Сервис мгновенного обмена сообщениями Gitter, купленный (https://www.opennet.dev/opennews/art.shtml?num=46198) &n... и затем переведённый (https://www.opennet.dev/opennews/art.shtml?num=46807) в разряд открытых проектов, отслеживает пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). В том числе применяется идентификация при помощи Canvas, намерение по использованию которой явно задекларировано в данном коммите (https://gitlab.com/gitlab-org/gitter/webapp/commit/1761e4e2d.... Идентификация выполняется при помощи популярной свободная библиотеки fingerprintjs2 (https://github.com/Valve/fingerprintjs2).Техника идентификации (https://panopticlick.eff.org/) пользователя при помощи Canvas заключается (https://en.wikipedia.org/wiki/Canvas_fingerprinting) в скрытой отрисовке картинки на странице, которая затем анализируется на предмет особенностей вывода, специфичных для используемого графического стека, GPU и видеодрайвера. Метод уже достаточно активно применяется рекламными сетями для пассивной идентификации браузеров в случае невозможности сохранения идентификатора в cookie. В невидимом iframe отрисовывается изображение и текст, после чего сформированная картинка читается при помощи getImageData и генрируется хэш загруженных данных, который выступает идентификатором.
URL: https://gitlab.com/gitlab-org/gitter/webapp/commit/1761e4e2d...
Новость: https://www.opennet.dev/opennews/art.shtml?num=48736
И ради чего это в "Сервисе мгновенного обмена сообщениями"?
> И ради чего это в "Сервисе мгновенного обмена сообщениями"?Торговля пользователями. "Если ты не ?не помню слова?, то ты товар." Это про мгновенные сообщения... "беспланые", массовые.
Рупь за пучок!
"Если ты не платишь за товар, значит товар это ты."
> "Если ты не платишь за товар, значит товар это ты."Истинно глаголишь, анон!
> "Если ты не платишь за товар, значит товар это ты."Гугл только там и работает.
Но я предпочитаю говорить: "Ты прокладка между вендором и рекламистом."
>Истинно глаголишь, анон!у него написано же - "slim33".
1 не анон
2 если глаголишь, то не анон, а анонче.
Возможно, ты платишь за товар пока товар это ты!
Почему с виндой если ты платишь за товар, значит товар это ты?
из "если ты не платишь за товар, то товар ты" следует, что не платить за товар - это необходимое, но не достаточное условие, чтобы не быть товаром самому.
То есть можно и платить и быть товаром одновременно.
> Почему с виндой если ты платишь за товар, значит товар это ты?С виндой ты если и платишь, то все равно товар.
Да и не только с виндой.
Потому как это не плата, а первый транш выплат
а что с foss софтом? закладки от анб? Данное высказывание не учитывает существование труЪ бесплатных вещей
> Если ты не платишь за товар, значит товар это ты.много заплатил за линукс, гимп и т.п. ?
А как же любовь, а? Любовь бесплатна. Жена готовит бесплатно, секс тоже бесплатный. :) Покупать продукты все-равно приходится, даже если ты холостяк, правда в меньшем кол-ве, но все же много бесплатного делают муж и жена друг для друга, просто чтобы порадовать. Это как OpenSource, только в жизни! Все ради блага ближнего своего. :)
Скрытая корысть :) Домработница обходиться гораздо дороже :)
> Скрытая корысть :) Домработница обходиться гораздо дороже :)нет
Жена дороже. Особенно после развода.
>Если ты неНеверное условие — адепты «священного экономикса» и прочих «невидимых рук» сочиняли. Если не платишь — всяко бывает, если платишь — 100% товар.
Полезно для детектирования обходящих бан.
Гитхаб тоже использует. Иначе, я затрудняюсь предположить, почему он при первом же посещении запрашивает доступ к canvas.
На ГитХаб уже всем пофиг. Даже если окажется что они там человеческими жертвоприношениями занимаются, то люди просто пожмут плечами: "Микрософт же. Что с них взять?"
А с ГитЛабом тогда что? Он хостится у Microsoft тоже, используя Azure
Не ври, он переезжает к гуглу.
Сегодня у мелкософт завтра у Амазон, какая разница, если можно где угодно развернуть?
выключи да и посмотри. Что, красивое деревце комитов перестало отрисовываться? Отож.Далеко не каждое использование canvas - с целью сбора информации о тебе, Анон. Чаще альтернативно-одаренные разработчики просто считают немодным использовать статические картинки для графических деталей интерфейса.
и деревце отрисовать и пользователей съесть. и выглядят при этом белыми и пушистыми для некоторых.
Гитхаб не использует. Гитхаб проверяет наличие поддержки emoji только. Вернее проверял, так как давно уже запросов на холст не было. Фингерпринты на сервер не отсылаются и не хранятся, в отличии от.
кстати, да, кое-кто брезглив и невнимателен оказался - деревца, стрелочки и прочая архинужная похабень - это у гитлаба - svg (тоже, кстати, вполне пригоден для фингерпринтинга)цена этому - крайне унылый вид местного аналога log --graph, ветки предлагается разглядывать строго по одной. Оно и понятно, слаще морковки разработчики не едали.
А вот gitlab'овские хотя бы давно видели вывод hgweb (тоже, помнится, неработающий без js и canvas - наверное, он за вами следит! ;) и попытались сделать лучше.
> кстати, да, кое-кто брезглив и невнимателен оказался - деревца, стрелочки и прочая
> архинужная похабень - это у гитлабау гитхаба, разумеется.
ещё это извлекают https://audiofingerprint.openwpm.com/
>Метод уже достаточно активно применяется рекламными сетями для пассивной идентификации браузеров в случае невозможности сохранения идентификатора в cookie.А распознающие это и пресекающие это плагины появились?
NoJS
Без JS в современном вебе не выжить (особенно если single page сайт)
> Без JS в современном вебе не выжитьа без ифреймов ? (кроме доверенных сайтов - ютуб там и т.п.).
>> Без JS в современном вебе не выжить
> а без ифреймов ? (кроме доверенных сайтов - ютуб там и т.п.).тоже самое - через неделю в доверенных весь интернет. Ну или ты ходишь только на ютруп и т п - тогда в доверенных только они.
кстати, что это такое у меня красное в правом углу? А, ну конечно - googleanal... найден и заблокирован.
Максим, а вот что - анализировать access_log опеннета недостаточно ? Или ты уже тоже давно примкнул к альтернативно-одаренным, которым без гугля никак не осилить элементарные данные по собственному сайту собрать?
CanvasBlocker
Не спасает от webgl fingerprint, но отключение webgl в носкрипте как вариант.
> А распознающие это и пресекающие это плагины появились?В Safari в macOS 10.14 из коробки
Использовать проприетарный браузер в проприетарной ОС и думать, что это защитит от отслеживания и сохранит приватность? В лучшем случае, это просто смена "шила на мыла".
> проприетарный браузер в проприетарной ОС и думать, что это защитит от отслеживания и сохранит приватность?Ну как бэ да. Основной момент – делается то, что выгодно. Та же Apple гребёт бабло лопатой другим способом, а вот бесплатные браузеры живущие на рекламе – это отдельная тема...
если верить одному беглому шпиону - эппл последней, с опозданием на пять лет, но таки получила в конечном итоге предложение, от которого не смогла отказаться.
> если верить одному беглому шпиону - эппл последней, с опозданием на пять
> лет, но таки получила в конечном итоге предложение, от которого не
> смогла отказаться.Этому беглому верить… Достаточно просто принять во внимание, _куда_ он сбежал. По старой устоявшейся традиции бегуны в указанную сторону заведомо не заслуживают доверия.
А бегущие в другую сторону, конечно, кристально честные?
> А бегущие в другую сторону, конечно, кристально честные?У бегущих в другую сторону мотивация _разумная_ и понятная для всех вменяемых людей. А вот мотивация бегунов из цивилизации в скрепостан вызывает массу вопросов на грани нарушения уголовного кодекса.
> Этому беглому верить…верить, как говаривал папаша Мюллер, никому нельзя.
Но только одна корпорация из им упомянутых громко орала что "все не так, и бабок нам никто не дал!"И это не apple ;-)
с другой стороны, если они взяли деньги и вывесили canary report, то грешно возмущаться.
С третьей - canary report тихо исчез в 2014м.
>> Этому беглому верить…
> верить, как говаривал папаша Мюллер, никому нельзя.
> Но только одна корпорация из им упомянутых громко орала что "все не
> так, и бабок нам никто не дал!"
> И это не apple ;-)
> с другой стороны, если они взяли деньги и вывесили canary report, то
> грешно возмущаться.
> С третьей - canary report тихо исчез в 2014м.А с чего вы взяли, что этот бегун не врёт? По молчанию корпораций? Так они всегда молчат. В корпоративном мире чистогана не принято вербально реагировать ни на какие внешние вскукареки, кроме тех, что имеют официальное (с подписями и печатями) подкрепление. Они ж не базарные торговки, чтобы скандалить.
говорят же вам, молчали не все. Некоторые очень громко вопили - очень даже верилось, что в ^пу дали, а оплаты, действительно, не дождались (ибо нахрен были не нужны).некоторые canary report выложили, без шума и пыли, но потом попрятали, так же тихо.
А что гугль с MS молчали, оно и понятно - в этом положении лучше жевать, тем более им есть чего.
Это как посмотреть ... У него и выбора то не было. Государства делятся на 2 класса: сателлиты США, хапающие всех по указке США, посмотрите на того же Винника, и не сателлиты США. И ещё на 1 ортогональный: тоталитарные параши. Так что у Сноудена выбора не было скорее всего. В китае секреты американских спецслужб знали и без него, а портить отношения с партнёрами не хотелось. Вот и пришлось свалить ему в россию. И всё таки ему повезло, что он не в китай свалил.
> И всё таки ему повезло, что он не в китай свалил.Ога, через Китай.
> А распознающие это и пресекающие это плагины появились?Tor Browser меня о чем-то таком преупреждал.
1 getImageData -> зайти в about:config и поставить privаcy.resistFingerprinting в true
Защищает только от извлечения картинки через эти api. От measureText не защищает.
2 от фингерпринтинга через шрифты скорее всего не защитит.
3 защиту от фингерпринтинга через webaudio скорее всего вообще не запилили, по крайней мере я не слышал об этом.
4 защита от фингерпринтинга локали и некоторых тайминг атак включается тем же privаcy.resistFingerprinting .
Ради великой справедливости надо заметить, что коммит был сделан до приобретения сабжа GitLab.
Вестимо, без данного функционала он нафик никому не нyжен был.
> Вестимо, без данного функционала он нафик никому не нyжен был.Ждем всплыва в GitLab Enterprise Edition
Ну что, теперь сваливаем с GitLab на BitBucket.
Нафига? Сервис что - встроен в GitLab?
Сваливать с нормального опенсорс сервиса с нормальным владельцем из-за плохонькой пропаганды?
1 Сервис не нормальный. Неделю и пользуюсь, и многое либо отсутствует, либо не работает, либо сделано через жoпу.
Например:
* вся социалочка отсутствует напрочь. Не то что особо важно, но всё равно мирус.
* отсутствуют topics . Есть какие-то теги, но что они делают и где в интерфейсе показываются, я не нашёл.
* импортер импортит через жопу, приходится ходить по репам и менять настройки, так как импортер выставил защиту на master ветви, не прописал теги и все репозитории сделал приватными. В принципе можно было бы автоматизировать, но руки не дошли. Ещё этот импортер не различает форки и мои репозитории.
* импорт запрятан в "создать репозиторий". Ничего, что при импорте создаётся много репозиториев?
* и самое главное: некоторые репозитории просто не пушатся.Гном поторопился с переходом, продукт сырой.
2 То есть компания, осуществляющая фингерпринтинг пользователей - это нормальная компания?
3 Где ты тут увидел пропаганду? Вроде бы были приведены ссылки на источники.
Нет, остаемся на месте.
К слову, коммит старше покупки Gitter'а GitLab Inc. (https://opennet.ru/opennews/art.shtml?num=46198).
Но то, что не убрали до сих пор, обидно.
> К слову, коммит старше покупки Gitter'а GitLab Inc. (https://opennet.ru/opennews/art.shtml?num=46198).
> Но то, что не убрали до сих пор, обидно.А зачем убирать? Это одна из защит от ботов.
Причём можно было бы списать на забывчивость и недосмотр, но ....1 При передаче проприетарного кода в опенсорс весь код обязательно проверяют. Потому что проприетарный код может содержать проприетарные компоненты, которые если выложить в опенсорс, можно нарушить закон. Если вам этого недостаточно, то продолжаем.
2 Коммит
https://gitlab.com/gitlab-org/gitter/webapp/commit/70ec14277...датирован 08 May, 2018 и затрагивает тот файл.
После покупки МАНИФЕСТ ПАКЕТА ФИНГЕРПРИНТЕРА https://gitlab.com/gitlab-org/gitter/webapp/commits/master/m... был изменён как минимум 2 раза https://gitlab.com/gitlab-org/gitter/webapp/commit/70ec14277... https://gitlab.com/gitlab-org/gitter/webapp/commit/10bd346c4... .
3 Другой файл https://gitlab.com/gitlab-org/gitter/webapp/commits/master/p... , содержащий код, ссылающийся на фингерпринтер, после покупки был изменён 1 раз, правда тем же аккаунтом, с которого добавили фингерпринтер.4 Файл https://gitlab.com/gitlab-org/gitter/webapp/commits/master/p... был изменён 23 раза с даты покупки как миниму двумя аккаунтами, кроме того, что добавил фингерпринтер.
И никому не было дела до фингерпринтера и подозрительных строк.
>"gitter-web-fingerprinting": "file:modules/fingerprinting",
and
> "fingerprintjs2": "^1.4.1",
.
То есть либо все эти сотрудники компании плохо знакомы с кодом, либо наоборот слишком хорошо знакомы с фингерпринтером, и считали/ют, что это ОК.
Похоже кое-какая компания нарушает GDPR.
Ещё есть такая issuehttps://gitlab.com/gitlab-org/gitter/webapp/issues/1899
... совсем недавняя ...
в ней сотрудник (другой) перечисляет среди данных
>Fingerprints fingerprint-schema
То есть ещё один довод в пользу того, что компания сознательнь это делает.
Ghostery и нет проблем.
Это который продает твои данные? Воистину, слепой ведет слепых...https://lifehacker.com/ad-blocking-extension-ghostery-actual...
https://www.technologyreview.com/s/516156/a-popular-ad-block.../
https://www.reddit.com/r/privacy/comments/1gmxdz/consumer_af.../
> Это который продает твои данные?стесняюсь спросить, те кто его устанавливал, вообще на сайт разработчиков заходили? ;-)
по ссылкам как раз вполне безобидная деятельность, как там кто-то выразился - скорее похоже на кидалово покупателей ненужно-данных, чем наоборот.
Значит выгоднее сделать вид, что кукис ты таки сохраняешь чем просто отклонять его? Или сохранять на 5 сек?
Без куки вообще 90% сайтов не работает. Я просто отключил сохранение истории в FF - куки исчезают после закрытия браузера.
Выгоднее поставить Firefox Quantum где этот метод не работает без разрешения.
Canvas Defender для лисички работает.
Ребят, а объясните, зачем все ставят плагины для блокировки этого Canvas? Хотел изучить html5, вот вроде читаю про Canvas - полезная вещь для сайтов, обязательно ли он всегда используется во зло? А если у меня просто намерение сделать красивый сайт? А из-за блокировщиков юзер получит кривое отображение...
Некоторые плагины - да, блокируют, но не сам canvas, а API доступа к нему. Вместо того что бы блокировать вызовы JS-API, что само по себе является отпечатком, Canvas Defender расширение создаёт уникальный и постоянный шум, который скрывает ваш реальный canvas fingerprint. Это дополнение защищает вас и в обычнои и в приватном режиме. Сам Canvas - не зло, впрочем как и другие API в браузере, просто посредством косвенных признаков при выполнение запросов к API и их времени выполнения можно с высоко долей вероятности следить за историей посещения и действий конкретного пользователя без запроса у него его персонального идентификатора (логин, пароль), пользователь же не любит когда за ним следят, поэтому делайте красивый сайт и не используйте скрытые методы слежения.
> Ребят, а объясните, зачем все ставят плагины для блокировки этого Canvas? Хотел
> изучить html5, вот вроде читаю про Canvas - полезная вещь для
> сайтоввот скажите мне, честно- то уродство (canvas based) которым сейчас является тот же youtube, всерьез кому-то кажется симпатичнее его старого flash-based интерфейса?
> обязательно ли он всегда используется во зло? А если у
необязательно. Но у тебя нет никакой возможности a) заранее узнать что сайт использует canvas - в отличие от флэша, когда ты получал четкое сообщение "тут флэш, его надо включить, чтобы что-то увидеть" b) отличить использование для трекинга, использование для ненужноукрашательств и использование для дела. с) как-то изолировать третье от первого
Причем плагины, которые пытаются справляться с задачей c, жрут массу ресурсов, и работают ненадежно.
> меня просто намерение сделать красивый сайт? А из-за блокировщиков юзер получит
покажите мне, что именно в этих красивостях нельзя сделать на preloaded gif/png и css?
(svg показывать не надо, это такая же дрянь как canvas, еще и неудобная в применении)
Удивили... Да нынче каждый третий сайт этот fingerprinting использует.
Я ждал подвоха. Теперь можно радоваться, что не оказался в «первых рядах»... как бы так повежливее выразиться? :)