The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Представлена атака на браузеры, позволяющая определить сайт в другой вкладке

21.11.2018 14:33

Группа исследователей из Университета имени Давида Бен-Гуриона в Негеве (Израиль), Аделаидского университета (Австралия) и Принстонского университета разработали метод атаки по сторонним каналам, позволяющий определить какой сайт открыт в соседней вкладке браузера через анализ задержек при обращении к кэшу. Проблеме подвержен в том числе Tor Browser.

Атака построена c применением нейронной сети, выявляющей характерную при работе с каждым сайтом активность кэша. Подобные атаки ранее были предложены для выявления фактов открытия web-страниц на основе статистического анализа шифрованного сетевого трафика, в том числе позволяющие через пассивный анализ трафика определять отправку определённых запросов через Tor. В предложенной исследователями атаке вместо анализа сетевого трафика используется оценка состояния процессорного кэша.

Атака производится через выполнение JavaScript-кода на системе пользователя, который, например, может быть получен при открытии подконтрольного атакующим сайта или подставлен в незашифрованный транзитный трафик. Запускаемый JavaScript-код выполняет трассировку активности кэша, которая классифицируется нейронной сетью и связывается с характерной для определённых сайтов активностью. В процессе обучения нейронной сети используется коллекция мемограмм (memorygram), отражающих слепки состояния кэша во время открытия определённых сайтов. При проведении эксперимента нёйронная сеть была обучена на 10 тысячах мемограмм (по 100 трассировок для 100 сайтов).

При загрузке страницы в браузере выполняются достаточно интенсивные операции с памятью, так как загружается большой объём данных по сети и активно формируется вывод на экран. Данная активность приводит к тому, что большая часть процессорного кэша заполняется данными так или иначе связанными с загрузкой страницы. В отличие от ранее предлагаемых вариантов атак, пытающихся выявлять конфликты при кэшировании, новая атака измеряет общее заполнение кеша последнего уровня без учёта раскладки информации в кэше, чего оказалось достаточным для классификации при помощи нейронной сети, обученной на типовой активности.

В экспериментах использовались модели на основе двух типов нейронных сетей: свёрточной (CNN, Convolutional Neural Networks) и рекуррентной с долгой краткосрочной памятью (LSTM, Long Short-Term Memory). Реализация на базе LSTM показала лучшие результаты.

Атака может быть эффективно проведена при значительном урезании точности работы таймера в браузере, в том числе в Tor Browser с точностью изменения событий от таймера в 100 мс (для Firefox с разрешением таймера в 20 мс точность обнаружения составила 94.8%, а для Tor Browser - 80.4%). На атаку также не влияют меры для блокировки уязвимостей Spectre и методы рандомизации размещения информации в кэше.

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: В Tor Browser 7.0.9 устранена уязвимость, раскрывающая реальный IP-адрес
  3. OpenNews: В Tor Browser устранена уязвимость, допускавшая прямое соединение в обход Tor
  4. OpenNews: Атака через JavaScript по определению содержимого L3-кэша CPU
  5. OpenNews: Эксплуатация уязвимости в DRAM-памяти через локальную сеть
  6. OpenNews: Воссоздание содержимого на экране через анализ звуковых колебаний от LCD-монитора
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: tor, browser
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (202) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Fracta1L (ok), 14:39, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Пришла пора откопать Internet Explorer 6?
     
     
  • 2.3, Аноним (3), 14:46, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +25 +/
    Еще скажи между важными вкладками пустые оставлять, в качестве буфера...
     
     
  • 3.12, Аноним (12), 15:09, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно параллельно белый шум скачивать (с паузами), чтобы исказить таймеры.
     
     
  • 4.50, hokum13 (?), 16:22, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Запускать каждый сайт в своей виртуалке! Или накупить пару десятков малинок и изолировать их!

    Больше ада!

     
     
  • 5.108, user (??), 20:46, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не поможет, закэшируется маршрутизация на промужуточных узлах.
     
  • 4.109, Андрей (??), 20:47, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Со случайными паузами.
     
  • 4.128, Аноним (128), 00:13, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    торренты наше всё! возможно видео/радио в соседних вкладках тоже будет "шуметь".
     
  • 4.139, Аноним (139), 06:42, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не лучше ли белого шума напихать непосредственно в обработку JS и загрузку (на нормальном вэбе почти не скажется, только у говносайтов 20 секунд загрузки превратятся в минуты)? Порезать JS таймерам точность до секунд, так как меньше по факту не нужно (плавные анимации - это всё должно быть через CSS).
     
  • 4.146, анон (?), 08:29, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не закрывать вкладки месяцами, накапливать тысячи открытых вкладок и не перезагружать пк.
     
  • 4.210, mickvav (?), 08:35, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, кстати, хороший вопрос - процессор-то общий, интересно, как влияет работающий в параллель торрент?
     
  • 2.4, Урри (?), 14:47, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Пришла пора менять сам подход к "приватности". Пора осознать и принять, что любые твои личные данные так или иначе станут доступными злоумышленнику. И единственный выход - это делать так, чтобы злоумышленник их не смог понять.
     
     
  • 3.6, Fracta1L (ok), 14:50, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  Пора осознать и принять, что любые твои личные данные так или иначе станут доступными злоумышленнику

    А ты быстрый.

     
     
  • 4.62, Урри (?), 16:37, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    При чем тут я? Я это давно понял.
    Но опеннет все обсуждает и обсуждает как надо правильно запускать браузер или какие новые тормоза надо добавить в ядро, чтобы избавиться от очередной уязвимости.
     
     
  • 5.103, Qwerty (??), 20:00, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >какие новые тормоза надо добавить в ядро, чтобы избавиться от очередной уязвимости.

    Ну тут-то Линукс просто сверхбезопасен.

     
  • 5.165, Аноним (165), 11:29, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > или какие новые тормоза надо добавить в ядро

    При том, что большенство уязвимостей существует только на бумаге или при использовании специально подготовленого оборудования и софта. При этом все закрывают глаза на реальные уязвимости.

     
  • 3.74, Аноним (74), 17:08, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Практическое применение этой сенсационной идее потрудитесь озвучить?
     
     
  • 4.189, SenaIVV (?), 15:01, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    То есть? Это и есть практика, правительство берет все запретные сайты и обучает на них сеть - потом вас штырят через простой яваскрипт от провайдера, узнавая, открыт ли в вашем браузере один из этих запретных сайтов, или нет. И на заметку вас в случае чего.
     
  • 3.124, Аноним (124), 23:10, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    хоть информация и оказывает на вас влияние это отдельная сущность с вами органически не связанная, единственный выход - не плодить эту сущность


     
  • 3.182, Аноним (182), 14:16, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не смог понять? мм-м-... Указывать год рождения от эры динозавров? Менять буквы "о" в имени на нули?
     
  • 2.56, fi (ok), 16:28, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    решение куда проще - замораживать вкладки после переключения.
     
     
  • 3.65, Crazy Alex (ok), 16:38, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно не совсем, но затормаживать до неприличных значений - раз в двадцать, допустим
     
     
  • 4.190, SenaIVV (?), 15:03, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да все гораздо проще - просто просить владельцев сайтов, вносить рандомные блоки в свои сайты, всё, кэш всегда будет разный, устанут обучать.
     
  • 2.91, Аноним (91), 18:37, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Пришло делать нормальный веб, задержки от которого укладываются в таймер 20 мс.
     
  • 2.199, Aknor (?), 11:40, 23/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не-а. Пора запускать броузер на специальном ядре сотключенными кешами и предсказанием ветвлений .
    В петушинном углу для недоверенного кода, так сказать ..
    Пусть уеб-погроммисты и браузерописатели попрыгают,пооптимизируют , хе-хе
     

  • 1.2, Аноним (2), 14:44, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Интересно, сможет ли отличить pornhub от vimeo?
     
     
  • 2.36, нах (?), 15:54, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а это разьве не один и тот же сайт?
     

  • 1.5, Аноним (5), 14:49, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Скоро чтоб спастись от слежки нужно будет для каждой странички запускать отбельный браузер на отдельном экземпляре операционки и на отдельном процессорном ядре.
     
     
  • 2.9, Stax (ok), 15:03, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Qubes OS немного доработать, чтобы шедулер соответствовал требованиями по ядрам и решение готово. Рутковская как чувствовала, что скоро без этого будет никуда.
     
     
  • 3.25, Акакжев (?), 15:42, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Индересно, кто (был?) генератор идей для Джоанны (про исполнителей то уже даже в Википедии написали).
     
     
  • 4.49, Аноним (49), 16:21, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >про исполнителей то уже даже в Википедии написали

    где?

     
     
  • 5.145, Акакжев (?), 08:18, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>про исполнителей то уже даже в Википедии написали
    > где?

    "однако Александр немного больше времени уделяет программистской работе, а сама Рутковская сосредоточена непосредственно на бизнес-задачах"

    https://ru.wikipedia.org/wiki/%D0%A0%D1%83%D1%82

     
     
  • 6.157, Аноним (49), 10:30, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а че бы например не посмотреть список вот здесь? https://www.qubes-os.org/team/
     
     
  • 7.186, Акакжев (?), 14:44, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > а че бы например не посмотреть список вот здесь? https://www.qubes-os.org/team/

    Во-первых, по ссылке нынешний состав, а идея (о чём и был вопрос) появляется до реализации.
    Во-вторых, не нахожу там имени Рафал Войчук.
    В-третьих, идею вполне мог предложить не Рафал, а Александр (с оговоркой: для Windows, где её реализация за пределами возможностей), однако, он слишком скромен, что бы упоминать о подобных мелочах.

     
  • 3.57, Омоним (?), 16:31, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • –8 +/
    > шедулер

    Для финишировавших МГИМО: читается "скедулер", но в русском языке есть слово "планировщик".

     
     
  • 4.68, Аноним (68), 16:41, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Для финишировавших МГИМО: читается "скедулер"

    Сам небось МГУ финишировал? "скедуал" это с американским акцентом, британцы же говорят "шэдуал".

     
     
  • 5.72, Tor (??), 17:02, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    британцы же говорят "шэдуал" - уже почти не говорят
     
     
  • 6.81, Аноним (81), 17:49, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, спросите у любого британского native speaker. Если только иммигрант скажет скедуле.
     
     
  • 7.166, Аноним (165), 11:31, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Если только иммигрант

    Вот поэтому и уже почти не говорят.

     
  • 7.176, sergp (??), 12:25, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    амер. skedʒuːl
    брит. ʃɛdjuːl
     
     
  • 8.187, Акакжев (?), 14:50, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    OxfordAmericanDictionary En-En scheduler 712 skejo 862 ol 601 r 712 sk... текст свёрнут, показать
     
     
  • 9.206, Аноним (206), 23:58, 25/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Оп https dictionary cambridge org us dictionary english scheduler ... текст свёрнут, показать
     
     
  • 10.208, Акакжев (?), 07:07, 26/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да, есть и такой словарь Скажу Вам больше информация может различаться в разли... текст свёрнут, показать
     
  • 5.98, Омоним (?), 19:12, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Не знал, что британский так популярен в местном IT. Думал, им лишь огрехи произношения и написания оправдывают. Что ж...

    Товарищ, верь: взойдёт она,
    Звезда пленительного счастья -
    $LS_COLOUR - и в метаданных патча
    Увековечат ваши имена!

     
  • 5.177, Аноним (177), 12:31, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ориентироваться на британский не надо - 99.9(9)% всего англоязычного контента в интернете - это американский.

    Уже 10 лет смотрю фильмы в оригинале, видеоуроки, итд, плюс работаю в международной команде (полный интернационал со всего мира). В общем, слышу англ и пользуюсь им каждый день.

    Так вот, с британским я сталкивался всего два раза за все время:
    1) гарри поттер в оригинальной озвучке
    2) один из фрилансеров-индусов.

    Зы.
    Вся идиоматика, которую так заставляли когда-то учить на курсах английского коту под хвост - в реальности используется американская. Ну и elevator поймут все, а lift - нет.

     
  • 4.93, Fracta1L (ok), 18:48, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Всем пофиг. Ещё из-за "роутера" визжать начни.
     
  • 4.95, Урри (?), 18:52, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А почему вы, д'Артаньян, не говорите Бабилон и Барбара, вместо Вавилон и Варвара?
     
  • 4.122, Vladimir (??), 22:37, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну это, товарищ, смотря с какого вы континента

    https://dictionary.cambridge.org/dictionary/english/scheduler

     
     
  • 5.132, Омоним (?), 00:42, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это если игнорировать, что преподаваемую в школе толику британского английского в дальнейшем сносит лавина американского, доминирующего в этой нашей компьютерной тематике, да и в массовой культуре. Наверно, лишь самые стойкие могут так: colour[GREY] = lib::Color::Gray; dx = 3.0 * METRE; pos = POS_CENTRE;
     
  • 2.23, Акакжев (?), 15:40, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это не про слежку. Это что бы просто боялись.
     
  • 2.28, нах (?), 15:49, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    на отдельном физическом сервере. Желательно в отдельной изолированной комнате, а то окажется что не смотря на все попытки ограничить доступ, страничка в современном шибкоумном браузере видит тебя в камеру, дополняя увиденное эхолокацией сквозь твои же колонки и микрофон (а если нет микрофона - через те же самые колонки), а уж клавиатурный набор вообще читает быстрее чем драйвер клавиатуры.

     
     
  • 3.30, Акакжев (?), 15:51, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ...после чего через сопряжённый по блутусу сотовый звонит в ближайшую клинику.
     
  • 3.41, КО (?), 16:06, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >видит тебя в камеру

    точно - зеркало за спиной не вешайте, а то никакого кеша не надо будет. :)

     
  • 3.167, Аноним (165), 11:34, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > камеру
    > колонки
    > микрофон

    Сколько ненужно в одном предложении. Вот когда по шумам в электрической сети начнут с расстояния видеть тогда и поговорим.

     
  • 2.40, КО (?), 16:04, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На отдельном компе, подключенному к отдельной розетке и желательно совсем в другой точке земного шара.
    Ну или сливать столько информации, чтоб опознать реальную было невозможно. :)
     

  • 1.7, Аноним (7), 14:50, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    js - зло, но атака больше на исследовние-ради-исследования похожа
     
     
  • 2.8, Аноним (8), 14:57, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > js - зло

    Тоже сидишь вспоминаешь лефтпад?

     
  • 2.10, Аноним (12), 15:07, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > js - зло

    Т.е. ты новость не читал, сразу побежал писать комментарий? Да хоть на C используй (через WASM). Атака не через язык/интерпретатор идет, а через таймеры и кеши. Ох уж эти аналитики в комментариях.

     
     
  • 3.29, нах (?), 15:50, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    соответственно и wasm надо отправить ровно туда же, куда и "обычный" js.

    Атака идет через совершенно ненужные возможности, засунутые в браузер этих ваших интернетов.

     
     
  • 4.35, Аноним (35), 15:54, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    >ненужные возможности

    Ты СКОЗАЛ??!!!

     
     
  • 5.38, нах (?), 15:57, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +18 +/
    я, в отличие от тебя, миленниала, отлично помню что все нужные мне сайты когда-то прекрасно обходились без ненужно-функционала - и ими было быстрее, удобнее и приятнее пользоваться, в отличие от современного скриптованного дерьма.

    начиная вот прямо с гугля и заканчивая онлайн-банком - у мастербанка в свое время на сайте не было _ни_одного_ скрипта. И ничего, работало. Быстро и эффективно.
    Как - вашему современному умишку не постичь, даже и не пытайтесь.

     
     
  • 6.48, Аноним (68), 16:21, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > я, в отличие от тебя, миленниала, отлично помню

    А я отлично помню, как мы вообще без сайтов обходились, ты тогда еще под стол пешком ходил. Думаешь, компьютеры тоже стоит запретить?

     
     
  • 7.168, Аноним (165), 11:36, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы таки не понимаете различий между "запретить" и "сделать легче и выпилить кучу телеметрии и рекламы"? 99% js кода это телеметрия и релкама, таки да. Особенно умиляет когда его начинают юзать на одностраничном сайте без динамики ради рюшечек и анимаций которые спокойно делаются на CSS, ещё и работают в результате быстрее.
     
  • 6.77, КГБ СССР (?), 17:29, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, вот что интересно. Давеча ходил я из текстового интерфейся широко известной программы yast на сайта Новелля — и оно таки сходило нормально, опознало подписку и всё такое. За браузер был w3m. 2018 год, однако, приятно. За такие вещи я очень люблю Кговавый Ынтерпрайз старой закалки.
     
  • 5.66, Аноним84701 (ok), 16:38, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    >>ненужные возможности
    > Ты СКОЗАЛ??!!!

    Ты круто опрАверг?
    Большую часть всех этих фенечек, для которых сейчас используется JS, можно было реализовать предоставлением АПИ в браузере или расширением HTML.
    Но нет, ведь под каждую отдельную хотелку проще было делать костыль-подпорку, попутно накручивая потихоньку мегатонны абстракций.
    А потом вдруг оказалось, что к этому небоскребу из костылей и подступиться боязно и обойтись уже никак не получается и заменить не выходит - легаси-с. А все когда-то сэкономленные средства ушли на разработку мощнейших JIT-движков ("бонусом" DOM реализации в браузерах стали жрать память сотнями МБ) -- просто чтобы оставить статус-кво.
    И теперь почему-то каждый второй бложик с текстом и картинками без активного JS  нормально-читабельно не отобразится (а вместо каждого третьего будет вообще белая страничка или только шапка). Ну и жрет такой современный браузер совершенно по современному, даже если показывает ровно то же самое, что и 20 лет назад.
    Профит пополам с прогрессом, че …


     
     
  • 6.75, нах (?), 17:20, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вообще-то большую часть можно реализовать (и реализовывали до эпохи всеобщего разжижения мозгов) server-side.
    Ну да, пользователю иногда надо было сделать два лишних клика мышью - а сегодня ей можно просто дрыгать, и ждать, пока под курсор подползет нужное.

     
  • 6.78, КГБ СССР (?), 17:33, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чувак, JS к вебу приделали для интерактивных развлечений: чтобы баннеры мелькали и кнопочки переливались цветами радуги, снег шёл по экрану и тому подобных шалостей. Для дела же там другие средства предусмотрены — как верно заметил нах, это были клиент-серверные технологии. Коим уже десятки лет от роду. В это, наверное, будет не под силу поверить миллениалам, но изначально Веб спроектировали без всей этой интерактивщины на стороне клиента.
     
     
  • 7.92, Аноним84701 (ok), 18:43, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Контекстное автодополнение выбор из списка, сама проверка ввода в формах, частич... текст свёрнут, показать
     
     
  • 8.106, КГБ СССР (?), 20:10, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да, AJAX 8212 кто помнит ещё это название 8212 был, в определённой мере, ... текст свёрнут, показать
     
  • 8.107, Специалист по всему (?), 20:37, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас есть datalist По крайней мере если список небольшой и его можно загрузит... текст свёрнут, показать
     
     
  • 9.113, Аноним84701 (ok), 21:07, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Только нужно было не сейчас, а еще тогда Глядишь и костылей бы или историческ... текст свёрнут, показать
     
     
  • 10.120, Специалист по всему (?), 22:24, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кому, тебе Почему же ты не сделал тогда ... текст свёрнут, показать
     
     
  • 11.121, Аноним84701 (ok), 22:31, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В ход пошла банальная демагогия, лишь бы оправдать любимый фетиш ... текст свёрнут, показать
     
  • 8.114, нах (?), 21:29, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    это то, которое все, матерясь, везде отключают, потому что заманало собирать про... текст свёрнут, показать
     
     
  • 9.117, Аноним84701 (ok), 21:51, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А можно не дергать отдельные части предложения И нет, это когда содержание вто... текст свёрнут, показать
     
     
  • 10.140, Аноним (140), 06:42, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Есть такой UX-паттерн 8212 пошаговый мастер Прекрасно реализуется без JS-под... текст свёрнут, показать
     
     
  • 11.147, КГБ СССР (?), 09:08, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Совершенно верно Однако идея про next-next-next обрела дурную репутацию 8212 ... текст свёрнут, показать
     
  • 11.185, Аноним84701 (ok), 14:26, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, в реальности это обычно минимальный прием с многосекундным временем отклик... текст свёрнут, показать
     
     
  • 12.197, нах (?), 09:53, 23/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    в такой реальности с твоим аяксом работать будет вообще невозможно - потому что ... текст свёрнут, показать
     
     
  • 13.202, Аноним84701 (ok), 14:41, 23/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Мля Причем тут аякс, тем более мой Если бы кое-кто удосужился читать ветку ц... текст свёрнут, показать
     
  • 10.159, нах (?), 10:42, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    значит, это две разные страницы И нет, ничего ужасного в том что загрузится еще... текст свёрнут, показать
     
  • 4.42, КО (?), 16:07, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    зачем? Без js wasm практически не способен к контактам... :)
     
  • 2.26, Аноним (35), 15:44, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вы из тех дураков которые не может отличить причины от корреляции?
    Преступник играл в компьютерные игры! - Запретить компьютерные игры!
    Маньяк пил кефир! - Запретить кефир!
    Кривую реализацию процессорного кеша ломанули через js - Запретить JS!
     
     
  • 3.60, Аноним (60), 16:35, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В чём она кривая?
    Предложите кэш, что бы:
    был;
    и быстрый;
    и надёжный.
     
  • 3.80, КГБ СССР (?), 17:38, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    JS небезопасен априори. Неужели так трудно это понять? Тебе из сети сгружают неизвестный код, который может быть исполнен твоим браузером. Можно ли придумать что-то более опасное? Ну да, можно — сразу вирусню загружать на твой локалхост и запускать её.
     
     
  • 4.85, Аноним (85), 18:02, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вспомнил тут https://youtu.be/LSgk7ctw1HY?t=52
     
     
  • 5.89, КГБ СССР (?), 18:19, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошая шутка.

    Во времена оны мне приходила в голову нехорошая мысль сделать при помощи ВинАпи «вирус», который отключает клавиатуру и мышь, и добавить его приятным людям в автозагрузку. Вреда никакого, а нервы на взводе. :)

     
  • 4.111, Sw00p aka Jerom (?), 20:59, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>Тебе из сети сгружают неизвестный код

    Тут достаточно этого - "тебе из сети приходит (сгружают)"

     
  • 3.141, Аноним (140), 06:46, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если 99% маньяков пьют кефир, нужно начать ставить на карандаш любителей кефира. Есть там причинно-следственная связь или нет это уже их проблемы.
     
     
  • 4.144, Совокнеистребим (?), 07:56, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    100% Маньяков дышит воздухом. Пора ставить на карандаш?
     
     
  • 5.151, КО (?), 10:03, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    К несчастью, то ж бывает у людей
     
  • 3.184, Аноним (182), 14:22, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для Dе6илов поясняю: кривая аналогия!

    Правильная аналогия:
    Пытался почистить картошку катаной - отрезал себе два пальца.
    Взял картофельный нож - всё путём.


    JS - кривая катана с выпадающей ручкой, летящая от махающего в любые стороны. Как нунчаки, только катана. :) Самый отвратительный, бестолковый, небезопасный, кривой язык, который только можно было придумать.

     

     ....большая нить свёрнута, показать (36)

  • 1.11, Аноним (11), 15:09, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Атака построена c применением нейронной сети, выявляющей характерную при работе с каждым сайтом активность кэша.

    У многих ли злоумышленников есть своя нейронная сеть достаточной мощности, которую они будут юзать для изучения вкладок анона?

     
     
  • 2.32, Аноним (35), 15:52, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >нейронная сеть достаточной мощности
    >рекуррентной с долгой краткосрочной памятью

    30 строк на Питоне/Kerras

    + видеокарта не хуже 1050ti для разового обучения.

     
  • 2.44, Аноним (44), 16:13, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    у государства или крупной компании - вполне хватит.
     
  • 2.160, нах (?), 10:43, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > У многих ли злоумышленников есть своя нейронная сеть достаточной мощности, которую они
    > будут юзать для изучения вкладок анона?

    зачем? Универ свою обучит и будет раздавать уже обученную, как обычно все делают. Пользуйтесь на здоровье.

     

  • 1.13, Аноним (13), 15:12, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Демонстрации нет? Хочу проверить на своем комплюкторе

     
     
  • 2.39, Акакжев (?), 15:58, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Вы таки не верите университету? Трём Университетам??? В презентации даже лук нарисовали. Пророщенный! Для кого это всё?!
     

  • 1.14, Аноним (14), 15:15, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Проблеме подвержен в том числе Tor Browser.

    Таки зачем вы в нём включаете жабаскрипт?

     
     
  • 2.31, нах (?), 15:52, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    потому что вебмакачьи выcepы без js не работают вообще?

    то есть вопрос скорее - зачем вы вообще ходите в интернет, он нынче вот такой - смотрит на тебя тысячей глаз.

     
     
  • 3.33, Аноним (35), 15:53, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Правильно. Уходи от сюда. Тут опасно.
     
  • 3.46, Аноним (46), 16:17, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Веб программисты пишут на том что есть. А кроме js браузер в браузере ничего нет для динамики. Не нравится? Вопросы к w3c, Google, Mozilla, Microsoft. Не нравится динами? Расскажи это заказчикам. Если заказчику нужна динамика, а в браузерах ее не будет, то он напишет свое прилоежение. Каждому сайты по приложению и будешь ты открывать не 100 вкладок браузера, а 100 отдельных окон проргамм.
     
     
  • 4.58, нах (?), 16:32, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    http www opennet ru openforum vsluhforumID3 115868 html 38 я прекрасно помню в... текст свёрнут, показать
     
  • 4.88, user (??), 18:14, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Зачем они пишут приложения даже там, где достаточно документов?
     
     
  • 5.161, нах (?), 10:49, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    они пишут приложения даже там, где и документы не нужны, а надо просто работать ... текст свёрнут, показать
     
     
  • 6.178, КГБ СССР (?), 12:39, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Зачем они пишут приложения даже там, где достаточно документов?
    > они пишут приложения даже там, где и документы не нужны, а надо
    > просто работать.

    Ну да, всё дело в программерах. Очень уж выгоден этот бизнес. Написал я про это коммент, да бот схарчил. Г-нокодеры повсюду.

     
  • 4.112, Sw00p aka Jerom (?), 21:02, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>Каждому сайты по приложению и будешь ты открывать не 100 вкладок браузера, а 100 отдельных окон проргамм.

    я даже согласен с этой идеей, сразу можно будет отсеивать шлак, а браузер пусть будет вроде приложения для википедии не более

     
  • 2.87, user (??), 18:13, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что он чаще нужен для обхода незаконной цензуры, чем для анонимности.
     
     
  • 3.170, Аноним (165), 11:48, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Он изначально не был для анонимности. Это на сайте написано.
     

  • 1.15, Аноним (15), 15:16, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Может быть, ущербна сама идея допускать выполнение недоверенного кода на своем компьютере. Может быть, сандбокс-изоляция — это в принципе фикция, и невозможно полностью учесть все взаимовлияния программ, написанных на тьюринг-полном языке, если они работают на одном устройстве и конкурируют за общие ресурсы.
     
     
  • 2.21, Аноним (35), 15:39, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Может быть, ущербна сама идея допускать выполнение недоверенного кода на своем компьютере.

    Альтернатива - не включать компьютер вообще, так как PSP/ME - являются воплощение проприетарного не доверенного кода.
    >Может быть, сандбокс-изоляция — это в принципе фикция, и невозможно полностью учесть все

    Как то хостеры выживают, хотя выполняют не доверенный код(сайтов) на своих серверах.

     
     
  • 3.34, нах (?), 15:53, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    хостеру в общем-то не очень обидно, если ломанут - _твой_ сайт. А биллинг у него живет вовсе не на том же сервере, будь уверен.

     
  • 3.171, Аноним (165), 11:49, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Скажите это моему доисторическому процу без ME и даже без HT :)
     
  • 2.64, Аноним (64), 16:38, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Может быть, ущербна сама идея допускать выполнение недоверенного кода на своем компьютере.

    вопрос - тогда какой код считать доверенным?
    надо понять возможность запускать код в браузере = возможность любому запустить любой код
    в самом тяжёлом случае ты сам скачаешь скрипт и отключишь всякие проверки и запреты чтоб он запустился.
    а доверие это пшик который ничего не стоит.

     
  • 2.179, Аноним (179), 13:20, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > написанных на тьюринг-полном языке

    При чем здесь полнота?

     

  • 1.16, Аноним (16), 15:23, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в браузере больше двух вкладок открыто, работает ?
     
     
  • 2.22, Аноним (35), 15:40, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Нет, нейронная сеть через динамики просит закрыть лишние вкладки.
     
     
  • 3.47, Аноним (46), 16:19, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Netflix убедительно просит закрыть вкладки с пиратскими торрент трекерами в соседних вкладках.
     
     
  • 4.156, user (??), 10:24, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >пиратскими

    РСП взял деньги, все вопросы к ним.

     
  • 2.45, КО (?), 16:15, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Идея вычислить активную вися сбоку. Врядли вы что-то активно делаете сразу на нескольких вкладках.

    P.S. Одна идея нейронной сети на js - вот сила.

     
     
  • 3.101, Аноним (101), 19:42, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    нейронной сети на js

    Для бинго не хватает блокчейна.

     

  • 1.17, Аноним (17), 15:29, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Следующий шаг разработчиков браузеров - разделяемый кэш, для каждой вкладки свой.
     
     
  • 2.18, Аноним (35), 15:35, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >процессорного кэша.
    >для каждой вкладки свой.

    Теперь для запуска двух вкладок нужно двухпроцессорная система.

     
     
  • 3.59, нах (?), 16:34, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    четырех. В двух тредах будет только отрисовка вкладок - чтобы скачать содержимое, нужны еще два.

     
     
  • 4.152, КО (?), 10:06, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так Интел со своими рыцарями ужо давно готовился, но производители браузеров все никак не подвезут клиентов...
     
  • 2.51, Аноним (46), 16:22, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Просто время чтения кэша должно быть медленным, как буд-то его нет. Скорость снизится, но из сети файлы повторно не будут загружаться по прежнему.
     
  • 2.90, RomanCh (ok), 18:29, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Следующий шаг разработчиков браузеров - разделяемый кэш, для каждой вкладки свой.

    Пару лет назад... (https://www.opennet.ru/opennews/art.shtml?num=43949#11)

    > И как вам например результаты "успешной отладки" браузеров? Под которые скоро наверное будут делать отдельный сопроцессор со своей отдельной памятью.

    Надо было патентовать идею?

     

  • 1.19, COBA (?), 15:35, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не понял - отключение браузерного кеша спасет от уязвимости?
     
     
  • 2.27, Аноним (35), 15:48, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >процессорного кэша.

    Вот этот отключай. Проще всего это сделать молотком.

     
     
  • 3.52, Аноним (46), 16:23, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не правда. Молоток нужно достать, потом бить им. Проще выключить из розетки.
     
     
  • 4.127, Аноним (127), 00:08, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Проще выключить из розетки.

    Ну не скажите, розетка розетке рознь. Если вынуть, к примеру, колонки из розетки, как это поможет?
    Монитор тоже отключать нельзя -- не увидим содержимое диска. Не телевизор же покупать? Системник тоже нет резона обрубать -- не сможем пользоваться монитором и тп. Роутер вырубить? Отлично. Но как тогда быть с подключением инета на прямую по кабелю? У кабеля нет эл.розетки! А самое страшное это ноутбуки их таким способом не выключить.
    Так-что ваше решение проблемы не такое простое, если посмотреть вооруженным взглядом.


     
  • 4.131, Аноним (131), 00:27, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Молоток нужно достать, потом бить им.

    И, как правило, люди бьют себе по пальцам. Пожалуй, молоток оставим профессионалам.

     

  • 1.20, Аноним (17), 15:35, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > через выполнение JavaScript-кода на системе пользователя, который, например, может быть получен при открытии подконтрольного атакующим сайта или подставлен в незашифрованный транзитный трафик

    Уж слишком много "если". Больше похоже на инструмент запугивания клиента, чтобы тот отстёгивал дополнительные средства на "безопасность".

     
     
  • 2.24, Anonim (??), 15:41, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Уж слишком много "если". Больше похоже на инструмент запугивания клиента, чтобы тот отстёгивал дополнительные средства на "безопасность".

    +100500

     
     
  • 3.130, Аноним (130), 00:18, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > +100500

    Вы столько отстегнули?

     
  • 2.54, Аноним (46), 16:25, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты какую-то бессмыслицу написал. Чьи клиенты? Деньги от кого? Браузеры условно-бесплатны (доход с рекламы), и они по любому реализуют какой-то механизм защиты заплатят им за это или нет.
     
     
  • 3.134, Аноним (17), 01:58, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Чьи клиенты? Деньги от кого?

    Клиент - абсолютно любая контора, использующая интернет. Пришёл с аудитом, выложил сабж - и считай, что заказ на повышение уровня безопасности у тебя в кармане.

     

  • 1.37, Аноним (37), 15:55, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Придётся переписать дефолтный таймер в браузере):
     
  • 1.53, КО (?), 16:25, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Судя по всему только Wikipedia нормально грузится и дальше смотри.
    А Гитхаб с Ораклом все время что-то подгружают, подгружают и подгружают...
     
     
  • 2.61, нах (?), 16:36, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    они ее, наверное, роботом открывали. Если открыть и смотреть в браузере - убедишься, что и в ней полно динамического ненужно-контента (он не js а css. но кому от этого лучше?)

     
     
  • 3.153, КО (?), 10:12, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Посмотрел - не так уж и много, зато оценил фичу с новомодным объединением несколькиз запросов в один 4 запросика по килобайту все вместе ждали пятого 250мс, хотя каждый по отдельности мог уложиться в 45. :)
     

  • 1.55, Аноним (46), 16:28, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пора уже альтернативу js пилить. Подмножество которое позволяет скрывать элементы для спойлеров и отправлять файлы группами для форм. Остальное не нужно.
     
     
  • 2.63, нах (?), 16:37, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    будете пилить - запилите еще прогресс-индикатор для отправки этих файлов. Почему он есть в браузере вполне себе штатный только для download а для upload нужны уродливые аяксные поделки - тайна великая есть.

     
     
  • 3.86, КГБ СССР (?), 18:10, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего удивительного. Когда браузеры только оформились как отдельный класс программ, уже давно был православный FTP. Предполагалось, что люди отправляют файлы именно по этому протоколу соответствующими клиентами. Вспомни — на заре интернетов даже мейлбоксы были крошечными. Все тогда понимали, что это (HTTP) не для закачивания куда-либо файлов с клиента.
     
     
  • 4.94, Аноним (85), 18:50, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    тогда еще торрентов никаких не было и даже р2р. варез раздавали через приватные фтп серверы. и чтобы скачать что-то с таких серверов надо было сначала закачать что-то и заработать "кредиты".
    а еще почти все клиентские РС в сети были без брандмауэров и у многих былы расшарены диски. можно было подключаться и качать что хочешь. в общем был эдакий коммунизм :)
     
     
  • 5.99, Аноним (99), 19:16, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >и у многих былы расшарены диски
    >все клиентские РС в сети были без брандмауэров

    По SMB что ли? Тогда да, точно коммунизм ;)

     
  • 5.105, КГБ СССР (?), 20:08, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    До сих пор на некоторых форумах полно ссылок на давно потухшие частные FTP До п... текст свёрнут, показать
     
  • 4.143, нах (?), 07:13, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    еще не менее давно был православный gopher Но почему-то браузеры таки оформил... текст свёрнут, показать
     
     
  • 5.148, КГБ СССР (?), 09:21, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не то чтобы оформились, но их оформили Первые спецификации HTML вплоть до 4 01... текст свёрнут, показать
     
  • 3.136, Аноним (136), 04:49, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    о, снобы минуснули
     
  • 2.84, Специалист по всему (?), 17:59, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Спойлеры уже в HTML запилили и так: details и summary.

    Для отправки нескольких файлов есть атрибут multiple у input.

    В общем, ничего делать уже не нужно.

     
     
  • 3.142, Аноним (140), 07:05, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Лажа эти details и summary. Низкая конфигурируемость и 0 совместимости между браузерами. Нормальные спойлеры тривиально делаются на CSS ~2 (на выбор — через :hover или CSS Checkbox Hack).
     
     
  • 4.207, Аноним (206), 00:02, 26/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > 0 совместимости между браузерами

    IE/Edge не браузер.

     
  • 2.119, Аноним (119), 22:16, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Проблема в том, что некоторые сайты имеют настолько преданных холопов, что позво... текст свёрнут, показать
     
     
  • 3.149, КГБ СССР (?), 09:29, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    После того, как иксбэтэ даже если закрыть глаза на его желтушность сделало ред... текст свёрнут, показать
     
  • 2.172, Аноним (165), 11:53, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ...Ситуация: есть 15 конкурирующих стандартов...
     

  • 1.69, DmA (??), 16:53, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    javascript использовать в Торе? Наверно таких нет!
     
     
  • 2.115, Аноним (119), 21:44, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Есть - ни в одну почту без него не пустит.
     
     
  • 3.162, нах (?), 10:53, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть - ни в одну почту без него не пустит.

    кстати, да, забавно - из gmail еще можно как-то извлечь запрятанный туда html-вариант, но авторизоваться уже, похоже, не получится.

     
  • 3.173, Аноним (165), 11:56, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    tutanota dot com
     
  • 3.180, Аноним (140), 14:02, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Меня пускает - по POP3. Но отправлять почту через себя Tor не даст
     
     
  • 4.195, Аноним (119), 00:37, 23/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    pop3 - это поверх tcp. Так что даст.
     

  • 1.70, Аноним (70), 16:59, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Атака производится через выполнение JavaScript-кода

    На этом можно заканчивать. Атака бесполезна. Вы же не думали, что полезные им атаки они раскроют публично?

     
  • 1.71, Аноним (70), 17:01, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    мемориграммы - это давнишняя и оч мощная атака, если её можно применить, то можно отслеживать не только сайты, но и програмиы на компе пользователя.
     
  • 1.73, ыы (?), 17:02, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну... у меня в браузере открыто 50 вкладок.... он все их определит?
     
     
  • 2.76, нах (?), 17:23, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    нет, твой личный сайт с котиком- не определит, на нем нейросеть не обучали.

     
  • 2.79, Аноним (79), 17:34, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > ну... у меня в браузере открыто 50 вкладок.... он все их определит?

    Нет, только 49. 50-я вкладка это "он" (тот кто всех определяет ;) !

    И да, ИМХО, достаточно определить 10 - 20 вкладок, что бы почти точно идентифицировать каждого отдельного %USERNAME%.

    И да, держите больше открытых вкладок ;)

    Удачи.
    С уважением, Ваш определитель.

     
     
  • 3.174, Аноним (165), 11:57, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, особенно если вкладки по умолчанию заморожены и отрыта только одна активная. Удачи определить меня.
     
     
  • 4.193, OldFart (?), 18:38, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Sir didn't heard about webworkers or service workers that works in background ?
     
  • 3.188, ыы (?), 14:57, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А как при этом будет отделятся содержимое кэша процессора между 1 и 2 вкладками и между 1 и 3 ? и между 1 и 4-5-6-7-8?
     

  • 1.82, Аноним (82), 17:52, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Уже несколько лет все важные сайты (банк, хостинг...) открываю в отдельном браузере отведенном только под это.
     
     
  • 2.100, Гентушник (ok), 19:41, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Предполагаю что эта атака будет работать даже если открыты параллельно два разных браузера.
    Главное чтобы на одно ядро процессора попали.
     
     
  • 3.154, КО (?), 10:15, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так это - кто мешает виртуалки (в которых грузить браузеры) насильно раскидать по ядрам?
     
  • 2.102, Аноним (102), 19:53, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я пользуюсь профилями firefox (firefox -P), против банков профиль без плагинов, когда нужен еще один инстанс firefox'а с другим профилем то firefox -P --new-instance
     
  • 2.110, Аноним (110), 20:59, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    более того, у меня для этих целей отдельная виртуалка
     
  • 2.137, Аноним (136), 05:03, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    тут хотелось бы пояснения того, почему вы считаете сайт банка и хостинга заслуживающими отдельного обращения, а 999 других сайтов, на которых проводите куда больше времени, нет. Твиттер, багзилла компании где работаете, еще какая нибудь учетная система отпусков в компании, покупки билетов в цирк, вытавку, самолет, донаты в играх, сами игры; опеннет, порнохаб, вася прислал ссылку, маме и дедушке помочь с жкх и приставами, имгур и fpaste, торренты и т.д.

    Короче, не понятно, почему огораживание сайта банка тебе поможет?

     
     
  • 3.150, Аноним (124), 09:30, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    логическое разделение информации отсеивает часть угроз на барьерах (компетенции, языковых, тд), в идеале, личность как пересечение контекста не должна определяться в передаваемой/обрабатываемой/хранимой/тд информации
     

  • 1.83, Аноним (83), 17:57, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    NoScript, не?
     
     
  • 2.192, Аноним (17), 15:13, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > NoScript, не?

    Да.

     
  • 2.204, InuYasha (?), 12:18, 25/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет.
    QuickJava - не такой тормозной и более универсальный.
    RequestPolicy/uMatrix/PoliceMan - для блокирования запросов к чужим УРЛ
     

  • 1.96, Аноним (99), 18:53, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Приходит мысль о необходимости добавления к записям процессорного кеша дополнительных тегов из (некоторых) параметров функции clone(2). Если теги не удовлетворяют текущему PID, то автоматически считается, что соответствующая копия в кеше отсутствует, даже если она на самом деле присутствует.
     
     
  • 2.116, Аноним (119), 21:47, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ты переизобрёл аппаратную многозадачность, которую какого-то хрена выкинули на помойку вместо того, чтобы допилить производительность.

     
     
  • 3.123, Аноним (-), 23:02, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты переизобрёл аппаратную многозадачность, которую какого-то хрена выкинули на помойку
    > вместо того, чтобы допилить производительность.

    Ассоциативная память
    https://ru.wikipedia.org/wiki/%D0%90%D1%81%D1%81

     
  • 2.155, КО (?), 10:23, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Если теги не удовлетворяют текущему PID

    Там люди экономят биты в адресе (он не полный), чтоб уложиться в требуемое время для операции. Какие дополнительные теги?
    Хотя вон, Амдшники, вроде бы, проверяли пару лишних бит - посему мельдоний у них не случился. За то во всех обзорах у них "медленный контроллер памяти" и для большей скорости нужна быстрая память.

     

  • 1.118, Аноним (118), 21:56, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    NoScript (причем выборочный) и вырезание рекламы через hosts исказит взломщикам реальность))
     
     
  • 2.138, Аноним (139), 06:30, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Hosts? Браузеры уже достаточно наглые, чтобы резолвить DNS самостоятельно, плюнув пользователю в лицо. Скоро до такой самостоятельности доедут сайты, зря что ли DNS over HTTPS говноконторы пропихивают.
     
     
  • 3.175, Аноним (165), 12:00, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Только широко используемые (читай как гугель и тормoзиллa). Нормальные браузеры так не делают.
     
     
  • 4.191, ыы (?), 15:04, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    веб странички умеют резолвить самостоятельно и запускать у юзера свои ОС в контексте браузеров... вы вообще о чем? какие такие "нормальные браузеры"?
     

  • 1.125, интеллигентный разработчик (?), 23:23, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > На атаку также не влияютметоды рандомизации размещения информации в кэше.

    Не очень понял почему?

     
  • 1.126, интеллигентный разработчик (?), 23:28, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Было бы неплохо еще код скачать, для проверки всего этого. Как, например, JavaScript-код может выполнять трассировку активности кэша?
     
     
     
    Часть нити удалена модератором

  • 3.209, интеллигентный разработчик (?), 21:50, 26/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На словах ты мастер, а на деле?
     

  • 1.129, Аноним (129), 00:13, 22/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Это не атака, а всего лишь средство улучшения таргетинга рекламы
     
     
  • 2.133, user (??), 01:38, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не дырка, а всего лишь отверстие.
     

  • 1.135, Аноним (135), 03:04, 22/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Use Links2, Luke! - https://news.ycombinator.com/item?id=16191843
     
  • 1.158, user90 (?), 10:38, 22/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это_не_атака. Вот если бы определялся сайт, С КОТОРОГО перешли по ссылке, то действительно было бы плохо. А так всего лишь досадная неприятность.
     
     
  • 2.164, Аноним (164), 11:25, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это_не_атака. Вот если бы определялся сайт, С КОТОРОГО перешли по ссылке,

    Он и так определяется, гугли про http-referer и Document.referrer

     

  • 1.169, Ханю (?), 11:45, 22/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Всегда проигрываю с js-хейтеров, не работавших ни разу в жизни.
    Динамическая работа сайта, SPA/SSR это то что требует заказчик, если вы не будете это писать - вы не нужны в современной индустрии (ага, слышу гордое кукареканье С кодеров жружих мамкин борщ), это современные реалии и от ни не уйти.
     
     
  • 2.181, anonymous (??), 14:13, 22/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ссылки на портфолио твоей студии, будут? Работничек ты наш.
     
     
  • 3.198, нах (?), 09:58, 23/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ссылки на портфолио твоей студии, будут? Работничек ты наш.

    давай я тебе накидаю? У меня их тысячи. Его ли эта студия- совршенно неважно, все одинаковые.

    товарищ не понимает простой вещи - его "заказчик" платит ему деньгами, полученными тем или иным способом с конечных пользователей. При этом их проблемы обычно представляет себе весьма отдаленно - потому что нет бизнесменов нынче, есть дефективные менеджеры и финансовые спекулянты, ни тем, ни тем совершенно незачем знать что и как они продают, и пирожник никогда не ест своих пирожков.

    А конечные пользователи ничего такого от него не хотели, им бы вообще было прекрасно, если бы он нечаянно диск отформатировал и с горя восстановил там версию сайта 99го года - но "заказчик" за это не заплатит, скорее штраф сдерет.

     
     
  • 4.200, КГБ СССР (?), 12:01, 23/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > товарищ не понимает простой вещи - его "заказчик" платит ему деньгами, полученными
    > тем или иным способом с конечных пользователей. При этом их проблемы
    > обычно представляет себе весьма отдаленно - потому что нет бизнесменов нынче,
    > есть дефективные менеджеры и финансовые спекулянты, ни тем, ни тем совершенно
    > незачем знать что и как они продают, и пирожник никогда не
    > ест своих пирожков.
    > А конечные пользователи ничего такого от него не хотели, им бы вообще
    > было прекрасно, если бы он нечаянно диск отформатировал и с горя
    > восстановил там версию сайта 99го года - но "заказчик" за это
    > не заплатит, скорее штраф сдерет.

    Именно так. И вот мы плавно подходим к выяснению источника всех бед и всех зол в ИТ. И это, внезапно, никак не глупый юзер и не мифический жадный манагер. А это, как ни странно, своеобразное сословие г-нокодеров.

     
  • 2.194, Аноним (119), 00:33, 23/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >шпионаж за пользователями, неблокируемая реклама - это то, что требует заказчик, если вы не будете это писать - вы не нужны в современной индустрии

    Пофиксил, не благодари. Сами работайте в такой индустрии.

     

  • 1.201, ALex_hha (ok), 14:11, 23/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А какой профит от этой атаки? Ну узнали они, что у меня открыт google.com или whatever.com, а дальше что?
     
     
  • 2.205, InuYasha (?), 12:29, 25/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если правитнльство КНР через свой сайт "госуслуги" узнает, что у тебя открыт гугол... в общем, если ты в китае, у меня для тебя плохие новости )
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру