотными служителями разговор может быть совершенно другой. Зависит от ситуации. Тут как в клетке с тигром. Можно быть героем и получить пулю в лоб, а можно выйти из воды сухим, просто анализируя ситуацию и не делать поспешных действий. В прочем к статье это никакого отношения не имеет. Тор или блокировщики рекламы вас от этого не спасут.
Ну а где по-вашему та грань, при которой надо остановиться в части обеспечения своей конфиденциальности?
Я думаю грань находится в человеке. Если он сам не расскажет или не покажет — ничего и не случится. Банальные парадигмы которые заложила мама с молоком: не хранить яйца в одной корзине, не трепать языком направо и налево, не брать конфеты от чужих дядек… Это всё экстраполируется и на реальную жизнь. Т.е. как бы я не хотел, я всё равно должен кому-то отдавать свои данные чтобы пользоваться благами цивилизации. Возможно в будущем это как-то упростится и мы будем передавать компаниям всякого рода токены с ограниченным сроком жизни, для временного пользования нашими персональными данными (например в банке, чтобы он мог проверить мои данные, но не хранить их).
А в том, что они с каждым днем становятся всё хуже.
А давайте зайдём с другой стороны. Вы к примеру компания которая владеет персональными данными и в случае их утечки — на вас могут подать в суд миллионы реальных людей. Поверьте, здесь боятся не только владельцы данных, но и их хранители. Они также обеспокоены (не все конечно) тем что кол-во персональных данных растёт. Недавно принятый GDPR к примеру один из шагов в сторону устаканивания хранения персональных данных. Но даже он несовершенен.
и уже становится «интересно» сразу нескольким группам
Так что теперь жить в бедности? Вашу собственность видят реальные люди, и опять же, никакие софтовые средства тут не помогут. Вы можете использовать цепочки из 3-х впнов и 2-х торов, юзать самый безопасный дистрибутив, но вас могут ограбить банально у банкомата. Это уже отдельная тема — крышевание бизнеса, охранные системы, личная безопасность и прочее.
Интересная статья. У меня по ней есть несколько мыслей:
1. Если я встречаю человека, но у него нет аккаунта ни в одной из соцсетей или все они скрыты — то я предпочту дел с ним не иметь, для меня это будет дурным знаком. Ибо это наталкивает на мысль о том, что человек от кого-то скрывается, и скрывается оттого, что кому-то что-то плохое сделал. Например, в долг взял и отдавать не хочет.
2. По части перехода на альтернативное ПО, такое, как LibreOffice — пробовал. Приносит много раздражения. По мне, так необходим баланс между всеми свойствами программных продуктов, в числе которых есть не только безопасность, но и юзабилити, и работоспособность сценариев в продуктах. И необходимо понимать для чего и в какую сторону его смещать.
Можно, например, провести параллель между безопасностью при работе с компьютером и безопасностью езды на дороге. С первого взгляда ездить по дороге в бронетранспортере будет куда безопаснее для водителя и никакие столкновения не страшны. Если требуется переместиться из города А в город Б для посещения гостей — то на бронетранспортере это делать нецелесообразно и лучше ехать на легковой машине. А вот если требуется по этому же маршруту провезти ящик с динамитом — то я б предпочел бронетранспортер.

согласен со многими вещами, но слишком много паранои тоже плохо. я например пользуюсь только Гугл поиском и он мне очень хорошо подсказывает по программирование, ищет прямо ответы на мои вопросы. + у меня стоит адблок, рекламы я не вижу, кто-то собирает мои данные и что-то с ними делает… что? я не знаю. наверно это плохо, но профита пока от Гугла больше чем неприятностей

Тем более немое кино или музыка не требует знания английского

вот вроде и верно это, но какой процент людей сегодня принципиально смотрят именно его, хотя бы и из-за приверженности открытому и бесплатному? Хотелось бы, чтобы предисловием, дисклеймером статьи об информационной безопасности было то, что насколько вы выигрываете в безопасности, примерно настолько же проигрываете в удобстве повседневного использования сервисов. Иначе это какое-то «Жить в лесу, молиться Метрополису» (в смысле, фильму) получается.
Only those users with full accounts are able to leave comments. Log in, please.