The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Метод идентификации браузера через манипуляции с кэшированием Favicon

08.02.2021 16:45

Опубликована реализация новой техники привязки идентификатора к конкретному экземпляру браузера. Метод основывается на особенностях обработки изображений Favicon, при помощи которых сайт определяет пиктограммы, отображаемые в закладках, вкладках и прочих элементах интерфейса браузера. В качестве области хранения используется кэш Favicon, который выступает в роли "Supercookie".

Изображения Favicon сохраняются браузерами в отдельном кэше, который не пересекается с другими кэшами, является общим для всех режимов работы и не очищается штатными средствами очистки кэша и истории посещений. Данная особенность позволяет использовать идентификатор даже при работе в режиме инкогнито и затрудняет его удаление. На идентификацию с использованием предложенного метода также не влияет применение VPN и дополнений для блокировки рекламы.

В основе метода идентификации лежит то, что на стороне сервера можно определить открывал ли ранее пользователь страницу через анализ информации о загрузке Favicon - если браузер не запросил указанное в параметрах страницы изображение Favicon, то страница загружалась ранее и картинка показана из кэша. Так как браузеры позволяют задавать свой Favicon для каждой страницы имеется возможность кодирования полезной информации через последовательный проброс пользователя на несколько уникальных страниц.

Чем больше редиректов в цепочке, тем больше идентификаторов можно определить (число идентификаторов определяется по формуле 2^N, где N - число редиректов). Например, в два редиректа могут адресовать 4 пользователей, 3 - 8, 4 - 16, 10 - 1024, 24 - 16 млн, 32 - 4 миллиарда. Недостатком метода являются большие задержки - чем выше точность, тем больше времени требуется на редиректы перед открытием страницы. 32 редиректа позволяют сгенерировать идентификаторы для всех пользователей интернета, но приводят к возникновению задержки примерно в три секунды. Для миллиона идентификаторов задержка составляет около полутора секунд.

Метод подразумевает работу в двух режимах - записи и чтения. Режим записи осуществляет генерацию и сохранение идентификатора для пользователя, впервые обратившегося к сайту. Режим чтения осуществляет чтение ранее сохранённого идентификатора. Выбор режима зависит от запроса файла Favicon для основной страницы сайта - если картинка запрошена, значит данные не прокэшированы и можно предположить, что пользователь не обращался к сайту ранее или содержимое кэша устарело. По данным исследователей, через указание HTTP-заголовка Cache-Control можно добиться нахождения Favicon в кэше сроком до одного года.

В режиме чтения при открытии сайта пользователь по цепочке перенаправляется на предопределённые страницы со своими Favicon (например, "demo.supercookie.me/t/50fd23e6:9bpZVrAwOmieUkMPkAeG"), а HTTP-сервер анализирует, какие из Favicon запрошены с сервера, а какие показаны без обращения к серверу из кэша. Наличие запроса кодируется как "0", а отсутствие, как "1". Для того, чтобы идентификатор сохранился и при будущих обращениях, в ответ на запросы Favicon выводится 404 код ошибки, т.е. при следующем открытии сайта браузер попытается загрузить эти Favicon вновь.

В режиме записи в цикле редиректов для страниц, кодирующих "1", выдаётся корректный ответ с Favicon, оседающий в кэше браузера (при повторном прохождении цикла данные Favicon будут отдаваться из кэша, без обращения к серверу), а для страниц кодирующих "0" - 404 код ошибки (при повторном цикле редиректа данные страницы будут запрошены вновь).

Метод работает в Chrome, Safari, Edge и частично в Firefox. В Firefox для Linux использованию Favicon в качестве Supercookies мешает особенность, из-за которой браузер вообще не кэширует Favicon. Интересно, что авторы метода идентификации уведомили разработчиков Firefox о данной особенности около года назад, указав на наличие ошибки в работе кэша, но не упомянув о своей работе и о том, что исправление ошибки приведёт к возможности идентификации пользователей. Дополнительно можно напомнить, что начиная с Firefox 85 в браузер добавлен режим сегментирования сети (Network Partitioning), позволяющий блокировать методы отслеживания перемещений, манипулирующие извлечением информации из различных браузерных кэшей. Проверить подверженность браузера предложенному методу идентификации можно на данной странице.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Идентификация пользователей по истории посещений в браузере
  3. OpenNews: Представлена новая техника скрытой идентификации системы и браузера
  4. OpenNews: Утечка идентификаторов пользователя через встроенный в браузер менеджер паролей
  5. OpenNews: Расширенный метод идентификации системы и браузера без применения cookie
  6. OpenNews: В Firefox 85 появится дополнительная защита от отслеживания, основанная на сегментировании сети
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54553-supercookie
Ключевые слова: supercookie, browser
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (129) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 16:53, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Страшно жить.

    отправлено с:

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0  

     
     
  • 2.3, Аноним (3), 16:55, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +26 +/
    За такой юзерагент тут надо банить по фавиконке. Только линукс только хардкор.
     
     
  • 3.4, Аноним (1), 16:57, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кто нам мешает, тот нам поможет ;)
     
  • 3.10, Аноним (10), 17:07, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    A бсдшникам что делать ?
     
     
  • 4.12, Аноним (3), 17:10, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Их не существует это фантастика.
     
     
  • 5.23, Аноним (23), 17:28, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А тем кто на Openindiana что делать?
     
     
  • 6.48, Аноним (48), 19:24, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Лечиться.
     
     
  • 7.67, Аноним (-), 21:17, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    хорошо пошутил, действительно смешно, но знай:

    "опениндиановцы тебя найдут, оглядывайся"

     
     
  • 8.114, Аноним (114), 12:35, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Найдут И отпенетрируют ... текст свёрнут, показать
     
     
  • 9.118, Аноним (-), 13:59, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ах вот вы какие, индиановцы ... текст свёрнут, показать
     
  • 5.75, Аноним (-), 21:44, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Их не существует это фантастика.

    Йа-Йа! Вир зинд фантастиш!

     
     
  • 6.120, Аноним (-), 14:43, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Смахивает на крик ослицы )
    Я, я. Натюрлих..
    Кемска волость
     
     
  • 7.128, Аноним (-), 17:31, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нормальный мелодичный язык, чего тебя рвет ?
     
  • 5.79, анонн (ok), 22:10, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Их не существует это фантастика.

    Ну-ну:
    https://i.postimg.cc/fbs0VLGh/scr.png

    Кстати, насчет несуществования бабайки под кроватью у непослушных и резких маленьких пингвинят-комментаторов ... впрочем, не буду портить сюрприз, спокойной ночи! 👹

     
     
  • 6.91, Карабьян (?), 01:35, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пришлите скрин целиком, любопытно, не твм ли там часом
     
  • 6.101, МарьВанна (?), 07:02, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >бабайки

    Бабаёшка. Пиши правильно дурачок.

     
     
  • 7.107, ivanpetrov (ok), 11:08, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ставь запятую перед обращением, знаточок. К тому же: https://ru.wiktionary.org/wiki/бабка-ёжка
     
     
  • 8.117, Аноним (-), 13:57, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Красиво, в тему ... текст свёрнут, показать
     
  • 7.121, анонн (ok), 16:07, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>бабайки
    > Бабаёшка. Пиши правильно дурачок.

    https://ru.wikisource.org/wiki/%D0%A2%D0%A1%D0%9
    > Толковый словарь живого великорусского языка Владимира Даля
    > Источник: т. 1 (2-е изд., 1880), с. 32—35 ( скан · индекс )
    > Баба́ или баба́й м. татрс. нврс. орнб. дед, дедушка, старик; иногда в знач. детского пугала.
    > Детей пугают и баба́йкою, старухою, и тут сходятся производства от бабы и от бабая.

    Бают, что к особо шибко вумным опеннетчикам, с пожеланиями "спокойной ночи", приходит Розовый Ай-Пони. В (розовом) латексном костюме и с затейливыми, продолговатыми "игрушками" ...


     
  • 4.13, A.Stahl (ok), 17:10, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Греметь цепями и скрежетать костями в тёмных замковых подвалах и чердаках. Или чем там зомби занимаются...
     
     
  • 5.24, Леголас (ok), 17:29, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Греметь цепями и скрежетать костями в тёмных замковых подвалах и чердаках

    Зря вы так, BSD -- отличная ветвь Unix-like древа.

    > чем там зомби занимаются...

    ... смотрят ТВ ящик, ходят где хотят, кушают мозги, мямлят рррррр, дерутся с растениями и т. д. и т. п.

     
  • 4.20, Lex (??), 17:19, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всем троим ?
    В любом случае, они пока очень заняты портированием этой уязвимости на бздю
     
  • 4.74, Аноним (-), 21:42, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > A бсдшникам что делать ?

    Они умеют менять UA.

    about:support
    User Agent Mozilla/5.0 (X11; FreeBSD amd64; rv:78.0) Gecko/20100101 Firefox/78.0

    что отправляется:
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Firefox/81.0

     
  • 3.47, rvs2016 (ok), 19:24, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > За такой юзерагент тут надо банить по фавиконке.
    > Только линукс только хардкор.

    А с таким юзер-агентом тут ходить можно ли:

    Mozilla/5.0 (X11; FreeBSD i386; rv:84.0) Gecko/20100101 Firefox/84.0

    Не линукс, конечно (и слава Богу), но и не винда ведь! :-)
    Ой, только по поводу i386 на меня тут сейчас набросятся за ретроградство. :-)

     
  • 3.66, Wilem82 (ok), 21:15, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У вас осизм.
     
  • 3.76, flkghdfgklh (?), 21:55, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:88.0) Gecko/20100101 Firefox/88.0

    Так лучше?

     
     
  • 4.82, Аноним (82), 23:15, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:85.0) Gecko/20100101 Firefox/85.0
     
  • 4.132, suffix (ok), 09:14, 10/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А так нормально ?

    Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Goanna/4.8 Firefox/68.0 PaleMoon/29.0.1

    :)

     
  • 3.85, Ананоним (?), 23:58, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эта строка означает лишь то, что с компьютера клиента отправляется эта строка. И всё. От операционной системы содержимое не зависит напрямую. Ага, можно отправить какую тебе угодно строку.
     
  • 3.97, fuggy (ok), 04:12, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В самом деле Firefox в режиме privacy.resistFingerprinting показывает такой юзерагент даже на GNU/Linux. Вот у меня сейчас так же, но все сайты определяют как Windows.
     
  • 3.138, УлыбкаДоУшей (?), 10:30, 11/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это разжигание вражды, и идентификация вас как яростного фанатика для которого все средства хороши
     
  • 2.5, Валерий (??), 16:58, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А чего такой старый-то браузер?
     
  • 2.6, Леголас (ok), 16:59, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Windows NT 10.0; Win64

    ну вот и пришло время срывать покровы с пользователей opennet.ru, безо всяких там липовых User Agent

     
     
  • 3.36, hshhhhh (ok), 18:03, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > безо всяких там липовых User Agent

    с чего вы взяли что это не липовый UA?

     
     
  • 4.50, пох. (?), 19:28, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Конечно липовый - настоящий-то win32 у него!
     
  • 3.46, Sluggard (ok), 19:22, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Раскрыт секрет Полишинеля.
     
  • 2.34, Анонимъ (?), 18:02, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Старьё!

    Mozilla/5.0 (X11; Linux x86_64; rv:86.0) Gecko/20100101 Firefox/86.0

     
     
  • 3.52, rvs2016 (ok), 19:30, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Старьё!
    > Mozilla/5.0 (X11; Linux x86_64; rv:86.0) Gecko/20100101 Firefox/86.0

    Хм. А в наш репозитарий только 85-го файрфокса завезли:

    # pkg search -x 'firefox-[0-9]'
    firefox-85.0_1,2               Web browser based on the browser portion of Mozilla

    ps:
    Странные регекспы у pkg: \d не воспринимает, пришлось забубенить ему [0-9] вместо \d.
    Оно у него там чё - не pcre что ли?

     
  • 3.77, flkghdfgklh (?), 21:59, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя тоже старье!

    Mozilla/5.0 (X11; Ubuntu; Linux ia64; rv:91.0) Gecko/20100101 Firefox/91.0

     
  • 2.57, triolan (?), 19:57, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У меня UA не показывает, только id, что это значит?
     
     
  • 3.99, X86 (ok), 05:12, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты сидишь напрямую с БИОСа
     

  • 1.7, Аноним (7), 17:00, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Просто блажь мало кому нужная. Эти ваши юзер агенты непонятно где могут пригодиться в целом. По ним к тому же как раз и ловят вдобавок мамкиных хакеров как оказалось.)
     
     
  • 2.14, Аноним (3), 17:11, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Рекламным сетям присуждаются чтобы впарить тебе что-нибудь ненужное.
     
     
  • 3.18, Аноним (7), 17:15, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И где таких лохов найти чтобы на них мерзопакостная реклама из интернета работала? Я таких только на семинарах по заработку миллионов ихних денег в месяц видел с их курсами пассивного заработка.
     
     
  • 4.68, пох. (?), 21:21, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Таргетированная реклама - вполне себе работает Я выключил блокировки, к примеру... большой текст свёрнут, показать
     
     
  • 5.81, rms (?), 22:57, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А что за история с Яндексом и supercookie, и HSTS?
     
     
  • 6.84, пох. (?), 23:36, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну типа была у них интересная привычка при заходе на яндекс-сайты (и только туда) выдавать пачку редиректов на всякие yandex.tr/yandex.kz и еще стопиццот аналогичных помойных доменов, никем и никогда не посещаемых.
    Если это не попытка трекинга по hsts - то, простите, что же это было?

     
     
  • 7.92, нахнаф (?), 01:38, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Почему было? Это и сейчас есть
     
  • 2.131, 18 (?), 05:51, 10/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >юзер агенты непонятно где могут пригодиться в целом

    Что-то я с ними делал эдакое. На предприятии. Давно. Типа доменными политиками для разных доменов выставлял разные UA у людей, а потом внутри браузера на JS от этого отталкивался, чтобы разным людям разное рисовать.

     

  • 1.9, Аноним (9), 17:04, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    Твой трафик мониторит твой провидер, возможно ты в торе, тогда выходя в "калнет" каждый битик твоего трафика на выходной ноде проверяется сканется и запоминается. Потом это все летит (попутно чекаясь на плейнтекст и логицо если интересное что-то) на клоудфларю, где весь твой трафик в плейнтексте анализируется, маркируется и ложится в базу к записям с твоим именем. Затем счетчики на сайтецком сливают все что могут о тебе гулгу, яндеху и всем кому только можно (при наличии обычного бравзера который ты тупо скачал - это происходит незамедлительно как только ты тыцнул в него), тебе пытаются всунуть печеньку, ты конечно же говоришь don'ttrackmyass но тебе ее всеравно засовывают, и ты такой ходишь и говоришь что тебе нечего скрывать. Что там, фавиконки ? Да пофиг
     
     
  • 2.15, Аноним (3), 17:14, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Тех кто ставит галочку не трекать, трекают отдельно. Эта галочка дополнительный фактор идентификации.
     
     
  • 3.26, Тфьу (?), 17:33, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Просто оставлять дефолтную настройку браузера. В ФФ включено по-умолчанию, потому выключении этой настройки будет дополнительным битом в идентификации.
     
  • 2.40, КО (?), 18:24, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "анализируется"
    Ага, рандомный зашифрованный мусор.
     
  • 2.65, Аноним (-), 21:15, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Извини, я не эксперт, но мне кажется что exit-узел если и знает о каких-то IP, то только адрес промежуточного узла, который на неё и выходит. Что может "ложиться в базу к записям с моим именем"?
     
     
  • 3.93, Аноним (93), 02:36, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не обращайте на него внимания. Просто в психбольнице не залочили компьютер.
     

  • 1.11, Аноним (11), 17:09, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Теперь я понял, почему при открытии некоторых сайтов по несколько секунд заставка показывается.

    PS. Бесит заставка в новом интерфейсе сбербанка, нужно будет глянуть, какие запросы в это время выполняются. За время, которое у них грузится интерфейс, раньше можно было перевод успеть сделать.

     
     
  • 2.17, Аноним (3), 17:15, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Просто набрали смузиразработчиков за дорого. И неизвестно что им там на фронт из npm прилетает.
     
     
  • 3.21, Леголас (ok), 17:21, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > неизвестно что им там на фронт из npm прилетает

    вот и храните деньги в сберегательной кассе...

     
     
  • 4.25, Аноним (23), 17:31, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В 2021 г. хранить деньги в банке.
    В 2021 г. пользоваться смартфоном.
     
     
  • 5.28, Аноним (28), 17:39, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Забыл ещё
    >В 2021 г. встречаться с девушкой, а не мальчиком
     
     
  • 6.33, Аноним (33), 17:59, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вы посмотрите, какие тут бинарные шовинисты
     
     
  • 7.59, НяшМяш (ok), 20:02, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Attack helicopter only
     
  • 5.29, Аноним (-), 17:42, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вредные советы подъехали.

    В 2021 г. оплатить пошлину на визу.
    В 2021 г. продать все ценное и купить рубли.

     
  • 2.102, spectator (??), 08:49, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я когда увидел куда ходит сайт сберонлайн был очень удивлён — там пачка портов на локалхосте.
     
  • 2.109, mikhailnov (ok), 11:13, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не Сбербанком единым, есть банки с более адекватными веб-интерфейсами.
     
     
  • 3.115, Аноним (114), 12:36, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Фейс не повод для смены банка. Есть вещи поважнее.
     

  • 1.16, Аноним (16), 17:14, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Зачем было делать кеш фавиконок отдельно от кеша картинок цсс и прочего js? Сами делают исключения из правила, а потом забывают их менять, когда меняют правила.
     
     
  • 2.19, Аноним (7), 17:17, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Заговор рептилоидов и никак иначе.
     
  • 2.39, Oe (?), 18:20, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Кому вообще пришла в голову мысль делать кэш фавиконок?! Это на случай когда вдруг кто-то заюзает в 2021 dial-up модем?
     
     
  • 3.41, Аноним (41), 18:46, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Чтобы открывая историю/закладки, ты не грузил все эти фавиконки снова. Не только для быстроты/экономии, но чтобы ты не палился.
    > We have a separate cache for favicons that is used for e.g. bookmarks/history, because we don't want to make a bunch of network requests when you open the browser or search through history / bookmarks. https://bugzilla.mozilla.org/show_bug.cgi?id=1618257
     
     
  • 4.51, Oe (?), 19:30, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кэш фавиконок находяхищся в составе пользовательского интерфейса, а том числе закладках/истории, это кэш пользовательского интерфейса, и никак не должен взаимодействовать с сетью. У хромых/мозиловцев/прочих же просто говнокод, который остался еще со времен диал-ап модемов, когда каждый килобайт был важен.
     
     
  • 5.71, пох. (?), 21:32, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > это кэш пользовательского интерфейса, и никак не должен взаимодействовать с сетью

    угу, из /dev/astral он эти иконки должен брать.
    Или, вот, как у мамкиных борцунов за прайваси принято - при каждом открытии списка bookmarks - качать их из сети, ведь килобайты не важны. А мы заодно и посмотрим, насколько часто ты при открытии этого списка выбираешь именно наши сайты.

    Я бы уже после первого редиректа просто блокировал ненужные favico вообще (все равно пользователь не сможет ими насладиться ни в bookmark'ах ни в интерфейсе). И баба с возу, и задержки меньше. Но смузиразработчики браузеров до этого додумаются лет через пятьдесят. Пока у них в моде "сегментирование интернетов".

     
     
  • 6.88, Oe (?), 00:35, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> это кэш пользовательского интерфейса, и никак не должен взаимодействовать с сетью
    > угу, из /dev/astral он эти иконки должен брать.

    Прикалываешься? Один раз при первом посещении страницы иконки помещаются в кэш, далее, при последующем посещении страницы все равно фавикон скачивается как в первый раз, но помещается в кэш только при наличии изменений, в ином же случае ничего не делается. При простом открытии списка закладок иконки берутся из кэша пользовательского интерфейса, ничего не перезакачивается заново (иначе это звучит как полный бред). Вот и весь фикс бага, делов то.

     
     
  • 7.89, пох. (?), 00:41, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Один раз при первом посещении страницы иконки помещаются в кэш, далее, при последующем посещении
    > страницы все равно фавикон скачивается как в первый раз

    теперь у нас два разных поведения для одинакового файла - если он просто файл, берем его из кэша,а если непросто файл - не берем из кэша, но кладем в кэш. (Ну ок, в мурзиле такой изящный костыль уже по сути и так есть.)

    Тебе не кажется что это немножко алогично и бредово, и проблему надо как-то по-другому решать?

    Вот с моей точки зрения - отложенное скачивание половину проблемы бы решило. Тем более что в 99% случаев никому эти фапиконки не нужны, и никто на них не смотрит где-то там, в адресной строке без адреса, переливающейся всеми цветами в модных браузерах.

     
  • 2.94, kissmyass (?), 03:02, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У меня не работает.

    В разных приватных сессиях одного и того же браузера разные ID

    FF 85.0.1 Win7, на лине будет тоже самое, нет десктопа под рукой

     

  • 1.22, Урри (ok), 17:22, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Фигня какая-то. Если я могу узнать, что обращающийся ко мне браузер не обращался за favicon.ico, это значит что я уже его идентифицировал, так как запросы то разные, они не идут пачкой, а я их связал между собой. А если я его уже идентифицировал, то на кой мне его еще раз пытаться идентифицировать с помощью favicon?

    А если я не могу идентифицировать браузер, то и обращения к favicon мне ничего не дадут, так как я же не знаю кто за ней обратился или не обратился.

    Чушь какая.

     
     
  • 2.37, Атон (?), 18:11, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > так как я же не знаю кто за ней обратился или не обратился

    не проблема, имя узнаешь позже.

     

  • 1.27, kusb (?), 17:37, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    "Для улучшения качества обслуживания сайт использует cookies, манипуляции с кешем браузера, flash-идентификаторы, web-rtc, сканирование портов или другие технологии идентификации на наш выбор. Продолжая пользоваться сайтом вы соглашаетесь с этим, а также с тем, что к вашему устройству могут быть применены дополнительные средства влекущие запуск и автозагрузку программ вне (или внутри) программы просмотра сайтов, в том числе и запуск с правами нулевого кольца защиты процессора, изменение программ устройств, таких как Flash-накопители, PCI, AGP устройства, любые внутренние и внешние устройства устройства или подключаемые к компьютеру (устройству), в том числе выполнение кода на процессорах и контроллерах этих устройств, установку программ интегрирующихся и расширяющих UEFI/BIOS и т.п, установку программ интегрирующихся и расширяющих операционную систему (в том числе устанавливать новые драйвера и модифицировать текущие), прикладные и иные программы вашего устройства. Для обеспечения задачи функционирования программ могут быть  применены такие средства, как в переполнение буфера подстановка исполняемого кода, изменение памяти программ и другие." Также для обеспечения работоспособности устанавливаемое программное обеспечение может изменять сохранённую информацию устройства, в том числе исполняемые и неисполняемые  файлы, загрузочный сектор и т.п.
    Если что-то из упомянутых средств при определённых условиях или всегда запрещено законом или другим юридически значимым правилом (актом и т.п), то это соглашение не включает в себя разрешение этих запрещённых средств, однако только в тех случаях, когда использование этих средств запрещено...

    (Не умею составлять)

     
     
  • 2.31, ano (??), 17:55, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ...а ведь скоро 1 апреля. Хороший план...
     
     
  • 3.53, rvs2016 (ok), 19:38, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > ...а ведь скоро 1 апреля. Хороший план...

    Добавьте в план:

    Пользователь согласен, что в случае необходимости для правильной работы сайта он переустановит себе операционную систему, или даже сменит устройство на более подходящие для работы его сайта. В случае нехватки средств для обновления оборудования, пользователь согласен на поиск более высокооплачиваемой работы или поиск любых способов увеличения дохода, таких, как (но неограничиваясь указанным далее перечнем) - продажа имущества, получение кредита в банке, сбор милостыни в подземном переходе или в электричках и других незапрещённых законодательством его страны местах и т.п.

     
  • 2.73, пох. (?), 21:35, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Спасибо, а можете снабдить чем-нибудь типа gnu fdl, ну или другим доступным правом на тиражирование? Я прям щас бы заимплементил у себя.

     
     
  • 3.133, kusb (?), 19:04, 10/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это шутка или серьёзно? Так то я не против, конечно.
     
     
  • 4.134, пох. (?), 22:45, 10/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Это шутка или серьёзно? Так то я не против, конечно.

    кому хихи, а кому второй раз письмо от хостера - "расскажите, как вы правильно блюдете gdrp?!"
    Ок, считаю что разрешение получено. Завтра переведу как получится, и вывешу всем посетителям из неправильных стран.

     
     
  • 5.135, kusb (?), 10:16, 11/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Круто, я нужен!
    Да, конечно получено, но у меня просьба, - пусть не будет явных обещаний "мы используем", лучше "мы можем использовать". Иначе ложь какая-то получается.
    :-)
     
     
  • 6.136, kusb (?), 10:17, 11/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сайт может использовать cookies, и т.п.
     
     
  • 7.137, пох. (?), 10:19, 11/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Сайт может использовать cookies, и т.п.

    ага, точно.
    А то вдруг может, но почему-то не использует, сломалось, или перешли на webrtc.

     

  • 1.30, Паразитолог (?), 17:48, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    >>авторы метода идентификации уведомили разработчиков Firefox о данной особенности около года назад, указав на наличие ошибки в работе кэша, но не упомянув о своей работе и о том, что исправление ошибки приведёт к возможности идентификации пользователей.

    Подонки, мля...

     
     
  • 2.56, Michael Shigorin (ok), 19:56, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Предлагаете сразу фаршировать маслинами? :]

    PS: ну они же хотели как лучше...

    ---
    Not notifying Firefox at that time was our oversight because we were focused on notifying the vulnerable browsers. In hindsight, we agree that we should have proactively notified Firefox.
    ---

     
     
  • 3.116, Паразитолог (?), 13:48, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да... Оправдание как дырка в заднице - есть у всех и всегда. ))
     
  • 2.69, Аноним (-), 21:26, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Когда вменяемые люди говорили - не убивайте возможность нормального бровзенга - все в один голос: Хотим чтоб это убили ведь нам лень в этом разбираться и завезли нам сукурности от копрораций. Жритес, скоро бравзеры не открывающие ничего кроме гулга на всех монироах страны.
     

  • 1.32, Аноним (41), 17:56, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В Firefox для Linux использованию Favicon в качестве Supercookies мешает особенность, из-за которой браузер вообще не кэширует Favicon.

    Не знаю что там за специфичность в линуксовой лисе, но судя по тестам 85+ на офтопике спасает browser.cache.disk.enable в false. Тогда id сохраняется только в текущей сессии не-инкогнито окна (инкогнито и с true сбрасывает вроде), после перезапуске браузера выдает новый.

     
  • 1.35, Аноним (35), 18:02, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну и что это за херобора https://demo.supercookie.me/?
    5 минут бегало от 1 до 14 и так постоянно в цикле, сколько ждать?
    Ядра на стареньком ноуте нагружает под сpaку и толку нет.
    Я задолбался и вырубил этот изврат, что там хоть должно было произойти?
    Какая-то плашка выскочить или график?
     
     
  • 2.38, Атон (?), 18:13, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ядра на стареньком ноуте нагружает под сpaку и толку нет.

    тебе толку нет, а ему 0.00005 биткоина.

     
  • 2.43, Аноним (43), 19:02, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они применяют к тебе описанный в статье метод идентификации и формируют на тебя уникальный идентификатор. В статье же написано, что это создаёт задержки (из-за редиректов). Можешь перезайти на этот сайт, подождать ещё раз и сравнить идентификаторы -- они будут одинаковыми, т.е. тебя идентифицировали.
     
     
  • 3.61, Аноним (61), 20:08, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Они применяют к тебе описанный в статье метод идентификации и формируют на
    > тебя уникальный идентификатор. В статье же написано, что это создаёт задержки
    > (из-за редиректов). Можешь перезайти на этот сайт, подождать ещё раз и
    > сравнить идентификаторы -- они будут одинаковыми, т.е. тебя идентифицировали.

    Нет, я уже проверил через другую систему с другим браузером, там раза 2-3 прогоняют с 1 до 14 и присваивают идентификатор, который должен по идее повторяться, если не принять меры.
    А в описанном сной случае там 5 минут и больше, возможно и сутки будет гонять циклично их скрипты и не выдадут никакого идентификатора, т.е. проверка ломается, ведь она зацикливается не проходя до конца.

     
  • 3.98, fuggy (ok), 04:26, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не понятно зачем нужны эти цепочки редиректов с вычленением по одному биту. Если можно каждому пользователю уникальное имя иконки отдавать, а потом при открытии проверять загрузил-не загрузил.
    А если в цепочку кто-то встроится и попадёт по той же ветке редиректа, а потом вычленять из них кто есть кто.
     
     
  • 4.130, Анатолий (??), 05:38, 10/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это вообще не будет работать. Записать положим можно такой идендификатор, но как его считать? Нужно отдать пользователю всё множество идентификаторов и смотреть какой он не загрузит, что так же полностью исключит последующее считывание.
     
     
  • 5.142, анон (?), 00:42, 16/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так через E-Tag можно
     
  • 2.60, НяшМяш (ok), 20:06, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Бегало 2 раза по 14. Секунд за 30. Выдало идентификатор.

    При рестарте браузера идентификатор уже новый.

     
     
  • 3.62, Аноним (62), 20:10, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Бегало 2 раза по 14. Секунд за 30. Выдало идентификатор.
    > При рестарте браузера идентификатор уже новый.

    Да, фурифокс он не берёт, повторяется только в хромом, и то если вычистить весь кэш он снова не повторяется и там. Не знаю, может это от настроек зависит.

     

  • 1.45, анон (?), 19:21, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    FF linux - каждый раз разный ID
     
  • 1.54, triolan (?), 19:41, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Идёт постоянный отсчёт 1/14, сколько ждать?
     
     
  • 2.63, Аноним (63), 20:12, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Идёт постоянный отсчёт 1/14, сколько ждать?

    На некоторых версиях движка и других браузерах такое встречается, эта тестилка не для всех работает.
    Работает на хромиуме и на лисе. Но на лисе каждый раз новый идентификатор, видимо как раз срабатывает эта особенность или ещё что-то. На винде проверить не могу.

     

  • 1.55, triolan (?), 19:51, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это поможет?

    browser.chrome.site_icons=false
    browser.shell.shortcutFavicons=false

     
  • 1.64, Аноним (64), 20:53, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Значит при появлении нового значка в кэше идентификатор тоже сменится?
     
     
  • 2.70, Аноним (-), 21:28, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Решил взбрутнуть ? Вот это я называю - общественно полезно.
     
     
  • 3.124, Аноним (124), 16:54, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Взбрутнуть? Выпить брюта? Абрау-Дюрсо?
     
     
  • 4.125, Аноним (124), 16:55, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Неплохой выбор.
     

  • 1.72, Дегенератор (ok), 21:33, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хром последний, 10 LTSB 2016, для каждой вкладки разный идентификатор.
    Скажите, мне плохо или я уже умер?
     
     
  • 2.119, Аноним (119), 14:03, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тому кто у вас в отделе админит поставьте бутылку в благодарность.. э, на стол бутылку всмысле.
     
     
  • 3.143, Дегенератор (ok), 00:10, 20/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, это еще и накручивает лайки на ютубе
     

  • 1.86, Ананоним (?), 00:04, 09/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да всё это фигня. Пару лет назад фиксили баг, когда сайты имели доступ к сохранённому логину/паролю без спроса пользователя, если для сайта только один этот логин/пароль был сохранён. И что вы думаете? Этот доступ через некоторое время после "исправления" снова появился, ага!
     
  • 1.87, Ананоним (?), 00:07, 09/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нужно же "чэсна-чэсным" браузерам как-то ублажать и пользователей и бузинесс! Вот и изголяются с "недосмотрами" :)
     
  • 1.90, OpenEcho (?), 01:27, 09/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Прям посмотришь, так Проженная Лиса прям одна приватность...

    Однако дважды оставленный им баг репорт, что фаил $НОМЕ/.mozilla/firefox/ххххххх/favicons.sqlite не обнуляется при полной очистке всеми известными оффициальными  способами - просто изчезает из их баг трекера... чудеса наверное...

    Кстати, что в никсах, что в винде, база данных с фавиконами сохраняется очень даже справно, ну если вы конечо не прибиваете другими спосабами

     
     
  • 2.112, Ефросий (?), 12:20, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что это не баг, это фича. Запускай каждый раз с новым профилем и не парься.
     

  • 1.95, Александр (??), 03:06, 09/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    FF винда. В обычном и инкогнито режиме идентификаторы разные
     
  • 1.96, Александр (??), 03:10, 09/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вот на андроиде знатный фейспалм: везде, где есть каким-то образом хром, идентификатор одинаковый
     
     
  • 2.100, Аноним (100), 06:48, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Bromite - после чистки кэша через "Очистить историю" идентификатор меняется.
     

  • 1.104, John (??), 09:15, 09/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Больше 10-ти лет использую такой скрипт (иногда поправляя запрос SQL под изменения браузера), вызываемый после завершения работы FF:

    #!/bin/bash

    [ -x "/usr/bin/sqlite3" ] || exit 1

    while read FFOX_PROF
    do
        /usr/bin/find "${FFOX_PROF}" -mindepth 1 -maxdepth 1 -type l -name 'lock' -mtime +7 -delete
        [ -h "${FFOX_PROF}/lock" ] && {
            FFOX_LOCK=$(/bin/readlink "${FFOX_PROF}/lock")
            /bin/kill -0 "${FFOX_LOCK##*:+}" && continue
        }

        /usr/bin/find "${FFOX_PROF}" -name 'favicons.sqlite' \
            -exec /usr/bin/sqlite3 {} 'DELETE FROM moz_icons; DELETE FROM moz_icons_to_pages; DELETE FROM moz_pages_w_icons;' \;

        /bin/grep -q '("browser.safebrowsing.enabled", false)' "${FFOX_PROF}/prefs.js" 2>/dev/null || continue
        /bin/grep -q '("browser.safebrowsing.malware.enabled", false)' "${FFOX_PROF}/prefs.js" 2>/dev/null || continue
        /bin/rm -f "${FFOX_PROF}/"urlclassifier* &> /dev/null
    done < <(/usr/bin/find "${HOME}/.mozilla/firefox" -mindepth 2 -maxdepth 2 -type f -name 'prefs.js' -printf '%h\n')

     
     
  • 2.110, Аноним (110), 11:18, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Предлагаю просто удалять:

    /usr/bin/find "${HOME}" -name 'favicons.sqlite' -exec /bin/rm -f {} \;

     
     
  • 3.129, OpenEcho (?), 23:37, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Предлагаю просто удалять:
    > /usr/bin/find "${HOME}" -name 'favicons.sqlite' -exec /bin/rm -f {} \;

    А не проще сделать один раз: chattr +i favicons.sqlite

     
  • 2.122, Аноним (122), 16:14, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И это все ? А то что он собрал все серийники, версии, номера кошельков и заодно "хакнул" твой роутер - это пофиг, фовеконко зато удалено . капец, вошли в 21й век на бровях ..
     
     
  • 3.126, John (??), 17:13, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    не собрал, т.к. изолирован
     
     
  • 4.127, Аноним (-), 17:29, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    это правильно.
     

  • 1.105, Аноним (114), 10:19, 09/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это что? Очередное введение?
    А кто давал им право меня идентифицировать, так их и перетак?!
     
  • 1.111, Аноним (114), 12:08, 09/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ... тем более через манипуляции.
     
  • 1.113, Аноним (113), 12:32, 09/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Эх параноики! Опять забеспокоились из-за того что кто-то может вычислить каких котят вы смотрите...
     
  • 1.139, InuYasha (??), 12:08, 12/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    100% CloudFlare этим пользовались )
     
     
  • 2.140, Аноним (140), 14:08, 12/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    почему в прошедшем ? гитхап во всю юзает, аж маргает все и свистит
     

  • 1.141, ACCA (ok), 22:22, 15/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Chromium 83.

    Открыл их сайт, получил ID.

    В соседнем табе нажал Ctrl-Shift-Del, потёр историю. Открыл сайт ещё раз, получил другой ID.

    Что я делаю не так?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру