За десять лет Facebook пережил достаточно скандалов и увидел, что люди обеспокоены этими манипуляциями. В прошлом году он даже заплатил штраф в размере пяти млрд долл. за «ложные заявления о способности потребителей контролировать конфиденциальность своих персональных данных». И всё же исследователи обнаружили, что Privacy Zuckering и другие теневые тактики живут и здравствуют в интернете, особенно в социальных сетях, где управление конфиденциальностью более запутанно, чем где-либо.
Ещё в 2010 году Facebook использовал трюк, когда позволил пользователям «отказаться» от сайтов партнеров платформы, собирающих их общедоступную информацию в соцсети. Все, кто отказывались, видели всплывающее окно с вопросом: «Вы уверены? Разрешение мгновенной персонализации даст вам больше возможностей при просмотре веб-страниц». До недавнего времени Facebook также предостерегал людей от отказа от распознавания лиц: «Если вы выключите распознавание лиц, мы не сможем применить эту технологию, когда незнакомец использует вашу фотографию, чтобы выдать себя за вас». Кнопка включения настройки яркая и синяя, а кнопка выключения — серая, менее цепляющая глаз.
Исследователи называют эти проектные и языковые решения «тёмными паттернами» (dark patterns), которые пытаются манипулировать вашим выбором. Instagram донимает вас «пожалуйста, включите уведомления» и не предоставляет возможности отказаться? Это тёмный паттерн. LinkedIn показывает вам часть сообщения в электронной почте, но заставляет посетить платформу, чтобы прочитать больше? Тоже он. Facebook перенаправляет на «выход из системы», когда вы пытаетесь деактивировать свой аккаунт? Снова тёмный паттерн.
Тёмные паттерны есть по всему интернету, они побуждают людей подписываться на информацию или услуги, приобретать товары. Колин Грей, исследователь взаимодействия человека и компьютера в Университете Пердью, изучает тёмные паттерны с 2015 года. Он и его команда выделили пять их основных типов:
— нытьё;
— препятствия;
— утаивание;
— вмешательство в интерфейс;
— принуждение.
Такие игры не ограничиваются социальными сетями. Они распространились по всему интернету, особенно после введения Общего регламента по защите персональных данных (General Data Protection Regulation, GDPR). С тех пор как GDPR вступил в силу в 2018 году, сайты обязаны запрашивать у людей согласие на сбор определённых типов данных. Но некоторые баннеры просто просят вас принять политику конфиденциальности — без возможности сказать «нет». «Некоторые исследования показали, что более 70% баннеров согласия в ЕС имеют какой-то тёмный паттерн, встроенный в них», — говорит Грей.
В прошлом году американские сенаторы Марк Уорнер и Деб Фишер внесли законопроект, который запретит подобные «манипулятивные пользовательские интерфейсы». Проблема в том, что становится очень трудно определить тёмный паттерн. «Любой дизайн имеет определённую степень убеждения», — говорит Виктор Йокко, автор книги «Дизайн для ума: семь психологических принципов убеждающего дизайна».
По своему определению дизайн побуждает использовать продукт каким-либо образом, что изначально не плохо. Плохо, если дизайн разрабатывается с целью обмануть.
Грей тоже столкнулся с трудностями разграничения тёмных паттернов и просто плохого дизайна. Он даже создал фреймворк определения последнего. Так, плохой дизайн лишает пользователя выбора и подталкивает его к тому решению, которое приносит пользу не ему, а компании. Дизайнеры используют такие стратегии, как искажение информации, торг и двуличность (реклама блокатора рекламы, который тоже содержит рекламу).
Грей приводит в пример приложение для смартфонов Trivia Crack, которое заставляет своих пользователей играть в другую игру каждые два-три часа. Такие спам-уведомления уже много лет используются социальными сетями для того, чтобы вызвать тот вид синдрома упущенной выгоды, который держит вас на крючке. «Мы знаем, что если мы дадим людям такие вещи, как свайп или обновление статуса, то с большей вероятностью люди вернутся, — говорит Йокко. — Это также может привести к компульсивному поведению».
Самые мрачные варианты развития событий возникают, когда люди пытаются покинуть эти платформы совсем. Попробуйте деактивировать свой аккаунт в Instagram, и вы обнаружите, что это чрезвычайно трудно. Во-первых, вы даже не можете сделать это приложении. В ПК-версии сайта эта настройка скрыта внутри «Edit Profile» и поставляется с серией вопросов: «Почему вы отключаетесь? Слишком отвлекает? Попробуйте отключить уведомления здесь. Просто нужен перерыв? Разлогиньтесь вместо того, чтобы уйти совсем»).
«Это создает препятствия на вашем пути, чтобы вам было труднее решиться», — говорит Натали Нахай, автор книги «Паутина влияния: психология онлайн-убеждения». Много лет назад, удалив свой аккаунт в Facebook, она обнаружила похожий набор манипулятивных тактик. Соцсеть показывала фотографии некоторых её близких друзей. «Они используют язык, который, по моему мнению, является принуждающим, — рассуждает Нахай. — Из-за него тебе психологически больно уходить».
Хуже того, говорит Грей, исследования показывают, что большинство людей даже не знают, что ими манипулируют.
Но согласно одному исследованию, «когда люди были заранее подготовлены к манипуляциям, вдвое больше пользователей могли распознать тёмные паттерны». По крайней мере, есть некоторая надежда, что большая осведомлённость может вернуть пользовательский контроль хотя бы частично.
https://roskomsvoboda.org/62913
потому что современный интернет это клоака продаванов и менеджеров по успешному менеджменту.
Геноцид любого говна имеющего отношение к рекламе и маркетингу решит эту проблему за полгода.
Как только за слово реклама начнут бить ногами, а слово маркетоло заместит в сознании слово "пидор", вы просто охуеете как станет проще жить.
> «вас обманом заставляют публично делиться большей информацией о себе, чем вы изначально намеревались»
Просто берешь и не пишешь свои реальные данные епт.
>А еще на эту парашу на сахарной горе можно не ходить.
Хуй там был. Они сейчас тречат уже едва ли не лучше гугла. Я тут эксперименты проводил некоторое время назад, так вот с чистой десятки из виртуалки идут запросы на фейсбуковские сервера. Хуй знает откуда, поймать исходный процесс не удалось. Никаких браузеров, само собой, запущено не было, просто оставил машину на пару часов постоять.
На всех сайтах уже стоит их код, так что тебя ведут даже если нет аккаунта. Достаточно один раз твоему мылу всплыть на ведре какого-нибудь пользователя, тебе сразу прилетает письмо с трекером. Если вдруг твой почтовик хотя бы чутка подгрузил данных с их серверов, то все, твой профиль готов, а к нему подтягивается многолетняя история капчевания. Зарегаешься ты и принесешь своих фоточек, или будешь "обходить стороной" - уже не важно. Ебаный цукерный гулаг ведет тебя с 2007-го года.
>Просто берешь и не пишешь свои реальные данные епт.
Пфф. Ты думаешь их твое ФИО интересует что ли? Бич, плес. Ценность составляет поведенческий профиль и экономическая деятельность. Все остальное, это мелкая побочная хуйня для спецслужб. Цукермаркетологам похуй как тебя зовут и как выглядит твое ебло, важна только точность идентификации цифрового профиля, перемещающегося между устройствами и окружениями.
Двачну, и вообще вся эта хуйня собирается в глобальных объемах, им не интересен каждый конкретный сыч, а интересны массивы информации, на основе которых можно составлять прогнозы, шатать рынок и придумывать тренды. Все это с единственной целью срубить побольше бабла
Вдогонку:
И кста гугель ваще ни всемогущ - как-то подставил себе внутренней подсетью, что роутер раздает, не обычный приватный диапазон, типа там 192.168.., а какую-то подсеть неких китаёз. Ну и обвешался адблоками в ассортименте.
Гуглоид мне пытался показывать рекламу на итальянском, английском и каком-то ещё языке.
С башкой подходите прост к приватности.
>С хера ли на всех?
Да много причин, начиная от всяких там "виджетов" "лойсните нашу статью" и заканчивая партнерками от социалок для вебмастеров. Разводят по всем фронтам.
>Захожу всегда с чистым браузером, без кук, кеша и прочего говна.
Уже лет пять профили лепят не по кукам.
>Да много причин, начиная от всяких там "виджетов"
Ну вот щас сайт леплю - ваще не вижу профитов говно такое туда лепить. Профита нет. И эта панелька, которая лет 10 назад была must have (у горе-веб мастеров), типа "понра? расшарь это свои друзяшкам в ОК/ВК/хуека" - щас встречается тока на сайтах динозаврах.
>лепят не по кукам
Ага, а по паре меток параметров твоего железа. Смешных очень - т.е. тока тех, что доступны браузерному JS. Типа размер экрана, разрешение и прочее.
Эта смешная хуйня рубится на раз, бро.
Мной даже комар ночью манипулирует, а все остальные и подавно.
мимо воспитанный женщинами русачок
> щас встречается тока на сайтах динозаврах.
Дивный манямир. А ссылки на "Наше сообщество в ФБ" тоже встречаются только на сайтах-динозаврах, братишка? Или вебмастера, ты считаешь, хостят эти кнопки на своих серверах?
>Смешных очень - т.е. тока тех, что доступны браузерному JS
Хуяссе ты отстал. Ну ок, пусть так. А вот если не гуглить, то что конкретно, по-твоему, доступно через js, братишка?
>пытаться распознать меня по IP.
Для выделения устойчивого профиля достаточно ип+недельного анализа SNI. Если еще есть доступ к твоим более-менее содержательным постам, то и ип не нужен, все твои аккаунты найдут тупо по лингвистике. Хотя это уже из другой оперы, да.
>Или человеку, чья молодость пришлась на время, когда комплюхтеров не было в помине?
Этим как раз легче. Наоборот, те, кто рос с компами, подходят к вопросам приватности намного более безответственно. Хотя почему-то и считают себя более прошаренными. Типичный избыток самомнения всех молодых.
>лолблядь
А что юзать? Открытый код от никому ничем не обязанного сброда, в который любой мимикрок ведущий разработчик может на два года случайно вставить код, убивающий рандом функции генерации ключей и после этого не только работу не потерять но даже пойти на повышение? Нет уж, спасибо!
>"Наше сообщество в ФБ"
Из той же оперы. Новостные сайты, развлекаловка уровня пекабу и прочий шлак пользует это говно. Специализированные сайты, ориентированные на другой контент редко ставят эту и подобную хуету.
Но да это неважно, так как всё что во власти веб-мастера обычного (не уровня новостника с 10 миллионами хостов в сутки) сайта - это поставить их стандартный фрейм. И таким же простым образом его вырезает почти любой ад-блок.
>хостят эти кнопки на своих серверах
Как это работает я знаю с момента появления всей этой хуерги - так как тогда уже имел и комп, и инет. И уже изучал веб-дев. Подозреваю что ты тогда под стол пешком ходил.
>вот если не гуглить, то что конкретно
Я не гуглю, знаток ты мой комнатный (небось окончил курсы "Фронтенд за три дня от Вани Суходрюкова"?), я читаю спецификации ECMA и блоги разработчиков на нативном инглише.
Мож ты меня удивишь, поделишься тайным знанием?
>Новостные сайты, развлекаловка уровня пекабу и прочий шлак пользует это говно.
90% интернета. Все ойтишные издания, которые такая "веб-дев" илита как ты стопроцентно почитывает или хотя бы заходит время от времени с поиска. Давай, спиздани мне тут что за прошедший год ты на хабр ни разу не заходил.
> И таким же простым образом его вырезает почти любой ад-блок.
Почти любой, почти вырезает. В обмен на то, что ты дважды в сутки скачиваешь обновленные листы с его сервера, откуда данные за долю малую утекают в тот же ФБ.
> Как это работает я знаю с момента появления всей этой хуерги - так как тогда уже имел и комп, и инет. И уже изучал веб-дев. Подозреваю что ты тогда под стол пешком ходил.
Я же сказал - охуевшее самомнение самопровозглашенной ойти-илитки не знает границ в своем охуевании.
> Я не гуглю, знаток ты мой комнатный (небось окончил курсы "Фронтенд за три дня от Вани Суходрюкова"?), я читаю спецификации ECMA и блоги разработчиков на нативном инглише.
Я и пишу на нативном инглише. Шах и мат, мудило.
> Мож ты меня удивишь, поделишься тайным знанием?
Может и удивлю, но не раньше чем ты перестанешь кукарекать и не подглядывая в гугл перечислишь мне тут, что конкретно, по-твоему, можно утянуть через JS. Ну хотя бы две-три самые стремные, на твой взгляд, позиции. Хватит время тянуть, отвечай.
> Недельный анализ ты на каких мощщах каждому крокодилу то будешь делать?
Ты ведь не знаешь что такое SNI, да? Иначе о каких мощщах вообще речь? Любой региональный пров вытащит. Это не DPI, дебич.
> А главное что ты оттуда вытащишь, технологичный ты мой?
Ты просишь рассказать тебе, что за инфа содержится в SNI?
>>8215655
>И вдогонку: ты этот анализ из разных точек собрался делать? Или из одной?
Точек чего? Алисы или Евы? Если Алисы, то ты бред спрашиваешь, потому что ип один по условию задачи. Если Евы, то ты бред спрашиваешь, потому что ип один по условию задачи.
>Если последнее - то причем тут цукерсеть и прочие такие конторы?
Про проекты алфавита и цукера о бесплатном интернете каждому в любой точке земного шара такая илита как ты, конечно же, ничего не слышала? Точку в двести лямов публичных вайфуев вроде уже прошли, к 2025-му обещают миллиард. И это я еще недоговариваю всякое, т.к. жду сначала твоего ответа по JS. Все веселье еще впереди, мань.
>>8215678
>А вот этот прав.
А это я же и написал, кек.
Какой ты забавный! Но самое приятное что упорный. Это хорошо, а то в последнее время скучновато тут.
>на хабр ни разу не заходил
Заходил канеш. Как видишь сайт даже после нацеливания на международную аудиторию довольствуется скромным цукер-пикселем, как везде. Видимо недостаточно ещё посещаемы.
>дважды в сутки скачиваешь обновленные листы
Ага, то то вижу что если неделю не серфил - улетает исходящими совсем ничего, а если серфил - то аж десять мегабайт сжатых данных. Отчет Марку - где ходил, чо делал.
Ебать ты дурачок. Акулой то пошаркай чо и куда улетает. И это я про простые адблоки. Когда садишься за серьёзный серф - просто отсекаешь по сторонним доменам, дурик. Учись гигиене цифровой.
>Я и пишу на нативном инглише
Мож на него и перейдешь - а то на русском у тебя слабовато получается.
>не знаешь что такое SNI
>Иначе о каких мощщах вообще речь?
>Любой региональный пров
>в разговоре про слежку на стороне сервера
no comments
Хотя до сих пор горю желанием понять что таки ты вытянешь на принимающей стороне, вооружившись списком всех моих DNS-разрешенных запросов?
>ип один по условию задачи
Именно что один. И если твой цукер-пиксель мы не дергаем - как ты узнаешь его, а?
>Про проекты алфавита и цукера о бесплатном интернете каждому в любой точке земного шара
Давай говорить про апельсины с теми кто их ел. Или будет есть. Вот когда начнётся эпоха глобальных провов - тогда и поговорим. А пока это из разряда "очень клёво бы".
Вон тебе в пример ситуация с AWS - кажется всё сожрали, дальше некуда, 6 из 10 глобальных сервисов на их мощщах... и тут опа - AliBaba Cloud предлагает схожие ценовые условия (и тот самый год тож бесплатно). И вот уже на рынке облачном появляется Китай. И народ пошёл - хуй ли бы не, если сервера хоть в Ухане, хоть в Лондоне.
>Третий раз уже тупо игнорируешь вопрос
Извини, ты такой многословный, прям как я - редкость на дваче. Лови, детектируй, мож прямо щас страничку запилить - я зайду, расскажешь чо узнал про мой комп.
Давай от первоисточников, так сказать?
https://www.w3.org/TR/?tag=webapi (отфильтровал по тегу, чтоб тебе полегче было)
Ну чо ещё кинуть? Ну давай вот ещё:
https://developer.mozilla.org/ru/docs/Web/API
Можешь ещё на IETF сходить, но вряд ли ты там встретишь что-то, чего здесь нет.
Итак, что же ты обо мне узнаешь? Камеру? Микрофон? Payment Requests? Media Capabilities?
Вот хотя бы какую-нить серебряную пулю хотелось бы, что позволит отличить один браузер "искаропки", со свежесгенеренным clientId, густо политый адблоками и законекченный через самый обычный прокси. Мммм?
И это начальный уровень. И да, мы тут не говорим что знает пров (он много знает). Но цукер пока не пров (когда будет - приходите).
> Давай от первоисточников, так сказать?
Нет, мань, давай-ка своими словами. Твои подачки уровня "в гугле все есть" мне нахуй не сдались. У меня в этом разговоре нет иного удовольствия кроме как макнуть дерзкого зумера башкой в его же собственное говно, а своими беспредметными ссылками на спецификации ты лишаешь меня единственной мотивации тратить время на этот итт и уж тем более раздавать знание.
> Вот хотя бы какую-нить серебряную пулю хотелось бы, что позволит отличить один браузер "искаропки", со свежесгенеренным clientId, густо политый адблоками и законекченный через самый обычный прокси. Мммм?
За подобную информацию у тебя жопы не хватит расплатиться. Но ты не переживай. Даже общеизвестных (всем кроме тебя, видимо) техник хватит для того, чтобы вся эта залупа окупилась теплом твоего горящего очага. Давай только поживее, блядь, семь часов уже.
Ну вот ты уже осторожненько, аккуратненько так, начинаешь сдавать назад. Остановись! Мне тока-тока стало интересно, а ты уже.
>дерзкого зумера
За это спасибо, не чувствую себя стариком и приятно когда другие также считают. )
>беспредметными ссылками на спецификации
Проорал тут, реально. Это как если бы ты спросил меня "Ну вот докажи мне предметно что этот жигуль не выдержит залпа из 30-мм орудия и не тряси передо мной спецификациями". Хотя в этих спецификациях изложено всё что может этот жигуль.
Я тебе выкатил список ВСЕХ API что поддерживает (в идеале) современный браузер. Что он может узнать о хосте клиента.
Мне что тебе найти? Технологию, которая доказывает что я не прав? Но тут ни одна из технологий этого не доказывает. Вот весь этот список - ни разу не даёт однозначной идентификации клиента.
>Но ты не переживай. Даже общеизвестных (всем кроме тебя, видимо) техник хватит для того, чтобы вся эта залупа окупилась теплом
Чет пока не окупается, у меня даже кофе остыл. Поддай ка интриги!
Ну ебаный врот!
Сходил чаю попил, покурил. Думаю что щас вернусь - а тут покровы сорваны, я эпически унижен, а тут сидит не обычный харкачер, а теневой гуру сетевых технологий.
Хуя там, это же двач. И мне тут опять втирают что я сам должен накопать контраргументов против себя же!
>Ну хотя бы две-три самые стремные, на твой взгляд
Ты что, блэт, из Непала? Ну в смысле что папка и мамка твои оттудова?
Я ж тебе повторяю - нет тут хотя бы мало мальски стремных технологий. На мой взгляд.
Если ты их видишь - предъяви и разойдемся. Если тока потрещать - то увы, мне уже пора.
Эти нехорошие люди собирают и хранят профили на все, что могут, идентифицируют каждый профиль по инфе что есть (анонимная или нет не важно), потом при поступлении новой инфы по возможности объединяют. Так же отслеживают все связи с профилями других людей.
Зарегался я в фейсбуке под фейковым именем, а он мне подсовывает контакты, как "возможно вы их знаете". И я их знаю, точнее 2х из них. Один - из моей записной книжки со старого смартфона с той же симкой. Видимо там стояло приложение фейсбучное, и он связал тот профиль с текущим по неизменившимуся телефонному номеру (я регался с телефона).
А часть контактов - из нишевого универа, где я учился 6 лет назад, они не связаны с первым контактом. Одного знал лично. Как цукерберг об этом узнал, сука. С тех пор все поменялось: мобильник, телефоны, окружение, ип-адреса. По какой-то цепочке фейсбук связал все эти профили.
Могу в чем-то ошибаться, давно было, но от слежки практически не уйти - надо очень сильно заморачиваться, и все равно негарантировано. Один раз проебешься и вот весь новый профиль связан со старыми.
Решать проблему реалистично только административно - принятием законов о запрете такой слежки и набутыливанием цукерберков.
>Видимо там стояло приложение фейсбучное, и он связал тот профиль с текущим по неизменившимуся телефонному номеру
Хотя на том смартфоне я в фейсбуке не регался. То есть если в смартфоне установлен клиент пейсбука - это уже профиль на сверверах пейсбука, в который передается все что удастся.
> нет тут хотя бы мало мальски стремных технологий. На мой взгляд.
> я эпически унижен
Как тебя можно эпически унизить после того как ты всю спеку не глядя занес в "неопасные"? Мне, получается, теперь надо не удивлять тебя "скрытыми" возможностями повышения качества фингерпринта через JS, что я изначально планировал делать, а доказывать возможность фингерпринта как таковую, т.к. ты, очевидно, отрицаешь ее в принципе для всего набора лежащих на поверхности спеки метрик, отличных от упомянутого clientId. Это совсем не то удовольствие, которое я планировал получить от этого итт.
Оспади, всплыл то как поздно. После работы что ли отсыпался? Не везёт же некоторым.
>Ну хотя бы две-три самые стремные
>как ты всю спеку не глядя занес в "неопасные"
Ты или прикидываешься или очень не любишь признавать свою неправоту.
Давай ещё раз по пунктикам:
1. Есть ли возможность фингерпринтинга, выходящего за рамки традиционного подхода "сохранить метку на клиенте - считать метку"? Есть.
2. Этот фингерпринтинг опирается на тестирование аппаратных возможностей клиента? Опирается.
3. Этот фингерпринтинг опирается на идентификацию оборудования клиента как таковую или просто перечисляет его, описывая его базовые возможности через API? Второе.
4. Есть ли возможность через API выйти из "песочницы безопасности" и дергать методы другого API, вне контура безопасности браузера (Flash 2000-х, привет!), что позволит нам перечислить оборудование? Нет. Такой вектор намечается? На данный момент нет. (август 2020)
4. Клиенту предоставлена возможность ответить на запросы через API браузера по части доступа к оборудованию? Да. Возможно определить шаблон ответа? Да. (август 2020, основные браузерные движки)
5. Интерфейсы на основное взаимодействие с оборудованием клиента унифицированы, нет ли каких подводных камней? Нет. Их легко распознать и вырезать? Да. (август 2020)
6. Планируется ли ввести дополнительные способы упаковки скриптов и вообще изменить подход к получению клиентов скриптового кода (байт-код, двоичная упаковка и т.п.)? Разговорчики ведутся, но ведутся уже много много лет.
(*нас данная ботва интересует с целью обойти единую точку входа, через которую дернем оборудование).
>Это совсем не то удовольствие
Вот тут ты верно подметил. Я не подаю праздношатающимся около-IT-шным троллям. Тем более сегодня не суббота.
Ты прям как путана, которая работала на обычном этаже и которую из-за болезни товарки с "элитного" перевели туда на "подменить". И вот она тянет время, боясь что клиент поймёт подмену: "А сходи в душ!", "А давай выберем гондоны!" - и всё не раздевается.
>у тебя жопы не хватит расплатиться
>Даже общеизвестных (всем кроме тебя, видимо) техник хватит
>Мне, получается, теперь надо не удивлять тебя
>что я изначально планировал делать
И всё мнешься, как девочка-целочка.
Вот тебе стенд (можешь дополнить как хочешь, тока чтобы смысл сохранить):
1. У хитрого Джека два браузера - в основной ОС и в виртуалке. И usb-камера, которая в виртуалку также проброшена. И заблочен доступ к ней средствами браузера.
2. Перед началом серфа в виртуалке Джек раскатывает текущий релиз своего любимого браузера (неважно какого, этакий эталонный, поддерживающий все текущие спеки). Добавляет туда обычный link-файрволл, с одним правилом - отсекать все внешние ресурсы, исключая домены верхнего уровня посещаемого домена.
3.Экран виртуалки он приводит к какому-нить распространенному разрешению ноутов.
4. Виртуалка ессно через проксю с базовыми плюхами: DNS региона и языка ОСи совпадают, тайм-зона и прочее баловство.
Ты веб-мастер обычного сайта, т.е. тебе доступны те инструменты, что дяди цукеры дают обычным вебмастерам. Твоя задача сделать так, чтобы:
1. Ты узнал что человек, что беседовал в твоей комнате в текстовом эро-чате (с блокированным к медиа-устройствам доступом) с одноногим карликом и чел, что смотрел по видеочату на прелести грудастой блондинки - тот самый хитрый Джек.
2. И чтобы об этом узнал дядя цукер.
Интересует больше задача №2, так как ты "обычный вебмастер" и уровень твоего изъеба должен вписываться в минимальный бюджет.
Хуйня твоя защита. И вы все не говорите про мобилки. А лучшая защита простая: надо просто интернетом не пользоваться и все. Ноги не нужны. Чад без ног с личной жизнью много успешнее задрота с проксями, виртуалками, перепрошитой под рутом мобилкой и без личной жизни, которую он так боится показать пейсбуку.
>Ты прям как путана, которая работала на обычном этаже и которую из-за болезни товарки с "элитного" перевели туда на "подменить". И вот она тянет время, боясь что клиент поймёт подмену: "А сходи в душ!", "А давай выберем гондоны!" - и всё не раздевается.
>
>>у тебя жопы не хватит расплатиться
>>Даже общеизвестных (всем кроме тебя, видимо) техник хватит
>>Мне, получается, теперь надо не удивлять тебя
>>что я изначально планировал делать
>
>И всё мнешься, как девочка-целочка.
Мое поведение очень просто объяснить: ты начинал со спасения от трекеров через "Заход всегда с чистым браузером, без кук, кеша и прочего говна.", затем вильнул в "по паре меток параметров твоего железа. Смешных очень - т.е. тока тех, что доступны браузерному JS. Эта смешная хуйня рубится на раз", дерзко кукарекнул "из-за этого всё что остается несчастным поисковикам - пытаться распознать меня по IP", после чего, почуяв неладное, вильнул в скидывание мне спек, мол, там все есть. Но вопрос-то уже был подменен! С посыла "чистим куки, кеш и clientID и тогда нас не узнают" ты откатился до "почти все можно, да, я и не против, но ты все равно попробуй удиви меня". Ну раз отпечатки машины через js снимать можно (не смотря на "очистку кук, кеша и прочего говна"), значит и конфликта мнений нет.
> Ты или прикидываешься или очень не любишь признавать свою неправоту.
На мое настроение в некоторой степени повлияли твой постоянный откат мнения по вопросу вставляемых трекеров (от "нигде нихуя нет" прошли в "только в говносайтах из 2007-го", а после тычка носом спаслись в "адблок один хуй вырежет"), провальные попытки выебнуться в ветке про анализ SNI, вскрывшие твое полное непонимание предмета разговора, ну и постоянное высокомерное хамство. Глупо, конечно, обижаться на анонимов за долбоебизм и хамство, но не мене глупо после таких номеров ждать от оскорбленных анонов серьезных ответов и предъявлять им за отсутствие должного внимания к твоей ламерской персоне.
По существу представленных примеров может быть позже отвечу, сейчас на работу пора, володин не любит когда мы опаздываем.
>>8215624
>в каком, говоришь, дистре случайно и втайне вставляют тот или иной код в систему?
В любом. И "случайно" там в кавычках. Официальная отмаза такая, да, что "случайно" на два года ослабили рандом в генераторе ключей. Ну кто-то наверное в это верит (все пидоры гну-треда, например). Описан конкретный случай из дебиана.
Разочарован. Разочарован как в ситуации, когда в ролике стримерша всячески теребит маечку, то приподнимая её, то опуская, всячески демонстрируя что таки сиськи рано или поздно будут, но по прошествии 10 минут эти надежды гаснут.
Вот честно тебе скажу - вся надежда на твоё
>может быть позже отвечу
Реально думал что тут залетный гуру, который периодически пописывает статеи на том же Хабре или хотя бы выходит там же из read-only, чтобы написать дельный пост в коммах.
Вот зачем ты начал это вот передергивание уровня "а твой первый пример был вот, а второй был уже с более жесткими условиями"?
С тобой шло общение как с человеком в теме, где тебе внятно и по пунктам разжевывали текущий ситуэйшн в расстановке "браузер-API-клиент", по пунктам разжевывая что текущий фокус "оцениваем возможности, не фиксируем аппаратные фичи" - это основной вектор, который пока и не думают менять.
Ты кукарекал про некую инфу, которая это вот прям щас опрокинет эту сцену. Но молчал про конкретику.
Тебе привели 6 аспектов текущего подхода. Ты объехал. Зацепился за ситуацию про "чистый клиент". Тем самым показав что больше того же набора, что даёт современный API браузера ты нихера не знаешь.
Я очень надеюсь что ты не ученый/преподаватель/физик-ядерщик. Потому что с принятием на веру такой вероятности в идентификации клиентов ты реально спец уровня тяп-ляп.
Оказывается наша маня всё это время и держала в ручонках те самые "у тебя жопы не хватит расплатиться" знания о современном API.
Ну бля вот у меня 100 компов в офисе, без любых медиа-устройств (да, так бывает, когда ты за МКАД-ом). Давай, идентифицируй.
Про SNI ты опять упорствуешь. Также уходя от ответа как ты его, блять, реализуешь.
Маня, давай ка выходи уже из тени - патамуш когда человек изображает из себя около-IT-знатока или является настоящим IT-шником, но просто учившимся на тройки - это многое проясняет.
Таки хотелось комментов по предъявленным 6 пунктам и таки ответа по стенду.
P.S. На вазелин от Володина скину, карту тока укажи. И да, хамство - это норм на дваче, нахамив крокодилу здесь, я мож завтра спасу от от разноса нечастную юзершу.
Спасибо, Абу!
>Ну раз отпечатки машины через js снимать можно (не смотря на "очистку кук, кеша и прочего говна"), значит и конфликта мнений нет.
Ну раз отключив web-камеру, ты становишься другим человеком - то конфликта мнений наверное тоже нет.
Ох блять, куда катится этот мир.
>1. Есть ли возможность фингерпринтинга, выходящего за рамки традиционного подхода "сохранить метку на клиенте - считать метку"? Есть.
Да. Повторюсь: изначальный разговор потерял любой смысл после вот этого, уже прозвучавшего ранее переобувания по существу вопроса.
> 2. Этот фингерпринтинг опирается на тестирование аппаратных возможностей клиента? Опирается.
Да, в т.ч.
> 3. Этот фингерпринтинг опирается на идентификацию оборудования клиента как таковую или просто перечисляет его, описывая его базовые возможности через API? Второе.
Не понял. Что значит "идентификация оборудования как таковая", какова дихотомия между этой "идентификацией как таковой" и "перечислением оборудования с описанием базовых возможностей" и какое она имеет значение в контексте разговора?
> 4. Есть ли возможность через API выйти из "песочницы безопасности" и дергать методы другого API, вне контура безопасности браузера (Flash 2000-х, привет!), что позволит нам перечислить оборудование? Нет.
Во-первых, что именно ты имеешь ввиду под песочницей безопасности? Конкретную мазилохромовские реализации или некий абстрактный контур браузерных апи? Если так, то где ты провел границы этого контура? Что значит "другое" апи? Ну буквально первое попавшееся: активх это еще "то апи" или уже "другое"?
Во-вторых, самое главное: условные 90% данных для отпечатков - это открытые данные, зачастую даже необходимые для функционирования программно-аппаратного комплекса (плюс поведенческие особенности оператора). Все эти разговоры про "безопасные песочницы" малополезны, т.к. слепок по какому-то особенному железу - лишь доля малая (да, собсна, стандартного набора разрешения, юзер-агента блаблабла в связке с точкой выхода в инет уже достаточно для good enough-идентификации, если че). Я изначально-то как раз хотел поговорить про оставшиеся условные 10%, где некоторыми, весьма вероятно подцукеренными агрегаторами используются интересные техники для съема данных, от осознания утечки которых ты будешь дико орать, но чет теперь даже хуй тебе.
> Такой вектор намечается? На данный момент нет. (август 2020)
В связи с расплывчатостью форумировок сложно однозначно прокомментировать непосредственно возможность "обратиться к другому АПИ", но в любом случае есть группа техник, взаимодействующая не с апи как таковыми. Например, JS позволяет лепить L7-запросы. SOP обходится (причем я отдельно подчеркну, что речь даже не о регулярно всплывающих багах в его реализации, а о родовых травмах фатальных недостатках архитектуры, которые сейчас роняя кал пытаются исправлять новыми костылями). И хотя сумма этих пунктов обычно используется для целей отличных от фингерпринта, он тоже возможен и даже встречается ирл.
> 4. Клиенту предоставлена возможность ответить на запросы через API браузера по части доступа к оборудованию? Да. Возможно определить шаблон ответа? Да. (август 2020, основные браузерные движки)
Ну и ладушки, см. п.1.
> 5. Интерфейсы на основное взаимодействие с оборудованием клиента унифицированы, нет ли каких подводных камней? Нет.
Какие подводных камней? Опять всеобъемлюще абстрактных? Тогда ты ошибаешься, камни есть.
> Их легко распознать и вырезать? Да. (август 2020)
Не знаю что ты собираешься вырезать (опять ифреймы?), ты главного не понимаешь: фингерпринт - это больше чем просто функция от фиксированного набора данных из браузера. Ты сводишь ФП к единому и ЕДИНСТВЕННОМУ значению, которое почему-то решил брать именно из браузера (через апи) и именно через "анализ" железа, в то время как реальный профиль (а еще точнее - их множество, которое по мере возможности перелинковывается) складывается нечеткой логикой по множеству таких маленьких "хешей". Даже у оператора, имеющего доступ только в л7 (вебмастера, передающие данные агрегаторам), этих условных хешей на тебя будет вагон и маленькая тележка (конечно, речь не реальных значениях, а о доступе к данным, который (доступ) этот вебмастер великодушно делегирует агрегатору), а ведь есть еще л3/4, которые очевидно доступны цукерам. С внедрением смартов сюда добавились л1/2, которые много лет сливали о себе вообще нахуй все и только где-то ближе к концу того года пошло движение в сторону зачистки этой вольницы (однако, зачистки для левых Ев, а не для цукеров/алфавитов; эти ребята не то что продолжают тречить л1/2 как ни в чем не бывало, наоборот, своими техниками "повышения приватности пользователей" они дали возможность СЕБЕ еще точнее таргетировать пользовательский оконечник). Так что все не так однозначно. Да, можно многое вырезать, но либо это будут мертвому припарки (как в случае с зачисткой только на уровне л7), либо ты останешься вообще без ничего, в пределе - даже без соединения. Ты когда-нибудь видел браузер с отключенным вообще нахуй всем? Задушены все политики, отключены все обвесы, включая вебгл, отсутствует хтмл5, новый css, отключен старый но еще живой активх, заблокирована мышка (!), вырезаны все заголовки кроме необходимого минимума? А сколько по-твоему клиентов ходят с вычещенными заголовками? Да, все верно: вычещенные заголовки - это огромный такой маркер в наборе признаков цифрового профиля. Короче, хуйня это все. "Вырезавший все" сыч только помогает выделить себя из толпы. Плюс, замечу про перспективу: уже в 2010-м было практически невозможно пользоваться инетом без JS. Но тогда это все-таки считалось дурным тоном и непрофессионализмом вебмастера, лепить сайт, который не работает без JS. Сейчас без JS пользователь сосет легитимно, никто и не ропщет даже. Алфавит всех научил уму-разуму. То же и про л1/2: когда-то мабилы умели выключать всю сетевую активность, теперь же добрая часть отправляет маяки даже когда пользователь выключил сеть в интерфейсе. А батарейку-то, как в бумере, уже и не вынуть.
> 6. Планируется ли ввести дополнительные способы упаковки скриптов и вообще изменить подход к получению клиентов скриптового кода (байт-код, двоичная упаковка и т.п.)? Разговорчики ведутся, но ведутся уже много много лет.
(*нас данная ботва интересует с целью обойти единую точку входа, через которую дернем оборудование).
Не понимаю, как подобные нюансы доставки (байткод, пакеры, етц) релевантны разговору. Поясни, если необходимо.
> Я не подаю праздношатающимся около-IT-шным троллям.
Братишка, ты сам нищий, куда тебе подавать...
>>8221934
>Ты веб-мастер обычного сайта, т.е. тебе доступны те инструменты, что дяди цукеры дают обычным вебмастерам. Твоя задача сделать так, чтобы:
А при чем тут вообще вебмастера прямо сейчас? Я же говорю, ты слишком узко смотришь на вопрос (очевидно, сказывается твоя фронтэндерская ориентация :3). Вебмастер не знает ни о каком Джеке, вебмастер не высчитывает никаких "хешей", не делает ФП. Вебмастер просто предоставляет цукеру еще один фид о неком цифровом профиле. Не передает собранные данные, а предоставляет цукеру доступ к клиенту так, чтобы тот сам имел право собирать. На этапе же взаимодействия пользователя с сайтом это даже не цифровой профиль еще, это просто инфа о хите. Вебмастер "слил" (позволил хотлинк) цукеру raw-инфу о хите, цукер уже у себя там сам сопоставляет хит с неким профилем в своей базе (и да, кэнт стресс ит инаф: "хит" - это не просто инфа о ГЕТе, это подгрузка интересного скрипта, собирающего всякое, а если и не скрипта, то хотя бы запрос к цукеровскому оконечнику, а не к вебмастеровскому; это должно быть очевидно, но для тебя уточняю отдельно). Тех, кто блочит цукеров от слова совсем, цукеры добирают через агрегаторов (не вебмастеров): типа, посмотрел рекламку на дваче, через день всех твои хиты в базах цукеров, хотя у тебя весь ДЦ ФБ наглухо закрыт на выходе из квартиры. Короче, либо поясняй релевантность этого примера, либо не твоя армия и помогать решать вопрос идентификации твоих друганов в пидорских вебкамах я не стану.
>>8223923
>Ну раз отключив web-камеру, ты становишься другим человеком - то конфликта мнений наверное тоже нет.
Нет, не становишься. Кто такое сказал?
>Ох блять, куда катится этот мир.
Куда, куда... в жопу технофашизма, в котором меньшинство самовлюбленных, вооруженных адблоком шваброблядей, которые цифровой пизды даже не нюхали, своим воинствующим невежеством позволяют взрослым дядям ставить раком "серое" большинство "этих жалких гуманитариев".
Ого, как наш начитавшийся хабров товарищ разорился! Ну что ж, хоть и с пьяной головы (сорян, бухал), но надо ответить. Но тут уже я коротенько.
>переобувания по существу
Ему про то что ориентировка "человек в красной майке и с айфоном в руке" против "кавказец с седыми волосами" это разные вещи, но ты уже пять серий не догоняешь.
Пока не погрузимся на уровни ниже 7-го (ты достал некую конкретику, уже хорошо, правда немножечко уже известную), давай ка на уровне браузера, а потом на уровне браузера+расширения.
Мы будем усложнять ситуацию клиента, при этом оставляя серверную сторону (и уровень её контроля) на том уровне, что я описал ранее. Ну и смотреть что из этого выйдет.
Но чтобы воду не лить, давай так - ты за веб-мастера просто пишешь внизу по каждой ситуации.
1) Итак, у нас некий эталонный браузер со всеми современными API и без расширений.
Его даже в качестве примера брать не надо - недавно был лично раскатан учебный класс на неттопах, а из за обилия преподов на хост ОС были раскатаны со всем софтом (установленным вплоть до формирования профилей) из образов.
Определишь где преподаватель Маша, а где Гриша, при условии что те же куки, история и Store DB зачищаются?
Что задействуешь, чтобы отличить? Что поставишь от цукера/любой другой конторы (из стандартного предлагаемого)?
2) У нас браузер с расширениями. Тут у тебя вопросики:
>что именно ты имеешь ввиду под песочницей безопасности
Механику взаимодействия расширения с: браузером, скриптами хоста, хостом, друг другом. Внедрение как двоичного модуля, ака Java/Flash, и уже последовавшие NPAPI, NSAPI, PPAPI и т.д.
Контроллируешь ли ты список расширений клиента? Можешь инициировать установку? Какое тебе взаимодействие с ними доступно? Всё это в рамках твоей основной цели.
>Что значит "другое" апи?
Ты из подгруженного flash-модуля дернул, скажем, Get-AppxPackage через некуий модуль взаимодействия с PowerShell. Достаточно другое?
>это открытые данные, зачастую даже необходимые для функционирования программно-аппаратного комплекса
Правда? Дети, а давайте же перечислим все эти данные! Чтоб наконец прекратить эти споры.
>т.к. слепок по какому-то особенному железу
Чувак, я смотрю в инете он где то валяется этот метод, "слепка по железу", а глупые веб-мастера всё его не внедрят никак. Выдай в студию, а?
>да, собсна, стандартного набора разрешения, юзер-агента блаблабла в связке с точкой выхода в инет уже достаточно для good enough-идентификации, если че
"Человек в красной майке и с айфоном в руке, который работает в офисе на 300 хостов, пройдите к реепшену, там вас наш знаток ждёт!"
>изначально-то как раз хотел поговорить про оставшиеся условные 10%
А мы подходим к самому вкусному, пусть наш автор всё ещё немножечко сжимает колени!
>от осознания утечки которых ты будешь дико орать
Наконец то!
>но чет теперь даже хуй тебе
Ах ты гребаное динамо! :(
А теперь внимание! На арене рыжий клоун со знанием уровней сетевого взаимодействия! Покупайте билеты!
>JS позволяет лепить L7-запросы. SOP обходится
>для целей отличных от фингерпринта, он тоже возможен и даже встречается ирл
Ужос! Ужос! Да, у меня у самого мурашки по коже, когда, бывало, ты такой сидишь себе за хостом и вдруг тебе на один из well-known портов приходит запрос от ноута, за которым жена сидит. О чём тебя извещает файрволл.
Сразу с любопытством подхожу помотреть на очередного "умного веб-мудилу", который думает что проживёт без бирки "этот сайт небезопасный" хотя бы больше недели.
Возможно ли использовать седьмой уровень для слежки? Возможно. Топология сети чем не отпечаток? Да и всякие вкусности типа DNS-подмены вообще способны усыпить бдительность клиента.
Пробовали ли её использовать крупные игроки? Да. Вот правда резались буквально на раз, так как увы, со стороны остальных хостов сети данная ботва выглядит как банальный прозвон. Крупные игроки обычно уползали с извинениями "это было корявое обновление, сорри", ушлые хозяева VPS получали бирку на лоб, которая гласила что там внутри пельмени.
Тока вот ещё один момент - у тебя, как у рядового веб-мастера, нет возможности конвертнуть эту инфу для дяди цукера. А дядя цукер таким не палится - это скандал.
>Даже у оператора, имеющего доступ только в л7
Вот как раз из тех крупных, что пробовали такие фокусы, были замечены банки, РосТелеком и некоторые другие (это у нас). Кто-то даже не прекратил.
Однако это никак не позволяет связать инфу от тебя при посещении другого сайта.
>еще л3/4, которые очевидно доступны цукерам
Продемонстрируй мне пример доступа к 3-му уровню, когда я не сижу в твоём FB, а хватанул твой цукер-пиксель. Наверное, много нового узнаю.
А вот дальше как раз ты переобуваешься:
>С внедрением смартов сюда добавились л1/2, которые много лет сливали о себе вообще нахуй все
Смартов? При чём тут смарты? Анекдот уровня "А давай мои знакомые армяне тебе сигнализацию на зубило поставят и кароче мы всегда тебя найдём, когда понадобимся". Мы про ПК с тобой беседуем, где у нас есть клиент + некое неизвестное железо. В гуглошляпе (особенно в ней, в силу архитектуры) ты в принципе (ну разве немношк) не можешь контроллировать L2
Давай я на PINEPHONE Debian поставлю, на него Firefox, а ты будешь добираться до моего L2, м? Чо, недостаточно смартфонный?
>Ты когда-нибудь видел браузер с отключенным вообще нахуй всем?
Я так понимаю у тебя очередные 10% "которые не скажу тебе, бака", что каждую из технологий обвиняют в возможности идентификации. Ну давай по пунктам уж накидай:
>Задушены все политики
Политики в данном случае что? У каждого вендора тут своё.
>отключены все обвесы
Обвесы что влияют на безусловный доступ к инфе, способной ИДЕНТИФИЦИРОВАТЬ, в студию. Так то и куки искаропки включены.
>вебгл
Он тебе чем не угодил?
>хтмл5
Нет такого понятия, это маркетинг. И опять, там то ты что углядел?
>новый css
Как опознаю тебя через скорость анимации! :)
>отключен старый но еще живой активх
Поделись как заставить клиента включить активх, который уже вне стандратов давным-давно. Или как сесть за поддерживающий браузер.
>заблокирована мышка
Ну да, моя рука дрожит специфически ))))
>вырезаны все заголовки кроме необходимого минимума
"Рюкзачок, платочек, чёточки". Как раз этот минимум тебя и выдаст. Да и какие заголовки того же искаропки Firefox считаешь не необходимыми? Пикрелейтед.
>Да, все верно: вычещенные заголовки - это огромный такой маркер
Ты там находу открытия делаешь?
>То же и про л1/2: когда-то мабилы умели выключать всю сетевую активность, теперь же добрая часть отправляет маяки даже когда пользователь выключил сеть в интерфейсе. А батарейку-то, как в бумере, уже и не вынуть.
Ты опять про смартфоны, а это действительно другое. При нулевом контроле ОС ты должен на 100% контроллировать браузер. Или наоборот.
>Не понимаю, как подобные нюансы доставки
Ну тут имелось ввиду при смене способа доставки менять способ инициализации и развертки, типа "этот двоичный модуль версии 1.7.21 у нас уже есть - нет смысла подгружать".
>А при чем тут вообще вебмастера прямо сейчас?
У нас тут съезд футурологов?
>сказывается твоя фронтэндерская ориентация
В руки даже не брал подобную гадость. Мне Win32 API в мои годы хватило.
>Вебмастер просто предоставляет цукеру еще один фид о неком цифровом профиле. Не передает собранные данные, а предоставляет цукеру доступ к клиенту так, чтобы тот сам имел право собирать.
Вот давай щас, в 2020, получи у цукера эти инструменты. Или хотя бы попробуй узнать о их существовании, будучи обычным человеком с ушами и в штанах. Да даже пусть владельцем сайта в 2млн. уников.
>Вебмастер "слил" (позволил хотлинк) цукеру raw-инфу о хите...
Я всё равно не понял - тебя Марти чтоле зовут? А где Док? Давай апельсины есть, когда они созреют. Да, фашизм будет, но мы про сейчас.
>Короче, либо поясняй релевантность этого примера
Я тебе повторяю - найди мне в web-FAQ у цукера что мне щас ставить и интегрировать на сайт, чтобы прямо щас ему сливать инфу? Мне нужны эти инструменты.
>Нет, не становишься. Кто такое сказал?
Я сказал. Четыре класса у нас, на неттопах. На каждом неттопе 10 учеток преподов. Данные не сохраняются (Sandboxie с зачисткой, человек-киоск). На одном неттопе мы отключили камеру - и вот ты уже различаешь Машу когда она в классе1 от Маши, когда она в классе2.
Но ты по прежнему не отличаешь Гришу от Маши, когда они в одном классе.
>Куда, куда... в жопу технофашизма
Куд-куда, куд-куда! Когда технофашизм придёт - мы вам постучим.
>которые цифровой пизды даже не нюхали
Ого, какие аллюзии!
>позволяют взрослым дядям
Ну пока что взрослый дядя, что застал поделку Безоса в виде статичной старички с CGI на перле, крутит тебя на хуйце. Не кашляй.
И берегись технофашистов, маня!
>уже достаточно для good enough-идентификации
Не удержался, сорян.
Да, и чо там со SNI? Всё жду как ты будешь эту фичу пристегивать к твоим теориям.
>Возможно ли использовать седьмой уровень для слежки? Возможно. Топология сети...
Тут я сразу тебе фиксану, а то опять как раскукарекаешься про переобувания:
Имеется в виду что мы можем получить при прозвоне сети по прикладным протоколам на 7-м уровне: веб-мордочки роутеров, хосты, скорость, измененные маршруты, ежели таковые будут, порты хостов и прочую шнягу.
А не топологию в видении расклада 3/4 уровня.
>Что значит "идентификация оборудования как таковая", какова дихотомия между этой "идентификацией как таковой" и "перечислением оборудования с описанием базовых возможностей"
А дихотомия, мой юный Демокрит, в том, что даже неплохо посоленный хэш из неких базовых признаков компьютера (ну пусть там будут последние циферки id-шников оборудования) - это уже на порядки круче в идентификации клиентов, чем весь набор их мультимедийного стэка, поданного в виде их параметров.