Fórum Root.cz
Hlavní témata => Software => Téma založeno: Honza 24. 01. 2015, 00:24:14
-
Jsou používané poměrně často a teď už na ně musí server upozorňovat.
Otázkou ale je, jaké možnosti sledování cookies přináší. U většiny mailů (gmail, seznam ...) i jiných webů s přihlášením (či jen navštívením jako guest) jsou používané. Když se přihlásim, tak se cookies ukádají. Po odhlášení by se měli smazat, ne vždy tomu ale tak je.
Otázkou je, jak se dá cookies využít pro sledování. Je možné, aby si někdo stáhnul cookisel z uživatelského adresáře, a zjistil jaký používam mail a nebo dokonce záskal přístup ? Platnost cookies nebývá dlouhá, talže pro přihlášení (krádež sezení) by musel někdo kdo má oprávnění číst uživatelský adresář stáhnout cookies např. přez terminál. Po skončení práce je vhodné cookies promazat.
Otázkou jsou ale různé webové servery. Když jeden web používá cookies a druhý web si tyto cookies přečte, může z obsahu souborů zjistit, kam se přihlašuji, nebo dokonce získat přihlašovací údaje ? Předpokládám víc různých serverů s přihlášením v jednom prohlížeči (u každého webu jiné uživatelské jméno a samozřejmostí jsou různá hesla).
Zakázáním cookies se na většinu webů nepůjde přihlásit, takže tudy cesta nevede. Otevřít víc oken jednoho prohlížeče (Mozilla), byť anonymních, to také nepůmůže, neboť jsou pro jeden prohlížeč cookies na stejném místě. Výhodou je, že v případě anonymního prohlížení na mozille po zavření všech oken veškeré informace o brouzdání o netu a přihlašování mizí (nikdo pak nemůže po zavření okna zpětně informaci vytáhnout). Otázkou ale je jak jeden web server s přihlášením může sledovat kde jinde přihlášen jsem. Některé weby s autentizací dokonce poznají uživatele tak, že je právě přihlášen ke svému mailu (tedy mohou zjistit kam je uživatel přihlášen a možná i získat přístup k jiným účtům).
Dalším stupněm obrany je používání víc prohlížečů naráz (mozilla, opera a další, explorer a chrome radši neuvádim - jde teď o soukromí). Přez cookies nejspíš nemůže jeden web, na který jsem přihlášen v mozille zjistit kde jsem přihlášen v Opeře, jaký je muj skype účet, kde jsem přihlášen, a pod. Jistý si tím ale nejsem. Ještě lepším řešením je přihlašovat se v jeden čas jen na jeden účet, což je dost nepraktické, a před a po vždy restartovat prohlížeč a smazat všechna data o historii.
Ještě účinější, ale o to pracnější je přihlašovat se z různých IP/MAC adres, úplně nejdokonalejším řešením je otevřít si více oken v toru (každé s jinou IP). V toru ale je často problém se někam přihlásit, některé weby blokují tor nody nebo zabraňují přihlášení z podivně se měnící IP. A s rychlostí je taky to znát.
Podle všecho je možné, aby jeden web server mohl zjistit, kde jsem přihlůášen jinde. Proto na jednom typu prohlížeče je vhodné jen jedno přihlášení současně. Před i po promazat vše. Jestli je takto možné sledovat uživatele i mezi weby (Opera-Skype-Mozila), to už si jistý nejsem. Skype je od MS stejně jako explorer i celé Widle a i to je třeba vzít v úvahu. Zrovna Skype které cookies hojně používá je problém - rozhodně nechci, aby web na který se přihlašuji získal informace jaký mam skype účet. ICQ je ještě horší, o tom ani nemluvim. To ukládá i posílá vše nešifrovaně. Nejlepší je Jabber, ale většina známých nic lepšího (a často ani nic jiného) než Skype nepoužívá. Proto musím také Skype používat. Cookies pravidelně promazávám, jde to pro skype i nastavit do cronu v linuxu.
Další otázkou je sledování pomocí jiných utilit. Třeba v posledních letech rozrůstající se sociální sítě, a na každé web stránce like button. Při návštěvě stránky se like button stahuje a je zaznamenán čas, IP i kde je uživatel u dané sociální sítě (Google, FB) přihlášen. Tím lze sledovat už i jaké stránky uživatel navštěvuje (což už je docela dost). Dá se like button nějak blokovat aby se vůbec nestahoval ? Při dalším prohlížení internetu je dobré se ze sociální sítě odhlásit.
FB, Google a podobní mohou ale seznam navštěvovaných stránek zjišťovat i podle samotné IP adresy. Pokud je IP veřejná a nestřídá se na PC moc uživatelů, je to jednoduché. Pokud je ale IP adresa neveřejná (např. většina kolejí v Praze), je ja jednou IP schovádno dost uživatelů a pomocí IP sledovat nejde. Co ale může web server kromě IP vidět ? Přesnou verzi prohlížeče, operační systém, rozlišení+barevná hlobka monitoru, některé nastavení prohlížeče a další. To už k identifikaci dost pomůže. A soudě podle výběru reklam, google např. to využívá. Domnívám se, že MAC adresu a jméno uživatele na PC kde pracuji web server zjistit může těžko (jestli vůbec), provozovatel připojení pochopitelně ano. Pak už jedině ten tor (pozor na trasovací cookies a časovou korelaci).
Nejsem žádný IT expert tak omluvte případné nepšesnosti.
-
Moc dlouhý, zkrať to ::)
-
TLDR
Na cookies slouží Ghostery
-
Vycházíte z mylných předpokladů. Například cookies jednoho webu nemůže číst jiný web. Dále s tím nijak nesouvisí IP adresy ani okna prohlížeče - cookies jsou určené právě k tomu, aby vás server poznal, i když se připojíte z jiné IP adresy, z jiné sítě, když pracujete ve více oknech prohlížeče. Míchat do toho MAC adresy je úplný nesmysl, ty se nedostanou dál, než na první router.
-
Otázkou je, jak se dá cookies využít pro sledování.
Pomerne lahko, ale musi suhlasit aj majitel webu. Weby maju casto rozne analytics a reklamy - tie si ukladaju pod svoju domenu identifikator cloveka, ktoreho potom lahko sleduju.
Ziskat unikatny identifikator je mozne aj podla inych znakov - da sa to skusit na Panopticlick (https://panopticlick.eff.org/ (https://panopticlick.eff.org/)). Preto sa moze hodit zmena prehliadaca. To tiez nemusi stacit - niekto pouziva aj EverCookie (http://samy.pl/evercookie/ (http://samy.pl/evercookie/)) a ten funguje aj cross-browser, preto sa toho uplne lahko nezbavis.
Like buttony tiez mozu sledovat, ale to vies.
-
http://m.quickmeme.com/meme/35hjeg
;)
-
Proto mám ma každý web samostatnou síťovou kartu.
-
Proto mám ma každý web samostatnou síťovou kartu.
Snaha bejt vtipnej by tady byla ale to si autorovi moc neporadil.
Otázkou je, jak se dá cookies využít pro sledování.
Pomerne lahko, ale musi suhlasit aj majitel webu. Weby maju casto rozne analytics a reklamy - tie si ukladaju pod svoju domenu identifikator cloveka, ktoreho potom lahko sleduju.
Ziskat unikatny identifikator je mozne aj podla inych znakov - da sa to skusit na Panopticlick (https://panopticlick.eff.org/ (https://panopticlick.eff.org/)). Preto sa moze hodit zmena prehliadaca. To tiez nemusi stacit - niekto pouziva aj EverCookie (http://samy.pl/evercookie/ (http://samy.pl/evercookie/)) a ten funguje aj cross-browser, preto sa toho uplne lahko nezbavis.
Like buttony tiez mozu sledovat, ale to vies.
Presne tak. Kdyz majitel webu souhlasi (a dost casto souhlasi) a narve si na svuj web nejake ti FB nebo google utility, tak vsechny weby s temito utilitami, ktere jsi navstivil, te poznaji. Pokud jsi tedy prihlasen na google, faceboku nebo twitteru, tak si k tvemu uctu priradi stranky, co jsi navstivil (prave prez cookies, nebo prez like butony a udelatka pro komentare, nebo jen prez verzi a jazyk prohlizece, verzi operacniho systemu, rozliseni obrazovky a dalsich veci, co posilas kdys stranku navstevujes). Musi mit onen web na strankach ty Google, FB ci jineho vetsho webu Utility pro tento zber dat. Pouziva to pro cilene reklamy.
Tedy jeden web obecne nemuze zjistit, jake jine weby navstevujes. Ale velke weby typu FB s tema svzma udelatkama (co jsou i na rootu) muze sledovat kam chodis a priradit si to k tvemu uctu }a je na tobe, co vsechno si do toho uctu vyplnill). Socialnich siti s udelatky typu like button je cela rada. Ale treba seznam/rajce tyto udelatka v globalu nema, tak te muze sledovat jen v ramci svych webu (napr. pod seznam patri stream.cz, lide.cz, mixer.cz, novinky.cz, super.cz a tak). Idnes (vcetne rajce)- to je cela eskadrona webu (technet, lupa, vitalita, root, ztrojak, xman a kdovi co jeste).
Jine, ne moc velke weby tyto udelatka nemaji a nemohou sledovat kde si jinde. Ale pokud ve svych aplikacich pouzivaji napr. google nebo FB (mapy like button, komentare), zase mohou zjistit jmeno tveho uctu na google nebo FB (ale uz ne jine navstevovane stranky, to vi google nebo FB). Jine to je napr. na lide.cz, patrici pod seznam - s tvym uctem na lide.cz si seznam asociuje cinnost na webeh pod seznamem.
Podle MAC adresy te weby sledovat nemohou, nebot MAC konci u routeru. Ale muze te sledovat poskytovatel pripojeni (coz je dulezite hl. na koleji nebo napr. ve skole ci firme, tam se PC prihlasiijui prez MAC do site a spravce site vidi).
IP adresa je but verejna nebo neverejna. V pripade neverejne mas X uzivatelu za NATem (kolej i tisice) a weby nic nevidi. Pokud se jedna o verejnou IP, mohou weby sledovat na svem pisecku kam chodis, tvoje ruzne ucty sdruzovat do jednoho - stejne IP, prihlasovani 3 stejnych uctu vzdy po sobe v ruznem poradi. Seznam muze pomoci IP yjisti vsechny stranky v jeho pod-webech, kam chodis. FB ci Google dokonce vsechny stranky (kde ma ty like buttony, mapy a dalsi), ktere ta IP navstivila, nebot ty jejich udelatka mimo mnoho dalsiho vidi IP. Ale uz nevi kolik lidi se za danou IP vystridalo (jmena uzivatelu na lokalnim PC nikam nechodi), mohou to mojna tak analyzovat podle slovni zasoby (zapredpokadu ze nemaji informace primo z Google/FB uctu - to je pak mnohem snazsi). Ale muze mozna pomoci Webkamera nebo mikrofon. Kdo vi kdy je to zaple a kdy ne.
Zmena prohlizece pomuze ale ne uplne. Ze zmenou prohlizece zustava na identifikaci verze OS, IP adresa, rozliseni a barevna hloubka obrazovky (za predpokladu ze nehraje zrovna mikrofon ci web kamera, u mobilu i GPS senzor). Ale pozor, jsou i cookies ktere jsou mezi-prohlizecove, tedy ty Ever-Cokie. Ty pradepodobne pouziva mimo-jine skype, ICQ, a mozna google talk (Navic internet explorer i skype jsou pod mikrosoftem). Jako prohlizec je asi nejlepsi mozilla (das si anonzmni prohlizeni a po zavreni okna cookies a vse ostatni zmizi, mozila ma cookies u sebe v adresari, anonymni mozna i v ram). Muzes pouzit ruzne proxy (vetsinou ale nepodporujou prohlaseni k uctu - sifrovane spojeni).
Nad vsim nejlip vzyrajes, kdyz pouzijes Tor. GB ho odnita uplne a s Googlem i jinyma webama jsou problemy - nelibi se jim ze s kazdym prohlasenim jsi v jine zemi. Po kazde cinnosti si das novou identitu tlacitkem pri URL a vse zmizi, ziskas i jinou IP. Je nutne ale dodrzovat take urcita pravidla (neotvirat, ale jen stahovat dokumenty pdf, office, netorentovat (ani male soubory, nebot torenty fungujou krz konecnou pozici), zakazat ruzne animacni a html5 vymozenosti. Take je nutne dodrzovat TOR ETIKETU. Prasarna je stahovat velke soubory (filmy, porno a pod.), torrentovat (prihlasit se na traker vc. stazeni torrent souboru muzes, ale se spustenim torrent souboru anonymita zanika), velke traffiky, stahovat cele wey a pod. To je zcela nefer vuci tor userum. Tor by mel sifrovat jiz ot tveho PC az do exit nodu. Ale soravce site muze sledovat request + cas ( a i ten se se shoduje s login na konecne strance). Vylepsis to uzitim Tor Bridge. I za exit nodem je lepsi https.
Ruzne keyloggery a programy na sledovani, ktere dokonce sleduji krome key loggu i snimky obrazovky, cas kdy si v jake aplikaci a tak (napr. activity mom), to uz je jina vec. Tam pomuze jedine byt administratorem na vlastnim zarizeni (PC, Mobil).
-
...
tl;dr