Исследователи из Принстонского университета обратили внимание (https://freedom-to-tinker.com/2017/12/27/no-boundaries-for-u.../) на применение некоторыми системами аналитики и показа рекламы особенности автозаполнения полей браузером для скрытого определения логина пользователя на текущем сайте. В частности, на 1110 из миллиона крупнейших сайтов по рейтингу Alexa загружался скрипт, который извлекал данные о email пользователя для использования в качестве идентификатора.
Скрипт пользуется недоработкой во встроенных в браузеры менеджерах паролей, которые автоматически заполняют формы для входа. На страницах, на которых нет штатных форм входа, формируются подставные невидимые формы ввода логина и пароля, после чего проверяется какие данные в них подставил менеджер паролей. Если в качестве логина указан email, но на его основе формируется хэш и отправляется на внешний сервер. Метод позволяет определить и пароль, но выявленные скрипты ограничиваются передачей хэша от email. Так как email уникален и обычно не меняется, хэш от него является отличным идентификатором конкретного пользователя, позволяющего сохранить привязку к профилю активности пользователя независимо от чистки cookie, выбора иного браузера и смены устройства.
Проблеме подвержены менеджеры паролей всех популярных браузеров, но
если Firefox, Internet Explorer, Edge и Safari заполняют форму входа сразу после загрузки страницы, то Chrome лишь после клика пользователя в любой части страницы. Примечательно, что способ определения информации через автозаполнения форм известен (https://web.archive.org/web/20120605184841/http://ha.ckers.o.../) уже (https://senglehardt.com/demo/no_boundaries/loginmanager/) более 10 лет, но раньше использовался только для перехвата данных в рамках XSS-атак, а теперь стал применяться и для отслеживания пользователей легитимными сервисами. На проанализированных сайтах выявлено как минимум два сервиса для отслеживания перемещений (Adthink - audienceinsights.net и OnAudience - behavioralengine.com, применяющих рассмотренный способ. Оценить работу метода можно на специально подготовленной демонстрационной странице (https://senglehardt.com/demo/no_boundaries/loginmanager/).Дополнительно можно упомянуть публикацию (https://www.blackhat.com/docs/eu-17/materials/eu-17-Shuster-...) компанией Akamai исследования возможности косвенной идентификации пользователя в сети на основании анализа параметров и полей в заголовках протокола HTTP/2, которые отличаются для разных браузеров и операционных систем. Имеющихся различий недостаточно для явной идентификации, но она вполне может использоваться в качестве дополнительного источника информации для классификации пользователей, для определения входа через VPN и прокси, для получения деталей о типе и версии браузера и определения ОС, при указании фиктивных значений User Agent.
URL: https://freedom-to-tinker.com/2017/12/27/no-boundaries-for-u.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=47821
Вот и какой я теперь анонимус?
и какая это новость?
тор браузер говорили они...
> тор браузер говорили они...Через тор и другие полезные для корреляции косвенные штуки утекают, как у нас тут вчера упоминали опытные люди.
> Вот и какой я теперь анонимус?Никакой.
Вот потому никогда в браузерах пароли не сохраняю.
не переживайте, все равно вас идентифицируют
> не переживайте, все равно вас идентифицируютВопрос в том кто, когда, как и с какой достоверностью.
Ну, чисто теоретически чинится просто - надо заполнять поля только когда в них пользователь ставит курсор. ВпрочемЮ для распространённых случаев uBlock/uMatrix тоже помогут
> Ну, чисто теоретически чинится просто - надо заполнять поля только когда в них пользователь ставит курсор.Opera Magic Wand, вставляет пароль при нажатии на кнопку. Всё уже было в Opera.
А ведь точно, я и забыл уже
Точно, "было". Хороший был браузер. С 5 по 12 версий.
С рекламой - в 7-ой точно
Расширение для ФФ с таким же поведением
https://firefox.add0n.com/secure-login.html
Не зря я не пользовался встроенными запоминалками паролей.
Не зря я юзаю хромиум
Который делает то же самое, только после клика по странице?
Палю тему - запоминайте пароль с парой недостающих или лишних символов и тогда никакие автозаполнители будут не страшны :)
И юзайте разные профили браузеров для разных задач. +приватный режим.
Какая разница? "Вы"-то для таргетинга один и тот же. Что с буквами, что с недостающими.
Цель атаки - запомненный хэш пароля из "Менеджера",таргетинг это маленькая неприятность.
Заполненный весь пароль, а не хеш.
Но подставляется только на этом сайте где был заполнен, что как бы делает бессмысленным что-то воровать. Разве что, если ты не логинишься в своем контакте и думаешь, что анонимен (наивный)
Знаю ещё один способ обмануть таргетинг (я сам был в ахуе, когда узнал): пароль на всех сайтах один и тот же. А запоминаешь только уникальный логин, он секретный. Хотя с идентификацией по полю e-mail, где оно требуется, фокус не так прост - нужно создавать много виртуалов с уникальными почтовыми ящиками, что не всегда удобно.
Логин обычно не является чем-то секретным, так что в зависимости от сайта сторонний человек может увидеть логин (в профиле, в поиске, при восстановлении пароля и т.д.). Ну например как на этом сайте.Плюс логины обычно хранятся в БД не зашифрованными, так что в случае если сопрут базу, то его подбирать даже не нужно будет.
> Цель атаки - запомненный хэш пароля из "Менеджера",таргетинг это маленькая неприятность.В менеджере паролей запоминаются логин и пароль, привязанные к сайту, на котором регистрируешься. Эта "парочка" уникально идентифицирует пользователя. Логин из неё может быть использован на других сайтах и иногда быть e-mail'ом. Тогда независимые друг от друга сайты могут обмениваться с рекламодателем списком зарегистрированных пользователей, в котором будут только логины без паролей (что естественно). По этому списку рекламодатель таргетирует показ рекламы пользователю с конкретным логином, посетившего сайт, с которым у рекламодателя договор о списке зарегистрированных пользователей.
Таким образом, логин, лучше - представляющий e-mail зарегистрированного пользователя - ключевое поле для таргетинга рекламной информации. Он практически не меняется от сайта к сайту.
Последнее время наблюдаю "таргетирование" по IP, ох как мне любят показывать детские мультики :)
> Палю тему - запоминайте пароль с парой недостающихШо, вместо *****, запоминать ******** ?
> И юзайте разные профили браузеров для разных задач. +приватный режим.Один сайт - одна виртуалка, а лучше комп!
> Один сайт - одна виртуалка, а лучше комп!Может Qubes наконец взлетит...
>> И юзайте разные профили браузеров для разных задач. +приватный режим.
> Один сайт - одна виртуалка, а лучше комп!с отдельным IP из отдельного датацентра в отдельном города выделенной страны на отдельной планете
> Палю тему - запоминайте пароль с парой недостающих или лишних символов и
> тогда никакие автозаполнители будут не страшны :)
> И юзайте разные профили браузеров для разных задач. +приватный режим.Так там ПОКА ЕЩЁ не в пароле дело, а в утащенном адресе мыла.
> Палю тему - запоминайте пароль с парой недостающих или лишних символов и
> тогда никакие автозаполнители будут не страшны :)
> И юзайте разные профили браузеров для разных задач. +приватный режим.есть ещё и более-менее постоянный ip адрес. Для идентификации пользователя достаточно email адреса
Минутку, но ведь пользователь зарегистрирован на этом сайте и скорее всего лишь не успел залогиниться снова. К чему такие сложности?
Или не хочет логиниться
> Или не хочет логинитьсяЗаставить
Ну раз логин и пароль скрипт может получить, то можно сразу и залогинить пользователя автоматом :)
> Ну раз логин и пароль скрипт может получить, то можно сразу и
> залогинить пользователя автоматом :)И спам от его имени автоматом отправить. Ты только что почти изобрел спамеров.
> Минутку, но ведь пользователь зарегистрирован на этом сайте и скорее всего лишь
> не успел залогиниться снова. К чему такие сложности?Огромная часть сайтов продаёт место, а за содержимым не следит.
В FF по клику выпадает список. Автоматом не заполняет.
Это если у тебя несколько вариантов запомнено. Если один - подставляет сразу
Не совсем. По клику выпадает form history https://support.mozilla.org/ru/kb/upravlenie-avtomaticheskim...
Это вообще другое и оно зависит не от доменов, а от параметров полей ввода (<input name="email"...>). Самый распространённый email, и если ты вводил такое поле на 3 сайтах с 3 разными ящиками, на всех трёх тебе их выведет в выпадающем списке по клику. И когда на новый четвёртый сайт зайдёшь, увидишь те 3 мыла тоже. Например тут, при написании комментария, при клике в поле мыла я вижу определённое количество своих и чужих ящиков, хотя на опеннете никогда поле не заполнял ничем.
Но сайтам эта информация недоступна, пока ты не нажал на вариант для заполнения поля.
А менеджер паролей зависит от доменов и автозаполняет поля, поэтому сайтам виден ввод, как если бы юзер вручную написал.Не использую менеджер паролей лисы (десктопный keepass без плагинов), но использую историю форм, т.к. удобно. И чаще пригождается для частых и повторяющихся поисковых запросов на сайтах, чем для вставки логина. Например при поиске чего-то на торрент-трекерах (id="title-search"): ввёл запрос на одном, не нашёл нужного, пошёл на другой трекер и там обычно запомненный запрос можно просто кликнуть.
Что там насчёт Pale Moon? https://github.com/MoonchildProductions/Pale-Moon/issues/1559
Да что - подвержен, конечно.
Таки да... https://github.com/MoonchildProductions/Pale-Moon/issues/155...
Так там же и написано "решение" (предложенное выше - заполнять, когда кликнул на форму)
В о:настройках ставим в ложь signon.autofillForms
В Pale Moon уже пофиксили - отключили автозаполнение по умолчанию. - https://github.com/MoonchildProductions/Pale-Moon/commit/ce1...
>ещё существуют люди, сохраняющие пароли в браузерах
Ну если ты не хранишь пароли в браузере, ты либо хранишь пароли на листочке, либо у тебя на многих сервисах пароли совпадают, либо ты используешь какую-нибудь утилиту для хранения паролей и каждый раз копипастишь их. Либо все твои пароли попросту недостаточно устойчивы к подбору, что позволяет тебе их запоминать. В лучшем случае ты ресторишь пароль каждый раз когда тебе нужно залогиниться в сервис.
Каждый из этих способов имеет огромные недостатки и гораздо менее безопасен чем хранение паролей в браузере.
> Каждый из этих способов имеет огромные недостатки и гораздо менее безопасен чем
> хранение паролей в браузере.А так хорошо начинали...
Пароли, сохраненные в браузере, не зашифрованы каким-то только вам известным мастер паролем.
В отличие от нормальных утилит для хранения паролей.
Поэтому хранить пароли прямо в браузере - это все равно что держать их в открытом виде в txt файле на рабочем столе.
>> Каждый из этих способов имеет огромные недостатки и гораздо менее безопасен чем
>> хранение паролей в браузере.
> А так хорошо начинали...
> Пароли, сохраненные в браузере, не зашифрованы каким-то только вам известным мастер паролем.
> В отличие от нормальных утилит для хранения паролей.
> Поэтому хранить пароли прямо в браузере - это все равно что держать
> их в открытом виде в txt файле на рабочем столе.В фаерфоксе зашифрованы мастер паролем, в хроме и наверно клонах пароли в реесте и используют учетные данные юзера для доступа, в лине может и открытым текстом.
В хроме и хромоподобных пароли открытым текстом лежат в БД SQLite. Enjoy ё безопасность.
начинать тут надо с модели угроз. Если мы подразумеваем более-менее обновляющийся домашний линукс и отсутствие какой-то адово секретной информации (что вообще другой случай) безопаснее было бы даже держать их в этом самом текстовом файлике чем запоминать неизбежно менее сложные пароли или сложный - но один-два. Атак на линуксовые локалхосты, тем более успешных, на порядки меньше, чем чем взломов разнообразных сетевых сервисов или подборов пароля.
> начинать тут надо с модели угроз.Стырили ноут/телефон.
> Стырили ноут/телефон.В этом случае лучше полное шифрование на уровне ФС или блочного устройства, ибо кроме паролей там может быть ещё какая-нибудь конфиденциальная информация.
>Пароли, сохраненные в браузере, не зашифрованы каким-то только вам известным мастер паролемВ Сафари и ФФ зашиврованы.
Для этого есть encfs.
Хинт: Firefox FIPS-140.
В FF есть мастер пароль.
Плюс можно синхронизировать пароли между девайсами на которых стоит FF (через штатную синхронизацю) и они будут зашифрованы как на стороне сервера, так и в браузере.
Не совсем. Хром хранит пароли в гном кейринге. Ты можешь настроить его так, что он будет спрашивать у тебя мастер пароль при каждом запуске хрома, не разблокируя этот самый кейринг автоматом. По дефолту мастер паролем является пароль твоего юзера.
> пароли попросту недостаточно устойчивы к подбору, что позволяет тебе их запоминать.
> Каждый из этих способов имеет огромные недостатки и гораздо менее безопасен чем
> хранение паролей в браузере.Как связана запоминаемость пароля и устойчивость к подбору? Например есть пароль из 20 символов, цифробуквы разный регистр, знаки препинания и спецсимволы. Вы таки считаете, что его нельзя втупую вызубрить?
А если (теоретически) пароль хранится в файле на шифрованном диске - это тоже недостаточно безопасно и браузерная паролехранилка будет лучше?
Один такой пароль - можно. Десятки - нет. Твой вариант - один пароль для множества сервисов.
Основная проблема хранения паролей в файле - то, что они проходят через буфер обмена. Так что да, менее безопасно чем автозаполнение.
> Основная проблема хранения паролей в файле - то, что они проходят через
> буфер обмена. Так что да, менее безопасно чем автозаполнение.Это спорно. В буфере обмена может быть что угодно а в менеджере паролей заведомо пароли. Красть пароли из менеджера паролей удобнее и результативнее. Трояны которые вынимают пароли из лиса вообще существуют более 10 лет. Половина бонусом ухватывает серийник винды и прочие ключи от стима и чего там еще у хомяков бывает. В общем уносят все что общеизвестное и ценное.
> Это спорно. В буфере обмена может быть что угодно а в менеджере
> паролей заведомо пароли. Красть пароли из менеджера паролей удобнее и результативнее.
> Трояны которые вынимают пароли из лиса вообще существуют более 10 лет.Однако, исправно обламываются о мастер-пароль. Чтобы стырить пароли, малвари нужно не только запуститься с правами пользователя на чтение файла, но и с возможностью чтения памяти (дебага, кордампа итд) уже открытого менеджера паролей.
Зато менеджер типа кипаса (старая ветка, а не версия на молодежном NET и с кучей непонятных плагинов), намного удобнее простого файлика. Там ведь те же файлики, только зашифрованые, плюс возможность раскидывать все по категориям/группам, добавить описание, осуществлять поиск по всему этому.
Опять же, встроенная автогенерация паролей неплохая вещь. Есть куча мелочей (все таки 14 лет проекту – по граблям народ в свое время потоптался знатно) – автоблокировка открытого менеджера после определенного времени, удаление пароля через X секунд из буфера обмена, автотайп, позволяющий вообще обходиться без буфера обмена и не перехватываемый слишком уж внаглую (см. xspy).В общем, если сравнивать хранилки паролей, то с более-менее полноценным менеджером, а не очередным велосипедом.
> но если Firefoxпочему же тогда мой фурефокс не ведет себя столь постыдным образом, а вставляет данные лишь при явном клике в форму?
Возможно дело в настройках не по умолчанию?
Тем веселее, кстати, смотрится недавняя новость о новом менеджере паролей в фаерфоксе. С уже встроенным сбором статистики.https://www.ghacks.net/2017/12/23/firefox-lockbox-alpha-by-m.../
Не стоит, мол, дорогой наш пользователь, беспокоиться о своей приватности. Нет нужды беспокоиться о том, чего нет, бгг.
Господи да вот вам идея для авторизации на сатйах опишите ее кто-нибдуь в RFC, а то эти бараны никак не придумают уже.Итак, у SSL есть отпечаток ( Fingerprint = FA:E0 .. DF )
У меня есть логин и пароль, а точнее ключ для доступа к сайту SITE_KEY ( binary ).
Заходя на сайт нажимая кнопку Войти срабатывает JavaScript запрашивающий этот самый SITE_KEY и сайту выдают мой SITE_KEY соответствующий SSL фингерпринту.Почему это не сделать, а нужно городить всяике oAuth и прочую чепушню?
P.S. Каждый раз когда просят SITE_KEY выдавать окно с подтверждением.
Кажется, Вы описали клиентские сертификаты. Это уже есть в браузере и используется, например, WebMoney.oAuth - это немного о другом, это не для того, чтобы авторизовать пользователя, а чтобы авторизоваться третьим сайтам от имени пользователя.
у меня была идея получше, но это как оказалось был велосипед
JavaScript?
Было бы смешно... Если бы не навевало. Тоску. И грусть.
Вот между прочим можно просто не "выходить" после "входа" и сайт будет знать. Вас... Без всяких паролей... Как вам?
безопасность уровня фаерфопс. В Chrome с этим все в порядке -- требуется явно кликнуть.
Разницы никакой
> требуется явно кликнутьТак это же всё меняет!
Если я правильно понимаю, имелся в виду любой клик на странице, а не на форме ввода.
> Если я правильно понимаю, имелся в виду любой клик на странице, а
> не на форме ввода.Да.
> Если я правильно понимаю, имелся в виду любой клик на странице, а
> не на форме ввода.А скриптовый клик прокатит?
А что на 99.9% прозрачная форма поверх всего уже не катит в качестве ловушки для клика?
А зачем? Юзер и так тыкнет в какое-то место, никаких прозрачных ловушек не надо.
Пользователь, зарегистрировавшийся на сайте с определенным идентификатором, видимо, доверяет этому сайту знать этот идентификатор. Соответственно, браузер правомерно автоматически подставляет его в формы на этом сайте. И если владельцы сайта допускают показ такой рекламы, вытягивающей доверенную пользователем информацию, значит владельцы сайта предали своих пользователей и вся вина лежит только на них.Это не уязвимость, а вопрос доверия. Можно ли доверять сайтам, которые позволяют рекламным сетям, лайкокнопкам и всяким аналитиксам собирать информацию о своих пользователях? Например, opennet.ru делится как минимум с Google, Facebook, Gravatar и Yandex.
Более того, и бороться с этим бесполезно, т.к если у тебя на сайте в профиле введен емейл, точно так же можно его взять и на стороне сервера скормить рекламной сети. А при выходе запомнить в куках.Единственный момент - надо, конечно, сделать, чтобы в невидимые формы ничего не подставлялось. Но проблему отслеживания это не решит...
Ну или уже по дефолту вообще всю информацию надо очищать, то есть перетаскивать функционал тор браузера в ФФ.
Тут как бы весь цимес в том что пользователь идентифицируется даже если он на сайт не залогинен и кукисы не сохраняет.
NoScript успешно спасает от этих проблем. Даже если разрешить выполнение скриптов на демостранице, всё равно ничего не работает, потому что third-party скрипты не отрабатывают. Надо разрешить скрипты с левого домена (на демостранице это rawgit.com), чтобы это заработало.
Хватит форсить этот древний бренд. Давеча на форчане появились малварные домены. Утята с носкриптом удивлялись, почему это у них не ломается вёрстка, а юзеры юматрикса жалуются и шумиху поднимают. Наивно вякая: да не разрешайте сторонние скрипты и всё ок. А разгадка одна: носкрипт не блочит XHR запросы, а суть была именно в них, никаких скриптов с тех малварных доменов не тянулось, всё чисто на родных скриптах форчана (и если левые домены не отвечали на XHR запросы, свои скрипты ломали css сайта). И утята, посещая форчан и разрешая 1st-party скрипты, делают те же запросы, что и люди без носкрипта.
>носкрипт не блочит XHR запросыИх только юматрикс блокирует?
Или, например, адблок-плюс тоже может?
ABP может (наверное, юблок точно может), но проблема в том, что там блеклист (с вайтлистом). И новых доменов в фильтрах не будет, как не было сейчас в случае с форчаном.
Суть юматрикса и аналогов (Request Policy, покойный Policeman) в подходе source-destination и 1st-party/3rd-party, а не конкретных фильтрах на основе доменов/url. Дефолтные настройки юматрикса разрешают из 3rd-party только css и картинки, всё остальное (отправка кук, аудио-видео, плагины, скрипты, XHR (и вебсокеты), фреймы и оставшиеся запросы, не попавшее в существующие категории) запрещено. И даже если ты разрешил на условном форчане скрипты и XHR гугла, для работы рекапчи, то когда там внезапно появляются новые левые домены, ты от них по дефолту защищён.
Носкрипт же может блочить (говорю про старую версию, новым не пользовался) скрипты, фреймы, плагины, аудио-видео, шрифты и webgl. Но не XHR, куки и сетевые запросы без категорий. Может он может что-то ещё через ABE-правила, но кто их использует-то? И дополнительный его фейл был в том, что он рулил скриптами только на основании destination, без source. Т.е. если ты разрешил где-то example.com (на нём самом или на example.org), то он будет разрешён везде. Касается и постоянных, и временных правил (из-за чего временные очень желательно очищать в нём вручную). Весьма весёлая фича.Предсказывая возможный коммент с волшебными базвордами носкрипта (XSS, clickjacking), отправляю читать это: https://github.com/gorhill/uMatrix/issues/297#issuecomment-1...
> Clickjacking = Blocking third party frames
> As far as XSS is concerned, there are a myriad of techniques for it, most of which rely on scripts, frames and browser exploits (one could in theory execute JavaScript via HTML IMG tags, but browsers no longer allow that to happen).
> The only thing NoScript has on uMatrix (which does not make up for its deficiencies and lower performance) is the feature referred to as 'surrogate scripts'. Essentially mirroring a library, or a modified version of a given library (e.g. mootools, or jquery). uBlock used to have this.
И даже если ты разрешил
> на условном форчане скрипты и XHR гугла, для работы рекапчи, то
> когда там внезапно появляются новые левые домены, ты от них по
> дефолту защищён.Наконец-то понял, для чего сайты запршивают капчю с дорожными знаками и фасадами зданий :) - чтобы я этого сайта скрипты и XHR разрешил хотя бы временно в своём uMatrix :)
В общем, если встретите капчю "а ля дорожные знаки", то бегите с этого сайта!
А сайт и рад - чел с блокировщиком рекламы и слежки дохода не приносит, а ресурсы сервера тратит.Вот только с такими замашками вообще от инета надо отключаться, потому что удаком быть выгоднее, и кто не будет использовать малейшую возможность использовать что-то для потенциальной выгоды проиграет конкурентам, обанкротится и вылетит с рынка на йух. Рыночек порешал. Естественный отбор в действии.
Спасибо!
В Adblock-plus блеклист (с вайтлистом) я не использую, потому что они уж очень большие, а блокирую вручную то, что мешает, как мне кажется.
Т.е. всякие лишние картинки.
Или открываю Open blockable items и смотрю там, что можно заблокировать, в т.ч. скрипты и xss, хотя из-за последнего может нарушаться разметка.
Куки у меня разрешены только на сайтах, где я авторизуюсь.Вопрос (извините, я не специалист): как через Adblock-plus найти и вручную заблокировать шпионские скрипты и XHR?
> Вопрос (извините, я не специалист): как через Adblock-plus найти и вручную заблокировать шпионские скрипты||example.com/js/main.js или ||example.com/*$script
Но есть ещё инлайн-скрипты.
> и XHR?Только полностью домен блокировать ||example.com^
С 1st-party XHR не получится блокировать (это только в юматриксе видел).
Лучше юблок, юматрикс или RP юзать для этого. С ABP какое-то извращение.
>> Вопрос (извините, я не специалист): как через Adblock-plus найти и вручную заблокировать шпионские скрипты
> ||example.com/js/main.js или ||example.com/*$script
> Но есть ещё инлайн-скрипты.
>> и XHR?
> Только полностью домен блокировать ||example.com^
> С 1st-party XHR не получится блокировать (это только в юматриксе видел).
> Лучше юблок, юматрикс или RP юзать для этого. С ABP какое-то извращение.Спасибо!
> Хватит форсить этот древний бренд.Что ж ты так переживаешь, что кто-нибудь что-нибудь зафорсит, да тебя не спросит? Вся жизнь -- игра^W информационная война? Хочешь я тебе подкину пару ресурсов, которые специализированы на осасывании информационных военов из прочих частей интернета -- им там весело жить таким воюющим концентратом, и другим они при этом не столь мешают. Всем хорошо.
В Firefox about:config
signon.autofillForms -> false
http://kb.mozillazine.org/Signon.autofillForms
1. Не использовать менеджер паролей.
2. Использовать для электронной почты отдельный браузер.
> 2. Использовать для электронной почты...почтовый клиент
> 1. Не использовать менеджер паролей.
> 2. Использовать для электронной почты отдельный браузер.в firefox есть контейнеры
Давно отключаю в Firefox запоминание истории, не фиг мой диск изнашивать всякими временными страницами, для этого есть оперативная память, а если в оперативной памяти уже нет этой страницы(вытеснилась), то пусть она снова запрашивается из Интернета.
Мозиле фундешен нужно разок проучить всех пользователей Firefox: добавить в какую-нибудь свежию версию автоматическую отсылку всех сохраннёных паролей и прочих полей на сервера Мозиллы и потом опубликовать это всё...
А может они уже это делали не раз :)
Вообще вводить какую-то критическую для пользователя информацию(пароли,кредитки итд) в любых современных браузера просто небезопасно. Считайте, что клавиатура вашего компьютера принадлежит ещё вам, а вот всё что видите на экране можно считать общеизвестной информацией! Вы сели за компьютер - значит вы собираетесь какую-то информацию о себе поведать миру :)
> Мозиле фундешен нужно разок проучить всех пользователей Firefox: добавить в какую-нибудь
> свежию версию автоматическую отсылку всех сохраннёных паролей и прочих полей на
> сервера Мозиллы и потом опубликовать это всё...
> А может они уже это делали не раз :)
> Вообще вводить какую-то критическую для пользователя информацию(пароли,кредитки итд)
> в любых современных браузера просто небезопасно. Считайте, что клавиатура вашего компьютера
> принадлежит ещё вам, а вот всё что видите на экране можно
> считать общеизвестной информацией! Вы сели за компьютер - значит вы собираетесь
> какую-то информацию о себе поведать миру :)А ещё лучше не только сохранённых паролей, но и вводимых пользователем без сохранения...
между действительностью и её описанием всегда есть глубокий разлом, переполненный трупами доверчивых пользователей
Bы сели за компьютер - значит вы собираетесь какую-то информацию о себе поведать миру :) - я просто стучу по клавишам!
На себя стучишь.
Какие будут ваши предложения? Не сохранять пароли, это первое правило. Отчищать куки по таймеру это второе правило. Отчищать DOM cache и вообще любой cache это тертье правило. Ну и отбрасывать хедеры с ETAg, блокировать canvas, ставить блокировщики рекламы, научиться пользоваться iptables и контейнерами, наконец, настроить браузер, использовать VPN и шифрование DNS. Если всех этих мер не принял, считай что ты и без паролей и кредиток слил свою третим лицам, которые ей уже активно пользуются.
> во встроенных в браузеры менеджерах паролейКто ими пользуется ССЗБ.