Начальная

Windows Commander

Far
WinNavigator
Frigate
Norton Commander
WinNC
Dos Navigator
Servant Salamander
Turbo Browser

Winamp, Skins, Plugins
Необходимые Утилиты
Текстовые редакторы
Юмор

File managers and best utilites

Отслеживание параметров браузера и ОС пользователя как мера предотвращения угона аккаунтов (обновлено). Неотслеживаемые браузеры


Информация - Мобильные браузеры на Android с защитой от отслеживания

Приватная статья с хакера:Хватит за мной следить! Тестируем мобильные браузеры на Android с защитой от отслеживания - «Хакер»

Слито от сюда:Хакер - Хватит за мной следить! Тестируем мобильные браузеры на Android с защитой от отслеживания... - justpaste.it

В Google Play и Apple App Store можно найти множество браузеров со встроенным блокировщиком рекламы и защитой от отслеживания. Их разработчики обещают нам приватность, молниеносную скорость загрузки веб-страниц и, конечно же, рассказывают об уникальных технологиях, заложенных в их продукт. Но выполняют ли браузеры свои функции на самом деле и что, в конце концов, означает термин «защита от отслеживания»?

Представь себе картину: май, ты приходишь в супермаркет и покупаешь грабли. Через неделю снова заходишь, и навстречу выбегает орава продавцов-консультантов, наперебой предлагая купить различные виды граблей. Наиболее продвинутые из них пытаются втюхать тебе тяпки, а некоторые даже лопаты. И никакие твои объяснения, что весь инвентарь у тебя остался с прошлого сезона и на самом деле ты зашел купить газонокосилку, не работают.

Ты кое-как отбиваешься от консультантов, прокладывая себе дорогу с помощью лопаты, которую они таки сумели тебе всучить, и уходишь. Но по пути домой замечаешь на заборе рекламный плакат, который сообщает, что все владельцы грабель, купленных на прошлой неделе в три часа дня, и лопат, купленных сегодня в 5:40, получают скидку на оптовую партию семян редиса, продажей которого занимается компания из соседнего города.

Именно так работает таргетированная реклама и трекинг пользователей на веб-сайтах. Ты заходишь на сайт, он присваивает тебе идентификатор и начинает отслеживать твои действия. Если эта система действует только в рамках одного веб-сайта — ничего страшного. Но существует масса контор (в основном, но не только рекламных сетей), которые могут проследить твои перемещения по многим сайтам и составить целую карту твоих сетевых похождений и интересов.

Кроме конфиденциальности, также страдает и скорость. Каждый трекинг-скрипт, размещенный на сайте, замедляет загрузку веб-страницы, а когда их много — такое замедление становится заметным даже невооруженным глазом. Некоторое время назад разработчики Mozilla протестировали скорость загрузки сайтов с включенным режимом защиты и без него и выяснили, что среднее время загрузки страницы в режиме защиты от трекинга сократилось на 44%. На мобильных устройствах блокировка трекинга дает и другой плюс: меньшее количество получаемых данных.

Методы отслеживания (трекинга) пользователейВ этой статье мы рассмотрим, как бороться с трекингом, но для начала разберемся, как он работает. Трекинг — это отслеживание пользователя с помощью различных техник идентификации браузера. Существует как минимум пять техник: Cookie, Evercookie, fingerprinting, IP, поведенческий анализ.

CookieСамый древний и самый интеллигентный способ отслеживания. Печеньки как раз и были разработаны для идентификации пользователя. Принцип работы очень прост: пользователь открывает сайт, тот запрашивает информацию из cookie, если информации нет, сайт решает, что пользователь на сайте впервые, генерирует уникальный идентификатор и записывает его (с некоторой дополнительной информацией о пользователе) в cookie.

Теперь (в теории) при следующих визитах сайт сможет распознать пользователя по уникальному идентификатору, который был записан в cookie-файлы на его компьютере. Понятное дело, что после очистки всех cookie-файлов юзер становится анонимным абсолютно для всех сайтов. Однако, кроме HTTP Cookie, также существуют Flash Cookie и Silverlight Cookie. И очищать их нужно отдельно.

EvercookieДанный вид трекинга можно смело именовать «проектом деанонимизации интернета». Он сохраняет идентификатор пользователя везде, где это возможно. Используются как стандартные хранилища: HTTP, Flash, Silverlight Cookie, так и различные трюки вроде PNG Cookies (сервер отдает браузеру индивидуальную картинку с записанным в нее идентификатором, она попадает в кеш браузера, и при последующем визите пользователя сайт вставляет картинку в canvas и считывает записанную в нее информацию), а также хранилища HTML5 (Session Storage, Local Storage, Global Storage, Database Storage через SQLite и так далее), журнал посещенных веб-страниц (только для старых браузеров), ETag header, java persistence API. Все, что возможно использовать, используется.

Удалить Evercookie очень сложно. Однако есть у него один недостаток — так же как и в случае с кукисами, данные сохраняются на жесткий диск (или NAND-память телефона). А это значит, что обычный режим инкогнито неуязвим перед Evercookie.

Отпечаток браузераВ этом случае пользователя распознают, считывая данные о браузере, его настройках и устройстве, с которого юзер заходит на сайт. Много ли этих данных? Да, очень много. Самые простые: user agent (название, версия и разрядность браузера и ОС, тип устройства, на котором установлен браузер, поддерживаемые браузером функции и прочее), язык браузера, часовой пояс, разрешение экрана, глубина цвета, поддержка технологий HTML5 (привет, любители копаться в скрытых настройках браузера), наличие doNotTrack, cpuClass, platform, установленные плагины и информация о них, шрифты, доступные в системе.

Также используются и различные хитрые техники: Canvas Fingerprint, WebGL Fingerprint, WebRTC Fingerprinting. По утверждению создателей скриптов, вероятность распознавания уже сейчас превышает 90%. А в некоторых случаях составляет 99,(9)% (не так уж и много людей любят ставить Canary-версию Google Chrome и копаться в настройках chrome://flags для активации новых фишек HTML5). Недостаток технологии: на практике распознавание не может быть стопроцентным, потому что основано на статистических данных и вероятность ошибки будет всегда.

Отслеживание по IPИспользуя твой IP-адрес, можно узнать местоположение (часто с ошибкой) и имя провайдера. Однако из-за периодической смены IP как в проводных, так и в беспроводных сетях, этот метод крайне ненадежный и на практике используется только для приблизительного определения местоположения.

Поведенческий анализИдентификация на основе индивидуальных особенностей поведения и вкусов пользователя: скорости движения мыши, любимых фильтров поиска, предпочитаемых товаров, скорости просмотра картинок, частоты кликов и так далее. Недостатки очевидны: для отслеживания действий нужно использовать тяжеловесные скрипты, которые будут не только нагружать канал, но и тормозить компьютеры. Точность распознавания слишком плавающая и слишком сильно зависит от различных факторов.

Как браузеры борются с отслеживаниемКак видишь, есть только два надежных метода идентифицировать пользователя: Cookie и Evercookie. Чтобы защититься от них, достаточно ходить на все сайты в режиме инкогнито, который есть практически в любом современном браузере. Но тогда ты столкнешься с другой проблемой: кроме отслеживания, печеньки применяются и для многих других полезных задач. Например, для хранения токена авторизации, который позволяет не вводить свои логин и пароль при каждом входе на сайт. На трафике и скорости загрузки страниц с помощью инкогнито тоже сэкономить не получится.

Браузеры с защитой от отслеживания работают по-другому: они используют черные списки трекинг-скриптов (вроде таких) и просто блокируют их исполнение.

В большинстве браузеров для анонимного серфинга (Firefox Focus, Yo Browser, InBrowser, Ghostery, Cliqz и в некоторых обычных браузерах) также есть возможность автоматической очистки приватных данных при выходе. Для смартфона такой очистки вполне хватит, чтобы справится с Evercookie.

С отпечатком браузера дела обстоят сложнее, потому что большинство сведений браузер передает не от желания рассказать о себе побольше, а для того, чтобы веб-страница отображалась правильно. Как вариант защиты — браузер может отправлять сведения о себе, которые будут похожи на максимальное количество других браузеров.

Тестовый стендДля теста браузера был использован смартфон Samsung Galaxy S7 и следующие страницы:

Brave «Brave выполняет миссию по исправлению сети, предоставляя пользователям более безопасный, быстрый и удобный опыт использования с помощью новой привлекательной экосистемы вознаграждения. Brave — это больше чем браузер, это новый способ мышления о том, как работает интернет».

После таких громких высказываний ждешь чего-то особенного, однако спустя пару минут после установки браузера понимаешь, что тут не так. Браузер представляет собой Chromium с функциями блокировки рекламы и предотвращения отслеживания с возможностью включать/отключать блокировку для отдельно взятого сайта.

Основное отличие от Chrome — нет новостей на главной странице и режима экономии трафика.

  • Страница в Google Play
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 108 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 130 Мбайт
  • Потребление ОЗУ (открыто пять тестовых сайтов): 372 Мбайт
  • Количество заблокированных трекеров (для пяти тестовых сайтов): 29
Главная страница браузера и настройка блокировки трекеров

Iron BrowserБраузер, разрабатываемый немецкой компанией SRWare на основе исходного кода проекта Chromium. Появился он в противовес браузеру Google Chrome, который отслеживает действия пользователя. По заверению создателей, SRWare Iron не делает ничего подобного. Также Iron использует последние версии WebKit и V8, в то время как Google Chrome базируется на стабильных версиях.

Похож на Chrome как две капли воды. В отличие от Brave, осталась интеграция с Google, экономия трафика и лента новостей (рекомендуемые статьи) на главном экране. Производителем заявлена защита от отслеживания, только вот настроить ее нельзя.

  • Страница в Google Play
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 98,71 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 152 Мбайт
  • Потребление ОЗУ (открыто пять тестовых сайтов): 440 Мбайт
  • Количество заблокированных трекеров (для пяти тестовых сайтов): неизвестно
Ну чем не Chrome?

Firefox FocusЭто очень простой браузер без лишних функций. О приватности браузера напоминает кнопочка корзины, которая отображается на любой странице при прокрутке вверх. После нажатия на кнопку корзины вся история браузера и сохраненные данные очищаются. Также кнопка очищения истории есть в шторке с уведомлениями.

Браузер умеет блокировать трекеры рекламы и аналитики, социальные трекеры и другие. Есть режим «Невидимка» — функция блокировки скриншотов, которая закрывает доступ к содержимому окна браузера. Из-за этого даже анимация выключения экрана не работает. Зато невозможно перехватить содержимое, отображаемое на дисплее.

В отличие от конкурентов, Firefox Focus не скрывает свои черные списки, через которые он блокирует трекеры. Подробная информация.

  • Страница в Google Play
  • Движок: Blink (в просторах интернета есть версия на движке Gecko)
  • Потребление ПЗУ (без учета данных приложения): 6,96 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 44,1 Мбайт
  • Потребление ОЗУ (открыт один тестовый сайт): 65 Мбайт (поддержка вкладок отсутствует, была открыта наша статья про мобильный mesh)
  • Количество заблокированных трекеров (для пяти тестовых сайтов): 43
Минимализм во всей красе

Yo BrowserВ описании на Play Market голимая реклама и ничего конкретного, а официальный сайт находится в разработке. Вполне можно было пройти мимо, но заявление «Yo Browser обеспечивает не только легкое пользование интернетом, но и вашу конфиденциальность и безопасность» таки заставило нас включить этот браузер в тест.

В браузере есть интересная функция быстрого открытия режима инкогнито: после нажатия ссылки всплывает предложение выбрать, в каком режиме ее открыть, обычном или инкогнито. При выходе предлагает почистить кеш, cookie, историю. Можно включить автоочистку при выходе.

Есть ночной режим, благодаря которому фон и некоторые элементы большинства сайтов окрашиваются в черный цвет, а также встроенный сканер QR-кодов. Можно заблокировать отображение изображений и рекламы. Также есть возможность отключить JavaScript и Cookies.

  • Страница в Google Play
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 18,99 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 117 Мбайт
  • Потребление ОЗУ (открыто пять тестовых сайтов) 250 Мбайт
  • Количество заблокированных трекеров (для пяти тестовых сайтов): в браузере нет индикатора
Главная страница

InBrowser«InBrowser — это инкогнито-браузер. Каждый раз, когда вы выходите из InBrowser, все, что вы сделали в приложении, будет стерто, включая историю, файлы cookie и сеансы». То есть разработчики как бы говорят: это не столько отдельный браузер, сколько режим инкогнито, выделенный в отдельное приложение. Прямой конкурент Firefox Focus.

В целом браузер производит странное впечатление, однако по функциональности он лучший среди компактных браузеров с защитой от отслеживания. Он умеет интегрироваться с Orbot (для создания соединения с интернетом через сеть Tor без VPN), менять user agent (на выбор доступны Chrome, Firefox, Internet Explorer, Safari). Имеется «безопасный режим» — блокировка скриншотов и защита от отображения в списке последних приложений стандартными средствами Android.

Из дополнительной функциональности:

  • «переформатирование текста» — перестройка десктопной версии сайта под мобильные экраны, работает она не всегда корректно, но свою функцию выполняет;
  • отключение загрузки изображений;
  • запрет исполнения JavaScript и плагинов, если таковые установлены в системе.
  • Страница в Google Play
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 6,51 Мбайт
  • Потребление ОЗУ: зафиксировать не удалось, так как приложение автоматически выгружается из памяти
  • Количество заблокированных трекеров (для пяти тестовых сайтов): в браузере нет индикатора
Оригинальный дизайн главной страницы и переключения вкладок

Ghostery«Ghostery выявляет и блокирует системы слежения в Сети, защищая ваши данные, ускоряя загрузку страниц и убирая отвлекающие элементы». В общем, обычный браузер с блокировкой рекламы и трекеров. По словам разработчиков, блокировка очень продвинутая, но чем она продвинута — никто не поясняет.

Так же как и многие другие браузеры, умеет очищать все приватные данные при выходе. Для активации функции нужно перейти в «Настройки -> Очищать при выходе» и поставить все галочки. Загрузка вкладок в фоне глючит: если, не дождавшись загрузки страницы, открыть новую вкладку, а в ней открыть новый адрес, то загрузка первоначальной страницы остановится.

  • Страница в Google Play
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 6,07 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 185 Мбайт
  • Потребление ОЗУ (открыто пять тестовых сайтов): 317 Мбайт
  • Количество заблокированных трекеров (для пяти тестовых сайтов): 16
Может, и некрасиво, зато шесть мегабайт памяти занимает

CliqzЕще один вполне стандартный браузер с защитой от отслеживания на движке Chromium. Отличается только тем, что сам собирает статистику использования для «улучшения релевантности результатов поиска и обеспечения работы самых продвинутых функций защиты приватности».

Поддерживает синхронизацию с десктопным браузером Cliqz, имеет встроенный сканер QR-кодов. Также в настройках можно включить автоматическую очистку кеша, истории, cookie и других личных данных после закрытия приложения (Settings -> Privacy -> галочки внизу списка).

  • Страница в Google Play
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 34,81 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 198 Мбайт
  • Потребление ОЗУ (открыто пять тестовых сайтов): 327 Мбайт
  • Количество заблокированных трекеров (для пяти тестовых сайтов): 12
И не подумаешь, что браузер занимает аж 35 Мбайт памяти

Яндекс.Браузер с расширением DisconnectБраузер «Яндекс» не умеет блокировать трекеры самостоятельно, зато имеет поддержку расширений, благодаря которой в него можно добавить расширение Disconnect. Рассказывать тут особо не о чем: и браузер, и Disconnect — известные продукты, о которых написано множество обзоров.

  • Страница для загрузки и Disconnect
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 80,61 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 288 Мбайт
  • Потребление ОЗУ (открыто пять тестовых сайтов): 540 Мбайт
  • Количество заблокированных трекеров (для пяти тестовых сайтов): 25
Самый блатной дизайн среди всех, не зря 80 Мбайт кушает

Про скорость работыНа Galaxy S7 все рассмотренные браузеры работают настолько быстро, что отличия в скорости работы обнаружить невооруженным взглядом очень сложно (если они вообще есть…). Проблем с отображением веб-страниц также замечено не было.

Выводы: что выбрать?Какой же браузер выбрать? Все зависит от предпочтений, но мы рекомендуем остановиться либо на Firefox Focus, либо на браузере «Яндекс» + Disconnect. Первый не поддерживает вкладки и по большому счету вообще не похож на полноценный браузер, зато его делает контора, которой можно доверять. Второй — это действительно неплохой браузер. Расширение Disconnect также хорошо известно и заслуживает доверия.

ru-sfera.org

Как отключить слежение за вами в браузере (функция DNT)

С начала 2011 года разработчики браузеров начали внедрять в них функцию отказа от слежки - Do Not Track (DNT). Она уведомляет сайты о том, что пользователь не хочет, чтобы рекламщики следили за его перемещениями по Сети и собирали о нем конфиденциальные данные при помощи cookie-файлов. Как правило, по умолчанию DNT выключена. Чтобы ее активировать, выполните следующие шаги:

Firefox: зайдите в "Настройки" → выберите вкладку "Приватность" и поставьте переключатель напротив пункта "Сообщать сайтам, что я не хочу, чтобы меня отслеживали".

Chrome: откройте "Настройки" → на открывшемся экране перейдите по ссылке "Показать дополнительные настройки" (внизу) → в разделе "Личные данные" поставьте галку рядом с "Отправлять с исходящим трафиком запрос 'Не отслеживать'". Там же рекомендует снять галки с "Предсказывать сетевые действия для ускорения загрузки страниц" и "Автоматически отправлять в Google статистику использования и отчеты о сбоях".

Internet Explorer: "Настройки" → "Безопасность" → "Отправлять запросы Do Not Track ('Не отслеживать')" → нажмите на кнопку "Включить".

Safari: "Настройки" → перейдите на вкладку "Конфиденциальность" → и поставьте галку напротив "Запретить веб-сайтам отслеживать меня".

Opera: "Настройки" → раздел "Конфиденциальность и безопасность" → отметьте "Отправлять запрос 'Не отслеживать' с данными". По желанию, галки рядом с "Использовать службу предсказания для автодополнения вводимого поискового запроса или ссылки в адресной строке" и "Предсказывать сетевые действия для оптимизации загрузки страницы" можно снять.

Включение этого параметра, однако, не означает, что сайты тут же перестанут надоедать вам "нацеливаемой" рекламой. Пока DNT носит рекомендательный характер. Она лишь информирует сайты о желании пользователей прекратить за ними слежку, но не дает никаких гарантий, что рекламодатели эту просьбу исполнят.

Кроме того, пока нет никаких договоренностей насчет того, как именно должна работать DNT. С одной стороны, все больше пользователей не хочет, чтобы за ними вели слежку. Группа ВК "Тактика спецназа"По итогам опроса, проведенного агентством Forrester Research в марте 2013 года, функция DNT была включена у 18% интернетчиков. С другой, против этой системы выступают рекламщики, настаивая, что поведенческая реклама - это неотъемлемая часть бесплатных веб-сервисов. Ожидается, что в 2014 году Консорциум Всемирной паутины (W3C) внесет ясность в этот вопрос, приняв механизм DNT как стандарт и сделав его исполнение обязательным.

glafi.com

Возвращаем приватность или большой брат следит за мной на стандартных настройках. Часть 1. Браузер и настройки сервисов «Гугла»

Вы любите смотреть таргетированную рекламу? Вы не против того, что фейсбук сам отметит вас на фотографии друзей (а ее увидят посторонние люди)? Вам нравится видеть релевантные запросы в поисковике? Вы не против того, чтобы ваши предпочтения использовали для рекламы товаров вашим друзьям? Вам все равно, что гугл хранит всю историю вашего поиска, и вы не боитесь, что это может кто-то увидеть через 10 лет («скачать Аватар бесплатно без смс» или «как избежать проверки налоговой»)? Вы не против того, что ваши фото и комментарии увидит потенциальный работодатель или весь интернет, если вы вдруг случайно станете кому-то интересны?

Тогда этот пост вам будет не интересен — желаю вам хорошего дня. Пост не благословлен ФСБ, различными рекламными биржами (привет, «Яндекс», «Tinkoff Digital» и т. д.) и соц. сетями.

Если же вы решили озаботиться своей приватностью, иметь минимум данных для компромата и построения психологического и поведенческого профиля, когда вы или ваши родители совершите какой-нибудь факап и обратите на себя внимание общественности (или когда вы добьетесь успехов и кто-то из недоброжелателей будет специально искать эти данные) — добро пожаловать под кат с пошаговой инструкцией для основных программ и сетей. Нашей целью будет обеспечение максимальной приватности при сохранении максимального удобства серфинга. Понятно, что если вы хотите обеспечить себе максимальную конфиденциальность, то лучше не пользоваться социальными сетями, пользоваться различными анонимизаторами и т. д., но на это не все согласны пойти.

В этой части поговорим о настройках браузера и настройках google-аккаунта. Следующие части будут посвящены настройкам «Фейсбука», «Контакта», а также специфическим вещам в мобильных ОС на примере iOS. Любые дополнения приветствуются и будут с удовольствием включены в этот импровизированный «мануал» (или следующий, если они будут про темы следующих статей).

Браузер
Браузер — ваше окно в интернет. Многие данные утекают и собираются именно через него. Сайты, которые вы посещаете, могут делиться информацией между собой посредством оставления у вас различных куки-файлов (это лежит в основе таргетированной рекламы, когда вам показывают автомобили, если вы любите ходить, например, на автомобильные сайты). Так давайте же максимально усложним подобное поведение.

Поскольку «Хром» выбился в лидеры, все настройки приведу для него (похожие вы всегда сможете найти в своем браузере). Предварительно, нельзя не сказать, что не очень разумно пользоваться браузером крупнейшего поисковика, если вам дороги ваши данные, но, повторюсь, наша цель обеспечение максимальной приватности с минимальной потерей «комфорта» (а именно отказа от привычек).

Как и в различных сайтах, которые пишут все неприятные дополнительные условия мелким шрифтом в нижней части страницы, все нужные нам настройки находятся в разделе дополнительных и открываются по нажатию на «Показать дополнительные настройки» в нижней части страницы настроек.

В первую очередь нас будет интересовать раздел «Личные данные»:

Здесь нужна галочка на отправку запрос Do not track («не отслеживать») для всех сайтов, которые добровольно согласились соблюдать это правило, а именно, не следить за действиями пользователя (жаль, что это лишь добрая воля владельцев сайтов, а не обязанность следовать этому запросу).

Для максимальной приватности стоит отключить все остальные «галочки», т. к. они, так или иначе отправляют о вас определенную информацию в «Гугл», хотя и созданы с изначально благой целью (дописывать за вас поисковые запросы, проверять орфографию, уводить вас с зараженных сайтов, исправлять опечатки в названиях сайтов и т. д.). Однако если у вас есть своя голова на плечах, держите ухо в остро и владеете слепым десятипальцевым методом, то не помешает избавиться от этих настроек.

Далее жмем здесь же на кнопку «Настройки контента…».

В первую очередь включите блокировку данных и файлов cookie сторонних сайтов. В этом есть определенный минус: один сайт не будет знать данные о другом (например, habrastorage не даст вам залить картинку, т. к. будет думать, что вы не залогинены на хабре), но, во-первых, всегда можно вручную добавить исключение для конкретного сайта, а, во-вторых, будет намного труднее узнать, на какие еще сайты вы ходите.

В идеале, стоит также поставить переключатель на «сохранять локальные данные только до закрытия браузера». Еще большая приватность (и защищенность от злоумышленников, получивших доступ к вашему компьютеру), однако появится множество неудобств: каждый раз, как вы заново открываете браузер, нужно будет вводить пароли, товары в корзинах интернет-магазинов не сохранятся (если только эти данные не сохраняют на сервере магазина, а не на вашем компьютере в «куках»).

Также промотайте вниз и убедитесь, что данные о вашем местоположении не передаются сайтам автоматически («Спрашивать, если сайт пытается отследить мое местоположение (рекомендуется)»). Аналогично для доступа к вашей веб-камере, микрофону и т. д.

Полезно включить активацию плагинов только по клику на сам элемент.

История веб-серфинга
Важным моментом является ваша веб-история. Здесь есть обширное поле для параноиков, но факт остается фактом: «Гугл» не дал возможности автоматически удалять элементы из веб-истории (например, все элементы, которые старее месяца или года) в отличие от, например, «Сафари». Можно только удалить всю веб-историю целиком через раздел «Очистить историю…» (нажатие на кнопку не приведет к немедленному очищению, а откроет другое окно, где можно выбрать конкретные элементы, которые вы хотите удалить). Такое поведение влечет за собой потерю удобства в том плане, что история помогает легко открывать страницы, на которых был раньше (стоит лишь начать писать название этого сайта или заголовка, как адресная строка найдет этот элемент в вашей истории), поэтому было бы удобно удалить не все историю, а только ту, что, например, старее месяца. Но ничего страшного, придется время от времени заходить сюда самому и вручную чистить всю историю (ведь все необходимые сайты у вас есть в закладках и подписках, не так ли?). Другими словами, у вас не возникнет сколь-нибудь серьезных неудобств. Или вы можете поставить специальное расширение No History, которое не будет хранить историю вообще.
«Хром» для мобильных устройств
Не забудьте так же зайти в настройки хрома на вашем телефоне/планшете и включить в настройках «Do not track» (запрос «не отслеживать»), а также отключить «Send Usage Data» (отправлять статистику об использовании).
Пароли, шифрование и бекап
Отдельным пунктом, не совсем относящимся к отслеживанию, идут пароли. Мне, например, очень не нравится тот факт, что любой, кто получил доступ к «Хрому» под виндой может посмотреть сохраненные пароли в настройках (не будет даже запрошен пароль в отличие от, например, Firefox, где можно поставить мастер-пароль). Если вы не против такого расклада (самое безобидное, если ваш пароль от почты стащит таким образом ваш парень или девушка — хотя, как сказать, безобидное), можете оставить все, как есть. Я бы, все же, рекомендовал для таких целей следующую схему: 1. Для ключевых сервисов (как то почта, платежные системы, интернет-банки и, например, Apple ID) придумать сложные пароли и держать их в уме, никогда нигде не «запоминая». 2. Дополнительно, где это возможно, включить двухфакторную аутентификацию (помимо пароля, нужно вводить одноразовый код из смс или специального мобильного приложения), а также уведомление о входе на почту. 3. Для всего остального использовать специальные программы типа 1Password (ключевые требования: кроссплатформенность и удобство хранения различных вещей). Во-первых, в очередной раз вы не будете хранить все яйца в одной корзине (а именно пароли у гугла), во-вторых даже если мастер-пароль уведут, вы, по-прежнему, сможете восстановить пароли через почту (ведь ее пароль вы в программе не запоминали). Ну и, конечно, у вас больше не будет одинаковых и простых паролей. 4. Не храните пин-коды и данные кредиток где-либо (даже в таких зашифрованных контейнерах) просто just in case. 5. Не запоминайте после этого пароли в браузере. 6. Для любых публичных сетей используйте VPN. Если админ поднял вам соединение до работы, можете пользоваться им, чтобы сэкономить деньги. Или же используйте сервисы типа Cloak. 7. Не вводить чушь в контрольные вопросы на восстановление пароля. Точнее, чушь, которую вы не в состоянии запомнить. Важно понимать, что не нужно правдиво отвечать на вопрос «Девичья фамилия матери» или «Имя первого учителя», т. к. эту информацию легко достать с помощью социальной инженерии. Поэтому лучше всего сработает белиберда (в смысле неочевидный ответ), которую вы всегда напишите, но ее не будет возможно получить, просто у кого-то спросив. 8. Не делайте одинаковых паролей. Особенно, если это псевдоразные пароли с одинаковым префиксом типа #FD%gmail и #FD%paypal. Если у злоумышленника окажется префикс, то первое, что он попробует сделать, это использовать его, приписав к названию нужного ему сайта — паттерн ведь очевиден. 9. Купите себе ноутбук и не пользуйтесь рабочим компьютером в личных целях (не ходите по сайтам, не запоминайте там пароли и т. д.). Вся личная информация должна быть только на ваших личных устройствах. Не забывайте поставить требование о запросе пароля через короткое время бездействия, введите в привычку «блокировать» компьютер/телефон, как только вы перестаете что-либо на нем делать и, если вы не геймер и у вас SSD, шифруйте всю файловую систему c помощью FileVault/TrueCrypt. 10. Делайте бекап, купите себе уже хотя бы внешний диск для этих целей. Для более ленивых, личный фаворит www.backblaze.com (особенно актуально, если у вас мак и включен FileVault — помимо обещанного сервисом шифрования ваши файлы будут зашифрованы еще и вашим собственным FileVault при этом останется встроенная версионность и т. д.).

Далее пойдем разбирать настройки конкретных сервисов.

Google account
В первую очередь минимизируем отслеживание в рекламных целях. Для этого зайдем на сайт www.google.com/ads/preferences и приводим ее к следующему внешнему виду путем нажимания на кнопки opt out и прочие отказы.

Раздел Ads on Search and Gmail (реклама в поиске и Gmail) после наших манипуляций должен слезно просить принять участие во всей вакханалии:

Аналогично должно быть в разделе Ads on the web (реклама на веб-страницах):

Если внешний вид отличается, ищите в этих разделах кнопки различных отказов от участия. Заодно во время отключения вы, возможно, узнаете о себе много нового (например, к каким категориям вы были присвоены во время вашего предыдущего серфинга).

Google search history
Аналогично тому, как браузер запоминает, на каких страницах вы были, «Гугл» по умолчанию запоминает все, что вы когда-либо искали. Смело идем отключать это поведение в history.google.com/history/settings превращая ее к следующему виду:

После чего удалите всю накопленную на вас информацию по поисковым запросам в history.google.com/history

Прочие сервисы гугла
Зайдите на www.google.com/dashboard и посмотрите список всех сервисов, которыми вы когда-либо пользовались. Методично зайдите в каждый и пройдитесь по настройкам/контенту. Удалите ненужное, заблокируйте фотографии в «Пикассе», максимально деперсонилизируйте и ограничьте Google Plus. Думаю, не нужно говорить, что ваш профиль должен быть исключен из результатов веб-поиска, максимум фотографий удален, остальные альбомы заблокированы для не друзей, видимость постов ограничена (а, в идеале, удаляться через месяц после написания). Вся почта и старее года удаляться (поверьте, вы не будете ее перечитывать, в отличие от других людей, которым она вдруг станет очень интересна, когда вы, например, будете баллотироваться на какую-нибудь политическую или высокую должность).

Продолжение.

habr.com

Фингерпринтинг браузера. Как отслеживают пользователей в Сети

Содержание статьи

Меня всегда напрягало то, как навязчиво Google AdSense подсовывал контекстную рекламу в зависимости от моих старых запросов в поисковике. Вроде бы и времени с момента поиска прошло достаточно много, да и куки и кеш браузера чистились не раз, а реклама оставалась. Как же они продолжали отслеживать меня? Оказывается, способов для этого предостаточно.

 

Небольшое предисловие

Идентификация, отслеживание пользователя или попросту веб-трекинг подразумевает под собой расчет и установку уникального идентификатора для каждого браузера, посещающего определенный сайт. Вообще, изначально это не задумывалось каким-то вселенским злом и, как и все, имеет обратную сторону, то есть призвано приносить пользу. Например, позволить владельцам сайта отличить обычных пользователей от ботов или же предоставить возможность хранить предпочтения пользователей и применять их при последующем визите. Но в то же самое время данная возможность очень пришлась по душе рекламной индустрии. Как ты прекрасно знаешь, куки — один из самых популярных способов идентификации пользователей. И активно применяться в рекламной индустрии они начали аж с середины девяностых годов.

С тех пор многое изменилось, технологии ушли далеко вперед, и в настоящее время отслеживание пользователей одними только печеньками не ограничивается. На самом деле идентифицировать юзеров можно разными способами. Самый очевидный вариант — установить какие-либо идентификаторы, наподобие куков. Следующий вариант — воспользоваться данными об используемым юзером ПК, которые можно почерпнуть из HTTP-заголовков отправляемых запросов: адрес, тип используемой ОС, время и тому подобное. Ну и напоследок можно отличить пользователя по его поведению и привычкам (движения курсора, любимые разделы сайта и прочее).

 

Явные идентификаторы

Данный подход довольно очевиден, все, что требуется, — сохранить на стороне пользователя какой-то долгоживущий идентификатор, который можно запрашивать при последующем посещении ресурса. Современные браузеры предоставляют достаточно способов выполнить это прозрачно для пользователя. Прежде всего это старые добрые куки. Затем особенности некоторых плагинов, близкие по функционалу к кукам, например Local Shared Objects во флеше или Isolated Storage в силверлайте. HTML5 также включает в себя несколько механизмов хранения на стороне клиента, в том числе localStorage, File и IndexedDB API. Кроме этих мест, уникальные маркеры можно также хранить в кешированных ресурсах локальной машины или метаданных кеша (Last-Modified, ETag). Помимо этого, можно идентифицировать пользователя по отпечаткам, полученным из Origin Bound сертификатов, сгенерированных браузером для SSL-соединений, по данным, содержащимся в SDCH-словарях, и метаданным этих словарей. Одним словом — возможностей полно.

Cookies

Когда дело касается хранения какого-то небольшого объема данных на стороне клиента, куки — это первое, что обычно приходит на ум. Веб-сервер устанавливает уникальный идентификатор для нового пользователя, сохраняя его в куках, и при всех последующих запросах клиент будет отправлять его серверу. И хотя все популярные браузеры уже давно снабжены удобным интерфейсом по управлению куками, а в Сети полно сторонних утилит для управления ими и их блокировки, куки все равно продолжают активно использоваться для трекинга пользователей. Дело в том, что мало кто просматривает и чистит их (вспомни, когда ты занимался этим последний раз). Пожалуй, основная причина этого — все боятся случайно удалить нужную «печеньку», которая, например, может использоваться для авторизации. И хотя некоторые браузеры позволяют ограничивать установку сторонних куков, проблема не исчезает, так как очень часто браузеры считают «родными» куки, полученные через HTTP-редиректы или другие способы во время загрузки контента страницы. В отличие от большинства механизмов, о которых мы поговорим далее, использование куков прозрачно для конечного пользователя. Для того чтобы «пометить» юзера, необязательно даже хранить уникальный идентификатор в отдельной куке — он может собираться из значений нескольких куков или храниться в метаданных, таких как Expiration Time. Поэтому на данном этапе довольно непросто разобраться, используется ли конкретная кука для трекинга или нет.

Local Shared Objects

Для хранения данных на стороне клиента в Adobe Flash используется механизм LSO. Он является аналогом cookies в HTTP, но в отличие от последних может хранить не только короткие фрагменты текстовых данных, что, в свою очередь, усложняет анализ и проверку таких объектов. До версии 10.3 поведение флеш-куков настраивалось отдельно от настроек браузера: нужно было посетить менеджер настроек Flash, расположенный на сайте macromedia.com (кстати, он доступен и сейчас по следующей ссылке). Сегодня это можно выполнить непосредственно из контрольной панели. К тому же большинство современных браузеров обеспечивают достаточно плотную интеграцию с флеш-плеером: так, при удалении куков и других данных сайтов будут также удалены и LSO. С другой стороны, взаимодействие браузеров с плеером еще не настолько тесное, поэтому настройка в браузере политики для сторонних куков не всегда затронет флеш-куки (на сайте Adobe можно посмотреть, как вручную их отключить).

Удаление данных из localStorage в FirefoxУдаление данных из localStorage в Firefox
Изолированное хранилище Silverlight

Программная платформа Silverlight имеет довольно много общего с Adobe Flash. Так, аналогом флешевого Local Shared Objects служит механизм под названием Isolated Storage. Правда, в отличие от флеша настройки приватности тут никак не завязаны с браузером, поэтому даже в случае полной очистки куков и кеша браузера данные, сохраненные в Isolated Storage, все равно останутся. Но еще интересней, что хранилище оказывается общим для всех окон браузера (кроме открытых в режиме «Инкогнито») и всех профилей, установленных на одной машине. Как и в LSO, с технической точки зрения здесь нет каких-либо препятствий для хранения идентификаторов сессии. Тем не менее, учитывая, что достучаться до этого механизма через настройки браузера пока нельзя, он не получил такого широкого распространения в качестве хранилища для уникальных идентификаторов.

Где искать изолированное хранилище SilverlightГде искать изолированное хранилище Silverlight
HTML5 и хранение данных на клиенте

HTML5 представляет набор механизмов для хранения структурированных данных на клиенте. К ним относятся localStorage, File API и IndexedDB. Несмотря на различия, все они предназначены для обеспечения постоянного хранения произвольных порций бинарных данных, привязанных к конкретному ресурсу. Плюс, в отличие от HTTP- и Flash-куков, здесь нет каких-либо значительных ограничений на размер хранимых данных. В современных браузерах HTML5-хранилище располагается наряду с другими данными сайта. Однако как управлять хранилищем через настройки браузера — догадаться очень трудно. К примеру, чтобы удалить данные из localStorage в Firefox, пользователю придется выбрать offline website data или site preferences и задать временной промежуток равным everything. Еще одна неординарная фишка, присущая только IE, — данные существуют только на время жизни табов, открытых в момент их сохранения. Плюс ко всему вышеперечисленные механизмы не особо-то стараются следовать ограничениям, применимым к HTTP-кукам. Например, можно писать в localStorage и читать из него через кросс-доменные фреймы даже при отключенных сторонних куках.

Настройка локального хранилища для Flash PlayerНастройка локального хранилища для Flash Player
Кешированные объекты

Все хотят, чтобы браузер работал шустро и без тормозов. Поэтому ему приходится складывать в локальный кеш ресурсы посещаемых сайтов (чтобы не запрашивать их при последующем визите). И хотя данный механизм явно не предназначался для использования в качестве хранилища с произвольным доступом, его можно в таковой превратить. Например, сервер может вернуть пользователю JavaScript-документ с уникальным идентификатором внутри его тела и установить в заголовках Expires / max-age= далекое будущее. Таким образом скрипт, а с ним и уникальный идентификатор пропишется в кеше браузера. После чего к нему можно будет обратиться с любой страницы в Сети, просто запросив загрузку скрипта с известного URL’а. Конечно, браузер будет периодически спрашивать с помощью заголовка If-Modified-Since, не появилась ли новая версия скрипта. Но если сервер будет возвращать код 304 (Not modified), то закешированная копия будет использоваться вечно. Чем еще интересен кеш? Здесь нет концепции «сторонних» объектов, как, например, в случае с HTTP-куками. В то же время отключение кеширования может серьезно отразиться на производительности. А автоматическое определение хитрых ресурсов, хранящих в себе какие-то идентификаторы/метки, затруднено в связи с большим объемом и сложностью JavaScript-документов, встречающихся в Сети. Конечно, все браузеры позволяют юзеру вручную чистить кеш. Но как показывает практика (даже собственный пример), производится это не так часто, если производится вообще.

ETag и Last-Modified

Для того чтобы кеширование работало правильно, серверу необходимо каким-то образом информировать браузер о том, что доступна более новая версия документа. Стандарт HTTP/1.1 предлагает два способа для решения этой задачи. Первый основан на дате последнего изменения документа, а второй — на абстрактном идентификаторе, известном как ETag. В случае с ETag сервер изначально возвращает так называемый version tag в заголовке ответа вместе с самим документом. При последующих запросах к заданному URL клиент сообщает серверу через заголовок If-None-Match это значение, ассоциированное с его локальной копией. Если версия, указанная в этом заголовке, актуальная, то сервер отвечает HTTP-кодом 304 (Not Modified), и клиент может спокойно использовать кешированную версию. В противном случае сервер присылает новую версию документа с новым ETag. Такой подход чем-то напоминает HTTP-куки — сервер сохраняет произвольное значение на клиенте только для того, чтобы потом его считать. Другой способ, связанный с использованием заголовка Last-Modified, позволяет хранить по крайней мере 32 бита данных в строке даты, которая затем отправляется клиентом серверу в заголовке If-Modified-Since. Что интересно, большинство браузеров даже не требуют, чтобы эта строка представляла собой дату в правильном формате. Как и в случае идентификации пользователя через кешированные объекты, на ETag и Last-Modified никак не влияет удаление куков и данных сайта, избавиться от них можно только очисткой кеша.

Сервер возвращает клиенту ETagСервер возвращает клиенту ETag
HTML5 AppCache

Application Cache позволяет задавать, какая часть сайта должна быть сохранена на диске и быть доступна, даже если пользователь находится офлайн. Управляется все с помощью манифестов, которые задают правила для хранения и извлечения элементов кеша. Подобно традиционному механизму кеширования, AppCache тоже позволяет хранить уникальные, зависящие от пользователя данные — как внутри самого манифеста, так и внутри ресурсов, которые сохраняются на неопределенный срок (в отличие от обычного кеша, ресурсы из которого удаляются по истечении какого-то времени). AppCache занимает промежуточное значение между механизмами хранения данных в HTML5 и обычным кешем браузера. В некоторых браузерах он очищается при удалении куков и данных сайта, в других только при удалении истории просмотра и всех кешированных документов.

SDCH-словари

SDCH — это разработанный Google алгоритм компрессии, который основывается на использовании предоставляемых сервером словарей и позволяет достичь более высокого уровня сжатия, чем Gzip или deflate. Дело в том, что в обычной жизни веб-сервер отдает слишком много повторяющейся информации — хидеры/футеры страниц, встроенный JavaScript/CSS и так далее. В данном подходе клиент получает с сервера файл словаря, содержащий строки, которые могут появиться в последующих ответах (те же хидеры/футеры/JS/CSS). После чего сервер может просто ссылаться на эти элементы внутри словаря, а клиент будет самостоятельно на их основе собирать страницу. Как ты понимаешь, эти словари можно с легкостью использовать и для хранения уникальных идентификаторов, которые можно поместить как в ID словарей, возвращаемые клиентом серверу в заголовке Avail-Dictionary, так и непосредственно в сам контент. И потом использовать подобно как и в случае с обычным кешем браузера.

Прочие механизмы хранения

Но это еще не все варианты. При помощи JavaScript и его товарищей по цеху можно сохранять и запрашивать уникальный идентификатор таким образом, что он останется в живых даже после удаления всей истории просмотров и данных сайтов. Как один из вариантов, можно использовать для хранения window.name или sessionStorage. Даже если пользователь подчистит все куки и данные сайта, но не закроет вкладку, в которой был открыт отслеживающий сайт, то при последующем заходе идентифицирующий токен будет получен сервером и пользователь будет снова привязан к уже собранным о нем данным. Такое же поведение наблюдается и у JS, любой открытый JavaScript-контекст сохраняет состояние, даже если пользователь удалит данные сайта. При этом такой JavaScript может не только принадлежать отображаемому сайту, но и прятаться в iframe’ах, веб-воркерах и так далее. Например, загруженная в iframe реклама вовсе не обратит внимания на удаление истории просмотров и данных сайта и продолжит использовать идентификатор, сохраненный в локальной переменной в JS.

Протоколы

Помимо механизмов, связанных с кешированием, использованием JS и разных плагинов, в современных браузерах есть еще несколько сетевых фич, позволяющих хранить и извлекать уникальные идентификаторы.

  1. Origin Bound Certificates (aka ChannelID) — персистентные самоподписанные сертификаты, идентифицирующие клиента HTTPS-серверу. Для каждого нового домена создается отдельный сертификат, который используется для соединений, инициируемых в дальнейшем. Сайты могут использовать OBC для трекинга пользователей, не предпринимая при этом каких-либо действий, которые будут заметны клиенту. В качестве уникального идентификатора можно взять криптографический хеш сертификата, предоставляемый клиентом как часть легитимного SSL-рукопожатия.
  2. Подобным образом и в TLS тоже есть два механизма — session identifiers и session tickets, которые позволяют клиентам возобновлять прерванные HTTPS-соединения без выполнения полного рукопожатия. Достигается это за счет использования закешированных данных. Два этих механизма в течение небольшого промежутка времени позволяют серверам идентифицировать запросы, исходящие от одного клиента.
  3. Практически все современные браузеры реализуют свой собственный внутренний DNS-кеш, чтобы ускорить процесс разрешения имен (и в некоторых случаях снизить риск DNS rebinding атак). Такой кеш запросто можно использовать для хранения небольших объемов информации. Например, если обладать 16 доступными IP-адресами, около 8–9 закешированных имен будет достаточно, чтобы идентифицировать каждый компьютер в Сети. Однако такой подход ограничен размером внутреннего DNS-кеша браузеров и может потенциально привести к конфликтам в разрешении имен с DNS провайдера.

 

Характеристики машины

Все рассмотренные до этого способы основывались на том, что пользователю устанавливался какой-то уникальный идентификатор, который отправлялся серверу при последующих запросах. Есть другой, менее очевидный подход к отслеживанию пользователей, полагающийся на запрос или измерение характеристик клиентской машины. Поодиночке каждая полученная характеристика представляет собой лишь несколько бит информации, но если объединить несколько, то они смогут уникально идентифицировать любой компьютер в интернете. Помимо того что такую слежку гораздо сложнее распознать и предотвратить, эта техника позволит идентифицировать пользователя, сидящего под разными браузерами или использующего приватный режим.

«Отпечатки» браузера

Наиболее простой подход к трекингу — это построение идентификаторов путем объединения набора параметров, доступных в среде браузера, каждый из которых по отдельности не представляет никакого интереса, но совместно они образуют уникальное для каждой машины значение:

  • User-Agent. Выдает версию браузера, версию ОС и некоторые из установленных аддонов. В случаях, когда User-Agent отсутствует или хочется проверить его «правдивость», можно определить версию браузера проверкой на наличие определенных фич, реализованных или измененных между релизами.
  • Ход часов. Если система не синхронизирует свои часы со сторонним сервером времени, то рано или поздно они начнут отставать или спешить, что породит уникальную разницу между реальным и системным временем, которую можно измерить с точностью до микросекунды с помощью JavaScript’а. На самом деле даже при синхронизации с NTP-сервером все равно будут небольшие отклонения, которые также можно будет измерить.
  • Информация о CPU и GPU. Можно получить как напрямую (через GL_RENDERER), так и через бенчмарки и тесты, реализованные с помощью JavaScript.
  • Разрешение монитора и размер окна браузера (включая параметры второго монитора в случае мультимониторной системы).
  • Список установленных в системе шрифтов, полученных, например, с помощью getComputedStyle API.
  • Список всех установленных плагинов, ActiveX-контролов, Browser Helper Object’ов, включая их версии. Можно получить перебором navigator.plugins[] (некоторые плагины выдают свое присутствие в HTTP-заголовках).
  • Информация об установленных расширениях и другом ПО. Такие расширения, как блокировщики рекламы, вносят определенные изменения в просматриваемые страницы, по которым можно определить, что это за расширение, и его настройки.
Сетевые «отпечатки»

Еще ряд признаков кроется в архитектуре локальной сети и настройке сетевых протоколов. Такие знаки будут характерны для всех браузеров, установленных на клиентской машине, и их нельзя просто скрыть с помощью настроек приватности или каких-то security-утилит. Они включают в себя:

  • Внешний IP-адрес. Для IPv6-адресов данный вектор особенно интересен, так как последние октеты в некоторых случаях могут получаться из MAC-адреса устройства и потому сохраняться даже при подключении к разным сетям.
  • Номера портов для исходящих TCP/IP-соединений (обычно выбираются последовательно для большинства ОС).
  • Локальный IP-адрес для пользователей, находящихся за NAT’ом или HTTP-прокси. Вкупе с внешним айпишником позволяет уникально идентифицировать большинство клиентов.
  • Информация об используемых клиентом прокси-серверах, полученная из HTTP-заголовка (X-Forwarded-For). В сочетании с реальным адресом клиента, полученным через несколько возможных способов обхода прокси, также позволяет идентифицировать пользователя.

 

Поведенческий анализ и привычки

Еще один вариант — взглянуть в сторону характеристик, которые привязаны не к ПК, а скорее к конечному пользователю, такие как региональные настройки и поведение. Такой способ опять же позволит идентифицировать клиентов между различными сессиями браузера, профилями и в случае приватного просмотра. Делать выводы можно на основании следующих данных, которые всегда доступны для изучения:

  • Предпочитаемый язык, дефолтная кодировка и часовой пояс (все это живет в HTTP-заголовках и доступно из JavaScript).
  • Данные в кеше клиента и его история просмотра. Элементы кеша можно обнаружить при помощи атак по времени — отслеживающий может обнаружить долгоживущие элементы кеша, относящиеся к популярным ресурсам, просто измерив время из загрузки (и отменив переход, если время превышает ожидаемое время загрузки из локального кеша). Также можно извлекать URL’ы, хранящиеся в истории просмотра браузера, хотя такая атака в современных браузерах потребует небольшого взаимодействия с пользователем.
  • Жесты мышью, частота и продолжительность нажатия клавиш, данные с акселерометра — все эти параметры уникальны для каждого пользователя.
  • Любые изменения стандартных шрифтов сайта и их размеров, уровень zoom’а, использование специальных возможностей, таких как цвет текста, размер.
  • Состояние определенных фич браузера, настраиваемых клиентом: блокировка сторонних куков, DNS prefetching, блокировка всплывающих окон, настройки безопасности Flash и так далее (по иронии, пользователи, меняющие дефолтные настройки, в действительности делают свой браузер значительно более легким для идентификации).

И это лишь очевидные варианты, которые лежат на поверхности. Если копнуть глубже — можно придумать еще.

 

Подытожим

Как видишь, на практике существует большое число различных способов для трекинга пользователя. Какие-то из них являются плодом ошибок в реализации или упущений и теоретически могут быть исправлены. Другие практически невозможно искоренить без полного изменения принципов работы компьютерных сетей, веб-приложений, браузеров. Каким-то техникам можно противодействовать — чистить кеш, куки и прочие места, где могут храниться уникальные идентификаторы. Другие работают абсолютно незаметно для пользователя, и защититься от них вряд ли получится. Поэтому самое главное — путешествуя по Сети даже в приватном режиме просмотра, помнить, что твои перемещения все равно могут отследить.

xakep.ru

Privacy Badger — расширение для запрета отслеживания браузера в Сети

У компаний, собирающих сведения о сетевых привычках пользователей, нет никакого интереса к вам лично. Им нужны данные о миллионах пользователей, чтобы на их основе расcчитывать типичные шаблоны поведения и проводить эффективные рекламные кампании.

Для сбора информации необходимо решить две задачи. Первая заключается в идентификации пользователей. Она решается путём присвоения каждому браузеру специального идентификатора, который создаётся на основе его цифрового отпечатка.

Вторая задача состоит в отслеживании передвижений пользователя. Для этого используются разные технологии, в том числе скрипты, cookie и трекеры, внедрённые в код веб-страниц.

Многие люди не видят никакой проблемы в том, что по их следу постоянно идут цифровые ищейки. Другие, наоборот, настолько озабочены этим, что разрабатывают специальные средства, которые затрудняют сбор информации.

Расширение Privacy Badger разработано Фондом электронных рубежей (Electronic Frontier Foundation, EFF), который был создан с целью защиты прав пользователей на приватную жизнь в связи с появлением современных технологий.

После установки расширения в панели браузера появится иконка с отображением числа заблокированных элементов. Не удивляйтесь, если в первое время их не будет. Дело в том, что Privacy Badger способен к самообучению. Если расширение видит, что на каждом открываемом вами сайте встречается один и тот же посторонний элемент, то оно начинает его блокировать. Поэтому через некоторое время значок всё чаще и чаще будет показывать красные цифры.

Если вы не доверяете встроенным алгоритмам, то можете самостоятельно указать расширению, какие трекеры блокировать, а какие — нет. Для этого передвиньте ползунок возле соответствующего элемента в крайнее левое положение.

Privacy Badger — надёжный и проверенный инструмент, который поможет вам сохранить свою конфиденциальность и не даст рекламным системам собирать данные о вашей истории передвижений по Сети. Рекомендуется к установке.

Цена: Бесплатно

Разработчик: efforg

Цена: Бесплатно

lifehacker.ru

Яндекс следит за пользователем? Слежка в Яндекс Браузер

Всем привет! В этой статье мы расскажем про слежку в Яндекс Браузер. Наглядно покажем какую Яндекс Браузер собирает информацию и куда ее отправляет.

Мы неоднократно писали по поводу слежки в браузерах. Для тех кто у нас в первый раз, вот ссылки на статьи: «Слежка в Edge», «Слежка в Opera», «Слежка в Firefox». Все остальные материалы касаемо слежки в сети интернет вы сможете найти самостоятельно используя поиск по сайту.

Слежка в Яндекс Браузер

Содержание

  • Предисловие
  • Слежка в Яндекс Браузер
  • Как отключить слежку в Яндекс Браузер
  • Выводы

Слежка в браузере Яндекс

При запуске Яндекс Браузер 17.3 с самого начала ведет себя более активно. При первом же запуске он устанавливает десятки подключений.

Слежка в Яндекс Браузер: Сорок подключений

Интересно, что многие из них ведут не на сайты Яндекса, а на серверы других компаний. Mail.ru, ВКонтакте и даже Google.

Видимо, так происходит из-за разных партнерских соглашений, в рамках которых Яндекс Браузер обеспечивает альтернативные варианты поиска и рекламирует сторонние ресурсы на панели быстрого доступа в каждой новой вкладке.

Яндекс.Браузер коннектится в десяток подсетей уже при старте

Обратите внимание, что часть трафика идет от имени системного процесса с нулевым PID. Адреса удаленных узлов, с которыми этот процесс устанавливает соединение, совпадают с теми, к которым одновременно подключается Яндекс Браузер.

Подключения Яндекс Браузера в TCPView

Самые подробные сведения Яндекс Браузер отправляет на api.browser.yandex.ru. В них описана конфигурация компьютера, браузера и всех его компонентов, включая состояние менеджера паролей и количество сохраненных закладок.

Отдельными строками указывался результат обнаружения других браузеров и их статус (какой запущен параллельно и какой выбран по умолчанию). Общий объем этих данных в нашем случае составил 86 Кбайт в простом текстовом формате.

Это при том, что браузер был только что установлен и не содержал никаких следов пользовательской активности. Наша видеокарта в этом логе была указана как VirtualBox Graphics Adapter — теоретически это позволяет Яндекс Браузеру легко определять, что он запущен в виртуальной среде.

Подробная статистика Яндекс Браузера (фрагмент списка)

В перехваченном трафике встречаются занятные строки вроде morda-logo или X-Powered by: Cocaine — разработчикам не откажешь в чувстве юмора. Помимо версии ОС и прочих технических сведений, Яндекс Браузер определяет физическое местоположение устройства, на котором он запущен. Причем делает он это неявно — по HTTPS и через процесс explorer.

Долгота и широта вычисляются с помощью сервиса геолокации Wi2Geo. Помимо самих координат, через сервер wi2geo.mobile.yandex.net всегда вычисляется и погрешность их определения. Естественно, мы подменили реальный адрес, но будет забавно, если кто-то попытается отыскать редакционную яхту в Аравийском море.

Слежка в Яндекс Браузер: Геолокация по IP

Как отключить слежку в Яндекс Браузер

К сожалению в браузере Яндекс не предусмотрена возможно отключения отправки технических данных на сервера компании и ее партнеров.

Выводы

Проверенный нами браузер Яндекс действительно отправляет своим разработчикам и партнерам данные, собранные во время работы на любом устройстве — будь то компьютер или смартфон.

Однако среди этих данных нет таких, которые можно было бы назвать личными и чувствительными к разглашению. В большинстве случаев это просто набор технических сведений, причем довольно лаконичный.

Например, в исходящих пакетах указывается разрешение экрана, но не определяется тип монитора. Идентифицируется общая архитектура процессора, но не записывается ни конкретная модель, ни его серийный номер.

Вычисляется количество открытых вкладок, но не передаются их адреса. Аналогично и с паролями: в отправляемых браузером сведениях телеметрии нет самих сохраненных паролей — только их общее количество в рамках синхронизации настроек менеджера паролей.

www.spy-soft.net

Отслеживание параметров браузера и ОС пользователя как мера предотвращения угона аккаунтов (обновлено)

Уважаемые Хабровчане! Вчерашний вариант статьи я полагал, что находится в черновиках. И посему отобразился недописанным. Предлагаю полную, дописанную версию

image

Многие он-лайн сервисы стремятся обезопасить аккаунты своих пользователей самыми различными способами. Кто-то отслеживает IP-адрес, сбрасывая кукисы при его изменении (так происходит на Секлабе; вКонтакте просто просит подтвердить последние 4 цифры мобильника). У кого-то сессия живёт ограниченное время, заставляя пользователя авторизоваться снова и снова. У этих способов есть свои достоинства и недостатки. Но какой бы из механизмов не использовался, отслеживание параметров браузера и ОС пользователя придаст дополнительную защиту от угона аккаунтов (как дополнительная защита, но ни в коем случае не основная). И очень странно, что я до сих пор не смог встретить ни одного сервиса, поддерживающего этот механизм защиты.

Задайтесь вопросом: в каких случаях при очередном посещении ресурса у пользователя кукисы будут аналогичны прошлому посещению, но изменятся данные браузера и используемой ОС (которые можно выцепить из User-Agent)? Только в 3-х случаях:

1. Пользователь авторизовался с разных компьютеров (например, дома и на работе) и по некоторым причинам использует разные браузеры. 2. Пользователь авторизовался с 1 компьютера в разных браузерах (этим будут страдать, пожалуй, только веб-разработчики и особо любопытные). Либо те, кто загаживает ОС непонятными фенечками (привет любителям vkSaver) 3. У пользователя угнали сессию.

Детектить предлагается не весь параметр User-Agent, а тип браузера (IE, FF, Chrome, Safari и т.д.) и операционную систему (Windows, Linux, MacOS). Это решит проблемы ложного срабатывания при обновлении ПО на компе пользователя.

Да, User-Agent можно подменять. Но: 1. Довольно часто с этим никто из угонщиков сессии не парится. 2. Подмену User-Agent можно определить (читайте ниже как).

Рассмотрим предлагаемый метод защиты в дополнение к имеющимся. В совокупности с классическими случаями угона сессии.

Отслеживание изменения IP адреса

Это хорошая практика. Но не поможет, если у пользователя нету мозгов хватило ума заходить на свой аккаунт через беспроводную сеть, где его сессию и прослушали. Либо он стал жертвой атаки «человек посередине» от злоумышленника, находящегося в одной подсети с ним у провайдера (не смейтесь, случай хоть и бородатый, но всё ещё частенько встречающийся). Скорее всего, злоумышленник не будет париться с изменением User-Agent. На то мы и рассчитываем. В итоге, доп защита срабатывает.

Сессия живёт ограниченное время
Ну мало того, что это неудобно для пользователя (часто авторизоваться). Так ещё и ситуация абсолютно аналогична предыдущей. И опять же: изменение User-Agent может быть чётким сигналом попытки угона сессии.
А что делать тем, кто всё-таки пользуется разными браузерами дома и на работе?

Как вариант, можно одну из переменных cookies генерить на основа User-Agent. Т.к. злоумышленники довольно часто копируют себе все cookies сервера без разбора, то тут-то они и попалятся, скопировав себе и переменную, привязанную для другого User-Agent.

«Ну, подменить User-Agent труда не составит, с этим только школота недостаточно опытные взломщики не справятся»,
— скажет тут кто-то их посетителей.

image

Действительно, кому нужно — тот сможет подменить. Но на помощь приходит интересный способ определения браузера через javascript. Метод очень действенный, сам проверял.image

Хотя, и этот способ можно обойти: т.к. javascript выполняется в браузере, на стороне пользователя (потенциального злоумышленника), то мы можем контролировать его выполнение и, тем самым, обойти проверку (Firebug как один из вариантов). Но об этом нужно чётко знать. К тому же, обфусцированность скрипта сильно затруднит задачу.

habr.com


 

..:::Новинки:::..

Windows Commander 5.11 Свежая версия.

Новая версия
IrfanView 3.75 (рус)

Обновление текстового редактора TextEd, уже 1.75a

System mechanic 3.7f
Новая версия

Обновление плагинов для WC, смотрим :-)

Весь Winamp
Посетите новый сайт.

WinRaR 3.00
Релиз уже здесь

PowerDesk 4.0 free
Просто - напросто сильный upgrade проводника.

..:::Счетчики:::..