forum.opennet.ru

"Утечка идентификаторов пользователя через встроенный в брауз..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

. "Утечка идентификаторов пользователя через встроенный в брауз..."	+/–
Сообщение от Аноним (-), 29-Дек-17, 01:15
ABP может (наверное, юблок точно может), но проблема в том, что там блеклист (с вайтлистом). И новых доменов в фильтрах не будет, как не было сейчас в случае с форчаном. Суть юматрикса и аналогов (Request Policy, покойный Policeman) в подходе source-destination и 1st-party/3rd-party, а не конкретных фильтрах на основе доменов/url. Дефолтные настройки юматрикса разрешают из 3rd-party только css и картинки, всё остальное (отправка кук, аудио-видео, плагины, скрипты, XHR (и вебсокеты), фреймы и оставшиеся запросы, не попавшее в существующие категории) запрещено. И даже если ты разрешил на условном форчане скрипты и XHR гугла, для работы рекапчи, то когда там внезапно появляются новые левые домены, ты от них по дефолту защищён. Носкрипт же может блочить (говорю про старую версию, новым не пользовался) скрипты, фреймы, плагины, аудио-видео, шрифты и webgl. Но не XHR, куки и сетевые запросы без категорий. Может он может что-то ещё через ABE-правила, но кто их использует-то? И дополнительный его фейл был в том, что он рулил скриптами только на основании destination, без source. Т.е. если ты разрешил где-то example.com (на нём самом или на example.org), то он будет разрешён везде. Касается и постоянных, и временных правил (из-за чего временные очень желательно очищать в нём вручную). Весьма весёлая фича. Предсказывая возможный коммент с волшебными базвордами носкрипта (XSS, clickjacking), отправляю читать это: https://github.com/gorhill/uMatrix/issues/297#issuecomment-1... > Clickjacking = Blocking third party frames > As far as XSS is concerned, there are a myriad of techniques for it, most of which rely on scripts, frames and browser exploits (one could in theory execute JavaScript via HTML IMG tags, but browsers no longer allow that to happen). > The only thing NoScript has on uMatrix (which does not make up for its deficiencies and lower performance) is the feature referred to as 'surrogate scripts'. Essentially mirroring a library, or a modified version of a given library (e.g. mootools, or jquery). uBlock used to have this.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Утечка идентификаторов пользователя через встроенный в брауз..., opennews, 28-Дек-17, 14:50 [смотреть все]

Вот и какой я теперь анонимус , Аноним, 28-Дек-17, 14:51 (2) //
- и какая это новость , EHLO, 28-Дек-17, 16:01 (16)
- тор браузер говорили они , rshadow, 28-Дек-17, 16:12 (19) //
  - Через тор и другие полезные для корреляции косвенные штуки утекают, как у нас ту, Michael Shigorin, 28-Дек-17, 18:26 (33)
- Никакой Вот потому никогда в браузерах пароли не сохраняю , ryoken, 29-Дек-17, 07:06 (69) //
  - не переживайте, все равно вас идентифицируют, koblin, 29-Дек-17, 14:20 (90) //
    - Вопрос в том кто, когда, как и с какой достоверностью , Аноним, 30-Дек-17, 04:40 (102)
Ну, чисто теоретически чинится просто - надо заполнять поля только когда в них п, Crazy Alex, 28-Дек-17, 14:55 (3) //
- Opera Magic Wand, вставляет пароль при нажатии на кнопку Всё уже было в Opera , Аноним, 28-Дек-17, 15:13 (5) //
  - А ведь точно, я и забыл уже, Crazy Alex, 28-Дек-17, 15:50 (12)
  - Точно, было Хороший был браузер С 5 по 12 версий , Аноним, 28-Дек-17, 18:17 (30) //
    - С рекламой - в 7-ой точно, Аноним, 29-Дек-17, 12:23 (85)
  - Расширение для ФФ с таким же поведениемhttps firefox add0n com secure-login ht, Аноним, 30-Дек-17, 13:08 (106)
Не зря я не пользовался встроенными запоминалками паролей , Аноним, 28-Дек-17, 14:57 (4) //
- Не зря я юзаю хромиум, Аноним, 28-Дек-17, 19:33 (43) //
  - Который делает то же самое, только после клика по странице , Аноним, 28-Дек-17, 19:56 (45)
Палю тему - запоминайте пароль с парой недостающих или лишних символов и тогда н, Аноним, 28-Дек-17, 15:15 (6) //
- Какая разница Вы -то для таргетинга один и тот же Что с буквами, что с недост, Аноним, 28-Дек-17, 15:28 (7) //
  - Цель атаки - запомненный хэш пароля из Менеджера ,таргетинг это маленькая непри, pavlinux, 28-Дек-17, 15:40 (11) //
    - Заполненный весь пароль, а не хеш Но подставляется только на этом сайте где был , Анм, 28-Дек-17, 17:13 (25)
      - Знаю ещё один способ обмануть таргетинг я сам был в ахуе, когда узнал пароль , iZEN, 28-Дек-17, 20:42 (49)
        
        Логин обычно не является чем-то секретным, так что в зависимости от сайта сторон, Гентушник, 29-Дек-17, 15:37 (91)
    - В менеджере паролей запоминаются логин и пароль, привязанные к сайту, на котором, iZEN, 28-Дек-17, 20:51 (52)
      - Последнее время наблюдаю таргетирование по IP, ох как мне любят показывать дет, Аноним, 09-Янв-18, 10:43 (115)
- Шо, вместо , запоминать Один сайт - одна виртуалка, а лучше комп , pavlinux, 28-Дек-17, 15:33 (10) //
  - Может Qubes наконец взлетит , whiteout, 29-Дек-17, 11:18 (81)
  - с отдельным IP из отдельного датацентра в отдельном города выделенной страны на , Аноним, 09-Янв-18, 10:44 (116)
- Так там ПОКА ЕЩЁ не в пароле дело, а в утащенном адресе мыла , ryoken, 29-Дек-17, 07:07 (70)
- есть ещё и более-менее постоянный ip адрес Для идентификации пользователя доста, DmA, 29-Дек-17, 08:45 (74)
Минутку, но ведь пользователь зарегистрирован на этом сайте и скорее всего лишь , Аноним, 28-Дек-17, 15:32 (8) //
- Или не хочет логиниться, Crazy Alex, 28-Дек-17, 15:52 (13) //
  - Заставить, pavlinux, 28-Дек-17, 15:56 (15) //
    - Ну раз логин и пароль скрипт может получить, то можно сразу и залогинить пользов, Гентушник, 29-Дек-17, 15:41 (92)
      - И спам от его имени автоматом отправить Ты только что почти изобрел спамеров , Аноним, 30-Дек-17, 04:59 (104)
- Огромная часть сайтов продаёт место, а за содержимым не следит , Аноним, 09-Янв-18, 10:46 (117)
В FF по клику выпадает список Автоматом не заполняет , Аноним, 28-Дек-17, 15:32 (9) //
- Это если у тебя несколько вариантов запомнено Если один - подставляет сразу, Crazy Alex, 28-Дек-17, 15:52 (14) //
  - Не совсем По клику выпадает form history https support mozilla org ru kb upra, Аноним, 28-Дек-17, 17:57 (29)
Что там насчёт Pale Moon https github com MoonchildProductions Pale-Moon issu, Аноним, 28-Дек-17, 16:07 (17) //
- Да что - подвержен, конечно , Crazy Alex, 28-Дек-17, 18:25 (32) //
  - Таки да https github com MoonchildProductions Pale-Moon issues 1559 issueco, Аноним, 29-Дек-17, 04:00 (68)
- Так там же и написано решение предложенное выше - заполнять, когда кликнул на, ойой, 29-Дек-17, 12:23 (84)
- В Pale Moon уже пофиксили - отключили автозаполнение по умолчанию - https git, Аноним, 29-Дек-17, 19:30 (100)
Утечка идентификаторов пользователя через встроенный в брауз..., Дуплик, 28-Дек-17, 16:07 (18) //
- Ну если ты не хранишь пароли в браузере, ты либо хранишь пароли на листочке, либ, Отражение луны, 28-Дек-17, 16:37 (23) //
  - А так хорошо начинали Пароли, сохраненные в браузере, не зашифрованы каким-то , XoRe, 28-Дек-17, 16:56 (24) //
    - В фаерфоксе зашифрованы мастер паролем, в хроме и наверно клонах пароли в реесте, Анм, 28-Дек-17, 17:16 (27)
      - В хроме и хромоподобных пароли открытым текстом лежат в БД SQLite Enjoy ё безоп, Вася, 29-Дек-17, 12:52 (88)
    - начинать тут надо с модели угроз Если мы подразумеваем более-менее обновляющийс, Crazy Alex, 28-Дек-17, 18:23 (31)
      - Стырили ноут телефон , XoRe, 29-Дек-17, 01:06 (66)
        
        В этом случае лучше полное шифрование на уровне ФС или блочного устройства, ибо , Гентушник, 29-Дек-17, 15:51 (95)
    - В Сафари и ФФ зашиврованы , Аноним, 28-Дек-17, 18:56 (35)
    - Для этого есть encfs , user, 28-Дек-17, 22:19 (56)
    - Хинт Firefox FIPS-140 , PnDx, 29-Дек-17, 12:28 (87)
    - В FF есть мастер пароль Плюс можно синхронизировать пароли между девайсами на ко, Гентушник, 29-Дек-17, 15:49 (94)
    - Не совсем Хром хранит пароли в гном кейринге Ты можешь настроить его так, что , Отражение луны, 29-Дек-17, 15:51 (96)
  - Как связана запоминаемость пароля и устойчивость к подбору Например есть пароль, ryoken, 29-Дек-17, 07:11 (71) //
    - Один такой пароль - можно Десятки - нет Твой вариант - один пароль для множест, Отражение луны, 29-Дек-17, 15:48 (93)
    - Основная проблема хранения паролей в файле - то, что они проходят через буфер об, Отражение луны, 29-Дек-17, 15:55 (97)
      - Это спорно В буфере обмена может быть что угодно а в менеджере паролей заведомо, Аноним, 30-Дек-17, 05:04 (105)
        
        Однако, исправно обламываются о мастер-пароль Чтобы стырить пароли, малвари нуж, Аноним84701, 30-Дек-17, 16:43 (112)
почему же тогда мой фурефокс не ведет себя столь постыдным образом, а вставляет , Аноним, 28-Дек-17, 16:13 (20) //
- Возможно дело в настройках не по умолчанию , ойой, 29-Дек-17, 12:25 (86)
Тем веселее, кстати, смотрится недавняя новость о новом менеджере паролей в фаер, Аноним, 28-Дек-17, 16:37 (22)
Господи да вот вам идея для авторизации на сатйах опишите ее кто-нибдуь в RFC, а, Аноним, 28-Дек-17, 17:16 (26) //
- Кажется, Вы описали клиентские сертификаты Это уже есть в браузере и использует, Аноним, 28-Дек-17, 19:17 (41)
- у меня была идея получше, но это как оказалось был велосипед, Аноним, 30-Дек-17, 01:16 (101)
- JavaScript Было бы смешно Если бы не навевало Тоску И грусть Вот между проч, Анонимный Алкоголик, 30-Дек-17, 04:47 (103)
безопасность уровня фаерфопс В Chrome с этим все в порядке -- требуется явно кл, Аноним, 28-Дек-17, 17:38 (28) //
- Разницы никакой, Crazy Alex, 28-Дек-17, 18:27 (34)
- Так это же всё меняет , Аноним, 28-Дек-17, 19:00 (38)
- Если я правильно понимаю, имелся в виду любой клик на странице, а не на форме вв, Аноним, 28-Дек-17, 19:23 (42) //
  - Да , Аноним, 28-Дек-17, 19:58 (46)
  - А скриптовый клик прокатит , rpm, 29-Дек-17, 00:25 (65) //
    - А что на 99 9 прозрачная форма поверх всего уже не катит в качестве ловушки для, КО, 29-Дек-17, 10:17 (79)
      - А зачем Юзер и так тыкнет в какое-то место, никаких прозрачных ловушек не надо , Аноним, 29-Дек-17, 11:41 (82)
Пользователь, зарегистрировавшийся на сайте с определенным идентификатором, види, Аноним, 28-Дек-17, 18:59 (37) //
- Более того, и бороться с этим бесполезно, т к если у тебя на сайте в профиле вве, vitalif, 28-Дек-17, 20:42 (50) //
  - Тут как бы весь цимес в том что пользователь идентифицируется даже если он на са, Гентушник, 29-Дек-17, 15:56 (98)
NoScript успешно спасает от этих проблем Даже если разрешить выполнение скрипто, Ordu, 28-Дек-17, 21:06 (55) //
- Хватит форсить этот древний бренд Давеча на форчане появились малварные домены , Аноним, 28-Дек-17, 22:36 (57) //
  - Их только юматрикс блокирует Или, например, адблок-плюс тоже может , Аноним, 28-Дек-17, 23:46 (61) //
    - ABP может наверное, юблок точно может , но проблема в том, что там блеклист с , Аноним, 29-Дек-17, 01:15 (67)
      - И даже если ты разрешил Наконец-то понял, для чего сайты запршивают капчю с доро, DmA, 29-Дек-17, 08:56 (75)
        
        А сайт и рад - чел с блокировщиком рекламы и слежки дохода не приносит, а ресурс, Аноним, 30-Дек-17, 13:38 (108)
      - Спасибо В Adblock-plus блеклист с вайтлистом я не использую, потому что они уж, Аноним, 29-Дек-17, 10:30 (80)
        
        124 124 example com js main js или 124 124 example com scriptНо есть е, Аноним, 29-Дек-17, 11:49 (83)
        
        Спасибо , Аноним, 29-Дек-17, 18:34 (99)
  - Что ж ты так переживаешь, что кто-нибудь что-нибудь зафорсит, да тебя не спросит, Ordu, 29-Дек-17, 00:15 (62)
В Firefox about configsignon autofillForms - falsehttp kb mozillazine org Sig, Аноним, 28-Дек-17, 23:34 (58)
1 Не использовать менеджер паролей 2 Использовать для электронной почты отдель, Аноним, 28-Дек-17, 23:37 (59) //
- почтовый клиент, ryoken, 29-Дек-17, 07:16 (72)
- в firefox есть контейнеры, Аноним, 30-Дек-17, 13:43 (110)
Давно отключаю в Firefox запоминание истории, не фиг мой диск изнашивать всякими, DmA, 29-Дек-17, 08:42 (73)
Мозиле фундешен нужно разок проучить всех пользователей Firefox добавить в как, DmA, 29-Дек-17, 09:04 (76) //
- А ещё лучше не только сохранённых паролей, но и вводимых пользователем без сохра, DmA, 29-Дек-17, 13:44 (89)
- между действительностью и её описанием всегда есть глубокий разлом, переполненны, Аноним, 30-Дек-17, 13:30 (107)
- i Bы сели за компьютер - значит вы собираетесь какую-то информацию о себе повед, eganru, 30-Дек-17, 13:40 (109) //
  - На себя стучишь , Аноним, 30-Дек-17, 13:44 (111)
- Какие будут ваши предложения Не сохранять пароли, это первое правило Отчищать , Аноним, 31-Дек-17, 09:54 (114)
Кто ими пользуется ССЗБ , Аноним, 31-Дек-17, 09:50 (113)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру