Пользователи Firefox обратили внимание (https://github.com/mozilla/addons-frontend/issues/2785) на отслеживание активности через сервис Google Analytics на основной странице менеджера дополнений Firefox (about:addons). Примечательно, что счётчик используется независимо от согласия на передачу телеметрии Mozilla и без учёта режима "Do Not Track", более того, на страницу about:addons не распространяется действие дополнений для блокирования рекламы/трекеров и данные передаются даже в обход встроенной системы защиты от отслеживания (Tracking Protection) в приватном режиме.
Содержимое списка предлагаемых дополнений, который отображается в разделе about:addons, загружается с хоста discovery.addons.mozilla.org, поэтому в качестве обходного пути отключения предлагается заблокировать доступ к данному хосту. Недовольство вызывает то, что информация о пользователе по умолчанию напрямую передаётся в сторонний сервис без предупреждения и в обход дополнений блокировки, что недопустимо для браузера, ориентированного на приватность.
Один из сотрудников Mozilla пояснил (https://github.com/mozilla/addons-frontend/issues/2785#issue...), что данные собираются для анализа статистики просмотров списка рекомендованных дополнений и, в силу важности получаемой информации для аналитики, они не намерены убирать счётчик. При этом он предлагает ограничить использование счётчика только при выключенном режиме Do Not Track или добавить отдельную опцию.
Также отмечается, что несмотря на то, что данные обрабатываются через Google в интерфейсе Google Analytics активирована опция, запрещающая Google использовать информацию в своих целях. Кроме того, по соглашению с Google Analytics для ресурсов Mozilla сохраняется только обобщённая и обезличенная статистика, не позволяющая идентифицировать конкретных пользователей. Блокировщики рекламы и средства противостояния отслеживанию не влияют на блок Google Analytics в менеджере дополнений так как дополнения не могут обрабатывать содержимое служебных страниц "about:*".
URL: https://news.ycombinator.com/item?id=14753546
Новость: http://www.opennet.me/opennews/art.shtml?num=46840
Да, без Гугл аналитики такую статистику мозилле ну никак не собрать... Ни piwik, ни какой-нибудь лог аналайзер эту задачу, конечно, не потянут... Ничего не поделаешь.
А смысл? У Мозиллы масштабы базы пользователей таковы, что требуют настройки большой инфраструктуры. Проще Гуглу отбашлять за корпоративный аккаунт. К слову, а что такого, у нас крупные сервисы рунета не брезгуют пользоваться сторонней аналитикой и это нормально. Сэкономлены тысячи человеко-часов, а ценность данных не настолько важная, во всяком случае корпоративные аккаунты худо-бедно гарантируют, что их данные не прихлопнут без объяснения причин.
> а ценность данных не настолько важнаяЯ бы попросил не оценивать важность и ценность моих данных.
> К слову, а что такого,*вздыхая* Да ничего, ничего. И правда, что тут такого, передавать чужие данные, без уведомления, третьим лицам?
Чужие данные? Обезличенная инфа не является чужими данными, она всего лишь статистика. Научитесь различать эти понятия, и нервный тик пройдет сам собой)
Может всё же пользователю решить, какие данные о себе он считает обезличенными?
Ответ есть в самом термине: обезличенные. Те, где нет личной информации пользователя. В списке айди расширений как-то сложно представить себе ваши паспортные данные, ссылку на профиль из социальной сетки или что-то еще в этом роде. Паранойя - хорошо, но не тогда когда она начисто отшибает возможность логически мыслить.
Да сколько уже тут публиковали исследований, как по "обезличенной" статистике получить доступ к конфиденциальной информации, и как идентифицировать "обезличенного" пользователя.
> Ответ есть в самом термине: обезличенныеЭтот термин удобен для успокоения пользователей, руководствующихся соображениями вроде "не знают моего имени == не могут отличить от остальных". Отсутствие паспортных данных не мешает им отслеживать действия пользователей и на основании этого знать, что пользователю 425708843 надо показывать одну рекламу, а пользователю 86269675 -- другую.
> Чужие данные? Обезличенная инфа не является чужими данными, она всего лишь статистика.
> Научитесь различать эти понятия, и нервный тик пройдет сам собой)А где договор в котором прописано что гугл отвечает за то что они обезличенные, причём перед пользователем?
Или как хочу так кручу?
>> Чужие данные? Обезличенная инфа не является чужими данными, она всего лишь статистика.
>> Научитесь различать эти понятия, и нервный тик пройдет сам собой)
> А где договор в котором прописано что гугл отвечает за то что
> они обезличенные, причём перед пользователем?
> Или как хочу так кручу?вы верите в договоры ?
пока будет отсутствовать сама возможность нажать в ОСи кнопку "обезличить запускаемую программу" (контейнеризация? виртуализация?) - будут те кто злоупотребляет данными и нарушает договоры для собственной выгоды, китай показывает что даже расстрелы не помогают от нарушения (общественных) договоров
наличие ip адреса делает невозможным обезличивание
> Я бы попросил не оценивать важность и ценность моих данных.А, то есть вы бы предпочли чтобы они надежно хранились на серверах гугла и не удалялись без объяснения причин, как может быть на бесплатных аккаунтах. Ну так Мозилла так и сделала.
>> Я бы попросил не оценивать важность и ценность моих данных.
> А, то есть вы бы предпочли чтобы они надежно хранились на серверах
> гугла и не удалялись без объяснения причин, как может быть на
> бесплатных аккаунтах. Ну так Мозилла так и сделала.Не передёргивай.
Ну да, ну да, а научиться читать, что написано в исходном сообщении вместо того чтобы истерить - этого делать не будем.
Не просто крупные сервисы, а банки на странице логина в ИБ ;)
Так к слову....
Mozilla — это коммерческая организация. Для коммерческой организации нормально и естественно минимизировать издержки, для чего часто нанимаются третьи лица. Не понимаю, как можно не понимать.
Ну вот так эта коммерческая организация и прогорит. У них и так пользовательская база всё сокращается, так они и оставшихся разогнать собрались.Личто я уж точно лучше пешком постою - вон как раз Pale Moon новый вышел...
Очевидно что падение пользовательской базы обусловлено не сбором статистики на странице about:addons.
95% обычных пользователей браузера не знают что такое google analytics.
> Очевидно что падение пользовательской базы обусловлено не сбором статистики на странице
> about:addons.
> 95% обычных пользователей браузера не знают что такое google analytics.95% обычных пользователей браузера не знают, что такое браузер.
И пользоваться будут либо тем, что им поставлю я, либо тем, что окажется под рукой.А теперь спросите меня - зачем я буду ставить им малопопулярный неудобный браузер вместо хрома, если a) их безопасность меня вообще не колышет (им все равно ничем не помочь), b) защита их privacy меня не колышет тем более (по той же причине) и c) сам я им не пользуюсь, как раз потому, что собственная-то меня колышет и еще как.
тупость мазильских менеджеров именно в том, что они напрочь неспособны понять - не пользователь в современном мире определяет, чем он будет пользоваться. А те самые люди, которые отключили у себя телеметрию (и по этой причине их интересы игнорируются), понаставили странных аддонов, да еще и код норовят местами поправить.
А пользователь будет хавать то, что ему подсунут.
>зачем я буду ставить им малопопулярный неудобный браузер вместо популярного еще более неудобного браузера
Отличный способ минимизировать издержки — не собирать статистику.
Отличный способ спать спокойно - не пользоваться Chrome или Firefox. А то сначала с пеной у рта доказываем, что Firefox божественное подeлие, не смотря ни на какие доводы оппонентов, тыкая в ответ открытыми исходниками, которые все равно смотреть не смотрели и не собирались. А потом страдаем. Ну и поделом.
> Mozilla — это коммерческая организацияФормально - НЕкоммерческая.
Формально — коммерческая Mozilla Corporation работает под управлением некоммерческой Mozilla Foundation.
статистику-то собрать, а с денежкой не очень.
Не знаю, как у вас, но у меня для пущей надёжности аналютикс вместе с несколькими другими трекерами заблокированы в hosts.
>вместе с несколькими другими трекерамиСписок пожалуйста.
Вот прям для всей подсети списки:http://pgl.yoyo.org/adservers/serverlist.php?hostformat=bind...
http://mirror1.malwaredomains.com/files/spywaredomains.zones
я бы не советовал пользоваться подобными списками - или не удивляйтесь, что не можете потом что-то оплатить онлайн, где-то вам не показывают авиабилет или еще что в этом роде.банковский/pay systems антифрод ничем не отличается от рекламных помоек, ни по поведению, ни по выбору доменов (ни, увы, по выбору хостингов). А в прямизне рук составителя (и в том что он правильно актуализирует информацию) есть обоснованные сомнения.
к примеру, c пяток известных мне бангалорских помоек тут отсутствуют.
ничего не знаю, платежи проходят а реклама дохнет, к тому же если система живет рядом с бангалорскими пиратами на том же сервере - туда не стоит вводить данные креды.
Мозила Фурифокс - молодцы, а хром - напичкан зондами. Ну-ну...
Да-да, мы все верим гуглу. Да и в благие намерения нынешней MoCo.
https://github.com/StevenBlack/hosts
Желательно в рутер.
> https://github.com/StevenBlack/hosts
> Желательно в рутер.Не подавится метровым?
Если юзнуть все фильтры, то больше. Да не должно. А если и мало памяти на флеш, то можно придумать скрипт на скачивание при загрузке.
> https://github.com/StevenBlack/hosts
> Желательно в рутер.Unified hosts + fakenews + gambling + porn + social Readme link link 47,058 link
что-то я не очень понял - зачем вы самому себе собрались заблокировать порнуху?
Есть же глютамат натрия, например...
Вы хотели сказать, бром
Можно просто:
0.0.0.0 google-analytics.com
0.0.0.0 ssl.google-analytics.com
И браузер заработает быстрее.
Это еще ладно. Там у мозиллы еще фоновая служба (якобы для обновления) устанавливается, и пёс знает, что она на самомо деле делает... =)
Гражданин, пройдите на винфак.
Так возьми tcpdump/wireshark, strace/Process Monitor и посмотри. Чего как маленький то?
Маленький... Много вы увидите с помощью перечисленного, если передаётся по TLS/SSL...
Если что, браузеры в лог сеансовые ключи могут сливать если настроены соотвеьствующим образом.
угу, потом еще тулзы для расшифрофки писать. слишком много чести для мозилл и гУГлов всяких.
А зачем?
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NS...
https://wiki.wireshark.org/SSL
Но тут есть нюанс: для диффи-хеллмана не работает. Их поддержку на клиенте нужно отрубать для такого.
Fiddler, например, умеет в MitM (устанавливает сертификат по нажатии пары кнопок).
Фуфу, виндозятник!
> Там у мозиллы еще фоновая служба (якобы для обновления) устанавливается, и пёс знает,
> что она на самомо деле делает.дайте угадаю: обновления ищет и ставит, если нашлось. Поскольку wuauclt не умеет обновлять мазилу (в отличие от линуксов, у которых автообновлялка, обычно, встроена в дистрибутив)
При этом, о наивный юнош, запущенная мазила постоянно делает прорву обращений к "домашним" серверам, никакой ненужный фоновый сервис ей для этого не потребен. (и да, там ssl, и не просто ssl, а с cert pin'ом, просто так перехватить его не получится)
Это ты еще Яндекс браузер под виндой не ставил вот там то самые сочные зонды. Служба обновления, телеметрии, отдельный Защитник Яндекс Браузера, встроенный механизм Protect. Плюс ко всему тотальная слежка за тобой что ты делаешь в браузере на сайтах в поисковиках для лучшей выдачи рекламы от Яндекса.
A tor-browser тоже использует google-analytics? Он же на основе firefox.
https://i.imgur.com/EnGlo4W.png
> https://i.imgur.com/EnGlo4W.pngпрекрасно!
Твой ник. Он прекрасен (в контексте сообщения).
> https://i.imgur.com/EnGlo4W.pngи зачем он тогда нужен, тор-браузер этот?
> A tor-browser тоже использует google-analytics? Он же на основе firefox.Вы не поверите, но в Tor Browser тоже показывается!
зато в Icecat похоже нет.
И DRM нет.
Icecat становится всё нужнее и нужнее.
Облажались :(
Нет, это by design :-(
В смысле спалились?
До появления браузера гугл хром, Фаерфокс был крепко завязан на гугл. Но никто же не жаловался
Вот что они отправляют, как минимум 5 идентификаторов текущей системы шлют (_utm*, cid, tid, gid)v "1"
_v "j56"
a "1408043042"
t "pageview"
_s "1"
dl "https://discovery.addons.mozi…ery/pane/54.0.1/Linux/no...
ul "en-gb"
de "UTF-8"
dt "Discover Add-ons"
sd "24-bit"
sr "2160x1350"
vp "1916x587"
je "0"
_utma "164683759.2035933276.1475995088.1476549403.1476549403.1"
_utmht "1499887864693"
_u "CACCAEABM~"
jid ""
gjid ""
cid "2035933276.1475995088"
tid "UA-36116321-7"
_gid "1188535627.1499877727"
cd1 "1"
cd2 "0"
z "472431344"Но Cookie вроде не ставят, хотя может через Local Storage API сохраняют.
> Но Cookie вроде не ставяттак ее сервер подставит, а не этот скрипт.
А поскольку она у тебя наверняка уже есть - то и заново перевыставлять ее незачем, смысл-то как раз в том, чтобы по ней сопоставить твою прочую жизнь с особенностями браузера. "обезличенные данные", ну конечно.
А теперь объясни мне, чем открытие страницы списка расширений отличается от захода на сайт мозиллы, от захода на 90% всех остальных сайтов? И получается, что белки-истерички начали верещать только от того, что открыли какую-то страницу из меню браузера (не важно - предустановленные закладки или меню расширений), а она - вот неожиданно - ведет статистику, как и любая другая страница в этих наших интернетах.
> А теперь объясни мне, чем открытие страницы списка расширений отличается от захода
> на сайт мозиллы, от захода на 90% всех остальных сайтов?Тем, что на остальных сайтах аналитику можно легко и непринуждённо заблочить.
На странице списка расширений тоже блочится очень легко.
> На странице списка расширений тоже блочится очень легко.ну я пока вижу только советы как все сломать вообще (с помощью uBlock), и, видимо, работающий- добавить гуглеанал в "untrusted" noscript'а (удалить саму страницу из trusted не выйдет, оно там сереньким - гвоздиком прибито)
Ну и чтобы это все сделать - надо было заранее о таком "подарке" откуда-то узнать.
> А теперь объясни мне, чем открытие страницы списка расширений отличается от захода
> на сайт мозиллынапример, тем что не отключается ни аддонами, ни ручным ковырянием настроек - только хаком кода.
И тем, что, теоретически, я могу позволить себе не заходить на сайт мазилы.> И получается, что белки-истерички начали верещать только от того, что открыли какую-то
> страницу из меню браузерато что настройки самого браузера подделаны под "страницу", вовсе не означает, что я буду рад, что эта подделка, прямо как настоящая страница, что-то сливает третьим лицам. Которые и так знают про меня достаточно много лишнего (в частности, и безусловно, хехехе - имя, фамилию и паспортные данные, потому что к тебе не раз обратились по имени счастливые пользователи гмэйла, и ты не раз отправлял эти самые свои паспортные данные таким же счастливчикам. [нет, ну можете свою посылку с таможни не получать, разумеется...])
> как и любая другая страница в этих наших интернетах.
не любая. У меня, к примеру, достаточно квалификации, чтобы собирать статистику по собственным логам, ни с кем не делясь.
> например, тем что не отключается ни аддонами, ни ручным ковырянием настроек - только хаком кода.Получается, что вы принципиально не заходите на сайты, на которых есть аналитика в любом ее проявлении. То есть ни на какой сайт. Зачем вам браузер?
Кстати, аддонами отключается - см. ветку комментов, где не раз упоминали этот факт.
И третье - на ресурсах с жучками, как правило, не учитывают, что кто-то их будет резать. Если кто-то хочет резать, то есть вмешиваться в работу ресурса, тот берет на себя все риски связанные с его нормальным функционированием. Жаловаться, что админы ставят палки в колеса на вырезание жучков - то же, что жаловаться на то, что вам не дают нарушить нормальную работу ресурса. А я напомню, вам никто не ставил палки, нормальные аддоны - нормально режут.
> то что настройки самого браузера подделаны под "страницу", вовсе не означает, что я буду рад, что эта подделка, прямо как настоящая страница, что-то сливает третьим лицам.
Я тайну не открою - аналитика сейчас везде. Что в прикладном софте на десктопах, что в мобильных приложениях (у которых, к слову, доступ к вашей личной информации куда свободнее). Однако вонь поднялась только из-за Firefox, будто вас эта новость ввергла в глубокий шок и вы отказываетесь верить в такое предательство со стороны любимого браузера.
> не любая. У меня, к примеру, достаточно квалификации, чтобы собирать статистику по собственным логам, ни с кем не делясь.
Ну хорошо, практически любая. У меня стоит Ghostery, и найти сайт, чтобы она не показывала счетчик жучков больше 0 - надо постараться. Вопрос остается в силе - вы специально не заходите на сайты с жучками?
> Получается, что вы принципиально не заходите на сайты, на которых есть аналитикагде-то ее отключаю, где-то принципиально не захожу, где-то, где про секс с понями и лягушками- специально захожу, чтоб им там не скучать.
> И третье - на ресурсах с жучками, как правило, не учитывают, что
> кто-то их будет резать.прошлый век! Сейчас принято _учитывать_ и героически бороться. У noscript половина кода - это shims, подменяющие неработающий при этом кусок.
> Я тайну не открою - аналитика сейчас везде. Что в прикладном софте
все ж таки ее принято при этом явно обозначать, и предоставлять (хотя бы полу-работающие) средства ее отключения - в том числе и в самой мазилле. А тут очередному "эффективному" просто захотелось побыстрее и без лишних свидетелей - ну а вышло как всегда, теперь вот неуклюже врут что оно "обезличенное".
> Ну хорошо, практически любая. У меня стоит Ghostery, и найти сайт, чтобы
я бы вот на вашем месте был поосторожнее с ghostery - учитывая, что плагин бесплатен, а основная коммерческая деятельность этой фирмы...тадам! угадали? ;-)
> она не показывала счетчик жучков больше 0 - надо постараться. Вопрос
неисключено что она у меня тоже покажет >0 - жучок-то есть (банально детектируемый), просто я не делюсь им ни с гуглем, ни с кем-то еще, и ваше поведение вне моего сайта мне совершенно не нужно, я ничего не желаю о нем знать, просто не лопайте лягушек у меня.
> остается в силе - вы специально не заходите на сайты с
> жучками?захожу, натянув на голову два презерватива и поправив шапочку. Я слишком долго работал в этом бизнесе (и не надо на меня так погано смотреть - я жрат хочу, а не делать мир лучше).
> все ж таки ее принято при этом явно обозначатьУже нет. Аналитика - это норма, нравится это или нет. Хотя я тоже не люблю все эти тонны скриптов, но воспринимаю их как неизбежное зло, без истерик.
> А тут очередному "эффективному" просто захотелось побыстрее и без лишних свидетелей - ну а вышло как всегда, теперь вот неуклюже врут что оно "обезличенное".
Учитывая открытость исходников, без лишних свидетелей не получилось бы. Все у всех на виду было, но, как показала история, мало кому нужно было в них заглядывать. Камень в огород любителей потребовать исходники.
> я бы вот на вашем месте был поосторожнее с ghostery - учитывая, что плагин бесплатен, а основная коммерческая деятельность этой фирмы...тадам! угадали? ;-)
Ну я смотрел в консоли - лишних запросов не видел. Наверняка uBlock дорезает за Ghostery, если тот что-то пытается отправить. А вообще, не важно, главное что от социалок и гуглов-яндексов режется все, остальное не так волнует, ибо несоизмеримо меньшие масштабы слежки.
> (и не надо на меня так погано смотреть - я жрат хочу, а не делать мир лучше)
Тогда вы тем более должны понимать, что это НОРМА.
> Уже нет. Аналитика - это норма, нравится это или нет.ну, окно восприятия сдвигается, да, и трудами главного спекулянта аналитикой прежде всего (в том числе - по перепродаже ее спецслужбам, тем кто сопрет у спецслужбы, тем кто купит у спершего у спецслужбы - с каждой итерацией это все ближе к вам, все дешевле стоит и все хуже хранится)
но зачем же ему в этом помогать?
> Учитывая открытость исходников, без лишних свидетелей не получилось бы.
вполне получилось, как видим - "тысячи глаз", ага, щас. Заметили-то обычные пользователи, обычным пользовательским инструментарием, не заглядывая в исходник.
А вот если поставить задачу в тракере "запилить сбор аналитики о плагинах и создать под него серверную инфраструктуру" - то хайп, скорее всего, возник бы сразу же - и пришлось бы, как минимум, снабдить фичу штатным выключателем.
А так - у гугля уже есть список плагинов, привязанный к конкретным людям, в том числе - пользователей тора, как хорошо. Ну и не у гугля тоже теперь есть, или могут попросить.
> Ну я смотрел в консоли - лишних запросов не видел.
а как ты их собираешься увидеть, если ghostery _штатно_ обращается к своему серверу? ;-)
> Тогда вы тем более должны понимать, что это НОРМА.
совершенно невменяемый и безмозглый индусский менеджмент, берущий взятки на всех уровнях, безусловно, уже норма.
Вспомнилось. Эта ситуация отлично объясняет ругань антивиря norton security на следящие cookies в системе.
P. s.: минусящие живенько ставят виртуалки и тестируют что и как.
> Вспомнилось. Эта ситуация отлично объясняет ругань антивиря norton security на следящие
> cookies в системе.
> P. s.: минусящие живенько ставят виртуалки и тестируют что и как.Зачем виртуалки? Делаем отдельного пользователя, фильтруем uid в iptables, наслаждаемся логами или tcpdump (по вкусу).
Вот интересно когда Мозилла перейдёт на движок Хромиум?
Это они так повышают популярность браузера."как всё про&@#ть и ничего не понять"
Может я чего-то не вижу, но при заходе на данную страницу uBlock Origin рапортует о срабатывании 4 правил как я понимаю. в консоли объекта ga я не нахожу как и в ресурсах.
в блокируемые uBLock ресурсы входит аналитика
Да и по сути там грузится как я вижу компонент browser который в себя загружает вполне конкретную страницу из интернета что вполне позволяет блокировщикам в неё вклиниться.
Там Рэймонд отписался
https://github.com/mozilla/addons-frontend/issues/2785#issue...
> Там Рэймонд отписался
> https://github.com/mozilla/addons-frontend/issues/2785#issue...добавка https://github.com/mozilla/addons-frontend/issues/2785#issue...
"активирована опция, запрещающая Google использовать информацию в своих целях"
ахахах
> Содержимое списка предлагаемых дополнений, который отображается в разделе about:addons,
> загружается с хоста discovery.addons.mozilla.org, поэтому в качестве обходного пути отключения
> предлагается заблокировать доступ к данному хосту.О Б-же....
extensions.webservice.discoverURL = ""
uBlock Origin с настройками по умолчанию блокирует www.google-analytics.com и частично discovery.addons.mozilla.org.
> uBlock Origin с настройками по умолчанию блокирует www.google-analytics.com и частично
> discovery.addons.mozilla.org.У меня он по умолчанию был отключён на about:addons. Но NoScript сработал.
Уточню: NoScript сработал потому что аналитика был в недоверенных. Он на about:addons работает в режиме чёрного списка, а не белого.
теперь ясно, откуда брались гуглокуки со старта, пока не отключил печеньки совсем.Носкрипт спасет отца русской демократии
> Носкрипт спасет отца русской демократииНе спасёт, в about:addons он не действует.
В юматриксе matrix-off: addons.about-scheme false и всё. Даже about-scheme не надо из вайтлиста убирать.
Но, как говорит Горхил, webext версии пока пропускают.
Юматрик даже 3rd-party фрейм по дефолту не пропустит и в итоге вообще ничего не загрузится во вкладке Get addons
Гугл захватил интернет. Это надо понимать
https://github.com/MoonchildProductions/Pale-Moon/issues/1237Our Discover Pane (Get Add-ons) calls a page from our own servers NOT from AMO. We have been using our own page for that since Pale Moon 25. This should be obvious because it isn't the same page as Firefox and minor rebuilds server.
Как типично. Мы за привтность, но нам шпионить можно.
Гугль тоже, подписал соглашение, но ему то можно нарушить.
Без мата слов нет. гомeсеки
Гугл-аналистик... гугл-аналистик... Открыть about:config и очистить параметр "extensions.webservice.discoverURL" видимо "религия" не позволяет. Как вариант прописать туда невалидный адрес типа: 255.255.255.255 Может чё и путаю, но у меня давно так. Как следствие about:addons просто неактивен :)