The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Firefox-дополнении Web Security выявлена отправка информации о посещениях

16.08.2018 08:41

В Firefox-дополнении Web Security, насчитывающем более 220 тысяч установок и входившем в список рекомендованных Mozilla дополнений для охраны частной жизни пользователя (после инцидента дополнение уже удалено из этого списка), выявлена недокументированная сетевая активность, в результате которой на сторонний сервер отправлялись данные о всех страницах, открываемых пользователем.

Разработчики дополнения попытались оправдать отправку данных выполнением проверки URL по чёрным спискам на стороне сервера для блокирования сайтов с вредоносным контентом, но обычно для подобных целей отправляются хэши от URL, а не ссылки в открытом виде. Более того, отправка данных производилась в привязке к идентификатору пользователя и также передавался прошлый URL, с которого был произведён переход на текущую страницу. Перед передачей данные скрывались при помощи шифрования. Примечательно, что в прикреплённом к дополнению соглашении разработчики заверили пользователей, что дополнение ни в каком виде автоматически не собирает сведения о пользователях, а на деле всё оказалось наоборот.

Дополнение: Компания Mozilla удалила Web Security и ещё 22 дополнения, содержащих похожий код для отправки сведений, из каталога дополнений к Firefox.

  1. Главная ссылка к новости (https://www.ghacks.net/2018/08...)
  2. OpenNews: В браузерном дополнении Stylish выявлен код для отправки истории посещений
  3. OpenNews: В результате фишинга получен контроль ещё над 6 дополнениями к Chrome
  4. OpenNews: Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей
  5. OpenNews: В 5 браузерных дополнениях и 6 мобильных приложениях обнаружен шпионящий код
  6. OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49143-privacy
Ключевые слова: privacy
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (117) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:49, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Никому верить нельзя
     
     
  • 2.3, A.Stahl (ok), 08:54, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +25 +/
    Мюллер: "Мне -- можно".
     
     
  • 3.43, Аноним (-), 11:20, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    мертвым можете верить, если хотите
     
     
  • 4.141, Dmitry77 (ok), 23:20, 19/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Можно верить коду
     
  • 2.56, J.L. (?), 12:24, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Никому верить нельзя

    ну что ты, мантейнерам линуксовых репозиториев - можно *сарказм*

     
     
  • 3.97, user (??), 17:21, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    "we have root"
     
  • 2.64, AntonAlekseevich (ok), 12:51, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Что за религия "о неверии кому-либо"?
     
     
  • 3.66, Аноним (-), 12:59, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    здравый смысл
     
     
  • 4.92, AntonAlekseevich (ok), 16:01, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > здравый смысл

    Так религия "здравый смысл" есть вера в науку, правду(пост-правду) и людям которые открыли свои глазки.

     
     
  • 5.98, user (??), 17:21, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    религия и пост-правда у тебя в методичке
     
     
  • 6.108, Аноним (108), 18:00, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А не оскорбляешь ли ты своим высказыванием чувств верующего?
     
     
  • 7.110, Аноним (110), 19:40, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты назвал его священную книгу методичкой, за это можно и партбилет на стол положить.
     
  • 6.111, AntonAlekseevich (ok), 19:55, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > религия и пост-правда у тебя в методичке

    Если бы у меня была методичка по общению на тему религии и пост-правды, то может быть я почаще общался бы на такую тему, но увы это мой первый опыт общения на данную тему.

     
     
  • 7.114, Аноним (114), 22:32, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >но увы это мой первый опыт общения на данную тему.

    И он неудачный. Не делай так больше.

     
     
  • 8.115, AntonAlekseevich (ok), 23:43, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И могу сказать хорошо, что этот опыт неудачный Постараюсь, через силу но постар... текст свёрнут, показать
     
  • 7.133, Аноним (133), 20:29, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > это мой первый опыт общения на данную тему

    Смотри аккуратнее так данной темой, а то неровен час и опыт может стать последним на долгий срок.

     
     
  • 8.138, AntonAlekseevich (ok), 11:40, 18/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если честно мне плевать Давно процветает доносительство, и я прекрасно понимаю ... текст свёрнут, показать
     
  • 5.104, Аноним (104), 17:48, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сам-то понимаешь, что несешь?
     
     
  • 6.112, AntonAlekseevich (ok), 20:08, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Сам-то понимаешь, что несешь?

    Вопрос хороший и, да я понимаю что я пишу.

     
  • 5.128, kai3341 (ok), 14:32, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Так религия "здравый смысл" есть вера в науку, правду(пост-правду) и людям которые открыли свои глазки.

    Дурик, тебе в учебниках зачем доказательства приведены? Какая это 'вера', если она требует доказательств? Первое сентября ещё не наступило, но домашку тебе задам:

    https://ru.wikipedia.org/wiki/%D0%9D%D0%B0%D1%83

    А ещё полуркай критерий Поппера

     
     
  • 6.139, AntonAlekseevich (ok), 12:18, 18/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Дурик, тебе в учебниках зачем доказательства приведены?

    Начало, прости, но оно похоже на "Ты что, умный что ли?".
    Доказательства представлены в учебниках как готовый вывод.

    > Какая это 'вера', если она требует доказательств?

    Вера в доказательства требует доказательства.
    Вера в правду либо пост-правду требует поиска истинной информации, отслеживания и реагирования на ложную информацию.
    Вера в людей требует чтобы люди сами хотели верить в себя и других.

    А вера направленная на недоверие всему, порочна, а последователи данной веры привыкают к культуре доносительства на тех кто не верит им.

    Последний обрубок я комментировать не стану.
    Ещё не хватало получить донос от вас, что станет последним звоночком между самоубийством после тюрьмы либо безработным до смерти.

     

  • 1.2, Аноняшка (?), 08:49, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А есть файерволл для Linux, позволяющий избегать подобних "недоработок"?)
     
     
  • 2.4, A.Stahl (ok), 08:55, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Да, в линуксе есть файрволл.
     
     
  • 3.6, Аноняшка (?), 08:55, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    и как его настроить, чтобы не было подобной "заботы о пользователе"?
     
     
  • 4.7, Аноним (7), 08:58, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +33 +/
    Нужно запретить браузеру выход в интернет.
     
  • 4.8, A.Stahl (ok), 08:58, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Закрыть коннекты к серверам сбора статистики.
     
  • 4.9, Аноне (?), 08:58, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Накрыть белым списком
     
     
  • 5.12, Аноняшка (?), 09:02, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    как именно настроить белый списек, на уровне файрволла?
     
     
  • 6.23, Админ (?), 09:37, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    iptables -P INPUT DROP
    iptables -P FORWARD REJECT
    iptables -P OUTPUT REJECT
     
     
  • 7.31, Роскомнадзор (?), 10:03, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это значительно упрощает нашу работу. Спасибо за информацию!
     
  • 6.27, captcha 20168 (?), 09:49, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    запретить всё, что не разрешено
     
  • 4.38, Аноним (38), 10:41, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/evilsocket/opensnitch

     
     
  • 5.52, Аноним (52), 12:20, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > sudo make install

    Руки бы за такое, да по самые ноги!

     
     
  • 6.125, Анончик (?), 11:51, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А что не так?
     
     
  • 7.126, TrueMakeINSTALL (?), 11:57, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А что не так?

    Для профессионалов, которые знают, что делаю в системе те или иные команды, или действия - всё нормально.
    А для попугаев и малограмотных пользователей - это страхи и не знание.

     
     
  • 8.130, Michael Shigorin (ok), 15:04, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    дружески Чайник, успокойся -- а то из малограмотного станешь не попугаем, а ла... текст свёрнут, показать
     
     
  • 9.137, Анонимный пользователь. (?), 08:21, 18/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Есть варианты, когда создание пакета избыточно Это надо понимать Надо понимать... большой текст свёрнут, показать
     
  • 4.118, Аноним (118), 03:11, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    iptables -A OUTPUT -j DROP
     
  • 3.15, Аноняшка (?), 09:03, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    какой бесполезный ответ! напоминает анекдот про Холмса и Ваисона на воздушном шаре, и маркетолога
     
     
  • 4.19, Михалыч (?), 09:13, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    я не знаю такой анекдот
     
     
  • 5.26, Anonimus (??), 09:45, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ничего, я знаю!
     
  • 5.28, Анекдотмэн (?), 09:51, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://www.anekdot.ru/id/82175/
    https://pikabu.ru/story/remeyk_drevnego_anekdota_5694147
     
     
  • 6.53, Michael Shigorin (ok), 12:22, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > https://pikabu.ru/story/remeyk_drevnego_anekdota_5694147

    Отличный вариант, спасибо!

     
     
  • 7.62, Аноним (62), 12:37, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Топ-менеджер приземлился в воду в 80 км к западу от Джорджтауна, Малайзия. В принципе да, там большой трафик, только разговаривал он бы не с математиком, а с капитаном какого-нибудь судна.

    //Математик

     
  • 4.29, ivn86 (ok), 09:58, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Сама идея безопасности открытого софта напоминает анекдот про неуловимого Джо.
     
     
  • 5.33, Аноним (33), 10:08, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    А идея безопасности закрытого софта что напоминает?
     
     
  • 6.37, ivn86 (ok), 10:31, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А идея безопасности закрытого софта что напоминает?

    Религию -- остаётся только верить, что всё работает так, как сказали. Я написал конкретно про открытый софт. Есть толпы людей на форумах, для которых опенсорс это синоним безопасности, которые осилили прочитать ридми, но не осилили исходник, но их успокаивает мысль, что раз есть доступ к исходникам, значит никакой подставы быть не может в принципе. В этом смысле Джо неуловим -- раз написано в ридми, что мы ничего не собираем, значит ничего не собирают, ведь никто в Интернете врать не будет, а они ещё и исходники выложили.

     
     
  • 7.46, Аноним84701 (ok), 11:44, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я написал конкретно про открытый софт. Есть толпы людей на форумах, для которых опенсорс это синоним безопасности, которые осилили прочитать ридми, но не осилили исходник, но их успокаивает мысль, что раз есть доступ к исходникам, значит никакой подставы быть не может в принципе. В этом  смысле Джо неуловим -- раз написано в ридми, что мы ничего не собираем, значит ничего не собирают, ведь никто в Интернете врать не будет, а они ещё и исходники выложили.

    И все бы хорошо, но … где на этот код  "нормально" посмотреть можно? Ни репозитория, ни публичного, прозрачного процесса разработки – вся открытость "для галочки".

     
     
  • 8.65, ivn86 (ok), 12:56, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ставите расширение, смотрите исходники, если интересно unzip -l mozilla fire... текст свёрнут, показать
     
     
  • 9.71, Аноним84701 (ok), 13:23, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вздыхая Во-первых зачем ставить и тем более, выполнять , если можно просто с... большой текст свёрнут, показать
     
     
  • 10.75, ivn86 (ok), 13:53, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На каких таких условиях Вы действительно искренне верите, что наличие публичн... текст свёрнут, показать
     
     
  • 11.91, Аноним84701 (ok), 15:53, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    На отсутствующих Не зря на их странице речь о free , но нигде не встречается... большой текст свёрнут, показать
     
  • 7.68, анноним (?), 13:10, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Я написал конкретно про открытый софт.

    Ты написал в таком контексте, будто это относится ТОЛЬКО к открытому софту. И сделал это намеренно, за что и схлопотал.

     
     
  • 8.69, ivn86 (ok), 13:14, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Что схлопотал И я написал то, что хотел написать -- неуловимый Джо относится ТО... текст свёрнут, показать
     
     
  • 9.82, Аноним (82), 15:14, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Подобные сюрпризы существуют относительно не долго, в отличии от закрытого софта... текст свёрнут, показать
     
  • 6.54, Michael Shigorin (ok), 12:23, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А идея безопасности закрытого софта что напоминает?

    Песню Лисы: "я б ночей не спала, всё бы кур стерегла, петушка как родного лелеяла".

     
  • 2.11, Аноняшка (?), 09:00, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    те, кто чекнули, не успели пикнуть, и крякнулись?
     
  • 2.13, max5775 (?), 09:02, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы чекнул, но ни умею
     
  • 2.20, Аноним (20), 09:16, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Где там такое? http://web-security.com
     
     
  • 3.21, Аноним (20), 09:17, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    пардон, где там исходники вообще
     
     
  • 4.22, Анонс (?), 09:30, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Тип лицензии на странице дополнения написан: https://addons.mozilla.org/firefox/addon/web-security/
     
  • 4.25, odd.mean (ok), 09:41, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Исходники внутри shitty_addon.xpi (zip). JS же.
     

  • 1.14, ryoken (ok), 09:03, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >>  входившем в список рекомендованных Mozilla

    "У семи нянек..."

     
     
  • 2.80, Аноним (80), 14:43, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Можно подумать, эти ребята были не в курсе.
     
  • 2.134, Аноним (133), 20:30, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > "У семи нянек..."

    14 сисек.

     

  • 1.24, iZEN (ok), 09:39, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Фальшивые надежды. Кривые зеркала.
     
     
  • 2.96, Аноним (96), 17:14, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ух ты, звучит как строчка из песни.
     
     
  • 3.116, Аноним (-), 00:11, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Фальшивые надежды. Кривые зеркала.

    Звучит как строчка с песни. Такие вот дела.

     

  • 1.32, evkogan (?), 10:05, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Прямое нарушение соглашения о приватности, разве с ними нельзя судиться по этому поводу?
    Вот в данном случае судебный троль очень бы пригодился.
     
     
  • 2.47, Аноним (47), 11:55, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а суть иска. какой ущерб? или давить на моральный?
     
     
  • 3.58, Michael Shigorin (ok), 12:26, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > а суть иска. какой ущерб? или давить на моральный?

    Введение в заблуждение -- точно, мошенничество -- возможно.  Эт сходу как не-юристу видно.

     
  • 3.89, Wulframe (?), 15:29, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    злоупотребление доверием с целью выгоды == мошенничество
     
  • 3.102, Maxim (??), 17:40, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По GDPR можно тупо большим штрафом наказать!
     

  • 1.34, Аноним (34), 10:14, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Примечательно, что в прикреплённом к дополнению соглашении разработчики заверили пользователей, что дополнение ни в каком виде автоматически не собирает сведения о пользователях, а на деле всё оказалось наоборот.

    И что, на них даже в суд не подали?

     
  • 1.35, Аноним (35), 10:17, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    А знаете, что самое интересное? Это ни разу не техническая проблема.
    Это проблема административно-уголовная. Если в достаточно большом числе стран, вот такой вот тайный сбор сведений станет уголовно наказуемым, с большими штрафами и приличными сроками - то количество таких случаев упадет порядка на два.
    А если исследователям и тем кто находит такие закладки отстегивать хороший процент от этих штрафов, то не успеешь ты отправить приложение сборщик\червяк\майнер, как за тобой уже приедут.
    Вот так, затрат - почти ноль, добавить статью в уголовный кодекс. А результат - отличный!
     
     
  • 2.41, Аноним (41), 10:59, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В России сейчас по законам наоборот. Все обязаны собирать всю информацию о пользователях и выдавать по первому требованию.
     
     
  • 3.45, user (??), 11:34, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    RTFM
    http://constitution.kremlin.ru/
     
     
  • 4.49, Аноним (47), 11:56, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    только вслух не читайте. чревато.
     
     
  • 5.51, A.Stahl (ok), 12:04, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В Роскомнадзор ссылочку-то скиньте. Реставрация возможна только если все россияне, каждый по чуть-чуть, помогут выполоть демократическую заразу.
     
     
  • 6.105, user (??), 17:52, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Назвать чекистов демократической заразой - это сильно.
     
     
  • 7.121, Степан Николаевич (?), 07:18, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    как, мы разьве не эпоху Большого Террора восстанавливаем?

     
     
  • 8.123, ouicgw634t9078 (?), 09:40, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    импортозамещение фашизма ... текст свёрнут, показать
     
  • 3.59, Michael Shigorin (ok), 12:27, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > В России сейчас по законам наоборот. Все обязаны собирать всю
    > информацию о пользователях и выдавать по первому требованию.

    Раз уж ссылаетесь на законы -- будьте добры предоставить перечень конкретных нормативных актов, изучив которые, Вы такое ляпнули.

    По умолчанию -- разумеется, балабол.

     
     
  • 4.73, Аноним (41), 13:48, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Постановление Правительства РФ от 26.06.2018 N 728 "Об утверждении Правил хранения организатором распространения информации в информационно-телекоммуникационной сети "Интернет" текстовых сообщений пользователей информационно-телекоммуникационной сети "Интернет", голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет"".
     
     
  • 5.94, Аноним (94), 16:13, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну вот и выясняется, что а) не все б) не всю и в) не всем обязаны выдавать.

    Достаточно почитать первоисточник.

     
  • 4.74, Аноним (41), 13:48, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://habr.com/post/415647/
     
  • 3.63, Аноним (62), 12:39, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И много ты уже информации собрал и выдал? Или ты не все, тебя это не касается?
     
  • 2.124, Аноним (124), 11:05, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В европе сейчас закон новый, что каждый хостер присылает соглашение о принятие.
     

  • 1.55, тбдщ (?), 12:24, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Не только Web Security. Другие расширения тоже отравляют историю посещений (судя по всему один и тот же автор(ы). Смотрите мои комменты под постом из статьи https://www.ghacks.net/2018/08/15/mozilla-recommended-privacy-extension-had-ph
     
     
  • 2.60, Michael Shigorin (ok), 12:29, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не только Web Security. Другие расширения тоже отравляют историю
    > посещений (судя по всему один и тот же автор(ы).

    Спасибо за труды.

     
     
  • 3.117, тбдщ (?), 00:33, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Мозиловцы таки забанили эти расширения https://bugzilla.mozilla.org/show_bug.cgi?id=1483995
     
  • 3.127, ник (??), 12:45, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да свали ты уже, в каждой дырке затычка
     

  • 1.76, AnonPlus (?), 14:03, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Дополнение, которое пробивает репутацию посещаемых сайтов по своей базе, сверяет посещённый адрес с базой на сервере. Удивительно.
     
     
  • 2.77, AnonPlus (?), 14:04, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> для подобных целей отправляются хэши от URL

    Так ведь заранее известно сопоставление "хэш = сайт", разве нет? Иначе, как тогда сервер выдаст вердикт, плохой это сайт или нет?

     
     
  • 3.81, odd.mean (ok), 14:46, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > "хэш = сайт", разве нет?

    Не совсем. Вот два URL c хэшами md5:
    https://www.opennet.ru/ (b2a306e2069f7fa1bbb1d44afe955975)
    https://www.opennet.ru/opennews/art.shtml?num=49143 (426dfb7e3bf5ba085ef41554b11779cd)
    Сайт один и тот же.

     
     
  • 4.90, Sw00p aka Jerom (?), 15:44, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    смотря кто список хешей составлял, разницы нет - отправил урл или хеш, хеш просто экономичнее и быстрее
     
     
  • 5.99, odd.mean (ok), 17:22, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если аддон отправляет *только* хэши, то хотя бы не сольёт URLы, позволяющие явно определить юзера типа https://linkedin.com/BasilPupkin/edit а со стороны сервера все возможные URLы перехэшировать едва ли кто станет.
    По-хорошему, серверу вообще должно быть достаточно хэшей от аддонов с рейтингами от юзеров. В качестве примера можно поглядеть на API haveibeenpwned.com, там одни хэши гуляют и всё норм работает.
     
     
  • 6.103, Аноним (41), 17:46, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А если сам аддон будет хэши делать, а сервер расшифрововать?
     
     
  • 7.107, odd.mean (ok), 17:58, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле "расшифровывать"? Хэш-функция математически необратима. Прямо как тот фарш, который "невозможно провернуть назад". Можно только подобрать по совпадению хэшей предполагаемую начальную строку.
     

  • 1.78, Аноним (78), 14:08, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну всё равно до гугловской помойки (т.н. выбсторе) далеко. Пока что.
     
  • 1.79, Аноним (80), 14:41, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >список рекомендованных Mozilla дополнений для охраны частной жизни пользователя
    >выявлена отправка информации о посещениях

    Это все, что нужно знать о Mozilla в 2018.

     
     
  • 2.86, Андроним (?), 15:18, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Зря ты это написал. Сейчас тебя фанатики мозилловские заминусуют.
     

  • 1.87, Аноним (87), 15:25, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    ну и поделом инфобез-дрoчилaм
     
  • 1.93, Аноним (93), 16:09, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может тогда и ublock сливает?
     
     
  • 2.95, Аноним (94), 16:14, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Иди, проверь.
     
     
  • 3.101, нах (?), 17:37, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а смысл, сегодня проверит - не сливает, все ок.
    Завтра савтоапдейтилось - слили.

    мазила через пару месяцев извинится.

     
     
  • 4.106, user (??), 17:54, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    академик тоже пользователь?
     
  • 2.100, нах (?), 17:36, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    есть слабенькая надежда, что, поскольку ему все еще приходится _скачивать_ базы - сливает он только сам факт что ты используешь ublock.

    Но да, доверять никому нельзя.

     

  • 1.109, Pistrun (?), 18:14, 16/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >после инцидента дополнение уже удалено из этого списка

    Выпустить бюллетень с уведомлением пользователей и извинениями? Удалить плагин из магазина? Нет?

    Это что, попытка сохранить репутацию? Обосрлись ещё сильнее в итоге

     
     
  • 2.119, KonstantinB (ok), 05:03, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Удалить плагин из магазина? Нет?

    "This add-on has been disabled by an administrator".

     
     
  • 3.129, Pistrun (?), 14:46, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И то хорошо. На момент комментария он там ещё был
     

  • 1.120, ыы (?), 06:42, 17/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "Никогда такого небыло, и вот опять" (с)
     
     
  • 2.131, user (??), 17:49, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    хотели как лучше, а получилось как всегда
     

  • 1.122, bbbbbb (?), 08:49, 17/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ох плагин удалили, а то что сама Мозилла телеметрию союирает ничего, хозяину можно
     
  • 1.132, Аноним (132), 18:24, 17/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В android-версии ничего не удалило, сам удалял.
     
  • 1.136, Pilat66 (?), 00:16, 18/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "но обычно для подобных целей отправляются хэши от URL, а не ссылки в открытом виде"

    Неужели непонятно, что, отправляя самому себе хэш от URL, серверная сторона знает какому URL этот хэш соответствует? То есть это ничего не меняет в плане приватности. Чисто работа на публику.

     
     
  • 2.142, нах (?), 10:37, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    справедливости ради - не совсем. Во-первых, серверная сторона должна знать о существовании того url и заранее посчитать его хэш - что существенно ограничивает ее возможности тебя трекать - даже если предположить наличие там немерянных ресурсов для архивирования всего интернета в хэши, есть еще уникальные per-user и те, куда просто не пускают без авторизации.

    во-вторых, отправляя урл вместо хэша - ты делишься им еще и с товарищ-майором и прочими васянами, а в случае с хэшами им придется самим похэшить "весь интернет", даже если ты их плейнтекстом шлешь, чтобы понять, к какому урлу какой хэш относится.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру