Разработчики библиотеки fingerprintjs, позволяющей генерировать идентификаторы браузера в пассивном режиме на основе косвенных признаков, таких как разрешение экрана, особенностей WebGL, списки установленных плагинов и шрифтов, представили новый метод идентификации, основанный на оценке установленных у пользователя типовых приложений и работающий через проверку поддержки в браузере дополнительных обработчиков протоколов. Код скрипта с реализацией метода опубликован под лицензий MIT...Подробнее: https://www.opennet.me/opennews/art.shtml?num=55158
Вопрос к специалистам: как сделать, чтобы, например, Firefox ничего не сообщал сайту о пользовательской системе?
Как написали ниже достаточно отключить JavaScript
И получить пустую страницу , если владелец сайта не захочет что бы без скриптов работало . А таких всё больше . Пора забывать дростенькие древние методы .
Не тупи. По дефолту сторонние скрипты.
Вы походу не в курсе , что большинство сайтов давно уже стали лего . А уж сторонний обработчик со встраиванием рекламы все авторов блокировщиков в своё время достал . Не забывайте и о возможности встроить любое *** на свой сайт , как например у сбера или ростелекома . Слишком много методов в этой "холодной войне" придумано .
> Не забывайте и о возможности встроить любое *** на свой сайтПока что cdn все-таки.
> как например у сбера или ростелекома
На подобные сайты даже не захожу ;)
> На подобные сайты даже не захожу ;)Ты герой!
Не, большинство сайтов работает без third-party. Иногда правда их приходится в reader-view просматривать. То есть, бывают такие, которые без third-party не видны, твиттер например. Но это как раз та причина, почему я в твиттер не заглядываю. С ростелекома я слез. На сбер я хожу через отдельный профиль фф с другим набором аддонов. Впрочем, это не очень важно, потому что ip свой я не скрываю.
> бывают такие, которые без third-party не видны, твиттер например. Но это как раз та причина, почему я в твиттер не заглядываю.
> , как например у сбера или ростелекомаНе ходить на их сайты, не пользоваться их услугами.
Да и вообще в России жить не надо. Да что там в России, вообще жить на Земле не надо, на марс лететь нужно, вон илон маск уже улетел.
>>на марсНе особо подходящая (для жизни без скафандров\вне специальных сооружений) для произошедших на Земле планетка. Дальше грести нужно :).
Нибиру объявляет о наборе рабочей силы !
Если сайт не умеет работать без жс то он не нужен.
"Ваш интернет не нужОн" . :)
так-то оно так, да только если весь мир считает по-другому...
Весь мир тоже не нужон, ограничимся его адекватной частью.
Правильно. Бедным анонам остаётся юзать кастрированные бравзеры и ходить только на кастрированные сайты.
Такова тяжёлая судьбина. Знай свой загон.
А может нах такой браузер, который хреново работает с жс?!
А это тут причём ? Вопрос же об идентификации.
В Firefox:
вид - стиль страницы - без стиля.Не всегда, но помогает.
Иногда страница не видна, но текст все же есть в исходном коде.
Метод белых списков гораздо надежнее чем... Что вы там предлагаете?
Тут уж тебе решать, что делать. Есть варианты.1. Реверсишь сайт. Выкладываешь суррогат. В процессе можно откопать много интересного, вроде фингерпринтинговых скриптов. Если видишь такие - пишешь имитацию, шлющую дезу. Чем больше бесполезной дезы в его базе - тем больше от тратит на её хранение и тем меньше ценность его базы.
2. Объявляешь сайту бойкот и сообщаешь об этом всем, и агитируешь присоединиться.Желательно совместить обе опции.
Это самый основной идентификатор. Пользователей с отключенным js очень мало, потому они легко идентифицируются.
Разве что бэком выполнить такую проверку -- ресурс загружен. Тогда отсутствие других метрик ой как будет в глаза бросаться
А сопоставлять-то их между собой как будешь, по IP и юзерагенту?
Каким образом отключив жабускрипт ты уберешь ua, инфу о разрешении и т.п.?
Информация о разрешении экрана не передаётся в HTTP, добрый вечер.
Надо уже делать новый интернет без скриптов на стороне пользователя. md хватит всем.
Gemini уже изобрели.
И там никого и ничего нет...
Звучит как чертовски годное место!
Очень просто. Закрыть его. И больше не включать.
виртуалку заведи
- Это как тако внутри тако?
- Да, это такое тако внутри тако внутри супер-тако внутри ресторана «Тако Белл» внутри KFC в супермаркете внутри сна.
(c) South Park
Убрать из системы всё кроме браузера - запускать в контейнере. Например, - в Докер или старый добрый chroot. Звучит просто, но мало кто делает и инсталляторы, запускалки и т.д. не написаны, трудно собрать воедино нужное для доступности при лени ХомЕра. :)Меньший порог входа будет для KVM/Libvirt/Qemu, Virtualbox, но в виртуалке, вместо контейнера, нужно оперативной памяти на вторую операционную систему, плюс нет возможности динамически использовать всю память хоста. Надо не забывать ВМ откатывать на чистый сненпшот. Неудобно. Контейнеры прогрессивнее, специально для именно для таких задач.
Хромой в опенсорсном варианте контейнеризируется нормально. Сложность набить плагинами (нужно разобраться где эта папка, как обновлять, умудриться через эту папку не создать идентификацию). Но и достоинство - без перерасхода ресурсов могут быть образа с разным набором плагинов.
Можно дополнить написанием инсталлятора, делающего открытие окон по умолчанию в инкогнито во всех вариантах запуска/обращения к браузера(у).
Проблема в том, что открываемая страница - программа с нескольких серверов разных владельцев каждый, запускаемая на твоём компе. И защититься от этого мало чем можно. Так устроена сегодня World Wide Web: запускаешь чужой, неизвестный, монетизируемый чужими код в личном пространстве. Не ходите дети в Африку гулять. ;)
>> но в виртуалке, вместо контейнера, нужно оперативной памяти на вторую операционную системуу vmware не нужно, она, с установленными дополнениями в гостевой ОС, умеет отдавать освобожденную память
В момент работы - нужно. Ядро, Гном/КДЕ - им нужна память. Если контейнера нужно два-три-четыре, то ВМ очень неудобна.Отдельная тема, что часть памяти хоста всё одно недоступна. Неудобный этот балунинг. Причём VMWare как закрыла когда-то свой плеер, с тех пор что-то мало кто пользуется. Редко упоминают. Они в целом ориентированы на ограничение обмена знаниями. Перспективность для дома низкая.
И фингерпринт будет еще лучше тебя идентифицировать.
Потому что вас таких "умных" раз два обчелся.
Я такие же разговоры видел на форумах с борьбой с адблоком в лохматых.
Теперь каждая домохозяйка его ставить умеет.
Отключить интернет
If you're seeing this message, that means JavaScript has been disabled on your browser, please enable JS to make this app work.
Научись говорить: нет!, Тряпка! :)))
да
Есть такой былосайтик как imgur - эталонный js bloatware: он требует такой поддержки JS, что никакие немэйнстримовые или старше года браузеры не могут ничего открыть.
Три раза подряд определил разные приложения, причем ни одного из них у меня никогда не стояло.
У меня тест определил Zoom. Я сразу подумал что за бред, никаким зумом я никогда не пользовался, но проверил и нашёл установленный Zoom (ставил год назад для дочери и забыл об этом).
лол, я у себя нашел папки Яндекса - никогда ничего Яндексового не ставил, Яндексом не пользуюсь, при установке программ внимательно смотрю и отвергаю предложения о всяких панелях и прочих бонусах. Скажи теперь что Яндекс и Мейлру - это не мелварь.
https://www.commitstrip.com/en/2015/10/12/that-damned-checkbox/?
Гы... А чо минусуют-то, прикольная же история.
«Нашло» 10 из 24 проприетарных приложений, которых я никогда не устанавливал.
А потом 0, потом 2.
А потом окажется, что они просто тестировали систему и собирали данные об анонимусах, перешедших по ссылке..Выдавая какой-то ответ чисто рандомно .. для фану, так сказать.. и шлю шибко внимательные по несколько раз «оттестировались» :))))
Те же лыжи, три раза тестил - все время разные, и у меня нет их :)
Это просто лажа, развод лохов.
У меня по ходу нашло всё что можно было найти
We have generated your identifier based on 24 applications you have installed.
Out of 24 applications in our database.Skype Spotify Zoom vscode Epic Games Telegram Discord Slack Steam
Battle.net Xcode NordVPN Sketch Teamviewer Microsoft Word WhatsApp
Postman Adobe Messenger Figma Hotspot Shield ExpressVPN Notion iTunes
"Out of 24 applications in our database" - не одна из 24 не обнаружена . Что на сегодня так же можно считать признаком .
Читай внимательнее
We have generated your identifier based on 24 applications you have installed.
>you have installed.
Попробуйте хоть немного подучить английский , что бы не находить у себя installed .
Ну, мы тут все надо полагать не очень дружим с иностранными языками. Попробуйте перевести целиком приведенный текст а не отдельное предложение. Что получится?
И "носитель языка" вам ответит : после проверки идентификаторов 24 программ , на предмет установки - они в вашей системе не обнаружены . Список проверки прилагается .
> We have generated your identifier based on 24 applications you have installed.Мы сгенерировали ваш идентификатор на основе 24 приложений, которые у вас установлены.
→ Мы сгенерировали ваш идентификатор, основанный на том, что у вас установлено 24 приложения.
> Out of 24 applications in our database.
Из 24 приложений в нашей базе данных.
> установлено 24 приложения.*определённых приложения
> We have generated your identifier based on 24 applications you have installed.
> Out of 24 applications in our database.Максимально близкий к тексту перевод:
Мы сгенерировали ваш идентификатор на основе 24 установленных у вас приложений.
Из 24 приложений в нашей базе данных.Проснитесь, мужчина, вы обоср_лись.
И самое мерзкое — не знаете, и ещё знающих с апломбом обвиняете в незнании, это вообще дно.
> vscodeинтересно, обработчиком чего для браузера она является?
Например установки расширения из маркетплейса вскод
Какая разница ?
В любое приложение можно затолкать обработчик т.н диплинка. К браузеру это не имеет никакого отношения кроме возможности открывать с него конкретное приложение с определенными аргументами при переходе по определённой ссылки типа вскод://открыть/энный_проект/энный_файлНа яблоке и андройде, при некоторых настройках, можно даже http / https на некоторые сайты на своё приложение перенаправить.. правда, для этого потребуется подтверждение подобных полномочий с тех хостов
> интересно, обработчиком чего для браузера она является?Вангую за гитхапчик и т.п. - разнообразные линки на системы хранения кода, артефактов, сборочные системы. Разнообразная интеграция для разработки.
> обработчиков к 32 популярным приложениямиНи одного))
> скрипт пытается открыть во всплывающем окне ссылку
Будет зарезан uBlock'ом еще раньше, бгг!
> Будет зарезан uBlock'ом еще раньше, бгг!Ну вы и остроумный, но увы недостаточно.
В любом браузере что использую (неважно стоит или нет uBlock Origin в нем) данный алгоритм определяет один и тот же Fingerprint в любом случае и он не блокируется uBlock'ом.
Тут много чего, включая и настройки uBlock, отдается ли UA и прочее.
> Ни одного))это тоже фигнерпринт. еще более уникальный чем другие.
> Будет зарезан uBlock'ом еще раньше, бгг!
еще один фингерпринт
Хы, это понятно. Но у меня сейчас и цели нет помешать идентификации, в противном случае нужно применять не блокировку, а маскировку)
Прикольный диалог:
- У меня все зашибись, ничего не течет!
- Да не чувак, у тебя все так же течет...
- Понятно... Но у меня нет цели, чтобы не текло.Ну, мне тоже яснопонятно. Картина удручающая.
> это тоже фигнерпринт. еще более уникальный чем другие.Подозреваю, что не такой он и уникальный
Вот скоты. Надо было написать код убивающий такую возможность.
надо самому собирать браузер. Или юзать специальные безопасные браузеры, типа Кликца, правда он уже умер. Или нет.... :)
FVVVV0Нашел в моем хроме 24 приложения из 24. Ни одного, из перечисленных, в системе нет.
Видимо, дело в том, что все ссылки ведут на xdg-open. :)
+1, тоже FVVVV0
При чем у меня просто окошко вываливается, типа "ткните чем открыть это приложение"
И меня прошу записать добровольцем FVVVV0
Короче, лис на линуксе радует
Нет, у меня несколько рандомных сдетектировало.
Так в новости это и упомянуто:> В Chrome 90 для Linux метод не сработал и браузер на все попытки проверки обработчика вывел типовой диалог подтверждение операции (в Chromе для Windows и macOS метод работает).
Но у меня линукс и фф. И результат отличается от соседней ветки, мне дали "уникальный" ид.
>от соседней ветки,от этой, извините.
FVVVU1> This is your identifier. It was seen 789 times among 31118 tests so far.
> That means it is 97.46% unique.ага, щас
Это у меня нашло 23 из 24 – не обнаружило только скайп, который как раз-таки открыт в фаерфоксе (в незагруженной после рестарта прикреплённой вкладке), и, видимо, у него есть свой особый обработчик, ломающий их скрипт.
Не будь у меня этого скайпа, было бы так же FVVVV0. Нихрена не уникальное оно.
В реале у меня есть три приложения из списка, но у одного нет никаких зарегистрированных хендлеров, так что должно было показать два из 24.
Как обычно под ударом простые пользователи. Люди которые хоть немного в теме с лёгкостью отклонят эти гнусные поползновения. Простым юзерам уже врятли что то поможет противостоять слежке, в тенденции и в динамике.
Простым юзерам на это положить. Они даже не парятся. И живут припеваючи.
А местные ссыкуны все в зондах и дырах сидят. Ни шапочка из фольги не помогает, ни презерватив.
Херня какая-то. Ни одним из сдетектированных приложений даже не пахнет.
Похоже на всех линуксовых десктопах не будет работать из-за xdg. Во всяком случае у меня детектит всё программы, хотя есть только телеграм
У меня нет никакого xdg. Никогда не понимал, зачем он нужен. Ну, в смысле, если мне надо открыть pdf, я пишу "evince чё-то-там.pdf", зачем мне xdg?
Потому что в юниксах нет расширений."чё-то-там.pdf" - это просто имя файла с точкой посередине и pdf в конце.
> Потому что в юниксах нет расширений."чё-то-там.pdf" - это просто имя файла с
> точкой посередине и pdf в конце.Если ты подумаешь головой, то ты поймёшь, что ответ, начинающийся с "потому что" -- это невалидный ответ на вопрос, начинающийся с "зачем".
Верно. Правильный ответ - тебе не зачем, ты и сам это знаешь, твой вопрос был риторическим. Я же просто болтал, также как ты.
Тут: незачем - вместе. Также - раздельно.
Соррян, не сдержался :)
"Сорян" - с одной "р" если что...
Иногда лучше сдержаться...
Не устоявшаяся норма. Образовано от англ. sorry, так что может быть допустимо с двумя "р" и в русском.
Нет. Я не знаю, что мне незачем. Я не знаю, зачем мне это. Есть разница, если ты подумаешь. Особенно в свете того, что другие используют, и им зачем-то ведь надо? И я не знаю зачем. Так что вопрос вовсе не риторический.
> У меня нет никакого xdg. Никогда не понимал, зачем он нужен. Ну, в смысле, если мне надо открыть pdf, я пишу "evince чё-то-там.pdf", зачем мне xdg?Т.к. сокрашает рутинную задачу до "в два клика". Тогда как для предложенного с CLI нужно потоптать клавиатуру несколько секунд в разных окнах.
Т.е. без xdg регулярно напряжённое внимательное нажимание на много кнопок в разных окнах.
Можно потратить этот ресурс внимания на что-то более увлекательное, например.
> Можно потратить этот ресурс внимания на что-то более увлекательное, например.На то, чтобы тебя поимели через подсовывание xdg какого-нибудь zero-day?
Не имеет отношения. Т.к. ответ на вопрос "do xdg open?" или что открывать в терминалке - в обоих случаях жмёт кнопку сам чел.Речь про другое: потраченное внимание и время можно уделить более интересным вещам, когда рутина и повторяемые действия автоматизированы.
Сосредоточение внимания на вводе команд в CLI, переключение между окнами отвлекают от анализа - можно ли открывать вообще. Тогда xdg вообще полезно, т.к. защишает, фокусируя внимание на главном, убирая отвлекающее второстепенное.
> Не имеет отношения. Т.к. ответ на вопрос "do xdg open?" или что
> открывать в терминалке - в обоих случаях жмёт кнопку сам чел.Почему не имеет? В терминале ты видишь имя файла глазами, ты знаешь, чем он открывается -- это не автоматическое решение на основании какого-то там реестра, ты берёшь и открываешь при помощи той программы, при помощи которой хочешь открыть. Тут исключается ошибка вида "я думал, оно evince'ом откроет, а оно запустило wine".
> Сосредоточение внимания на вводе команд в CLI, переключение между окнами отвлекают от анализа
Они концентрируют на анализе. Вместо того, чтобы ворон считать, ты принимаешь решение о том чем открывать, и смотришь имя файла не таким, как оно в url выглядит, и не таким, как его браузер отобразил, скачивая, а так каким оно на диске оказалось. Это лишняя проверка, расширяющая возможности "анализа".
Но мы отвлеклись от сути. Браузер и без xdg умеет назначать действия на файлы разных типов, при этом он даже не на расширение файла ориентируется, а на mime-тип, что хорошо и прельстиво, потому как ты сам говоришь, что в linux'е расширения файлов -- это костыль. Если тебе это нужно, тебе вовсе нет никакой необходимости ставить для этого ещё какую-то внешнюю программу.
Допустим, ты получил файл в мессенджере и кликнул на него, чтобы открыть. Откуда мессенджеру знать, чем его октрывать?Он может определить его тип файла разными путями – через libmagic (либа утилиты file – самый кошерный путь, но не подходит для интерпретируемых языков), через kmimetypefinder5 для kde, через gio info / gvfs-info / gnomevfs-info для gnome, через /usr/bin/file --mime-type -b для всего остального. Затем проверить ${XDG_DATA_DIR:-$HOME/.local/share}/applications/mimeinfo.cache и найти там имя desktop-файла, подходящего под полученный mime-type (а если такого файла нет или в нём нет нужного mime-типа, то же самое делается для /usr/share/applications/mimeinfo.cache), затем найти в том же каталоге applications указанный desktop-файл, и лишь потом выполнить указанную в нём команду, чтобы открыть целевой файл.
А теперь представь что любая, каждая программа, умеющая открывать файлы во внешних просмотрщиках, будет велосипедить для этого свой код, просто чтобы узнать, какую программу предпочитает пользователь (или какая установлена дефолтной в системе если пользователь свои преференции не устанавливал). Некоторые браузеры так делают, но это оправданно, ведь у них может быть свой, отдельный от системного список преференций, но даже для него делается fallback на системный дефолт. Это также оправданно для графических файловых менеджеров, ибо это одна из их основных функций, а чаще всего они ещё и позволяют изменить предпочитаемую программу для любого типа файла.
Чтобы не плодить дублирующийся код для всего остального софта, была придумана программа, которая делает всё вышеописанное сама, и которой максимально просто пользоваться из других программ – просто дайте ей путь к файлу (или URI со схемой, которая известна системе), и она его откроет.
Это не какое-то уникальное изобретение FDO (FreeDesktop.Org), который раньше назывался XDG (X Desktop Group). Наоборот, их утилиты xdg-open и xdg-mime являются очень простыми и понятными скриптами на shell (даже не bash), которые как раз-таки в первую очередь ничего сами не делают, а лишь определяют текущее DE и запускают сооответствующую ему утилиту, а именно gio open / gvfs-open / gnome-open, kde-open, mate-open, exo-open (XFCE) и так далее. Если пользователь не использует DE или утилиты недоступны, производится описанная мною выше процедура определения mime-типа файла, определения и поиска связанного с ним desktop-файла, и запуска команды из него. Это всё есть в предельно понятном и читабельном скрипте, почему-то мне не лень было его открыть и пересказать.
Почему этих утилит так много? Так сложилось исторически. Когда-то раньше не существовало общесистемного стандарта ассоциации destkop-файлов и mime-типов, поэтому у каждой DE был свой список преференций/ассоциаций и своя "открывашка". А когда стандарт появился, его не могли в первый же день реализовать все сразу, да и часть DE не спешила его внедрять, т.к. у них уже было своё работающее решение.
Сейчас большинство, если не все, DE при изменении "своих" настроек меняют и общие в mimeinfo.cache. Но судя по логике работы xdg-open, так было далеко не всегда, и, например, могла сложиться следующая ситуация – у пользователя есть валидный mimeinfo.cache, который автоматически сгенерировался, но пользователь сидит на DE, который этот файл игнорирует. Пользователь через настройки DE или из файлового менеджера выставляет свои любимые просмотрщики картинок, документов, любимый плеер и т.д. и ожидает что однажды настроенные ассоциации файлов будут работать всегда везде одинаково. Если бы xdg-open миновал DE-специфичные открывашки и сразу брал "единый" mimeinfo.cache, пользователь получил бы не то что ожидал. Поэтому xdg-open в первую очередь смотрит на наличие DE и по возможности определяет тип и/или открывает файл с помощью его утилиты, а если не получилось, то берёт mimeinfo.cache.
Браузеры и другой софт обычно полагаются на xdg-open когда не знаю чем открыть тот или иной файл, потому что он делает одну простую вещь, и делает её хорошо. Например, именно поэтому Firefox чаще всего не может сообщить в какой программе откроется скачиваемый файл, если выбрать "открыть в системе" вместо "скачать" – даже если ему известен mime-тип скачиваемого файла когда его сообщает сервер, Firefox не берётся определять чем его открыть, а просто берёт утилиту, которая сама всё разрулит, обычно делая это правильно. Проблемы с неправильными ассоциациями бывают если играться с переменной $DESKTOP_SESSION, по которой xdg-open определяет текущее DE, или прыгать с одного DE на другое (или использовать разные их части), т.к. они вполне могут перетирать ассоциации друг друга, чтобы "общий" mimeinfo.cache совпадал с "их" списокм преференций (что и должно происходить при отсутствии конфликтов).
Я не знаю как ещё подробнее это можно объяснить, я уже повторяться начал. Теперь стало понятнее зачем он нужен?
Забыл добавить – ещё учитывается ~/.config/mimeapps.list
К слову, мне тоже проще намного проще набрать `evince document.pdf` чем какой-то там xdg-open, и из терминала я так всегда и делаю, только я ещё хочу чтобы файлы открывались и из ФМ (как минимум Caja и Thunar, а лучше ещё и mc), и из архиваторов, и из браузеров, и из мессенджеров, и из торрентокачалки, в общем, везде.А ещё я хочу иметь возможность написать скрипт, который будет уметь открывать файлы в ассоциированной с ними программе, и дать этот скрипт пользователю, не зная заранее, какие программы у него установлены и какие он предпочитает.
А ещё я благодаря xdg-open я могу сесть за чужой комп, где всё кастомизировано по самое не хочу, и открыть просмотрщик картинок или плеер из терминала, не зная, что у юзера установлено и как оно называется, при этом не открывая файловый менеджер.
Или вот пример – когда-то я работал в офисе, где у всех было KDE (ставили по дефолту), а у меня MATE, и я каждый раз, садясь за чужой комп, с трудом вспоминал, как называется и как пишется Gwenview, запоминание заняло время. А ещё в том же офисе у всех были разные текстовые редакторы и браузеры, и садясь за чужой комп надо было часто переспрашивать, чем открыть тот или иной файл чтобы показать или спросить что-нибудь т.к. vim'ом и firefox'ом пользовались далеко не все. В какой-то момент я заметил что коллега-тестер использовала xdg-open для открытия html-отчётов, и понял, что всё это время зря задавал эти глупые вопросы.
Хром даже тут нормально не справился
Поэтому идентификатор пользователя лучше на уровне ос делать, чтоб во всех браузерах одинаковый, иначе путаница будет
Ооочень даже справился. В _их_ операционной системе как раз так и сделано - ставишь приложение из маркета сразу в операционку и никаких изоляций в браузере - сразу в OS. И нативно доступ ко всему разрешенному, а уж пользователь разрешит всё. И никакой конкуренции.А если что, у дефолтного браузера степень интеграции с системой широка.
Когдато за тоже самое ругали ИЕ. Дескать браузер в систему интегрирован по самое небалуйся... А вот вишь как оказывается... Великий человек Билли... Пророк можно сказать опередивший свое время...
Это ещё с чего? И откуда? Вроде все только ругают. Куда ни сунься в каком году - халтура. Может потому и занялся в итоге другими вещами.
А можно написать код, который будет такому Фингерпринту каждый раз разный рандомный набор выдавать?..
Можно.
сколько существует рунет - давно поминутное распределение небось.
та флуктуация - иваныч с работы пришел, та девиация - ивановну босс похвалил..
а подставные данные надо генерировать, причем корректно, правдоподобно, само по себе система и идентификатор.
У меня ложно детектит 13 программ, но не установлено не одной из 24.
Лол. В паленой луне 29.2.0 оно просто зависло. Горжусь Шерстяным Джо
Надо проверить еще Cliqz, Iridium, Iron, Comodo, Icedragon, Waterfox
Если без сарказма, то да.
Можно попробовать через links залезть в хранилище xdg-info
Это всё давно проверено. Чудес нет. Всё перечисленное полный отстой.
И как это работает? Если стоит приложение по умолчанию? А если "всегда спрашивать" то сломается всё?
Проверил сам - всё сломалось, и думается мне, что сайт после такого "зависнет" на клиенте, пока библиотека будет определять что у меня там установлено, потому что вывелся стандартный диалог выброра приложения, где я успешно нажал Cancel. Второе окно открылось, но на моём небольшом экране это слишком заметно было.И до сих пор висит:
Wait a minute please
We are detecting which applications you have installed...
Забыл сказать, что это было в PaleMoon. В Chromium сказала, что работает неккоректно и кнопку не показало. В FF определило 24 приложения, которые у меня даже не установлены, никаких дополнений там не стоит, чистый фокс. Да ещё и приложения macOS? В торе вообще установленный Word нашла, разве ворд есть на macOS? Там ещё и iTunes, XCode, IMessage.Вопрос, кто из них врёт? Библиотека или её авторы? Ещё и странноватая реактивная форма "I swear, I'm not a robot", ещё не успел дописать фразу, а она сразу пустила, значит определяет даже не нажатия клавиш а вообще непонятно что.
> разве ворд есть на macOS?И не только Microsoft Word. https://www.microsoft.com/en-us/microsoft-365/mac/microsoft-...
Тока оно более глюкавое и сырое, чем под вендорскую платформу. Но это уже другая тема. Потихоньку вытаскивают в веб и на Электрон и станет код одинаковый у всех: как в браузере - код с сервера, процессор от клиента и интернет между ними.
Это не удивительно.Веб-сайт сейчас архитектурно напоминает работу любого приложения запускаемого в любой ОС, а браузер архитектурно напоминает работу самой ОС на которой работают приложения.
Я думаю пройдут ещё несколько лет и мы узнаем что macOS(в том виде в котором он есть сейчас) это браузер. А если вернемся назад на десять лет, то увидим, что появились(вышли в рынок) первые экземпляры кромбуков(с кромосью на борту).
Я думаю если копнуть ещё дальше то можно увидеть картину когда появились первые ОС(Облачные ОС имеется ввиду) в вебе.
Да. Примерно так и есть.
Так написано ж - на разных платформах работает по разному. В каких-то кейсах вообще не работает.Сырая идея. Но очень полезно знать эти механизмы, чтобы понимать окружающий мир.
Или это слишком умно, или это слишком глупо- но мне не удалось воспроизвести тест на предложенной демо-странице.
Открылось маленькое окошко, нажал кнопку старт - и дальше по кругу меня возвращает к кнопке старт... ииии.... чего?
> Так как список обработчиков одинаков для всех браузеров в системе идентификатор не меняется при смене браузера и может применяться в Chrome, Firefox, Safari, Brave, Yandex Browser, Edge и даже в Tor Browser.Блин, как они это делают? Я на своем линуксе никак не могу сделать, чтоб обработчики во всех браузерах работали одинаково. Может кто из исследователей статейку напишет?
https://www.opennet.me/opennews/art.shtml?num=55158#136Спрашивайте ваши ответы.
Подскажу, помогу определить причны, по каким что-то открывается не так как надо и где надо стирать хвосты чтобы работало как нужно.
Сейчас, уж извините, сижу под виндой.
Version: 24.7.2 (Atom-optimized)Открыл демонстрационную страницу, разрешил скрипты только для нее.
Страница пустая.Ниже исходный код.
<!doctype html><html lang="en"><head><meta charset="utf-8"/><meta name="viewport" content="width=device-width,initial-scale=1"/><meta property="og:url" content="https://schemeflood.com/"/><meta property="og:type" content="website"/><meta property="og:title" content="Exploiting custom protocol handlers for cross-browser tracking"/><meta property="og:description" content="Learn how this exploit works across four major desktop browsers, and why it is a threat to anonymous browsing"/><meta property="og:image" content="https://schemeflood.com/assets/cover.png"/><link rel="preconnect" href="https://fonts.gstatic.com"/><link href="https://fonts.googleapis.com/css2?family=Quicksand:wght@... rel="stylesheet"/><link href="https://fonts.googleapis.com/css2?family=Dela+Gothic+One&fam... rel="stylesheet"/><title>External Protocol Flooding Vulnerability Demo</title><script async src="https://www.googletagmanager.com/gtag/js?id=G-TTDS4V1D8F&quo... = window.dataLayer || []
function gtag() {
dataLayer.push(arguments)
}
gtag('js', new Date())gtag('config', 'G-TTDS4V1D8F')</script><link rel="icon" href="/favicon.ico"><script defer="defer" src="/bundle.e3ad26414c77ee5320dd.js"></script><link href="/bundle.e3ad26414c77ee5320dd.css" rel="stylesheet"></head><body><noscript>If you're seeing this message, that means <strong>JavaScript has been disabled on your browser</strong>, please <strong>enable JS</strong> to make this app work.</noscript><div id="app"></div></body></html>
Забыл: браузер Pale Moon.
https://schemeflood.com/ 16.05.2021 -
"10FVVUV - This is your identifier. It was seen 292 times among 29494 tests so far.
That means it is 99.01% unique."
--
We have generated your identifier based on 1 applications you have installed.
Telegram
--
TorBrowser. хз. какбэ и не должно было быть телеграмма...
0FVVVV
This is your identifier. It was seen 2502 times among 29611 tests so far.
That means it is 91.55% unique.Want to try again?
We have generated your identifier based on 0 applications you have installed.Кубунта, унгооглед-хрениум. Постоянно дёргает попап с xdg-open.
Написано что не работает в хромом под линуксом. У меня в ungoogled такой же результат.
Флакон - шеррето! Этот эксплоит запустил мне скаеп.
Верно.Надо запускать все что не попадя-оно не может быть опасным.Все верно.
Флакон еще не превратился в нормальный браузер. А если судить, с какой скоростью его пилят, то ему до нормального, как до луны раком. Не упадёт, и то хорошо. Кэдэе на него вообще забила.
И памяти жрет поболе многих.
You need to enable JavaScript to run this app.
Librewolf, Palemoon - тупо ломается и не работает. Показывает лишь дебаг-дату.
927acce54bd47b8966cbf4d615c286cf
Time took to get the identifier:
800ms
User agent:
Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
---
892e4d99c4da74e53186902fc7232434
Time took to get the identifier:
754ms
User agent:
Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Goanna/4.8 Firefox/68.0 PaleMoon/29.2.0
Хм, у меня в бледнолуне сработало, но начало выводить окошко "в чем открыть ссылку".В Tor Browser вообще без палева работает.
Определяет корректно.
Это очень уж чувствительная инфа, чтобы делать функцию для того, чтобы знать какие протоколы есть. Даже не знал, что можно это знать.
>Например, определив наличие в браузере обработчиков схем URL telegram://, slack:// и skype:// можно сделать вывод отом, что пользователь - говноед. Неговноедам можно отказать в обслуживании на этом основании
От браузера стало слишком многое зависеть, логично что с ним связан развал персональной безопасности.
Если отстранится от конспирологии, всмотреться в будущее, нужно отказываться от всеобщего комбайна, браузера, в пользу приложений запускаемых в изолированном окружении, или что-то типа webview в качестве обёртки.
изолировать от пользователя на уровне ядра и архитектуры и вынести в облачные микросервисы, тоже надежно изолированные, и ваши дачно-пляжные фото будут надежно защищены от уважаемых треклятых хакеров
Демо разрабатывалось для дефолтных конфигураций браузеров преимущественно под macOS и Windows. По собранной статистике 8% сессий дают нестабильный идентификатор и 15% результатов - либо 0 приложений, либо все приложения.Хромиум под линуксом работать не будет из за xdg-open
Комментарий от автора по поводу стабильности:
https://news.ycombinator.com/item?id=27147876
Проверил на win10 pro, браузер edge. Обнаружил:-Skype(снёс сразу после установки)
-Telegram(есть только portable на флешке, но флешка не была подключена)
-Steam(тут верно)Не нашел discord. Код(?) 91FVVMU, уникальность 99.80%
Windows не удаляет зарегистрированные внешние протоколы
https://github.com/fingerprintjs/external-protocol-flooding/...
Windows 8.1/Firefox 87.0FVVVV
Это ваш идентификатор. Пожалуйста подождите...
Хотите попробовать еще раз?
Мы сгенерировали ваш идентификатор на основе 0 установленных вами приложений. Из 24 приложений в нашей базе данных.У меня такое написало. Буду держать вас в курсе.
