Группа исследователей из Университета имени Давида Бен-Гуриона в Негеве (Израиль), Аделаидского университета (Австралия) и Принстонского университета разработали (https://arxiv.org/pdf/1811.07153.pdf) метод атаки по сторонним каналам, позволяющий определить какой сайт открыт в соседней вкладке браузера через анализ задержек при обращении к кэшу. Проблеме подвержен в том числе Tor Browser.
Атака построена на применении нейронной сети, выявляющей характерную при работе с каждым сайтом активность кэша. Подобные атаки ранее были предложены для выявления фактов открытия web-страниц на основе статистического анализа шифрованного сетевого трафика, в том числе позволяющие через пассивный анализ трафика определять отправку определённых запросов через Tor. В предложенной исследователями атаке вместо анализа сетевого трафика используется оценка состояния процессорного кэша.
Атака производится через выполнение JavaScript-кода на системе пользователя, который, например, может быть получен при открытии подконтрольного атакующим сайта или подставлен в незашифрованный транзитный трафик. Выполняемый JavaScript-код выполняет трассировку активности кэша, которая классифицируется нейронной сетью и связывается с характерной для определённых сайтов активностью. В процессе обучения нейронной сети используется коллекция мемограмм (memorygram), отражающих слепки состояния кэша во время открытия определённых сайтов. При проведении эксперимента нёйронная сеть была обучена на 10 тысячах мемограмм (по 100 трассировок для 100 сайтов).
В отличие от ранее предлагаемых вариантов атак, пытающихся выявлять конфликты при кэшировании, новая атака измеряет общее заполнение кеша последнего уровня, чего оказалось достаточным для классификации при помощи обученной на типовой активности нейронной сети. В экспериментах использовалось модели на базе двух типов нейронных сетей: свёрточной (https://ru.wikipedia.org/wiki/%D0%A1%D0%... (CNN, Convolutional Neural Networks) и рекуррентная с долгой краткосрочной памятью (https://ru.wikipedia.org/wiki/%D0%94%D0%... (LSTM, Long Short-Term Memory). Реализация на базе LSTM показала лучшие результаты.
Атака может быть эффективно проведена при значительном урезании точности работы таймера в браузере, в том числе в Tor Browser с интенсивностью срабатывания таймера в 100 мс (для Firfox точность обнаружения составила 94.8%, а для Tor Browser - 80.4%). На атаку также не влияют меры для блокировки уязвимостей Spectre.URL: https://www.theregister.co.uk/2018/11/21/unmasking_browsers_.../
Новость: https://www.opennet.me/opennews/art.shtml?num=49645
Пришла пора откопать Internet Explorer 6?
Еще скажи между важными вкладками пустые оставлять, в качестве буфера...
Можно параллельно белый шум скачивать (с паузами), чтобы исказить таймеры.
Запускать каждый сайт в своей виртуалке! Или накупить пару десятков малинок и изолировать их!Больше ада!
Не поможет, закэшируется маршрутизация на промужуточных узлах.
Со случайными паузами.
торренты наше всё! возможно видео/радио в соседних вкладках тоже будет "шуметь".
Не лучше ли белого шума напихать непосредственно в обработку JS и загрузку (на нормальном вэбе почти не скажется, только у говносайтов 20 секунд загрузки превратятся в минуты)? Порезать JS таймерам точность до секунд, так как меньше по факту не нужно (плавные анимации - это всё должно быть через CSS).
Не закрывать вкладки месяцами, накапливать тысячи открытых вкладок и не перезагружать пк.
Ну, кстати, хороший вопрос - процессор-то общий, интересно, как влияет работающий в параллель торрент?
Пришла пора менять сам подход к "приватности". Пора осознать и принять, что любые твои личные данные так или иначе станут доступными злоумышленнику. И единственный выход - это делать так, чтобы злоумышленник их не смог понять.
> Пора осознать и принять, что любые твои личные данные так или иначе станут доступными злоумышленникуА ты быстрый.
При чем тут я? Я это давно понял.
Но опеннет все обсуждает и обсуждает как надо правильно запускать браузер или какие новые тормоза надо добавить в ядро, чтобы избавиться от очередной уязвимости.
>какие новые тормоза надо добавить в ядро, чтобы избавиться от очередной уязвимости.Ну тут-то Линукс просто сверхбезопасен.
> или какие новые тормоза надо добавить в ядроПри том, что большенство уязвимостей существует только на бумаге или при использовании специально подготовленого оборудования и софта. При этом все закрывают глаза на реальные уязвимости.
Практическое применение этой сенсационной идее потрудитесь озвучить?
То есть? Это и есть практика, правительство берет все запретные сайты и обучает на них сеть - потом вас штырят через простой яваскрипт от провайдера, узнавая, открыт ли в вашем браузере один из этих запретных сайтов, или нет. И на заметку вас в случае чего.
хоть информация и оказывает на вас влияние это отдельная сущность с вами органически не связанная, единственный выход - не плодить эту сущность
Не смог понять? мм-м-... Указывать год рождения от эры динозавров? Менять буквы "о" в имени на нули?
решение куда проще - замораживать вкладки после переключения.
Можно не совсем, но затормаживать до неприличных значений - раз в двадцать, допустим
Да все гораздо проще - просто просить владельцев сайтов, вносить рандомные блоки в свои сайты, всё, кэш всегда будет разный, устанут обучать.
Пришло делать нормальный веб, задержки от которого укладываются в таймер 20 мс.
Не-а. Пора запускать броузер на специальном ядре сотключенными кешами и предсказанием ветвлений .
В петушинном углу для недоверенного кода, так сказать ..
Пусть уеб-погроммисты и браузерописатели попрыгают,пооптимизируют , хе-хе
Интересно, сможет ли отличить pornhub от vimeo?
а это разьве не один и тот же сайт?
Скоро чтоб спастись от слежки нужно будет для каждой странички запускать отбельный браузер на отдельном экземпляре операционки и на отдельном процессорном ядре.
Qubes OS немного доработать, чтобы шедулер соответствовал требованиями по ядрам и решение готово. Рутковская как чувствовала, что скоро без этого будет никуда.
Индересно, кто (был?) генератор идей для Джоанны (про исполнителей то уже даже в Википедии написали).
>про исполнителей то уже даже в Википедии написалигде?
>>про исполнителей то уже даже в Википедии написали
> где?"однако Александр немного больше времени уделяет программистской работе, а сама Рутковская сосредоточена непосредственно на бизнес-задачах"
а че бы например не посмотреть список вот здесь? https://www.qubes-os.org/team/
> а че бы например не посмотреть список вот здесь? https://www.qubes-os.org/team/Во-первых, по ссылке нынешний состав, а идея (о чём и был вопрос) появляется до реализации.
Во-вторых, не нахожу там имени Рафал Войчук.
В-третьих, идею вполне мог предложить не Рафал, а Александр (с оговоркой: для Windows, где её реализация за пределами возможностей), однако, он слишком скромен, что бы упоминать о подобных мелочах.
> шедулерДля финишировавших МГИМО: читается "скедулер", но в русском языке есть слово "планировщик".
> Для финишировавших МГИМО: читается "скедулер"Сам небось МГУ финишировал? "скедуал" это с американским акцентом, британцы же говорят "шэдуал".
британцы же говорят "шэдуал" - уже почти не говорят
Нет, спросите у любого британского native speaker. Если только иммигрант скажет скедуле.
> Если только иммигрантВот поэтому и уже почти не говорят.
амер. skedʒuːl
брит. ʃɛdjuːl
> амер. skedʒuːl
> брит. ʃɛdjuːlOxfordAmericanDictionary (En-En)
scheduler
[ˈskejo͞olər; ˈskejələr]
Оп: https://dictionary.cambridge.org/us/dictionary/english/sched...
> Оп: https://dictionary.cambridge.org/us/dictionary/english/sched...Да, есть и такой словарь. Скажу Вам больше: информация может различаться в различных изданиях одного и того же.
Не знал, что британский так популярен в местном IT. Думал, им лишь огрехи произношения и написания оправдывают. Что ж...Товарищ, верь: взойдёт она,
Звезда пленительного счастья -
$LS_COLOUR - и в метаданных патча
Увековечат ваши имена!
Ориентироваться на британский не надо - 99.9(9)% всего англоязычного контента в интернете - это американский.Уже 10 лет смотрю фильмы в оригинале, видеоуроки, итд, плюс работаю в международной команде (полный интернационал со всего мира). В общем, слышу англ и пользуюсь им каждый день.
Так вот, с британским я сталкивался всего два раза за все время:
1) гарри поттер в оригинальной озвучке
2) один из фрилансеров-индусов.Зы.
Вся идиоматика, которую так заставляли когда-то учить на курсах английского коту под хвост - в реальности используется американская. Ну и elevator поймут все, а lift - нет.
Всем пофиг. Ещё из-за "роутера" визжать начни.
А почему вы, д'Артаньян, не говорите Бабилон и Барбара, вместо Вавилон и Варвара?
Ну это, товарищ, смотря с какого вы континентаhttps://dictionary.cambridge.org/dictionary/english/scheduler
Это если игнорировать, что преподаваемую в школе толику британского английского в дальнейшем сносит лавина американского, доминирующего в этой нашей компьютерной тематике, да и в массовой культуре. Наверно, лишь самые стойкие могут так: colour[GREY] = lib::Color::Gray; dx = 3.0 * METRE; pos = POS_CENTRE;
Это не про слежку. Это что бы просто боялись.
на отдельном физическом сервере. Желательно в отдельной изолированной комнате, а то окажется что не смотря на все попытки ограничить доступ, страничка в современном шибкоумном браузере видит тебя в камеру, дополняя увиденное эхолокацией сквозь твои же колонки и микрофон (а если нет микрофона - через те же самые колонки), а уж клавиатурный набор вообще читает быстрее чем драйвер клавиатуры.
...после чего через сопряжённый по блутусу сотовый звонит в ближайшую клинику.
>видит тебя в камеруточно - зеркало за спиной не вешайте, а то никакого кеша не надо будет. :)
> камеру
> колонки
> микрофонСколько ненужно в одном предложении. Вот когда по шумам в электрической сети начнут с расстояния видеть тогда и поговорим.
На отдельном компе, подключенному к отдельной розетке и желательно совсем в другой точке земного шара.
Ну или сливать столько информации, чтоб опознать реальную было невозможно. :)
js - зло, но атака больше на исследовние-ради-исследования похожа
> js - злоТоже сидишь вспоминаешь лефтпад?
> js - злоТ.е. ты новость не читал, сразу побежал писать комментарий? Да хоть на C используй (через WASM). Атака не через язык/интерпретатор идет, а через таймеры и кеши. Ох уж эти аналитики в комментариях.
соответственно и wasm надо отправить ровно туда же, куда и "обычный" js.Атака идет через совершенно ненужные возможности, засунутые в браузер этих ваших интернетов.
>ненужные возможностиТы СКОЗАЛ??!!!
я, в отличие от тебя, миленниала, отлично помню что все нужные мне сайты когда-то прекрасно обходились без ненужно-функционала - и ими было быстрее, удобнее и приятнее пользоваться, в отличие от современного скриптованного дерьма.начиная вот прямо с гугля и заканчивая онлайн-банком - у мастербанка в свое время на сайте не было _ни_одного_ скрипта. И ничего, работало. Быстро и эффективно.
Как - вашему современному умишку не постичь, даже и не пытайтесь.
> я, в отличие от тебя, миленниала, отлично помнюА я отлично помню, как мы вообще без сайтов обходились, ты тогда еще под стол пешком ходил. Думаешь, компьютеры тоже стоит запретить?
Вы таки не понимаете различий между "запретить" и "сделать легче и выпилить кучу телеметрии и рекламы"? 99% js кода это телеметрия и релкама, таки да. Особенно умиляет когда его начинают юзать на одностраничном сайте без динамики ради рюшечек и анимаций которые спокойно делаются на CSS, ещё и работают в результате быстрее.
Кстати, вот что интересно. Давеча ходил я из текстового интерфейся широко известной программы yast на сайта Новелля — и оно таки сходило нормально, опознало подписку и всё такое. За браузер был w3m. 2018 год, однако, приятно. За такие вещи я очень люблю Кговавый Ынтерпрайз старой закалки.
>>ненужные возможности
> Ты СКОЗАЛ??!!!Ты круто опрАверг?
Большую часть всех этих фенечек, для которых сейчас используется JS, можно было реализовать предоставлением АПИ в браузере или расширением HTML.
Но нет, ведь под каждую отдельную хотелку проще было делать костыль-подпорку, попутно накручивая потихоньку мегатонны абстракций.
А потом вдруг оказалось, что к этому небоскребу из костылей и подступиться боязно и обойтись уже никак не получается и заменить не выходит - легаси-с. А все когда-то сэкономленные средства ушли на разработку мощнейших JIT-движков ("бонусом" DOM реализации в браузерах стали жрать память сотнями МБ) -- просто чтобы оставить статус-кво.
И теперь почему-то каждый второй бложик с текстом и картинками без активного JS нормально-читабельно не отобразится (а вместо каждого третьего будет вообще белая страничка или только шапка). Ну и жрет такой современный браузер совершенно по современному, даже если показывает ровно то же самое, что и 20 лет назад.
Профит пополам с прогрессом, че …
вообще-то большую часть можно реализовать (и реализовывали до эпохи всеобщего разжижения мозгов) server-side.
Ну да, пользователю иногда надо было сделать два лишних клика мышью - а сегодня ей можно просто дрыгать, и ждать, пока под курсор подползет нужное.
Чувак, JS к вебу приделали для интерактивных развлечений: чтобы баннеры мелькали и кнопочки переливались цветами радуги, снег шёл по экрану и тому подобных шалостей. Для дела же там другие средства предусмотрены — как верно заметил нах, это были клиент-серверные технологии. Коим уже десятки лет от роду. В это, наверное, будет не под силу поверить миллениалам, но изначально Веб спроектировали без всей этой интерактивщины на стороне клиента.
> Для дела же там другие средства предусмотрены — как верно заметил нах, это были клиент-серверные технологии. Коим уже десятки лет от роду. В это, наверное, будет не под силу поверить миллениалам, но изначально Веб спроектировали без всей этой интерактивщины на стороне клиента.Контекстное автодополнение/выбор из списка, сама проверка ввода в формах, частичное обновление (и обновление вообще без ручного "поллинга") -- где были все эти тайные технологии, когда сайт грузился 3КБ/c по диалапу с минутным тарифом (и нет, использование для этих целей некоторыми, особо "одаренными", жабаепплетов или флеша -- просто разновидность современных JS-извращений)?
Другое дело, что сейчас, чтобы сэкономить на частичном обновлении целых 15КБ, вполне могут для начала накачать фреймворков на 15МБ -- но это не повод для развешивания лапши на ушах у всех подряд.
Да, AJAX — кто помнит ещё это название? — был, в определённой мере, полезной вещью. Но всё, что выросло из него позже, это просто тихий ужас.
> Контекстное автодополнение/выбор из спискаСейчас есть datalist. По крайней мере если список небольшой и его можно загрузить вместе со страницей.
> сама проверка ввода в формах
Ещё сейчас есть атрибут pattern на инпутах принимает регулярки, стили могут реагировать на состояние инпута (валидный или нет).
> частичное обновление (и обновление вообще без ручного "поллинга") -- где были все эти тайные технологии, когда сайт грузился 3КБ/c по диалапу с минутным тарифом
Автообновление данных по диалапу? Могли ведь и по морде дать.
>> Контекстное автодополнение/выбор из списка
> Сейчас есть datalist. По крайней мере если список небольшой и его можноТолько нужно было не сейчас, а еще тогда. Глядишь и костылей бы (или "исторически сложившихся" паттернов и практик) меньше наклепали.
> Автообновление данных по диалапу? Могли ведь и по морде дать.
Ну ведь особо одаренным это не мешало реализовывать чат/"shout-out" в HTML через refresh-тег в метаданных.
Или вставлять BMPшки. А так -- возможно опять кучей велосипедов и подпорок меньше было бы.
> Только нужно было не сейчас, а еще тогда. Глядишь и костылей бы
> (или "исторически сложившихся" паттернов и практик) меньше наклепали.Кому, тебе? Почему же ты не сделал тогда?
>> Большую часть всех этих фенечек, для которых сейчас используется JS, можно было реализовать предоставлением АПИ в браузере или расширением HTML.
>> Только нужно было не сейчас, а еще тогда. Глядишь и костылей бы (или "исторически сложившихся" паттернов и практик) меньше наклепали.
> Кому, тебе? Почему же ты не сделал тогда?В ход пошла банальная демагогия, лишь бы оправдать любимый фетиш?
> Контекстное автодополнениеэто то, которое все, матерясь, везде отключают, потому что заманало собирать профили?
> выбор из списка,
делается без всякого js со времен html2.0. Кстати, в нем работает поиск по первым буквам - тоже без всякого js и "автодополнений".
> сама проверка ввода в формах
server-side, а вообще - чем меньше проверяешь, тем лучше пользователю, см. когдатошние темы на хабре про то, какие бывают почтовые адреса и почему любые проверки там - зло (включая кадастровые, потому что у почты, внезапно, некадастровые адреса и синхронизируется не мгновенно)
> частичное обновление
нафиг ненужная пищалко-перделка. Причем если что-то пошло не так - уже нет возможности у пользователя хотя бы это увидеть - просто пустое место.
все это попытки из гипертекста сделать подобие интерфейса windows, нахрен оно не надо для _работы_. Только для самоудовлетворения альтернативно-одаренных - "посмотри как я могу".
единственное, пожалуй, разумное применение аякса - бесконечные ленты в тентаклике/мордокнижечке, но, сам понимаешь, оно предназначено для решения никаких задач и никакой полезной деятельности - наоборот, побольше потратить твоего времени (глядишь, и на полезной рекламке кликнешь)
> этих целей некоторыми, особо "одаренными", жабаепплетов или флеша -- просто разновидность
> современных JS-извращенийименно так.
единственное виденное мной на обычных сайтах применение жабе - райфайзеновский генератор паролей. Относительно надежно и достаточно разумно. Но такое сейчас писать разучились.> Другое дело, что сейчас, чтобы сэкономить на частичном обновлении целых 15КБ, вполне могут
> для начала накачать фреймворков на 15МБэээ, дедуля, вы от жизни отстали, чугунка ваша уже на вторчермет сдана, паровоза не ждите, звиздуйте на автобус с экологичным двигателем евро5... откройте на досуге девконсоль и network в ней, ужаснитесь. Какие 15 мб - хорошо если не все 150!
И шрифтик, шрифтик с гугля не забудьте подгрузить, иконки немодно, надо как поняша любит, какашечку из шрифтика нарисовать. Подумаешь, вместо килобайтов опять мегабайты, юзер все стерпит, он же лох, ему положено терпеть.
>> Контекстное автодополнение
> это то, которое все, матерясь, везде отключают, потому что заманало собирать профили?А можно не дергать отдельные части предложения?
И нет, это когда содержание второго списка зависит от контекста. Например, выбора в первом списке. Без надобности после сабмита полностью перезагрузить страницу.
Например, что-то типа спец-фрейма (совсем-совсем без JS) для форм, позволяющий отослать и получить ответ без перезагрузки (и излишнего ковыряния в ДОМе) остального содержимого страницы.> делается без всякого js со времен html2.0. Кстати, в нем работает поиск
> по первым буквам - тоже без всякого js и "автодополнений".Нет, это не делается со времен html2.0. Потому что запихнуть все 100500 вариантов в несчастный список -- немного не о том.
>> сама проверка ввода в формах
> server-side, а вообще - чем меньше проверяешь, тем лучше пользователю, см. когдатошниеАга, перезагрузить все содержимое страницы для проверки (без разницы, на тогдашнем диалапе или современном GPRS), чтобы увидеть "этот ник занят" или "вы забыли заполнить дату", т.е. вместо пары сотен байт переслать (в лучшем, идеально-сферическом случае) пару сотен килобайт -- это верх элегантности.
> нафиг ненужная пищалко-перделка. Причем если что-то пошло не так - уже нет
> возможности у пользователя хотя бы это увидеть - просто пустое место.Не нужно путать очередной лисапед с квадратными колесами и (гипотетически) грамотную реализацию в браузере.
> все это попытки из гипертекста сделать подобие интерфейса windows, нахрен оно не
> надо для _работы_. Только для самоудовлетворения альтернативно-одаренных - "посмотри как я могу".Очевидно, что если бы оно совсем-совсем не нужно было, то и спроса на это не было.
Но одно дело, когда грузится куча скриптов и ресурсов просто для показа красивых свистелок и совсем другое, когда попутно обеспечивается и базовое/привычное удобство -- тогда да, загрузка скриптов (а оная была очень долго довольно опциональной) воспринимается как некое тепримое зло, к которому потихоньку привыкают.
> это когда содержание второго списка зависит от контекста. Например, выбора в первом списке…Есть такой UX-паттерн — пошаговый мастер. Прекрасно реализуется без JS-подпорок. В большинстве случаев ещё и работать будет быстрее.
> Ага, перезагрузить все содержимое страницы для проверки (без разницы, на тогдашнем диалапе или современном GPRS), чтобы увидеть "этот ник занят" или "вы забыли заполнить дату", т.е. вместо пары сотен байт переслать (в лучшем, идеально-сферическом случае) пару сотен килобайт -- это верх элегантности.
Страх "перезагрузки страницы" смешон, учитывая скорость современных браузеров и интернет-каналов. Даже на шикарном по меркам ранних 2000-х канале в 64kbps (это ведь его ты имеешь в виду под "GPRS"?) современный смартфон может успеть загрузить страницу, отрендерить и отредактировать DOM скриптами несколько раз — меньше чем за 400мс.
Проблемы начинаются, когда вместо браузерного API начинают использовать новомодный "Lo DASH xxxJS 9000 (jQuery edition!)" объёмом 20 Мб, и по полезности сопоставимый с leftpad, а вместо статического HTML — какой-нибудь React, который и десктопный-то браузер ставит на колени, не говоря уже о мобильниках. Налицо эффект slippery slope — поколение, начавшее разработку со слепой веры, что "Ajax есть хорошо!", свысока посматривает на серверный рендеринг, а на них в свою очередь свысока посматривают фанаты Angular, которым в свою очередь на пятки наступают адепты Web Components… А когда страница грузится по 20 секунд, каждый начинает кивать на предыдущего. И в итоге оказывается, что виноват кривой и малофункциональный HTML, медленный браузер, медленные каналы — в общем что угодно, но не прослойка между компом и стулом.
> Есть такой UX-паттерн — пошаговый мастер. Прекрасно реализуется без JS-подпорок.
> В большинстве случаев ещё и работать будет быстрее.Совершенно верно. Однако идея про next-next-next обрела дурную репутацию — не в последнюю очередь благодаря агрессивным линуксоидам. И сейчас вебмакаки вываливают в браузер все 20—30 МБ прогрессивной вебстраницы сразу, одним куском, да ещё постоянно что-нибудь догружая извне.
>[оверквотинг удален]
> сопоставимый с leftpad, а вместо статического HTML — какой-нибудь React, который
> и десктопный-то браузер ставит на колени, не говоря уже о мобильниках.
> Налицо эффект slippery slope — поколение, начавшее разработку со слепой веры,
> что "Ajax есть хорошо!", свысока посматривает на серверный рендеринг, а на
> них в свою очередь свысока посматривают фанаты Angular, которым в свою
> очередь на пятки наступают адепты Web Components… А когда страница грузится
> по 20 секунд, каждый начинает кивать на предыдущего. И в итоге
> оказывается, что виноват кривой и малофункциональный HTML, медленный браузер, медленные
> каналы — в общем что угодно, но не прослойка между компом
> и стулом.Два плюса этому анониму!
> Страх "перезагрузки страницы" смешон, учитывая скорость современных браузеров и интернет-каналов.
> Даже на шикарном по меркам ранних 2000-х канале в 64kbps (это ведь его ты имеешь в виду под "GPRS"?)Нет, в реальности это обычно "минимальный прием с многосекундным временем отклика, сбоями и обрывами соединения", а не "из него ведь тоже теоретически можно выжать 100500kbps".
> современный смартфон может успеть загрузить страницу, отрендерить и отредактировать DOM скриптами несколько раз — меньше чем за 400мс.Может. Конечно может. Но вообще-то, поговаривают что за МКАД^W чертой города тоже есть жизнь (да и "внутри" соединение далеко не всегда близко к идеальному). А там 400мс достижимы только если угнать машину времени или встать под мачтой связи.
>> Страх "перезагрузки страницы" смешон, учитывая скорость современных браузеров и интернет-каналов.
>> Даже на шикарном по меркам ранних 2000-х канале в 64kbps (это ведь его ты имеешь в виду под "GPRS"?)
> Нет, в реальности это обычно "минимальный прием с многосекундным временем отклика, сбоями
> и обрывами соединения", а не "из него ведь тоже теоретически можнов такой реальности с твоим аяксом работать будет вообще невозможно - потому что даже если ты будешь проверять ошибки соединения (и тебя за это не уволит менеджер, от стола ни разу не отходивший, за необоснованное затягивание разработки) - все равно ты не можешь проверить все куски отовсюду соплящегося кода и css.
а пользователь пошаговой страницы просто нажмет reload.
(что произойдет, если нажать релоад посреди аяксовой помойки - одному аллаху ведомо, в лучшем случае вылезет скрин логина. В наиболее частом он вылезет не на страницу, а внутри какого-нибудь аяксоэлемента.)в общем, видно теоретика, никогда по таким каналам не работавшего (я с таким сталкиваюсь три-пять раз в году, к счастью, не по работе, поэтому просто закрываю фаршированные сайты - "открою, когда домой вернусь, может быть")
> идеальному). А там 400мс достижимы только если угнать машину времени или
> встать под мачтой связи.поэтому вместо ожидания загрузки страницы будет в лучшем случае дырка в середине "неперезагружаемой". В худшем - двойные оплаты, двойные действия, или вообще невозможно сделать то, за чем приходил.
Повторяю, вы рассказываете о вкусе апельсинов тому, кто ими регулярно кидается из окон - жрать все равно невозможно.
>> Нет, в реальности это обычно "минимальный прием с многосекундным временем отклика, сбоями
>> и обрывами соединения", а не "из него ведь тоже теоретически можно
> в такой реальности с твоим аяксом работать будет вообще невозможноМля. Причем тут аякс, тем более "мой"? Если бы кое-кто удосужился читать ветку целиком, а не отдельные ее части (тем более отдельными кусками, попутно додумая какую-то рень), то заметил бы, что я никаким боком за аякс и прочие костыли не топил (а как бы, совсем наоборот) …
> в общем, видно теоретика, никогда по таким каналам не работавшего (я с таким сталкиваюсь три-пять раз в году, к счастью, не по работе, поэтому просто закрываю фаршированные сайты - "открою, когда домой вернусь, может быть")
В общем, видно поха - придумал что-то сам и сам же гордо опроверг, попутно вворачивая про теоретиков, белок-истеричек и опоздавших родиться …
> И нет, это когда содержание второго списка зависит от контекста. Например, выбора в первом
> списке.значит, это две разные страницы. И нет, ничего ужасного в том что загрузится еще одна с тем же кэшем tls сессии - нету, в отличие от аяксового мусора, попутно заглянувшего на два десятка ненужно-cdn только чтобы "не перерисовывать страницу".
(и да, у пряморуких работает кнопка back, чтобы поправить что-то две страницы назад)> Потому что запихнуть все 100500 вариантов в несчастный список -- немного не о том.
вообще-то это меньшее зло, чем передавать каждую нажатую кнопку хз куда. Особенно если мы уже научились не пытаться нарисовать все 100500 на экране без прокрутки.
Для шибко-больших списков всегда есть возможность категоризации и последовательного уточнения - причем пользователь вам будет благодарен, если при поиске адреса внутримкадья вы НЕ будете ему услужливо подсовывать сотню-две ненужно-вариантов снаружи, потому что ему неповезло вляпаться в распространенное название, отличающееся где-то далеко от начала.просто немодно, немолодежно, неинтересно.
> Ага, перезагрузить все содержимое страницы для проверки (без разницы, на тогдашнем диалапе или
> современном GPRS), чтобы увидеть "этот ник занят"ничем ужасным не является, если a) на странице был только этот ник, а не вы заставили заодно пользователя заполнить миллиард полей, причем половину заботливо сбросили, а то ж несекьюрно получается b) страница умещается в один пакет с одного сервера (все элементы оформления должны уже быть в кэше). Но опять так немодно и немолодежно - при том что даже модные-аяксовые интерфейсы можно так спроектировать. Раз в сто лет попадается. Кнопка вернуться-назад есть раз в пятьсот.
> (гипотетически) грамотную реализацию в браузере.
а браузер тут что может делать? Была бы целиком страница или хотя бы iframe - он мог бы на выбор вывести нормальный диалог или, если уж хочется модного страничного интерфейса - вместо нее нарисовать "извините, что-то пошло не так". А у вас кусок, подлежащий дальнейшей обработке скриптом - неизвестного браузеру формата и назначения, он ничего не может ни сам показать, ни скрипту вернуть, поскольку не знает - куда показывать, и что возвращать.
> Очевидно, что если бы оно совсем-совсем не нужно было, то и спроса на это не было.
а спроса и нет - что знают почти все, кому досталось поддерживать всякие old.vtb24.ru - поток траффика на них не утихает, пока там уже ничего кроме редиректа не остается.
в смысле, спрос этот не пользователями вызван, а менеджерами по рекламе.
> воспринимается как некое тепримое зло, к которому потихоньку привыкают.
люди обожают терпеть мелкие неудобства.
зачем? Без js wasm практически не способен к контактам... :)
Вы из тех дураков которые не может отличить причины от корреляции?
Преступник играл в компьютерные игры! - Запретить компьютерные игры!
Маньяк пил кефир! - Запретить кефир!
Кривую реализацию процессорного кеша ломанули через js - Запретить JS!
В чём она кривая?
Предложите кэш, что бы:
был;
и быстрый;
и надёжный.
JS небезопасен априори. Неужели так трудно это понять? Тебе из сети сгружают неизвестный код, который может быть исполнен твоим браузером. Можно ли придумать что-то более опасное? Ну да, можно — сразу вирусню загружать на твой локалхост и запускать её.
вспомнил тут https://youtu.be/LSgk7ctw1HY?t=52
Хорошая шутка.Во времена оны мне приходила в голову нехорошая мысль сделать при помощи ВинАпи «вирус», который отключает клавиатуру и мышь, и добавить его приятным людям в автозагрузку. Вреда никакого, а нервы на взводе. :)
>>Тебе из сети сгружают неизвестный кодТут достаточно этого - "тебе из сети приходит (сгружают)"
Если 99% маньяков пьют кефир, нужно начать ставить на карандаш любителей кефира. Есть там причинно-следственная связь или нет это уже их проблемы.
100% Маньяков дышит воздухом. Пора ставить на карандаш?
К несчастью, то ж бывает у людей
Для Dе6илов поясняю: кривая аналогия!Правильная аналогия:
Пытался почистить картошку катаной - отрезал себе два пальца.
Взял картофельный нож - всё путём.
JS - кривая катана с выпадающей ручкой, летящая от махающего в любые стороны. Как нунчаки, только катана. :) Самый отвратительный, бестолковый, небезопасный, кривой язык, который только можно было придумать.
>Атака построена c применением нейронной сети, выявляющей характерную при работе с каждым сайтом активность кэша.У многих ли злоумышленников есть своя нейронная сеть достаточной мощности, которую они будут юзать для изучения вкладок анона?
>нейронная сеть достаточной мощности
>рекуррентной с долгой краткосрочной памятью30 строк на Питоне/Kerras
+ видеокарта не хуже 1050ti для разового обучения.
у государства или крупной компании - вполне хватит.
> У многих ли злоумышленников есть своя нейронная сеть достаточной мощности, которую они
> будут юзать для изучения вкладок анона?зачем? Универ свою обучит и будет раздавать уже обученную, как обычно все делают. Пользуйтесь на здоровье.
Демонстрации нет? Хочу проверить на своем комплюкторе
Вы таки не верите университету? Трём Университетам??? В презентации даже лук нарисовали. Пророщенный! Для кого это всё?!
> Проблеме подвержен в том числе Tor Browser.Таки зачем вы в нём включаете жабаскрипт?
потому что вебмакачьи выcepы без js не работают вообще?то есть вопрос скорее - зачем вы вообще ходите в интернет, он нынче вот такой - смотрит на тебя тысячей глаз.
Правильно. Уходи от сюда. Тут опасно.
Веб программисты пишут на том что есть. А кроме js браузер в браузере ничего нет для динамики. Не нравится? Вопросы к w3c, Google, Mozilla, Microsoft. Не нравится динами? Расскажи это заказчикам. Если заказчику нужна динамика, а в браузерах ее не будет, то он напишет свое прилоежение. Каждому сайты по приложению и будешь ты открывать не 100 вкладок браузера, а 100 отдельных окон проргамм.
http://www.opennet.me/openforum/vsluhforumID3/115868.html#38
я прекрасно помню времена без ненужно-динамики._никакого_ полезного лично мне функционала это динамо не принесло. За исключением плохой, негодной замены вполне работавшего (и не претендовавшего на надежность и безопасность, занимавшего свою околоразвлекательную нишу) флэша на полуработающие недотехнологии.
> Расскажи это заказчикам.
кто такие "заказчики"? Правильно: менеджеры.
> Если заказчику нужна динамика
1. она ему не нужна/нужна не ему
2. он _думает_ что она нужна его клиентам
3. каждому сайту по приложению - уже. От некоторых уже и избавиться нельзя - при попытке открыть сайт, принудительно переключает в "приложение". Правда, эти приложения - по сути надстройка на все том же js поверх все того же http.
4. разницы в общем-то нет (в плане безопасности - может быть даже эти отдельные окна и надежнее будут)
Зачем они пишут приложения даже там, где достаточно документов?
> Зачем они пишут приложения даже там, где достаточно документов?они пишут приложения даже там, где и документы не нужны, а надо просто работать.
Недавняя рекламная рассылка одной компании с модным молодежным сайтом на одной странице - сделать заказ нельзя, надо звонить по телефону (разумеется, на модный-молодежный ivr, который заставляет тратить минуту платного времени только на прослушивание ненужного автоприветствия, а потом - подождать ответа оператора под веселую песенку), ну или они могут позвонить сами (а могут не позвонить ;-) - "какое приложение вы бы хотели увидеть первым - под ведроид или ипхон?!"
Ребята, я хотел бы увидеть исполнителей - которых вы мне не можете подобрать две недели. Видимо, все деньги ушли программистам, на собственно бизнес их не осталось.
ну нет, разумеется, тот спам пришел с нечитаемого людьми from, и ничего кроме выбора из двух вариантов не оставляет.
современные менеджеры такие вот менеджеры.
>> Зачем они пишут приложения даже там, где достаточно документов?
> они пишут приложения даже там, где и документы не нужны, а надо
> просто работать.Ну да, всё дело в программерах. Очень уж выгоден этот бизнес. Написал я про это коммент, да бот схарчил. Г-нокодеры повсюду.
>>Каждому сайты по приложению и будешь ты открывать не 100 вкладок браузера, а 100 отдельных окон проргамм.я даже согласен с этой идеей, сразу можно будет отсеивать шлак, а браузер пусть будет вроде приложения для википедии не более
Потому что он чаще нужен для обхода незаконной цензуры, чем для анонимности.
Он изначально не был для анонимности. Это на сайте написано.
Может быть, ущербна сама идея допускать выполнение недоверенного кода на своем компьютере. Может быть, сандбокс-изоляция — это в принципе фикция, и невозможно полностью учесть все взаимовлияния программ, написанных на тьюринг-полном языке, если они работают на одном устройстве и конкурируют за общие ресурсы.
>Может быть, ущербна сама идея допускать выполнение недоверенного кода на своем компьютере.Альтернатива - не включать компьютер вообще, так как PSP/ME - являются воплощение проприетарного не доверенного кода.
>Может быть, сандбокс-изоляция — это в принципе фикция, и невозможно полностью учесть всеКак то хостеры выживают, хотя выполняют не доверенный код(сайтов) на своих серверах.
хостеру в общем-то не очень обидно, если ломанут - _твой_ сайт. А биллинг у него живет вовсе не на том же сервере, будь уверен.
Скажите это моему доисторическому процу без ME и даже без HT :)
> Может быть, ущербна сама идея допускать выполнение недоверенного кода на своем компьютере.вопрос - тогда какой код считать доверенным?
надо понять возможность запускать код в браузере = возможность любому запустить любой код
в самом тяжёлом случае ты сам скачаешь скрипт и отключишь всякие проверки и запреты чтоб он запустился.
а доверие это пшик который ничего не стоит.
> написанных на тьюринг-полном языкеПри чем здесь полнота?
А в браузере больше двух вкладок открыто, работает ?
Нет, нейронная сеть через динамики просит закрыть лишние вкладки.
Netflix убедительно просит закрыть вкладки с пиратскими торрент трекерами в соседних вкладках.
>пиратскимиРСП взял деньги, все вопросы к ним.
Идея вычислить активную вися сбоку. Врядли вы что-то активно делаете сразу на нескольких вкладках.P.S. Одна идея нейронной сети на js - вот сила.
нейронной сети на jsДля бинго не хватает блокчейна.
Следующий шаг разработчиков браузеров - разделяемый кэш, для каждой вкладки свой.
>процессорного кэша.
>для каждой вкладки свой.Теперь для запуска двух вкладок нужно двухпроцессорная система.
четырех. В двух тредах будет только отрисовка вкладок - чтобы скачать содержимое, нужны еще два.
Так Интел со своими рыцарями ужо давно готовился, но производители браузеров все никак не подвезут клиентов...
Просто время чтения кэша должно быть медленным, как буд-то его нет. Скорость снизится, но из сети файлы повторно не будут загружаться по прежнему.
> Следующий шаг разработчиков браузеров - разделяемый кэш, для каждой вкладки свой.Пару лет назад... (https://www.opennet.me/opennews/art.shtml?num=43949#11)
> И как вам например результаты "успешной отладки" браузеров? Под которые скоро наверное будут делать отдельный сопроцессор со своей отдельной памятью.
Надо было патентовать идею?
Не понял - отключение браузерного кеша спасет от уязвимости?
>процессорного кэша.Вот этот отключай. Проще всего это сделать молотком.
Не правда. Молоток нужно достать, потом бить им. Проще выключить из розетки.
> Проще выключить из розетки.Ну не скажите, розетка розетке рознь. Если вынуть, к примеру, колонки из розетки, как это поможет?
Монитор тоже отключать нельзя -- не увидим содержимое диска. Не телевизор же покупать? Системник тоже нет резона обрубать -- не сможем пользоваться монитором и тп. Роутер вырубить? Отлично. Но как тогда быть с подключением инета на прямую по кабелю? У кабеля нет эл.розетки! А самое страшное это ноутбуки их таким способом не выключить.
Так-что ваше решение проблемы не такое простое, если посмотреть вооруженным взглядом.
> Молоток нужно достать, потом бить им.И, как правило, люди бьют себе по пальцам. Пожалуй, молоток оставим профессионалам.
> через выполнение JavaScript-кода на системе пользователя, который, например, может быть получен при открытии подконтрольного атакующим сайта или подставлен в незашифрованный транзитный трафикУж слишком много "если". Больше похоже на инструмент запугивания клиента, чтобы тот отстёгивал дополнительные средства на "безопасность".
>Уж слишком много "если". Больше похоже на инструмент запугивания клиента, чтобы тот отстёгивал дополнительные средства на "безопасность".+100500
> +100500Вы столько отстегнули?
Ты какую-то бессмыслицу написал. Чьи клиенты? Деньги от кого? Браузеры условно-бесплатны (доход с рекламы), и они по любому реализуют какой-то механизм защиты заплатят им за это или нет.
> Чьи клиенты? Деньги от кого?Клиент - абсолютно любая контора, использующая интернет. Пришёл с аудитом, выложил сабж - и считай, что заказ на повышение уровня безопасности у тебя в кармане.
Придётся переписать дефолтный таймер в браузере):
Судя по всему только Wikipedia нормально грузится и дальше смотри.
А Гитхаб с Ораклом все время что-то подгружают, подгружают и подгружают...
они ее, наверное, роботом открывали. Если открыть и смотреть в браузере - убедишься, что и в ней полно динамического ненужно-контента (он не js а css. но кому от этого лучше?)
Посмотрел - не так уж и много, зато оценил фичу с новомодным объединением несколькиз запросов в один 4 запросика по килобайту все вместе ждали пятого 250мс, хотя каждый по отдельности мог уложиться в 45. :)
Пора уже альтернативу js пилить. Подмножество которое позволяет скрывать элементы для спойлеров и отправлять файлы группами для форм. Остальное не нужно.
будете пилить - запилите еще прогресс-индикатор для отправки этих файлов. Почему он есть в браузере вполне себе штатный только для download а для upload нужны уродливые аяксные поделки - тайна великая есть.
Ничего удивительного. Когда браузеры только оформились как отдельный класс программ, уже давно был православный FTP. Предполагалось, что люди отправляют файлы именно по этому протоколу соответствующими клиентами. Вспомни — на заре интернетов даже мейлбоксы были крошечными. Все тогда понимали, что это (HTTP) не для закачивания куда-либо файлов с клиента.
тогда еще торрентов никаких не было и даже р2р. варез раздавали через приватные фтп серверы. и чтобы скачать что-то с таких серверов надо было сначала закачать что-то и заработать "кредиты".
а еще почти все клиентские РС в сети были без брандмауэров и у многих былы расшарены диски. можно было подключаться и качать что хочешь. в общем был эдакий коммунизм :)
>и у многих былы расшарены диски
>все клиентские РС в сети были без брандмауэровПо SMB что ли? Тогда да, точно коммунизм ;)
> тогда еще торрентов никаких не было и даже р2р. варез раздавали через
> приватные фтп серверы. и чтобы скачать что-то с таких серверов надо
> было сначала закачать что-то и заработать "кредиты".
> а еще почти все клиентские РС в сети были без брандмауэров и
> у многих былы расшарены диски. можно было подключаться и качать что
> хочешь. в общем был эдакий коммунизм :)До сих пор на некоторых форумах полно ссылок на давно потухшие частные FTP.
До появления в Windows XP встроенного фаервола пользовались на виндах, помнится, продуктами типа ZoneAlarm, Outpost — правда, они тогда были совсем других хозяев.
В конторе, где я в те весёлые времена работал, у нас на сервере лежала целая помойка всякого очень полезного файлового мусора. Кому не хватало самого полезного, бежали к ближайшему развалу дисков и покупали там любого энтерпрайзного или мультимедийного барахла. :)
> Ничего удивительного. Когда браузеры только оформились как отдельный класс программ, уже
> давно был православный FTP. Предполагалось, что люди отправляют файлы именно поеще не менее давно был православный gopher.
Но почему-то браузеры таки "оформились как отдельный класс".Ровно в тот момент, когда в форме появился type file - возникла очевидная необходимость прогресс-индикатора. Браузеры еще не состояли исключительно из миллиона табов и весь интерфейс не сводился к генераторам страничек, они вполне умели диалоги (живых остался только IE), для submit вполне подошел бы модальный - все равно пользователю делать нечего пока оно не докачается. Но нет, ни одна мартышка даже не пошевелилась.
сон разума породил массу чудовищ, от внешних java-аплоадеров с собственным протоколом до адских флэшовых поделок. Даже сейчас это запилить непросто и не каждый массхостинг позволит, потому что еще и со стороны сервера не так просто и удобно реализуется.
>> Ничего удивительного. Когда браузеры только оформились как отдельный класс программ, уже
>> давно был православный FTP. Предполагалось, что люди отправляют файлы именно по
> еще не менее давно был православный gopher.
> Но почему-то браузеры таки "оформились как отдельный класс".Не то чтобы оформились, но их оформили. Первые спецификации HTML (вплоть до 4.01) и CSS (вплоть до 2.x) не оставляют никаких сомнений о предназначении Веба и браузера — и этого было более чем достаточно для любых нужд обычных людей и учёных. Но продаванам разного объёма пуза такого Веба недостаточно. Для _умных_ веб-девелоперов и корпораций дополнительно в Консорциуме таки ж запилили кошерные XHTML 1.1, XML, XSLT и пр., но средняя макака этого осилить не в состоянии по естественным причинам. Так что кушаем все с одной лопаты, да.
> Ровно в тот момент, когда в форме появился type file - возникла
> очевидная необходимость прогресс-индикатора. Браузеры еще не состояли исключительно
> из миллиона табов и весь интерфейс не сводился к генераторам страничек,
> они вполне умели диалоги (живых остался только IE), для submit вполне
> подошел бы модальный - все равно пользователю делать нечего пока оно
> не докачается. Но нет, ни одна мартышка даже не пошевелилась.
> сон разума породил массу чудовищ, от внешних java-аплоадеров с собственным протоколом до
> адских флэшовых поделок. Даже сейчас это запилить непросто и не каждый
> массхостинг позволит, потому что еще и со стороны сервера не так
> просто и удобно реализуется.Ну, я не знаю, почему так. Добавить к уже сказанному в предыдущем комменте мне как бы и нечего, почти. Я согласен, что «чистый» Веб несколько неюзабелен. Сказывается, видимо, специфика породившей его среды: если человек без напряжения в уме вычисляет интрыгалы, то ему не нужны прогресс-индикаторы. :)
о, снобы минуснули
Спойлеры уже в HTML запилили и так: details и summary.Для отправки нескольких файлов есть атрибут multiple у input.
В общем, ничего делать уже не нужно.
Лажа эти details и summary. Низкая конфигурируемость и 0 совместимости между браузерами. Нормальные спойлеры тривиально делаются на CSS ~2 (на выбор — через :hover или CSS Checkbox Hack).
> 0 совместимости между браузерамиIE/Edge не браузер.
Проблема в том, что некоторые сайты имеют настолько преданных холопов, что позволяют себе выносить всё (нельзя даже прочитать текст) в JS и смешивать с кодом, делающим фингерпринтинг и проверяющим отображение баннеров. К примеру 2 форума так делают, которые я напишу кириллицей, чтобы их не продвигать в выдаче: форум.иксбт.ком и сисадминс.ру .Есть ещё парочка сайтов, на которых баннеров и фингерпинтеров я не обнаружил, потому, что код их я глубоко не анализировал, но опять же все данные (html в виде строк) вынесены в JS: саппорт.майкрософт.ком и каггл.ком .
Есть гугловая рекапча, не пущщающая без JS, и есть сайты, её поставившие.
Вам следует понять, что такие вещи делают не потому, что "макаки", а специально, чтобы дискриминировать тех пользователей, которых на этих сайтах считают нужным дискриминировать, потому что они для хозяев сайта бесполезны, чтобы вынудить хотя бы часть из них перейти в категорию им полезных, как некоторые раздающие на трекерах считают нужным дискриминировать пользователей, не желающих устанавливать всякую малварь. Только в отличии от раздающих, которые всячески отнекиваются от малвари даже если в тему выкладывают неопровержимые доказательства, сайты о своих намерениях явно предупреждают в своих ToS.
> Проблема в том, что некоторые сайты имеют настолько преданных холопов, что позволяют
> себе выносить всё (нельзя даже прочитать текст) в JS и смешивать
> с кодом, делающим фингерпринтинг и проверяющим отображение баннеров. К примеру 2
> форума так делают, которые я напишу кириллицей, чтобы их не продвигать
> в выдаче: форум.иксбт.ком и сисадминс.ру .После того, как иксбэтэ (даже если закрыть глаза на его желтушность) сделало редирект для всех ссылок, этот сайт следует внести в чорный список провайдерам. Конторы, нарушающие связности Сети, надлежит беспощадно уничтожать.
> Есть гугловая рекапча, не пущщающая без JS, и есть сайты, её поставившие.Лично я такие сайты закрываю сразу. Если очень-очень надо, то зайду с отдельного браузера, который специально для таких случаев.
То же касается сайтов, которые показывают мне приветы от клаудфлары. Фтоппку.
> Вам следует понять, что такие вещи делают не потому, что "макаки", а
> специально, чтобы дискриминировать тех пользователей, которых на этих сайтах считают нужным
> дискриминировать, потому что они для хозяев сайта бесполезны, чтобы вынудить хотя
> бы часть из них перейти в категорию им полезных, как некоторые
> раздающие на трекерах считают нужным дискриминировать пользователей, не желающих устанавливать
> всякую малварь. Только в отличии от раздающих, которые всячески отнекиваются от
> малвари даже если в тему выкладывают неопровержимые доказательства, сайты о своих
> намерениях явно предупреждают в своих ToS.Интересное наблюдение. Раньше было нечто подобное на фотосайтах, даже отдельный термин был — медоносы. А нынче они повсюду. :)
...Ситуация: есть 15 конкурирующих стандартов...
javascript использовать в Торе? Наверно таких нет!
Есть - ни в одну почту без него не пустит.
> Есть - ни в одну почту без него не пустит.кстати, да, забавно - из gmail еще можно как-то извлечь запрятанный туда html-вариант, но авторизоваться уже, похоже, не получится.
tutanota dot com
Меня пускает - по POP3. Но отправлять почту через себя Tor не даст
pop3 - это поверх tcp. Так что даст.
>Атака производится через выполнение JavaScript-кодаНа этом можно заканчивать. Атака бесполезна. Вы же не думали, что полезные им атаки они раскроют публично?
мемориграммы - это давнишняя и оч мощная атака, если её можно применить, то можно отслеживать не только сайты, но и програмиы на компе пользователя.
ну... у меня в браузере открыто 50 вкладок.... он все их определит?
нет, твой личный сайт с котиком- не определит, на нем нейросеть не обучали.
> ну... у меня в браузере открыто 50 вкладок.... он все их определит?Нет, только 49. 50-я вкладка это "он" (тот кто всех определяет ;) !
И да, ИМХО, достаточно определить 10 - 20 вкладок, что бы почти точно идентифицировать каждого отдельного %USERNAME%.
И да, держите больше открытых вкладок ;)
Удачи.
С уважением, Ваш определитель.
Ага, особенно если вкладки по умолчанию заморожены и отрыта только одна активная. Удачи определить меня.
Sir didn't heard about webworkers or service workers that works in background ?
А как при этом будет отделятся содержимое кэша процессора между 1 и 2 вкладками и между 1 и 3 ? и между 1 и 4-5-6-7-8?
Уже несколько лет все важные сайты (банк, хостинг...) открываю в отдельном браузере отведенном только под это.
Предполагаю что эта атака будет работать даже если открыты параллельно два разных браузера.
Главное чтобы на одно ядро процессора попали.
Так это - кто мешает виртуалки (в которых грузить браузеры) насильно раскидать по ядрам?
Я пользуюсь профилями firefox (firefox -P), против банков профиль без плагинов, когда нужен еще один инстанс firefox'а с другим профилем то firefox -P --new-instance
более того, у меня для этих целей отдельная виртуалка
тут хотелось бы пояснения того, почему вы считаете сайт банка и хостинга заслуживающими отдельного обращения, а 999 других сайтов, на которых проводите куда больше времени, нет. Твиттер, багзилла компании где работаете, еще какая нибудь учетная система отпусков в компании, покупки билетов в цирк, вытавку, самолет, донаты в играх, сами игры; опеннет, порнохаб, вася прислал ссылку, маме и дедушке помочь с жкх и приставами, имгур и fpaste, торренты и т.д.Короче, не понятно, почему огораживание сайта банка тебе поможет?
логическое разделение информации отсеивает часть угроз на барьерах (компетенции, языковых, тд), в идеале, личность как пересечение контекста не должна определяться в передаваемой/обрабатываемой/хранимой/тд информации
NoScript, не?
> NoScript, не?Да.
Нет.
QuickJava - не такой тормозной и более универсальный.
RequestPolicy/uMatrix/PoliceMan - для блокирования запросов к чужим УРЛ
Приходит мысль о необходимости добавления к записям процессорного кеша дополнительных тегов из (некоторых) параметров функции clone(2). Если теги не удовлетворяют текущему PID, то автоматически считается, что соответствующая копия в кеше отсутствует, даже если она на самом деле присутствует.
Ты переизобрёл аппаратную многозадачность, которую какого-то хрена выкинули на помойку вместо того, чтобы допилить производительность.
> Ты переизобрёл аппаратную многозадачность, которую какого-то хрена выкинули на помойку
> вместо того, чтобы допилить производительность.Ассоциативная память
https://ru.wikipedia.org/wiki/%D0%90%D1%...
>Если теги не удовлетворяют текущему PIDТам люди экономят биты в адресе (он не полный), чтоб уложиться в требуемое время для операции. Какие дополнительные теги?
Хотя вон, Амдшники, вроде бы, проверяли пару лишних бит - посему мельдоний у них не случился. За то во всех обзорах у них "медленный контроллер памяти" и для большей скорости нужна быстрая память.
NoScript (причем выборочный) и вырезание рекламы через hosts исказит взломщикам реальность))
Hosts? Браузеры уже достаточно наглые, чтобы резолвить DNS самостоятельно, плюнув пользователю в лицо. Скоро до такой самостоятельности доедут сайты, зря что ли DNS over HTTPS говноконторы пропихивают.
Только широко используемые (читай как гугель и тормoзиллa). Нормальные браузеры так не делают.
веб странички умеют резолвить самостоятельно и запускать у юзера свои ОС в контексте браузеров... вы вообще о чем? какие такие "нормальные браузеры"?
> На атаку также не влияютметоды рандомизации размещения информации в кэше.Не очень понял почему?
Было бы неплохо еще код скачать, для проверки всего этого. Как, например, JavaScript-код может выполнять трассировку активности кэша?
На словах ты мастер, а на деле?
Это не атака, а всего лишь средство улучшения таргетинга рекламы
Это не дырка, а всего лишь отверстие.
Use Links2, Luke! - https://news.ycombinator.com/item?id=16191843
Это_не_атака. Вот если бы определялся сайт, С КОТОРОГО перешли по ссылке, то действительно было бы плохо. А так всего лишь досадная неприятность.
> Это_не_атака. Вот если бы определялся сайт, С КОТОРОГО перешли по ссылке,Он и так определяется, гугли про http-referer и Document.referrer
Всегда проигрываю с js-хейтеров, не работавших ни разу в жизни.
Динамическая работа сайта, SPA/SSR это то что требует заказчик, если вы не будете это писать - вы не нужны в современной индустрии (ага, слышу гордое кукареканье С кодеров жружих мамкин борщ), это современные реалии и от ни не уйти.
Ссылки на портфолио твоей студии, будут? Работничек ты наш.
> Ссылки на портфолио твоей студии, будут? Работничек ты наш.давай я тебе накидаю? У меня их тысячи. Его ли эта студия- совршенно неважно, все одинаковые.
товарищ не понимает простой вещи - его "заказчик" платит ему деньгами, полученными тем или иным способом с конечных пользователей. При этом их проблемы обычно представляет себе весьма отдаленно - потому что нет бизнесменов нынче, есть дефективные менеджеры и финансовые спекулянты, ни тем, ни тем совершенно незачем знать что и как они продают, и пирожник никогда не ест своих пирожков.
А конечные пользователи ничего такого от него не хотели, им бы вообще было прекрасно, если бы он нечаянно диск отформатировал и с горя восстановил там версию сайта 99го года - но "заказчик" за это не заплатит, скорее штраф сдерет.
>[оверквотинг удален]
> товарищ не понимает простой вещи - его "заказчик" платит ему деньгами, полученными
> тем или иным способом с конечных пользователей. При этом их проблемы
> обычно представляет себе весьма отдаленно - потому что нет бизнесменов нынче,
> есть дефективные менеджеры и финансовые спекулянты, ни тем, ни тем совершенно
> незачем знать что и как они продают, и пирожник никогда не
> ест своих пирожков.
> А конечные пользователи ничего такого от него не хотели, им бы вообще
> было прекрасно, если бы он нечаянно диск отформатировал и с горя
> восстановил там версию сайта 99го года - но "заказчик" за это
> не заплатит, скорее штраф сдерет.Именно так. И вот мы плавно подходим к выяснению источника всех бед и всех зол в ИТ. И это, внезапно, никак не глупый юзер и не мифический жадный манагер. А это, как ни странно, своеобразное сословие г-нокодеров.
>шпионаж за пользователями, неблокируемая реклама - это то, что требует заказчик, если вы не будете это писать - вы не нужны в современной индустрииПофиксил, не благодари. Сами работайте в такой индустрии.
А какой профит от этой атаки? Ну узнали они, что у меня открыт google.com или whatever.com, а дальше что?
Если правитнльство КНР через свой сайт "госуслуги" узнает, что у тебя открыт гугол... в общем, если ты в китае, у меня для тебя плохие новости )