Комментарии 135
НЛО прилетело и опубликовало эту надпись здесь
Для каких задач?
Тем, что как бы говорит всем желающим «я делаю что то тайное, проследи за мной». Единственный вариант для анонимности — TOR, открытый в виртуалке, поключённый через VPN. В большинсве случаев ТОР не обязателен, если VPS надёжный и анонимный (оплата бинткоинами).
Как VPS будет анонимным, если в последствии нужно подключаться к нему напрямую?
Я имел в виду VPN, опечатался. Шифрованное подключение с виртуалки к VPN даст довольно мало инормации тем, кто попытается Вас отследить. Конечно, спецслужбы справятся, я не говорил о криминале, но для торрентов в некоторых странах, где они запрещены сойдёт.
А вот как на счёт того, что любой скрипт вполне по правилам может обратиться к любому сайту передав ему любую известную ему информацию? Ну передаст он ему особенности не реальной машины, а виртуалки, которую обслуживает реальная машина, и всё. Погрешность будет больше, но в целом корреляции всё равно будут. При отключённых-же скриптах все эти техники ничего не стоят.
Тут уже не раз был спор на эту тему, однако вернусь к ней. Для работы подавляющего большинства сайтов скрипты на самом деле не нужны. Совсем. Они используются лишь для создания красивой мигающей хрени и (судя по всему в большей части) для показа рекламы и тракинга юзеров. К сожалению любителей «красивой мигающей хрени» всё больше, и скоро, видимо, сайты без скриптов станут не работоспособны совсем. Увы.
Тут уже не раз был спор на эту тему, однако вернусь к ней. Для работы подавляющего большинства сайтов скрипты на самом деле не нужны. Совсем. Они используются лишь для создания красивой мигающей хрени и (судя по всему в большей части) для показа рекламы и тракинга юзеров. К сожалению любителей «красивой мигающей хрени» всё больше, и скоро, видимо, сайты без скриптов станут не работоспособны совсем. Увы.
Только благодаря скриптам вы написали свой комментарий. Отключите их и посмотрите во что превратится интернет.
Комментарий я написал благодаря мозгу, рукам и клавиатуре. Для того, чтобы его отправить на сервер скрипты тоже не нужны. Открою страшную тайну: интернет долгое время прекрасно обходился без них.
Конкретно тут единственный смысл скриптов — отправить набранное на сервер не перезагружая страницу. Только за время написания комментария их количество сильно увеличивается. Собственно приписку «я буду обновлять перед отправкой» тут можно увидеть весьма часто. Так что функция совершенно бесполезная. Это всё равно приходится делать.
Лично у меня скрипты включены на 2х сайтах. youtube и shadertoy. И то первый из них во флешовые времена мог обойтись без них. Гугл, кстати, обходится прекрасно до сих пор (в отличие от яндекса, у которого даже кнопка «отправить» скриптовая зачем-то). Весь остальной тоже вполне нормально себя чувствует без них (ну, кроме самых упоротых). А с появлением возможности делать менюхи и анимацию с помощью CSS вообще большую часть визуальной скриптовой хрени можно выкинуть.
Конкретно тут единственный смысл скриптов — отправить набранное на сервер не перезагружая страницу. Только за время написания комментария их количество сильно увеличивается. Собственно приписку «я буду обновлять перед отправкой» тут можно увидеть весьма часто. Так что функция совершенно бесполезная. Это всё равно приходится делать.
Лично у меня скрипты включены на 2х сайтах. youtube и shadertoy. И то первый из них во флешовые времена мог обойтись без них. Гугл, кстати, обходится прекрасно до сих пор (в отличие от яндекса, у которого даже кнопка «отправить» скриптовая зачем-то). Весь остальной тоже вполне нормально себя чувствует без них (ну, кроме самых упоротых). А с появлением возможности делать менюхи и анимацию с помощью CSS вообще большую часть визуальной скриптовой хрени можно выкинуть.
так а если на хабре у вас скрипты не включены как выглядит процесс написания коментария для вас лично ?:)
Очень странно выглядит. По непонятной причине из основного браузера (firefox) мне вообще не удаётся залогинится сюда. При чём даже со включённым всем-всем-всем и отключенными проксями и резалками. И хз почему. При логине получаю ответ — не введена почта или пароль, при том, что сетевой монитор показывает их отправку.
Так что написание начинается с запуска специально для этого поставленной Оперы со всеми разрешениями :(
Раньше, когда такой фигни не было — включал если нужно было написать (в noScript делается одним кликом). Собственно для меня это ресурс больше для чтения (я R&C, так что писать могу сравнительно недавно и делаю это не часто). А читать можно и без них.
Так что да, формально тут они тоже включены. Реально — очень редко и на выделенном браузере. Остальные сайты с которыми я имею дело до сих пор либо работают по старинке либо теряют только функции ввода тегов по клику (что пофиг, написать их не сильно медленнее, чем целиться в кнопку)
Так что написание начинается с запуска специально для этого поставленной Оперы со всеми разрешениями :(
Раньше, когда такой фигни не было — включал если нужно было написать (в noScript делается одним кликом). Собственно для меня это ресурс больше для чтения (я R&C, так что писать могу сравнительно недавно и делаю это не часто). А читать можно и без них.
Так что да, формально тут они тоже включены. Реально — очень редко и на выделенном браузере. Остальные сайты с которыми я имею дело до сих пор либо работают по старинке либо теряют только функции ввода тегов по клику (что пофиг, написать их не сильно медленнее, чем целиться в кнопку)
НЛО прилетело и опубликовало эту надпись здесь
Нет. Всё разрешал. Вообще всё. Очень долго с этим мучался пока не забил.
На всякий случай сейчас проверил — та же фигня.
«Нечего проверять»
На самом деле тут вообще мутная история. Сначала я пробовал зомбреру. Тот вообще отвалился ещё на https handshake, даже на сайт зайти не смог. Опера тоже не сразу смогла. Причём и в обычном, и в турбо режиме. Больше нигде такого не наблюдал.
На всякий случай сейчас проверил — та же фигня.
«Нечего проверять»
На самом деле тут вообще мутная история. Сначала я пробовал зомбреру. Тот вообще отвалился ещё на https handshake, даже на сайт зайти не смог. Опера тоже не сразу смогла. Причём и в обычном, и в турбо режиме. Больше нигде такого не наблюдал.
Красивой мигающей хрени? Т.е. если мне нужно подсчитывать сумму чисел в таблице и выводить ее по мере вбивания этих чисел, то это красивая мигающая хрень? Если мне нужны таймеры и динамическое обновление по таймеру — это тоже мигающая хрень? А тру-юзеры будут в восторге не иметь удобного UI с неограниченной функциональностью? Может еще к фреймам с жирными разделяющими бордюрчиками вернемся? Было весело и самобытно, не спорю. Что-то сродни воспоминаниям о Рэмбо и Терминаторе на пожеванных видеокассетах =)
Если вы чуть внимательнее посмотрите — я не отрицаю скриптов как таковых. Проблема в том, что их пихают не только там, где они нужны, но везде вообще. Вот возьмём яндекс. Был обычный поиск, но теперь при нажатии на кнопку поиска клик обрабатывается скриптом вместо стандартной отправки на сервер. И это при том, что прекрасно можно было повесить скрипт и на стандартный элемент и всё бы работало (ок, поиск бы работал) независимо от наличия скриптов… Нахрена? Вот что, без этого нельзя обойтись? А до этого 20 лет он как работал? И табличку с результатом он без скрипта отобразить не может ну никак? Гугл вот может, а яндекс не осилил. И так потихоньку становится везде.
Таблица — ок. Таймеры и динамическое обновление? А не для мигания ли лампочкой? ;)
Неограниченная функциональность требует неограниченных ресурсов. Боюсь мой скромный бук не потянет. Не надо впихивать хотя бы тут неограниченную функциональность. Уже давно мода лепить из любого простого и эффективного инструмента мегакомбайн делающий всё, что угодно, и ещё кучу всего такого, смысла чего не знают даже его создатели. И требующего для своей работы маленький сервер. Это проходили уже сотни раз и ни одного удачного из них я не припомню. Таким образом угробили много хороших программ.
При чём тут фреймы? Против CSS вообще не слова не сказал. Как раз наоборот, он сейчас в состоянии заменить большую часть бессмысленных скриптов. По факту, конечно, он сам уже стал скриптом и грузит машину ощутимо анимацией и прочей хренью, но пока не может жить своей собственной жизнью, как скрипты и прочий код. А ширина бордюрчиков, кстати, вполне настраивалась уже тогда :)
Таблица — ок. Таймеры и динамическое обновление? А не для мигания ли лампочкой? ;)
Неограниченная функциональность требует неограниченных ресурсов. Боюсь мой скромный бук не потянет. Не надо впихивать хотя бы тут неограниченную функциональность. Уже давно мода лепить из любого простого и эффективного инструмента мегакомбайн делающий всё, что угодно, и ещё кучу всего такого, смысла чего не знают даже его создатели. И требующего для своей работы маленький сервер. Это проходили уже сотни раз и ни одного удачного из них я не припомню. Таким образом угробили много хороших программ.
При чём тут фреймы? Против CSS вообще не слова не сказал. Как раз наоборот, он сейчас в состоянии заменить большую часть бессмысленных скриптов. По факту, конечно, он сам уже стал скриптом и грузит машину ощутимо анимацией и прочей хренью, но пока не может жить своей собственной жизнью, как скрипты и прочий код. А ширина бордюрчиков, кстати, вполне настраивалась уже тогда :)
Вы написали: " Для работы подавляющего большинства сайтов скрипты на самом деле не нужны. Совсем. "
Как мне кажется, это заявление без лишних раздумий можно назвать перегибом.
Но вы еще и добавили: "Они используются лишь для создания красивой мигающей хрени"
А так то, конечно, вы скриптов не отрицаете. Только это еще надо понять между строк.
Не стоит перекладывать с больной головы на здоровую. Инструменты для описания алгоритмов нужны повсеместно. Независимо от того, с какой частотой их используют для доставления неудобств — они нужны. Я вот гугло-экселем стараюсь не пользоваться. Более тормозящего браузерного отстоя я еще не видел. Так мне за это на скрипты дуться или на гугль?
Как мне кажется, это заявление без лишних раздумий можно назвать перегибом.
Но вы еще и добавили: "Они используются лишь для создания красивой мигающей хрени"
А так то, конечно, вы скриптов не отрицаете. Только это еще надо понять между строк.
Не стоит перекладывать с больной головы на здоровую. Инструменты для описания алгоритмов нужны повсеместно. Независимо от того, с какой частотой их используют для доставления неудобств — они нужны. Я вот гугло-экселем стараюсь не пользоваться. Более тормозящего браузерного отстоя я еще не видел. Так мне за это на скрипты дуться или на гугль?
Как мне кажется, это заявление без лишних раздумий можно назвать перегибом.
Аргументируйте. Под «красивой мигающей хренью» я имел ввиду отнюдь не положительный пример. Динамическе меню (и прочее подобное) сейчас можно делать и на CSS. Это уже не говоря о том, что в большинстве случаев смысла в них тоже не много. А если нужен большой список — лучше уже делать отдельный список разделов (но это уже вкусовщина, согласен).
Так мне за это на скрипты дуться или на гугль?
Я вообще не предлагаю ни на кого дуться. Ещё раз. Речь не о скриптах, а об их бессмысленном и беспощадном использовании. Когда сайт, который может (а часто и работает) без них кроме 10кб странички грузит ещё 300+кб скриптов, которые непонятно что делают и жрут на это проц — это перебор. Гугль, кстати, отличный пример обратного. И поиск, и почта у них прекрасно себя чувствует и без скриптов. Гугл доки и ютуб без них жить по очевидным причинам не могут и это тоже отрицать бесполезно. А уже использовать или не использовать эти сайты личное дело каждого.
Ради интереса посмотрел гиктаймс (вот конкретно эту страницу). Без малого мегабайт скриптов на 0.5 метра собственно документа. Зачем!? Реально для ответа на комментарий нужен это мегабайт?
Что аргументировать? Сначала вы отрицаете необходимость скриптов. Потом утверждаете, что ничего не отрицали. Может просто не стоит начинать разговоры с резких не вполне корректных формулировок?
>> Реально для ответа на комментарий нужен это мегабайт?
Вы опять трансформировали вопрос «нужны ли скрипты» в вопрос «почему этот скрипт такой большой». Скрипты тут нужны. А почему именно этот такой — ну напишите в саппорт, поинтересуйтесь. Может просто потому, что библиотеки сторонние используются, а не с нуля все написано?
>> Реально для ответа на комментарий нужен это мегабайт?
Вы опять трансформировали вопрос «нужны ли скрипты» в вопрос «почему этот скрипт такой большой». Скрипты тут нужны. А почему именно этот такой — ну напишите в саппорт, поинтересуйтесь. Может просто потому, что библиотеки сторонние используются, а не с нуля все написано?
Я не отрицаю. Если уж разбирать подробно:
Скрипты тут не являются необходимостью. Даже для написания комментариев. Собственно если бы не блокировали предварительно кнопку отправки — комментировать саму статью можно было бы без них и так.
Специально пытался найти, где они используются ещё и не сумел. Ну, кроме кучи тракеров, аналитики и рекламы. Извините, но их я необходимыми тем более не считаю.
Для работы подавляющего большинства сайтовФормулировка как минимум намекает на наличие меньшинства, которому они всё-таки нужны.
Скрипты тут не являются необходимостью. Даже для написания комментариев. Собственно если бы не блокировали предварительно кнопку отправки — комментировать саму статью можно было бы без них и так.
Специально пытался найти, где они используются ещё и не сумел. Ну, кроме кучи тракеров, аналитики и рекламы. Извините, но их я необходимыми тем более не считаю.
«подсчитывать сумму чисел в таблице», «таймеры и динамическое обновление по таймеру» — это явно не относится к большинству сайтов ;)
К утверждению «Для работы подавляющего большинства сайтов скрипты на самом деле не нужны. Совсем.» присоединяюсь. Тот же хабр вполне реально сделать работающим без скриптов.
Хорошие, годные сайты делают так, чтобы они и без скриптов прекрасно работали, а скрипты лишь добавляли опциональных плюшек. Тогда обычные люди могут наслаждаться этим вашим удобным UI и сидеть на сайте, а параноики могут отключить скрипты и всё ещё сидеть на сайте)
К утверждению «Для работы подавляющего большинства сайтов скрипты на самом деле не нужны. Совсем.» присоединяюсь. Тот же хабр вполне реально сделать работающим без скриптов.
Хорошие, годные сайты делают так, чтобы они и без скриптов прекрасно работали, а скрипты лишь добавляли опциональных плюшек. Тогда обычные люди могут наслаждаться этим вашим удобным UI и сидеть на сайте, а параноики могут отключить скрипты и всё ещё сидеть на сайте)
>> Тот же хабр вполне реально сделать работающим без скриптов.
Зачем?
Он не будет иметь всю имеющуюся сейчас функциональность. Он станет обрубком, которым тем не менее можно отправить сообщение. Как псевдо-автомобиль на деревянных колесах, именуемый обычно телегой. Так зачем? Что бы повыделываться и в последствии ставить убогий сайт в противопоставление другому нормальному, юзающему стандартных библиотек на метр весу? Т.е. потратить уйму времени на цель, не стоящую и ломанной копейки? И так всю жизнь. А потом по итогам будем плакаться в Фидо, как за 100 лет ничего не изменилось и никакого прогресса, хотя сами оказываемся противниками развития и сторонниками забивания гвоздей отверткой.
P.S.: А параноики что вообще забыли в социальных онлайн-сервисах?
Зачем?
Он не будет иметь всю имеющуюся сейчас функциональность. Он станет обрубком, которым тем не менее можно отправить сообщение. Как псевдо-автомобиль на деревянных колесах, именуемый обычно телегой. Так зачем? Что бы повыделываться и в последствии ставить убогий сайт в противопоставление другому нормальному, юзающему стандартных библиотек на метр весу? Т.е. потратить уйму времени на цель, не стоящую и ломанной копейки? И так всю жизнь. А потом по итогам будем плакаться в Фидо, как за 100 лет ничего не изменилось и никакого прогресса, хотя сами оказываемся противниками развития и сторонниками забивания гвоздей отверткой.
P.S.: А параноики что вообще забыли в социальных онлайн-сервисах?
Он станет обрубком, которым тем не менее можно отправить сообщение.В том и суть
Как псевдо-автомобиль на деревянных колесах, именуемый обычно телегой.Это лучше, чем без средства передвижения и без ног вообще ;)
Так зачем?Если из хабра сделать обрубок, то может и незачем. Но, повторюсь, хорошие, годные сайты делают так, чтобы они и без скриптов прекрасно работали (именно что прекрасно), и на хабре это совершенно не проблема: не станет он обрубком.
потратить уйму времениС хорошей, годной архитектурой хорошего, годного сайта никакой уймы времени не будет.
никакого прогрессаВеб — совершенно не то место, где нужен прогресс, но это тема для отдельного поста.
А параноики что вообще забыли в социальных онлайн-сервисах?А параноикам ничего не мешает находиться в них анонимно (кроме фингерпринтинга, хех)
Развернутые мысли не бывают анонимными. Параноикам лучше просто почитывать.
>> Но, повторюсь, хорошие, годные сайты
>> С хорошей, годной архитектурой хорошего, годного сайта никакой уймы времени не будет.
Где засилие этих крутых безскриптовых порталов, если это просто, быстро и удобно?
>> Веб — совершенно не то место, где нужен прогресс
Тогда извиняюсь за излишнюю беседу. Я не знал об этом.
>> Но, повторюсь, хорошие, годные сайты
>> С хорошей, годной архитектурой хорошего, годного сайта никакой уймы времени не будет.
Где засилие этих крутых безскриптовых порталов, если это просто, быстро и удобно?
>> Веб — совершенно не то место, где нужен прогресс
Тогда извиняюсь за излишнюю беседу. Я не знал об этом.
НЛО прилетело и опубликовало эту надпись здесь
Когда меню на скриптах, и при отключенных скриптах нельзя перейти по меню — это немного не вычисление очень нужных полей в таблице.
НЛО прилетело и опубликовало эту надпись здесь
Пора покидать землянки. Война еще в 45-ом кончилась.
НЛО прилетело и опубликовало эту надпись здесь
Ну, в общем-то такая программа давно есть и лежит в Google Play :D Пишу этот комментарий через неё))
Собственно половина GPlay забита программами для просмотра только одного веб-сайта, с возможностью поиска по этому сайту и комментированию его (а в некоторых и того нет).
«я делаю что то тайное, проследи за мной»
а использование тора и впс не говорит?
тогда уж лучше брать б\у ноут и идти искать не закрытые точки. плюсом накупить вайфай свистков.
НЛО прилетело и опубликовало эту надпись здесь
Разве там есть хоть один тест на куки/историю?
Да даже долбаный etag в инкогнито такой же как в обычном. Так что инкогнито только для пользователя, чтобы он у себя на компе не оставлял следов. А на серверах всегда оставит.
Этот режим никакого отношения к анонимности не имеет. Всё, что он делает — это создаёт при запуске временный пустой набор куки, кеш (а также localStorage, флешевых Shared Objects и прочих альтернатив кукам) и не ведёт историю. И всё, больше он ничего не делает, даже IP-адрес не меняет. По сути, это быстрая альтернатива созданию пустого профиля в браузере, который при закрытии всех окон инкогнито удаляется из памяти.
Практика смены браузера, чтобы сменить личность в интернете, является популярным советом от экспертов и специалистов по безопасности.Одни домохозяйки, посоветовали другим домохозяйкам, что бы те пользовались отдельным браузером. Внезапно, этот совет оказался не самым лучшим, потому что настоящие специалисты — всегда советовали, для полного инкогнито, создавать виртуалку со стандартными параметрами, или пользоваться для этого VPS. Но кто же слушает специалистов?
НЛО прилетело и опубликовало эту надпись здесь
Виртуалка или будет выбиваться своей низкой производительностью (без аппаратного ускорения), или будет успешно проходить сабж так же как и без виртуалки (с ускорением), а у VPS как минимум айпишник странный, да и WebGL возможно вообще не будет, что тоже слишком необычно, так что, подозреваю, всё это не поможет)
UPD: ох, очень долго комментарий модерировали, я за это время уже понял что глупость написал) Впрочем, если цель — не перестать быть уникальным, а не допустить связи с основной машиной, то может и пойдёт. Однако любой случайной связи (по стилю сообщений, например) всё равно может деанонимизировать всё и сразу
UPD: ох, очень долго комментарий модерировали, я за это время уже понял что глупость написал) Впрочем, если цель — не перестать быть уникальным, а не допустить связи с основной машиной, то может и пойдёт. Однако любой случайной связи (по стилю сообщений, например) всё равно может деанонимизировать всё и сразу
НЛО прилетело и опубликовало эту надпись здесь
Я так понимаю, все эти тонкие измерения возможны только при включенном джава-скрипте на стороне клиента. А это первое, что выключают параноики.
Сейчас многие сайты без джаваскрипта не работают вообще.
Сейчас многие сайты без джаваскрипта не работают вообще.
И это, именно те сайты, на которые, в первую очередь, забивают параноики. ;)
И правильно делают.
Информацию можно отдавать и без скриптов, статически.
И именно так ее и нужно отдавать — это просто, это удобно, это совместимо с большинством устройств (в т.ч. полностью автоматических, рассчитанных на длительную автономную работу).
Скрипты нужны для экономии трафика, для украшения, для рекламы, и для игрушек — ничего этого серьезным людям не нужно. А трафик можно экономить, просто обрезая всю графику, подгружая ее клиентом по запросу — это будет намного эффективнее скриптов.
Правда тогда веб превращается просто в странички текста.
Но именно это и нужно серьезным людям: текст — это информация в чистом виде.
Текст просто форматируется (сейчас вообще автоматически), выглядит прилично, хорошо жмется, мало весит на диске — идеальный формат для оффлайн хранения подборок, коллекций, статей, и т.п.
Плохо, что большинство сайтов тупо разучились отдавать статику.
А ведь в большинстве ситуаций могли бы и отдавать: большинство сайтов отдают информацию именно в виде текста, графика не более чем необязательное украшение, игры редкость, отдавать статику, если клиент отказывается от динамики, ничто не мешает.
Информацию можно отдавать и без скриптов, статически.
И именно так ее и нужно отдавать — это просто, это удобно, это совместимо с большинством устройств (в т.ч. полностью автоматических, рассчитанных на длительную автономную работу).
Скрипты нужны для экономии трафика, для украшения, для рекламы, и для игрушек — ничего этого серьезным людям не нужно. А трафик можно экономить, просто обрезая всю графику, подгружая ее клиентом по запросу — это будет намного эффективнее скриптов.
Правда тогда веб превращается просто в странички текста.
Но именно это и нужно серьезным людям: текст — это информация в чистом виде.
Текст просто форматируется (сейчас вообще автоматически), выглядит прилично, хорошо жмется, мало весит на диске — идеальный формат для оффлайн хранения подборок, коллекций, статей, и т.п.
Плохо, что большинство сайтов тупо разучились отдавать статику.
А ведь в большинстве ситуаций могли бы и отдавать: большинство сайтов отдают информацию именно в виде текста, графика не более чем необязательное украшение, игры редкость, отдавать статику, если клиент отказывается от динамики, ничто не мешает.
Всё очень просто. Сервера просто не справятся со статикой… это же на каждое действие пользователя необходимо будет перезагружать страничку. Вы пробовали измерить трафик в старом режиме, статичном? Так за 2-3 перегрузки страницы окупает один раз за сеанс скачаный мегабайт скриптов. Скрипты на клиенте — это так же снижение нагрузки на сервер! Даже если не изменяющиеся элементы в виде картинок и другой статики кешируются, то DOM страницы каждое действие пользователя необходимо будет передавать по сети, это забъёт все каналы к серверам при незначительной нагрузке на процессор сервера. Оно конечно хорошо для пользователя, но плохо для владельца сайта/сервера.
Сервера просто не справятся со статикой… это же на каждое действие пользователя необходимо будет перезагружать страничкуНикто не заставляет всем отдавать статику — у большинства скрипты все же включены, а у меньшинства получается просто нет доступа. Либо со скриптами, либо никак.
Ситуация тут та же, что и везде на рынке: жертвуют интересами меньшей части пользователей, ради погони за большей.
К сожалению, очень многие сайты не работают или сильно ограничивают функционал, без java скриптов.
Как правила параноики не играют в игры и не сидят в соц сетях. Они предпочитают "живое забвение" всяким там сетевым увлечениям. Но есть такие сайты, которые согласны откатится на IT-век назад и заплатить, чтобы даже параноикам на них было удобно.
На https://browserleaks.com/ можно провериться на раскрытие различных данных браузером. Если кто знает получше альтернативы — подкиньте.
Panopticlick это в основном просто обертка над Fingerprintjs2,
Browserleaks же показывает более подробно по пунктам, например:
https://browserleaks.com/canvas
https://browserleaks.com/webgl
https://browserleaks.com/fonts
Browserleaks же показывает более подробно по пунктам, например:
https://browserleaks.com/canvas
https://browserleaks.com/webgl
https://browserleaks.com/fonts
да, славная вещица. Проверился: один из 188,569. В первую очередь палево по плагинам браузера (собственно 188,569), хотя, казалось бы ничего особенного не ставил; всего лишь вдвое (и почему-то РОВНО вдвое) менее уникальны системные шрифты (один к 94284.5). Hash of canvas fingerprint на третьем месте, но это жалкие один к 739.49
Подскажите, как читать результаты? Чем больше бит, тем хуже, т.е. тем уникальней браузер? Если так, то у меня больше всего как раз от canvas и WebGL fingerprints (в сумме 15 бит).
Любопытно еще то, что у разных браузеров одно и тоже общее количество бит.
Любопытно еще то, что у разных браузеров одно и тоже общее количество бит.
Главное проблема/ограничение фингерпринта- он не работает на однотипных устройствах — например на iphone/ipad. Хотя все указанные в статье варианты мы не тестили.
У меня вопрос к экспертам: чем мой стандартнный Sony Vaio 91711 со стоковой Ubuntu 16.10 и Google Chrome отличается от другого такого же, стоящего в подвале? Исключая, конечно, MAC сетевых карт.
Если 2 ноута чисто распечатаны из коробки, на них установлена чистая убунту и хром, без единого плагина из репа — 2 машины будут идентичны и однозначно определить что на 2 сайта зашел один и тот же юзер невозможно. Но большинство юзеров ставит плагины (тот же адблок), шрифты и тд и тп (за что и цепляются спецы из статьи).
adblock — это расширение, а не плагин. Насколько я знаю, невозможно узнать список расширений из js запущенного на странице.
Многие сайты умеют определять, есть ли у вас блокировщик, вы и сами это наверняка видели. Нужно только проанализировать разницу списков разных блокировщиков, чтобы уметь более-менее точно идентифицировать конкретное расширение.
Есть способ проверки конкретных extensions, того же адблока. Раньше было совсем просто — сейчас легко нашел решение на stackoverflow, комменты от октября 16, и легко проверить.
В энтерпрайсе распространено использование однотипных машин с однотипными образами. Там все данные будет одинаковыми. Правда энтерпрайс и в интернет почти не ходит.
А каким образом используется камера? Замеряется время трансформаци тяжелого объекта? Вроде как оно в чистом виде не присутствует. Только как общая часть процесса.
техники CBF позволяют точно идентифицировать около 99,24% всех компьютеров.Что это значит? Просто определить модель компьютера? А толку от этого?
Это значит что зайдя на 2 разных сайта пользователь будет узнан как один. Даже в режиме инкогнито. В идеале даже из 2 разных браузеров. Применение — самое очевидное -при показе рекламы, когда это завязывается с профайлингом. Более простое — можно от мультирегистраций на сайте защищаться, можно мошенников, которые карты вбивают ворованные ловить)
Подавляющее большинство метрик из статьи это характеристики GPU. Ну хорошо, пусть кто-то знает, какая у меня видюха. Моя видюха (да хоть всё железо) + мой набор плагинов сафари (адблок) + мои шрифты (стандартные, естесственно) позволяют кому-то отличить мой макбук от чьего-то еще? О каких 99.24% идет речь?
Да позволяет. Мы делали фингерпринт — ставили на сайт, затем просто обрезали «типовые конфигурации», по которым набегало сильно больше чем 1 пользователь. Остальных уже мониторили — ловили дублирующие аккаунты. Человек всегда на чем-то, но «прокалывался».
Хотя цифра 99.24 % крайне сомнительна — интересно было б погонять полноценное решение)
Хотя цифра 99.24 % крайне сомнительна — интересно было б погонять полноценное решение)
Толк в том что если вы не использовали все хитрости указанные выше в коментах, то ваша модель компьютера с большой вероятностью уже сопоставлена с вашим номером паспортом. Я говорю про страны где это имплементировано.
Моя комбинация видеокарта+процессор встречается всюду. Как происходит шаг к номеру паспорта, вот что я не пойму. Давайте выкинем из статьи все альфа/каналы и скорости рендеринга, заменив на предполагаемое точное знание начинки компьютера. Останутся плагины/шрифты/разрешение экрана. Эта четверка с точностью 99%+ определяет пользователя? Чушь же.
Могу предположить, что скорость рендеринга и прочие параметры уникальны для конкретного экземпляра камня/видеокарты. Но там речь идет о величинах чуть ли не в пикосекунды, как они их фиксируют по сети, учитывая нестабильный пинг, для меня загадка.
Так ищут не конкретный камень/карту, а их комбинацию плюс некоторые настройки браузера. Охотно верю, что при таком раскладе можно выделить один компьютер из сотни. Извращенцы с виртуалками и чистыми ноутами тоже бывают, но их слишком мало, чтобы повлиять на статистику.
Это всё фиксируется на клиенте джаваскриптом.
Всякие пикосекунды хорошо считаются статистическими методами.
Установил я Whonix (2 виртуальные машины и TOR внутри), из под него зарегистрировался на 4pda — и модераторы опознали мультиаккаунт. Причем правильно опознали. Так что это работает.
НЛО прилетело и опубликовало эту надпись здесь
Вряд ли. Название основного аккаунта они угадали. А из той виртуалки я его не использовал.
Был я модератором. Есть такая практика, по речи узнавать. По всяким там привычкам. Даже если человек осознаёт, что по этим привычкам он может быть узнан и специально их подавляет, то он начинает создавать новую сущность, которую к следующей сессии может забыть. Короче говоря, всякие там клоны можно узнать либо по тому, что они сильно похожи на других людей. Либо они ооочень сильно не похожи ни на кого, да и вообще на людей (либо слишком хорошая память, либо слишком плохая).
Короче, пока что автоматических систем для определения клонов не придумали. Точнее придумали, но они не сравняться с реальными людьми, которые начинают "думать как приступник".
На втором же сообщении. Коротком. Вряд ли этого достаточно, чтобы 100% сопоставить новый аккаунт старому, замолчавшему месяц назад. (Забыл пароль, регистрировал на временную почту, которую тоже не помню).
Проще предположить, что, действительно, какие-то характеристики железа доступны из виртуалки и по ним возможен трекинг.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Сложность не в получении супер-уникального хеша, а в стабильности факторов. Если детектор ошибётся хотя бы в одной фиче, получится другой хеш и пользователь не будет распознан.
Согласно таблице в статье, фактор со 100% стабильностью — TimeZone. Скорее всего, он включен в хеш. Просто на втором браузере настраиваем рандомизацию при старте и всё)))
Другой весьма стабильный фактор — это Platform. Если я на одном Firefox настрою User-Agent Windows, а на другом — Linux, это гарантировано даст два разных пользователя.
Кроме того, математически некорректно считать параметры GPU независимыми и суммировать их энтропию.
Разные тесты, например Texture и Light, скорее всего либо одновременно дадут одинаковый результат у разных пользователей, либо одновременно разный. Поэтому, вместо внушительного списка в 100500 тестов GPU достаточного одного, наиболее показательного. Но ведь так не получится сделать внушительный список)))
Согласно таблице в статье, фактор со 100% стабильностью — TimeZone. Скорее всего, он включен в хеш. Просто на втором браузере настраиваем рандомизацию при старте и всё)))
Другой весьма стабильный фактор — это Platform. Если я на одном Firefox настрою User-Agent Windows, а на другом — Linux, это гарантировано даст два разных пользователя.
Кроме того, математически некорректно считать параметры GPU независимыми и суммировать их энтропию.
Разные тесты, например Texture и Light, скорее всего либо одновременно дадут одинаковый результат у разных пользователей, либо одновременно разный. Поэтому, вместо внушительного списка в 100500 тестов GPU достаточного одного, наиболее показательного. Но ведь так не получится сделать внушительный список)))
Принцип ооочень не нов и например используется в компьютерных онлайн-играх для определения игроков, ведущих несколько аккаунтов. Ради интереса и еще пары вещей как-то был администратором игровых серверов, там, по крайней мере, на тот момент таких хитростей в плане обработки 3d и прочего не было, но тоже кое-что сравнить можно было. В итоге, когда многие параметры совпадали, а какие-то например были наоборот строго противоположны, точность тоже была неплохой, на мой взгляд.
Старая статья Анонимности нет, смиритесь! в своё время заставила неслабо напрячься и поискать способы анонимизации. Но теперь прихожу к выводу что название статьи было правильным: к сожалению, не нашёл способа продуктивно работать в сети поддерживая должный уровень анонимности. Слишком много неудобств это создаёт и слишком много усилий требует. Готового бесплатного решения нет. В итоге действительно смирился: искать приходится через Гугл, залогинившись в свой профиль, рабочую переписку вести через gmail, дать доступ к контактам различным программам. В облако пока фотографии и личные документы не выгружаю, но похоже и с этим придется смирится, уж слишком это удобно.
Я тоже раньше «упарывался по анонимизации», но, в итоге, пришёл к следующим выводам:
— доводить свой «повседневный» браузер до полной анонимности — не вариант. Во-первых, его придётся обвешать массой дополнений, тюнинговать тонкие настройки… всё это, во-первых, превращает повседневный сёрфинг в лютый тормознутый и неудобный геморрой, а во-вторых, при обновлении до следующей версии браузера какие-то «тонкие настройки» переименуют, что-то добавят, так что это постоянная трата времени на борьбу с ветряными мельницами. И всё ради того, чтобы сайты не составляли мой рекламный профиль? Да ну, проще рекламу зарезать.
— если же анонимность нужна для дел, за которые может неиллюзорно прилететь реальный срок и реальные проблемы — эти дела нужно делать со специально заточенных под такое решений, например, того же Tor Browser, где даже при попытке изменить размер окна браузера вылезает совет этого не делать. И, конечно, создать «вторую личность», которая ничем не будет связана с той личностью, под которой производится ежедневный обычный сёрфинг в сети (вспоминаем тут, как вышли на Росса Ульбрихта).
— доводить свой «повседневный» браузер до полной анонимности — не вариант. Во-первых, его придётся обвешать массой дополнений, тюнинговать тонкие настройки… всё это, во-первых, превращает повседневный сёрфинг в лютый тормознутый и неудобный геморрой, а во-вторых, при обновлении до следующей версии браузера какие-то «тонкие настройки» переименуют, что-то добавят, так что это постоянная трата времени на борьбу с ветряными мельницами. И всё ради того, чтобы сайты не составляли мой рекламный профиль? Да ну, проще рекламу зарезать.
— если же анонимность нужна для дел, за которые может неиллюзорно прилететь реальный срок и реальные проблемы — эти дела нужно делать со специально заточенных под такое решений, например, того же Tor Browser, где даже при попытке изменить размер окна браузера вылезает совет этого не делать. И, конечно, создать «вторую личность», которая ничем не будет связана с той личностью, под которой производится ежедневный обычный сёрфинг в сети (вспоминаем тут, как вышли на Росса Ульбрихта).
Считаю, что опрос не совсем корректен. Например, я использую несколько браузеров, но это никак не связано с безопасностью. Так, для обычного серфа — vivaldi, для снятия скриншотов — FF итд итп
а что такое "вечные" куки?
Скрипты, которые устанавливают уникальный идентификатор во все, куда можно загрузить какие-либо данные, и восстанавливают этот идентификатор из всего, откуда он был удален.
Пожалуй, самый известный из подобных: evercookie.
Пожалуй, самый известный из подобных: evercookie.
НЛО прилетело и опубликовало эту надпись здесь
А как быть, например, с пользователями маков?
У них по идее у всех одинаковое железо в рамках одной модели, то есть по сути такой фингерпринтинг как описано в статье будет показывать одинаковые значения сразу для большого числа пользователей?
У них по идее у всех одинаковое железо в рамках одной модели, то есть по сути такой фингерпринтинг как описано в статье будет показывать одинаковые значения сразу для большого числа пользователей?
Софт у людей разный. Кто-то любит обоину покрасивее, кто-то любит экран потемнее. Это всё сказывается на миллисекундах работы всего компа.
Каким образом «красивость» обоев и уж тем более подсветка экрана может на производительности сказываться?
Даже если допустить что текущие запущенные программы могут как-то сказаться на этих тестах, они же не постоянно работают. Вот закрыл я какую-то программу — получается у меня «отпечаток» поменялся?
Даже если допустить что текущие запущенные программы могут как-то сказаться на этих тестах, они же не постоянно работают. Вот закрыл я какую-то программу — получается у меня «отпечаток» поменялся?
Вся эта борода должна исполняться на клиенте, полагаю что, тот кто сильно хочет быть аноном не допустит этого. В плане трекинга пользователей для показа рекламы да, годное средство, но как средство слежения, увы штука бесполезная.
99.24%? Internet Explorer с вами не согласен
В немецком журнале Ct, есть рубрика про процессоры и. т.д.
Так вот в последнем выпуске пишут, что например в intel процессорах последних поколений
разница в скорости вычислений до +-5%. На идентичных моделях.
Т.е. есть как-бы «ленивые» и «трудолюбивые» камни.
Выяснилось это на больших вычислительных кластерах укомплектованных идентичными серверами.
Вроде как одной из причин называют speedstep/turboboost с его большим количеством шагов и индивидуальностью систем охлаждения.
А если сюда добавить GPU и RAM то вполне может быть разница даже в 2 одинаковых устройствах только что из коробки.
Так вот в последнем выпуске пишут, что например в intel процессорах последних поколений
разница в скорости вычислений до +-5%. На идентичных моделях.
Т.е. есть как-бы «ленивые» и «трудолюбивые» камни.
Выяснилось это на больших вычислительных кластерах укомплектованных идентичными серверами.
Вроде как одной из причин называют speedstep/turboboost с его большим количеством шагов и индивидуальностью систем охлаждения.
А если сюда добавить GPU и RAM то вполне может быть разница даже в 2 одинаковых устройствах только что из коробки.
НЛО прилетело и опубликовало эту надпись здесь
Отреверсить те тесты которые собирают отпечаток и послать ответ на сервер. Но их могут обфусцировать и модифицировать довольно часто.
Или сэмулировать нужную реакцию ОС и железа. Правда для этого нужно сперва раздобыть образец, который вы собрались подделывать, а затем вооружиться заведомо более мощным и функциональным «железом».
Но если не нужно подделывать чьи-то конкретные отпечатки, то проще «затеряться в толпе» используя тор браузер и whonix, какой-нибудь.
Или сэмулировать нужную реакцию ОС и железа. Правда для этого нужно сперва раздобыть образец, который вы собрались подделывать, а затем вооружиться заведомо более мощным и функциональным «железом».
Но если не нужно подделывать чьи-то конкретные отпечатки, то проще «затеряться в толпе» используя тор браузер и whonix, какой-нибудь.
что-то не понял, только у меня одного одни и те же вычислительные задачи, равно как и задачи рендеринга, запущенные много раз, каждый раз дают разное время с небольшим разбросом? или есть какой-то эксклюзивный режим, полностью останавливающий все и вся ради идентификационного рендера? да даже и так получить одни и те же миллисекуды нереально. странно все это
Это все(шрифты/канвасы/разрешение/количество ядер и тд) давно уже эмулируется Random Agent Spoofer. В связке с Ublock(Desconnect) +PrivacySettings убирает почти все следы идентификации из браузера, остальные стучалки руками надо выключать.
Это всё конечно интересно, но если ты на сервере единственный юзер, у которого это всё отключено, то ты заметен как белая ворона. И даже если вас таких несколько, по оставшимся параметрам вы всё равно рискуете спалится.
ЗЫ: Random Agent Spoofer — по большей части не эмулирует, а отключает всё подряд.
ЗЫ: Random Agent Spoofer — по большей части не эмулирует, а отключает всё подряд.
И, в итоге, сёрфинг превращается в медленный геморрой с долгими попытками понять, какие же куки и скрипты нужно разрешить вот этому очередному сайту, а какие можно не разрешать.
Если уж вам нужно делать что-то, за что могут наступить реально неприятные последствия, то разумнее воспользоваться специализированными инструментами (Tor Browser тот же, где и доступ сайтов к canvas контролируется, и попытки пользователя изменить размер окна браузера пресекаются, и многое другое запатчено), чем пытаться изобрести велосипед, делая приватный браузер из браузера для «повседневного использования».
Если уж вам нужно делать что-то, за что могут наступить реально неприятные последствия, то разумнее воспользоваться специализированными инструментами (Tor Browser тот же, где и доступ сайтов к canvas контролируется, и попытки пользователя изменить размер окна браузера пресекаются, и многое другое запатчено), чем пытаться изобрести велосипед, делая приватный браузер из браузера для «повседневного использования».
А есть где-то открытые коды?
технология интересная
технология интересная
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Фингерпринтинг конкретного ПК с точностью 99,24%: не спасает даже смена браузера