ugrás a tartalomhoz

Tracking without cookies

ochronus · 2013. Aug. 22. (Cs), 22.06
Felhasználók nyomonkövetése cookie-k, localstorage stb. nélkül
 
1

Kúl, nekem jobban tetszik,

MadBence · 2013. Aug. 23. (P), 14.40
Kúl, nekem jobban tetszik, mint a PHP-s megoldás. Érdekes lehet még esetleg az ETag-en kívül a Last-Modified mezőben tárolni a követő kódot (amit a kliens készségesen visszaküld az If-Modified-Since-el)
4

Dehát ugyanúgy működik

Hidvégi Gábor · 2013. Aug. 23. (P), 16.00
Dehát ugyanúgy működik mindkettő, nem?
12

de, de ez python :) (szóval

MadBence · 2013. Aug. 23. (P), 23.07
de, de ez python :) (szóval ez teljesen szubjektív véleményem)
39

Második rész :)

ochronus · 2013. Aug. 26. (H), 22.25
http://ochronus.com/user-tracking-http-redirect/
40

Védekezés

Hidvégi Gábor · 2013. Aug. 27. (K), 07.40
Ha úgy készítjük el az oldalunkat, hogy kikapcsolt javascript mellett is teljesen működőképes, valamint nem linkelünk harmadik féltől tartalmat, kilőhetjük ezt a támadási/követési vektort.
43

Persze, de a legtöbb tracker

ochronus · 2013. Aug. 27. (K), 08.58
Persze, de a legtöbb tracker "trójaiként" jön: ajánl valami ütős funkcionalitást a site-ra, ami miatt mégis érdemes elfogadni a harmadik féltől a tartalmat.

Ez olyan kicsit, mint kikapcsolni a böngészőben a cookie-kat. Véd, véd, de a fontos siteok 80%-a használhatatlanná válik tőle.
2

Törvény

Pepita · 2013. Aug. 23. (P), 15.14
Azt nem értem, miért nem tiltják törvényileg az ilyesmit?
Lassan oda jutunk, hogy bekapcsolod a géped és a fél világ tudja, hogy éppen éhes vagy... Privátabb dolgokról nem is beszélve.
Hova jut így a web?!
3

A lopást is tiltja a törvény.

Hidvégi Gábor · 2013. Aug. 23. (P), 15.59
A lopást is tiltja a törvény.
5

Tiltja ugyanúgy. Kommentben

saxus · 2013. Aug. 23. (P), 17.15
Tiltja ugyanúgy. Kommentben említik is.
7

Milyen törvény? Melyik

H.Z. · 2013. Aug. 23. (P), 17.24
Milyen törvény? Melyik országban?
Mert pár hónapja az NMHH igen tisztelt szakértőinél érdeklődtem, hogy is van az, hogy egyes oldalakon úgymond önvédelmi célból gyűjtik az azonosításomra alkalmas adatokat, gyakorlatilag bejelentkezés nélkül képesek azonosítani a konkrét böngészőt, ami manapság azért eléggé személyhez kötődő dolog.
NMHH válasza: teljesen szabályos és törvényes.
(más kérdés, hogy a szakértő akivel beszéltem, szerintem a tizedét sem fogta fel annak amit magyaráztam neki :( )
10

Ja, csak nem szankcionálja...

Pepita · 2013. Aug. 23. (P), 21.17
Nem azért a 20 fillérért, de az ilyesmi akkor hat, hogyha legalább egy konkrét személy kap érte valamennyi letöltendőt, és ezt a média kellőképpen felfújja. Persze ha ilyen történik, sosem az igazi bűnöst büntetik...
De nálunk az állatkínzásos törvény is ilyen hatású volt, csak nem emlékszem, hogy az illetők nem felfüggesztettet kaptak-e (de úgy emlékszem, egy letöltendő is volt). A lényeg: azóta sokkal kevesebb állatkínzás van, amíg viszont csak törvény volt, komoly ítélet nélkül, addig nem ért semmit.
Ezt kéne tenni a web tisztességessé tételéért is. A tapasztalat mutatja: a komoly büntetés számít, nem a fenyegetés vele.
6

Nézd meg, mit művel mondjuk

H.Z. · 2013. Aug. 23. (P), 17.21
Nézd meg, mit művel mondjuk egy androidos telefon!
A routeremen nézegettem egy darabig, de már beletörődtem. Túl drága volt, hogy emiatt kidobjam. :(

Egyébként most csak a lényegi részére koncentráltam az írásnak, nem tudom említette-e: a browser fingerprint legalább ennyire egyedi tud lenni, ha engedélyezed a javascriptet (bár sok helyen már önmagában a letiltott JS is egyedi ;) )
Ezt kivédem azzal, hogy kilépéskor automatikusan törlöm a cache-t. A fingerprint megkerülése macerásabb.
8

Most ez a trend, hogy

tgr · 2013. Aug. 23. (P), 17.51
Most ez a trend, hogy mindenki posztot ír az ETags-es nyomonkövetésről? Lassan három éve, hogy kijött az Evercookie, akkor még úgy-ahogy újdonságnak számított.
9

off

H.Z. · 2013. Aug. 23. (P), 18.40
Áhh, köszi! Már hónapok óta törtem a fejem, ki volt az a hacker srác, akit a google kitiltott valamelyik alrendszeréből, mert az oldalára belépőknek megmutatta, MAC address alapján hogy lehet belőni egy-egy wifi router pontos helyét...
15

How i met your girlfriend, DEFCON 18

complex857 · 2013. Aug. 24. (Szo), 10.45
A defcon18 -as előadásában mesél erről illetve arról, hogy konkrétan eltiltották mindenféle számítógéptől (nem csak google tiltotta ki). Az előadás 3. részében, 2:03 körül kezdődik a MAC address móka.
17

Király ez az előadás,

inf3rno · 2013. Aug. 24. (Szo), 14.26
Király ez az előadás, olyanokat mond, hogy leesik az állam :D
20

Nem király

Hidvégi Gábor · 2013. Aug. 24. (Szo), 16.22
Szerintem félelmetes.
21

Szerintem inkább nevetséges,

inf3rno · 2013. Aug. 24. (Szo), 16.37
Szerintem inkább nevetséges, hogy 2013-ban ilyen szoftverektől várunk biztonságot. Valaki legyárt egy routert, vagy egy böngészőt, és senki nem ellenőrzi... Az overflow-os megkerülése a (webkit) böngészőnek az már tényleg vicc kategóriás volt... Na meg hogy a php munkamenet nem használ non predictable random pseudogeneratort (maximum pár biten) az szintén vicc kategória. Alapból gányolt a kódja, úgyhogy azok után, hogy egy normális apit képtelenek voltak összehozni, nem lepődtem meg, hogy tokent is képtelenek helyesen generálni. Elvileg az mcrypt_create_iv már képes rá, gyakorlatilag abban sem feltétlen bízom meg, de még mindig jobb, mint amit alapból kapunk.
22

Szerintem ez nem ilyen

Hidvégi Gábor · 2013. Aug. 24. (Szo), 17.45
Szerintem ez nem ilyen egyszerű. Te sem, én sem, és a PHP fejlesztői sem biztonsági szakemberek, ráadásul nem azon törjük a fejünket, hogy az általunk készített szoftverekkel milyen módon lehet visszaélni, hanem azon, hogy működjenek.

Természetesen választhatsz más nyelvet, de hidd el, ott is ugyanúgy lesznek ilyen jellegű hibák.
23

Nem érted a lényegét annak,

inf3rno · 2013. Aug. 24. (Szo), 20.47
Nem érted a lényegét annak, amit írtam. Ha tervezek valamit, amit esetleg más is felhasználhat, akkor utánanézek, hogy hogyan kell, legfőképp a biztonsági kérdéseknek. Ha nem jól sikerül, akkor a következő verzióban javítom a hibát. Ha nem tudom megcsinálni rendesen, akkor nyújtok lehetőséget arra, hogy a közösség tagjaiból valaki olyan megcsinálja, aki ért is hozzá. A PHP esetében (ha még mindig ugyanígy generálják a session tokent, akkor) ezek közül semmi nem teljesült. (Csak halkan jegyzem meg, hogy komplett munkamenet kezelő helyett elég lenne fájl, cookie kezelés és unpredictable random number generator megléte, a többit a közösség összehozta volna egy nap alatt.)

Ezzel szemben pl a google - bár maga a szolgáltatás nagyon hasznos lett volna - inkább lekapcsolta, csak hogy ne nyújtson lehetőséget az ilyen jellegű támadásokra. Ők legalább felelősségteljesen viselkedtek.
24

A videóban elhangzik, hogy az

Hidvégi Gábor · 2013. Aug. 24. (Szo), 21.09
A videóban elhangzik, hogy az 5.3.2 óta már biztonságos(abb) a munkamenetkezelés.
25

https://github.com/php/php-sr

inf3rno · 2013. Aug. 24. (Szo), 21.14
https://github.com/php/php-src/blob/master/ext/session/session.c#L310 ugyanaz van a jelenlegi 5.5-ös php verzióban, semmit nem tettek ellene, ugyanúgy ip cím és idő alapján generálják a session id-t. Nézem tovább a kódot, hátha találok utalást arra, hogy "biztonságosabbá tették". Ezek után már megnézem az mrypt_create_iv-t is, bár az elméletileg külső entrópia forrást használ, ha jól van beállítva...

Ha jól nézem még lehet beállítani neki külső entrópia forrásnak fájlt, de nem hiszem, hogy erre gondolt biztonságossá tétel alatt, mert ez már elég régóta lehetőség. Sosem használtam c-t, úgyhogy néhány dolgot nem értek a kódban, de nem tűnik úgy, mintha bármi extra lenne azon kívül, amit elmondott a srác.
26

A php_combined_lcg() is ott

Hidvégi Gábor · 2013. Aug. 24. (Szo), 21.23
A php_combined_lcg() is ott van, ennek kell utánajárni. Az idő fontos szorzó, főleg a tv_usec.
27

Nem folytam bele abba

inf3rno · 2013. Aug. 24. (Szo), 21.25
Nem folytam bele abba részletesebben. Két usec különbségét használja fel, gondoltam ugyanaz, mint amit a srác elmondott a videoban, mert ott is erről magyarázott. Ha gondolod belinkelem a kódját, nézd meg.

https://github.com/php/php-src/blob/master/ext/standard/lcg.c#L55

Nekem nem tűnt fel semmi se ebben se a session id készítőben, de én csak átfutottam...
28

Én is épp a kódot túrom.

Hidvégi Gábor · 2013. Aug. 24. (Szo), 21.28
Én is épp a kódot túrom.
29

Az lcg seed ugyanaz az alap,

inf3rno · 2013. Aug. 24. (Szo), 21.33
Az lcg seed ugyanaz az alap, szerintem a mod mult, amire gondolhatott. Megpróbálom visszapörgetni 5.3-as verzióra.

Az lcg-ben gyakorlatilag nem változott semmi 5.2 és 5.5 között. Na jó, én hagyom ezt a témát, máris több időt tettem bele, mint kellett volna. :-) Ha esetleg találsz valami érdekeset, akkor oszd meg! :-)
30

https://github.com/php/php-sr

inf3rno · 2013. Aug. 24. (Szo), 21.51
https://github.com/php/php-src/blob/PHP-5.5/ext/mcrypt/mcrypt.c#L1373

Az mcrypt_create_iv jó, mert a rendszer random szám generátorát használja. Az az egy gond van vele, hogyha nem sikerül mondjuk unix alatt elég entrópiát gyűjteni, akkor elszáll, aztán szerintem elég gáz, ha munkamenet létrehozáskor fatal errort dob a rendszer, hogy bocsi, de nem tudunk munkamenetet adni, várj, amíg elég entrópia összegyűlik... (Mindenesetre én most ezt használom token generálásra, aztán majd sűrűn nézem a log fájlt, hogy éles szerveren hogy szuperál. Szívesebben tolnám a pgsql crypto moduljával, de azt meg sajna nem tudják nekem bekapcsolni, azt mondták.)
33

A gyakorlatban komoly

tgr · 2013. Aug. 25. (V), 10.09
A gyakorlatban komoly szerveren suhosint szokás használni, és ott biztonságosan meg van oldva a session id generálás.
37

Komoly. Már csak az a kérdés,

inf3rno · 2013. Aug. 25. (V), 17.43
Komoly. Már csak az a kérdés, hogy ez miért nem lett része magának a php-nek?
18

Eszerint nem értek eléggé

H.Z. · 2013. Aug. 24. (Szo), 15.17
Eszerint nem értek eléggé angolul, mert nem tűnt fel, hogy a google téma szóba került volna. :(
Az egyébként egy másik téma, hogy úgy általában eltiltották a gépektől (az oldala elég rég nem frissült és csak remélem, hogy sem most, sem korábban nem csempészett semmit a gépemre - ez kivételesen nem irónia, komolyan tartok a sráctól, mióta kissé utánaolvastam).
Nála lehetett próbálgatni, hogy mennyire könnyű megtalálni MAC alapján a google API segítségével egy router pontos helyét, aztán hirtelen megszűnt a szolgáltatás és csak egy üzenet volt a helyén, hogy a google kitiltotta őt. :)
19

Ja, én is azt néztem :D Ügyes

inf3rno · 2013. Aug. 24. (Szo), 15.24
Ja, én is azt néztem :D Ügyes a srác... Az evercookie óta nem nagyon frissült a blogja, gondolom megint eltiltották a gépektől pár évre, vagy hát valszeg ez a fedőneve annak, hogy az fbi "visszautasíthatatlan" munkát ajánlott :D
31

CIA

Pepita · 2013. Aug. 25. (V), 02.26
Ilyen ajánlatot nem a CIA szokott adni? Elfogadod azt, vagy a golyót... :)
38

Igazából én a Keresztapában

inf3rno · 2013. Aug. 25. (V), 17.44
Igazából én a Keresztapában láttam azt hiszem :D
34

JS

Hidvégi Gábor · 2013. Aug. 25. (V), 16.37
Javascript nélkül a webes támadások nagy részét ki lehetne iktatni.
35

JS

Poetro · 2013. Aug. 25. (V), 17.05
És JavaScripttel is.
36

Hogyan?

Hidvégi Gábor · 2013. Aug. 25. (V), 17.22
Hogyan?
11

Az Evercookie robusztusabb,

MadBence · 2013. Aug. 23. (P), 23.06
Az Evercookie robusztusabb, könnyű detektálni, egy egyszerű ETag-es követést gyakorlatilag lehetetlen.
14

Az Evercookie egy proof of

tgr · 2013. Aug. 24. (Szo), 10.17
Az Evercookie egy proof of concept egy csomó különböző követési eljárásra, többek között az ETags alapúra.

Ami ellen a böngészők egyébként elég korrektül védekeznek, privát módban nem küldenek ETags fejléceket.
16

Nekem a chrome küld ETag

MadBence · 2013. Aug. 24. (Szo), 14.08
Nekem a chrome küld ETag fejécet, ráadásul ugyanazt, mint normál módban.
13

Na fasza :D Én jobb

inf3rno · 2013. Aug. 24. (Szo), 03.54
Na fasza :D Én jobb szerettem, amikor még naív meg ártatlan voltam, és nem tudtam az ilyen dolgokról :D
32

Ehhez képest

Pepita · 2013. Aug. 25. (V), 02.29
ilyesmiről írsz cikksorozatot. :) Méghogy naiv. Az ártatlant meg amúgy sem hinném 20 évvel ezelőtt se... :)
41

Naiv kérdés

demo · 2013. Aug. 27. (K), 08.46
Ezzel egyébként mi a probléma?
42

Magánélet hiánya

Hidvégi Gábor · 2013. Aug. 27. (K), 08.50
Olyanok is értesülnek arról, mit csinálsz, akiknek semmi közük hozzá. Olyan, mintha az ablakban élnéd az életedet, és nem tudnád behúzni a sötétítőt.
44

Kb ugyanaz, mint általában a

inf3rno · 2013. Aug. 27. (K), 11.58
Kb ugyanaz, mint általában a közösségi oldalakkal. Mondjuk elmész nyaralni, mobillal fényképezel, ami automatikusan felteszi fb-ra a képeidet. Ezt látja az egész falu, közülük a betöréssel foglalkozó ismerőseid is, aztán amíg te nyaralsz, kipakolják a házadat.

Google vagy fb térinformatikai adatbázist csinál, hogy hol vannak olyan emberek sűrűn, akik szeretik a rózsaszín hellokittys cuccokat, a hellokitty megveszi az adatbázist, és hát nem pont oda rakja le az üzletét.

Senki sem szereti, ha a magánéletében turkálnak, márpedig, ha reggel a fb-ra, vagy a gmail-re, akkor valószínűleg az üzeneteit is feldolgozzák információ gyűjtés céljából. Gyakorlatilag mindent tudni fognak róla.

De szerintem még hosszan lehetne listázni, csak kreativitás kérdése, hogy mire lehet felhasználni ezeket az adatokat.