Google consent cookie hack

A kugli is kitalálta, hogy ő innentől beleegyezést kér, hogy kémkedhessen az ember után, ami a kisebbik baj, de ha valaki minden session végén - vagy akár menet közben - törli a sütiket, akkor ez állandóan fel fog jönni és nem lehet rendesen keresni vele.

Tehát feljön a kép:

és akkor lehet lemenni leokézni minden sütitörlés utáni keresésnél. Oké, gúgel sux, keressen az ember alternatívát, csakhogy lehet, hogy pl. angol tartalmak kereséséből már a DuckDuckGo is egész jól szuperál, de magyar tartalmakra még nem nagyon van alternatíva a kuglira. (Tudtommal.)

Úgyhogy itt van ez a kis JavaScript függvény:

function fuck_google_consent()
{
	var n = "CONSENT=";
	var a = decodeURIComponent(document.cookie).split(';');
	var r = "";
	for(var i = 0; i < a.length; ++i)
	{
		var j = a[i].indexOf(n);
		if (j != -1)
		{
			r = a[i].substring(j + n.length);
			break;
		}
	}
	var x = r.split("+");
	var dom = location.href.split("/");
	var dom1 = dom[2].split(".");
	var d = new Date();
	d.setTime(0x7fffffff * 1000);
	document.cookie = n + "YES+" + x[1] + ";expires=" + d.toUTCString() + ";path=/;domain=" + dom1[1] + "." + dom1[2];
	var y = location.href.split("=");
	var z = y[1].split("&");
	location.href = decodeURIComponent(z[0]);
}

Ezt user JS-ből meg lehet hívni a consent.google.com és - Magyarország esetén - consent.google.hu domain-ekhez rendelt user.js-ben és akkor valahányszor feljönne a fenti kép, ez belövi a CONSENT sütit, aztán redirectel is arra, amit keresett az ember.

Hozzászólások

Szerkesztve: 2021. 04. 01., cs – 14:13

Esetleg startpage.com ? Google találatokat ad, és próbaként nyitottam üres jarral egyet, nem nyomja el a képernyőtartalmat semmivel.

Köszi a tippet, jónak tűnik. Sajnos ez is valami olyan cipherrel dolgozik, amit az Opera 12 nem ismer, úgyhogy egyelőre fallback megoldásnak eltettem, de asszem előbb utóbb nem úszom meg, hogy új SSL-lel forgatni kell az Operát... Vagy újracsomagoltatni neki a contentet Squid-en keresztül.

A Startpage olyan ciphert használ, amit az Opera 12 nem ismer, ezért 40-es hibával elszáll az oldal. Ezt vagy úgy tudom áthidalni, hogy a browserbe érkező forgalmat keresztülengedem Squid-en és egy olyan cipherrel küldöm tovább az Operának, amit ismer, vagy úgy, hogy van már SSL patch az Opera 12.15-höz, csak le kellene forgatni vele.

Annyira azért nem. Főleg, hogy van hozzá OpenSSL patch is. De a website-oknak amúgy is csak töredéke támogatja még csak a TLS1.3-at. Ami vicces, hogy az Opera 12-ben volt TLS1.2 support, aztán átálltak Chrome alapra és a 14, 15 és 16-os Operában meg nem volt.
https://en.wikipedia.org/wiki/Transport_Layer_Security_Adoption

Gyakorlatilag egy korrekten, a jelenlegi elvárásoknak megfelelően konfigurált oldalt nem tud használni - a 2008-ban megjelent TLS 1.2 nem, illetve hiányos/hibás implementálása miatt. Márpedig egyre több weboldalon hajítják ki a TLS1.1-et (meg a régebbi protokollokat), és 1.2-nél is erősen válogatott algoritmusok kerülnek beállításra - kifejezetten a biztonságos adatcsere miatt.

De nem a TLS1.2 van benne hiányosan - pláne nem hibásan - implementálva. A TLS meg az SSL a protokoll, az ECC meg a cipher és a protokollnak meg a ciphernek pedig semmi köze sincs egymáshoz. Az ECC nem a TLS1.2 sajátossága, akár SSL-hez is lehet ECC ciphert használni és akkor az Opera 12.16 azon is fennakad.
Nem a TLS1.2 - a protokoll - a probléma, mert az tökéletesen le van implementálva és működik; a cipher a probléma, de az is csak az Opera 12.16-ban, a 12.18-asban nem. Nem tudom, hogy azt miért csak windows alá adták ki...de mindenesetre már van rá OpenSSL patch.

Azaz már az TLS1.2 előtti dolgokat is hiányosan implementálták, tiszta sor. Az, hogy "de van hozzá openssl patch" az olyan, mint amikor a röntgen eredményét úgy közli a pácienssel, hogy van egy rossz, meg egy jó hírem. A rossz, hogy látok egy csúnya foltot a tüdején, a jó viszont az, hogy el tudom tüntetni photoshoppal. Attól, hogy _lehet_ olyat buildelni, attól még az Opera 12 khm. nem lesz korszerű böngésző.
https://help.opera.com/en/operas-archived-history/
 

TLS1.2 előtti...? Az ECC cipherek nagyjából a TLS1.2-vel egyidőben jelentek meg a browserekben... (Volt, ahol évekkel utána engedélyezték őket default-ból.)
Egyébként az Opera userek többségének (windows, 12.18) nem kell buildelni, mert benne van.
A patch meg mint photoshop...még ha a műtéthez hasonlítottad volna.

Szerkesztve: 2021. 04. 01., cs – 14:58

>ha valaki minden session végén - vagy akár menet közben - törli a sütiket, akkor ez állandóan fel fog jönni és nem lehet rendesen keresni vele

illetve akkor sem jön fel, ha nincs rajta a js-t futtatni engedélyezettek nagyon szűk whilelistjén

márpedig miért is lenne

De feljön. Legalábbis én hiába tiltottam a szutyokszkriptet, nekem feljött. (Sz*rk: egyébként sem JS, hanem HTTP redirect.) Szerintem, ha nálad nem jön fel, akkor még nem futottál bele olyan szerverbe, ami már adja. Fokozatosan állítják át őket, pár napig csak elvétve kaptam ezeket a consent bullshiteket, de most már ez jön fel, ha nincs süti.

"i don't care about cookies" kiegészítő nem kövi ki ezt is?

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

azért kérdeztem, mert nekem ez és a uBlock origin kombó óta ilyen átirányítós cookie consentek se jönnek be. egy két helyen van kisebb anomália (pl. eredmenyek.com -on a nagy fekete üres consent, de két klikkeléssel azt is eltüntettem)

egyébként az i dont care about cookies nem csak a dom-ba nyúl bele, ahogy megfigyeltem, hanem komplexebb dolgokat is csinál

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Nem tudom pontosan, hogy az IDCAC mit csinál (csak végigfutottam az oldalt), de még ha magát a redirectet meg is fogja, ha a szerver a süti hiányában megtagadja a tartalom elküldését, akkor az ellen nem véd.
Egyébként Opera 12-höz nem is csinálták meg. :P

Amióta van ez az EU-s sikertörténet egy csomó szolgáltató bele van erőszakolva hogy normális unsubscribe opciót adjon, ne spameljen szét, és valószínűleg az adatkezelés is egy fokkal megbízhatóbb.

Szóval lehet szidni őket, de legalább egy minimálisan jobb privacynk van.

Lehetne szebben is, lehetne a süti elfogadást böngésző funkcióként kezelni (mint ahogy rég volt) de ez is jobb a semminél. 

Így legalább van kontrollja annak is aki nem tud a fentihez hasonló scriptekkel szórakozni.

Csakhogy nem adnak semmiféle normális opciót. Eléd raknak egy hatszáz partnerből és funkcióból álló listát, amit lehet egyesével kiikszelni, hogy nem kéred (bár van olyan, ahol alapból opt-in), de még azt is orbitálisan sunyi módon oldották meg, mert két gomb van: egy nagy, valamilyen rikító zölddel világító "accept all", meg egy szürke, a háttérbe olvadó "accept selected", szóval a figyelmetlen ember, miután egyesével letiltotta a többszáz sütit (vagy jobb esetben alapból opt-in volt mind), végül rábök az accept all-ra, aztán ugyanúgy elfogadja mindet. Félrevezetés lvl99.
Az egyetlen kontroll az a sütik tiltása, vagy, mivel manapság már addig nem működik sok oldal, amíg nem fogadod el, hogy követni akarnak, az a sütik törölgetése, kilépéskor, vagy az oldal elhagyásakor, aztán kövessenek, ha tudnak.

Azért azzal vitatkoznék hogy nem adnak normális opciót.

A legtöbb helyen rányomsz a szerkesztésre és alapból nincs semmi kijelölve, ott ha a mentésre kattintasz, és nem a "minden elfogad" gombra, akkor meg is vagy. 

Sunyi? Az. Megoldható egyszerűen? Meg.

Emellett megint egy csomó helyen kategóriákra vannak bontva a sütik, külön az elengedhetetlen, funkcionális, marketing, statisztika. 

Persze sok helyen csinálják szarul, értem én.

Ezért szorgalmaznám egyébként, hogy ez ne weboldal hanem böngésző feladat legyen, dehát beszélhet az ember. 

Ettől még nem a gdpr elvárásaival van baj, mert enélkül még az se lenne, hogy sunyi gombok között azért megtalálod a kikapcsolás lehetőségét. 

A legtöbb helyen rányomsz a szerkesztésre és alapból nincs semmi kijelölve, ott ha a mentésre kattintasz, és nem a "minden elfogad" gombra, akkor meg is vagy.

Sunyi? Az. Megoldható egyszerűen? Meg.

Meg mernék esküdni, hogy ezt leírtam, hogy van ilyen, ahogy azt is, hogy nem mindenütt ez van.

Ezért szorgalmaznám egyébként, hogy ez ne weboldal hanem böngésző feladat legyen, dehát beszélhet az ember.

Kinek beszélhet? Nekem? Én mindig is browserből oldottam meg: folyton blokkolom/törlöm a sütiket.

Ettől még nem a gdpr elvárásaival van baj, mert enélkül még az se lenne, hogy sunyi gombok között azért megtalálod a kikapcsolás lehetőségét.

A GDPR egy látszatintézkedés, semmi eredménye sincsen. A kicsik lehet, hogy betartják, mert őket megbasszák érte, de eddig sem ők kémkedtek utánunk, hanem a nagyok, azok meg tőből leszarják a GDPR-t, mert ha kapnak is valami bírságot érte, röhögve kifizetik, hiszen az a töredéke annak, amit az adatkereskedelemmel szereztek.
Magyarán egy csomó kis webportálnak sikerült extra melót és költséget csinálni, a nagyok (kugli, mikrofos, faszbúk, etc.) meg röhögnek a markukba.

Nem a GDPR-ral van a gond, hanem ezzel a cookie-consent agyrémmel. Nem tudom melyik barom bürokrata találta ki jobb esetben 2 perc alatt a WC-n ülve, rosszabb esetben hosszasan elmélázva a dolgon, amiből azt a következtetést vonta le, hogy ez az optimális megoldás... mert ez se nem optimális, se nem megoldás. Ez egy szar.

Ez egy szar, mert évek, évtizedek web-development best-practice-it teszi egy tollvonással tönkre.

Ez egy agyrém, mert valahányszor törli a cookie-kat a böngészőm, annyiszor kell ezt a fost leokéznom.

Leokéznom, mert ennek a baromságnak a kiötlői nem gondolkodtak el és nem nem tették kötelezővé a jól látható, (esetleg preselected) "Deny All" gombot, így a cookie-consent EU fosba belefáradt ember nem kezdi el a fentebb említett opt-out opciókat egyesével bekattintgatni, hanem egy lemondó sóhajjal és egy hangosan néma "kurva anyátokkal szórakozzatok, akik ezt a szar kitalálták"-kal elküldöd a faszba az EU-t és "természetesen" elfogadod, hogy trackeljenek.

Elbaszták a Preview link opciót, hiszen a tartalom helyett ez a baromság jön fel.

Meddig fog ez a szar tartani? Ki tudja.

De egy előnye van. Azt meg kell hagyni.

Egy előnye van. Folyamatosan, és állandóan emlékeztet az EU inkompetenciájára, arra, hogy a bürokrata csőcseléknek egy szalmaszálat se szabad a kezükbe adni, mert még az is elbasszák, ha kereszbe kell tenni...

Ez egy szar, mert évek, évtizedek web-development best-practice-it teszi egy tollvonással tönkre.

Az volna az évek, évtizedek web-development best-practice-je, hogy injektálj minden szart feltétel nélkül az oldaladba, több száz különböző céghez kapcsolható tracking sütivel? 

Mindezt úgy, hogy ha a user letiltja valamelyik általd behúzott third party-t, akkor a weboldalad elszáll, mert arra senki se volt hajlandó felkészülni, hogy mi van ha a user nem kér mondjuk a google trackingből?

Nem ideális a megoldás, messze nem. Tök jó lenne ha a böngészők tudnák alapból (user friendly módon) tálalni ezt. De addig is a semminél jobb, és legalább van egy használható opciód letiltani a felesleges szarokat.

legalább van egy használható opciód letiltani a felesleges szarokat.

Ami nem kell a weboldal tényleges működéséhez, az mind felesleges. Fel sem kéne kínálni, hanem nem kéne csinálni. Leszarom a "partnereiket" és a "funkcióikat", nem kell egyik sem. Ha az EU rendesen csinálta volna ezt, akkor formai és ergonómiai követelményeket is szabott volna, nem csak szabadon értelmezhető jogiakat: pl. kötelezővé kellett volna tenni a nagy zöld "accept all" mellett a nagy vörös "block all" gombot is, ami az összeset blokkolja és annak kellett volna lennie az alapértelmezett gombnak, ha valaki figyelmetlenül space-t, vagy enter-t ütne mindjárt az elején. Ahogy azt is kötelezővé kellett volna tenni, hogy mindenre az opt-in legyen a default.

Dehát ezt nem lehet, mert akkor az emberek blokkolnának mindent, ha egyszerűen megtehetnék és akkor mi lenne az adatkereskedelemből és a csicska reklámokból élő parazitákkal, nem is beszélve a tömeges megfigyelésről...? Na, ezért egy "sikertörténet" a GDPR, mert úgy teszünk, mintha tennénk valamit, de valójában nem, mert az érdekeink ellen cselekednénk. Látszatintézkedés.

Az volna az évek, évtizedek web-development best-practice-je, hogy injektálj minden szart feltétel nélkül az oldaladba, több száz különböző céghez kapcsolható tracking sütivel? 

Nem.

A best practice az az, hogy nem basztatjuk a user-t felesleges baromságokkal, mert ha nem találja meg az információt 2 másodpercen belül, akkor back és nézi a következő találatot.

A best practice az az, hogy nem dobunk fel random pop-upokat, mert kurvára idegesíti a usert és megnöveli annak valószínűségét, hogy amikor felbukkan valami kéretlen, akkor back és nézi a következő találatot.

Nem ideális a megoldás, messze nem.

Nem. Ez egy szar megoldás.

Tök jó lenne ha a böngészők tudnák alapból (user friendly módon) tálalni ezt.

Tudják. De az EU-nak nem egy jól működő megoldás, hanem a maszatolás volt a célja. Évekbe telt, mire a '90-es, 2000-es években sikerült végre megszabadulni a sok rohadt kéretlen pop-uptól, amiket a weboldal feldobált. Most meg ezek a barmok kötelezővé teszik. A jelenlegi cookie pop-up szabályozás a problémát nem oldja meg, viszont remekül alkalmas arra, hogy fél/1 milliárd ember webes élményét tegye folyamatosan tönkre.

Nem tudom milyen oldalakkal van gondod, de a DuckDuckGo tud mas keresokben is keresni (szemelyre szabas es tracking nelkul).

Ha !w-vel kezded, akkor wikipedias talalatokat kapsz, ha !g-vel, akkor guglisat, stb..

When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

Az ilyen frusztráló agresszivitás miatt már rég felhagytam a Google használatával. Még néha YouTube, illetve van még Gmail fiókom, imap4-en érem el, de van más e-mail címem is, készültem arra, ha kizárna a G a fiókomból, s csak a fél életemért cserébe engedne a leveleimhez. Akkor nem fognak érdekelni a G-nél lévő levelek, süllyedjen.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Pedig én szóltam, hogy exportáld a leveleidet és menekülj... :(
A keresőt sajnos nem olyan egyszerű eldobni a magyar tartalmak miatt...de majd tesztelni fogom, hogy a DuckDuckGo tényleg ugyanazokat hozza-e a !g prefixummal, mint a kugli és ha igen, akkor levesbe küldöm a kugli keresőjét is.

Nekem DDG-n adott magyar találatok elegendőek. Lehet, hogy a G találatai jobbak, de mivel az számomra nem létezik - a !g prefixet meg nem ismertem eddig -, ezért nem volt mihez viszonyítanom, tehát úgy tekintettem, hogy azok a találatok vannak, amit a DDG kínál, aztán valahogy még élek. :) Másfelől műszaki dolgokhoz legtöbb esetben elegendőek az angol nyelvű találatok.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Csak nehogy úgy járj a leveleid le nem mentésével, mint egyesek a PayPal-lel, hogy egyik pillanatról a másikra közölte az európai júzerekkel, hogy innentől kezdve kötelező a telefonszám megadása, mert olyan nincs, hogy a new york-i és szilikonvölgyi öltönyös dögkeselyűk ne lássanak bele minden pénzügyi tranzakciójukba. (Még jó, hogy én nem tartottam rajta pénzt...)

A PayPal mindent kiad az accountokról a hatóságoknak, de ha nincs telefonszám kötve hozzá, akkor nem érnek vele semmit. Ezért hozta az EU ezt a rendeletet, hogy Európában kérjen kötelezően telefonszámot a PayPal. Így viszont már a nagy techcégek is tudni fogják, hogy kié az account, lévén egymás között úgy adják veszik az adatokat, mint ha a piacon lennének vele.

PayPal account-ot lehetett csak úgy regisztrálni és lehetett vele fizetni a neten, de lehetett róla bankszámlára utalni és onnan fogadni is. Nem kellett hozzá sem bank, sem kártya. Pont ezért nem tudtak mit kezdeni azzal, ha egy accounthoz semmi nem volt kötve.

És mire mentek vele, ha a küldő nem tudta személy szerint, hogy kinek utal? A donating így ment a PayPal-lel, hogy az emberek bedobálták az utalásokat a megadott PayPal accountra és nem tudták, hogy kié, ha nem mutatkozott be, max. egy nicket láttak az oldalon.
Egyébként a PayPal számlára postai úton is be lehetett a rózsaszín csekkekkel névtelenül fizetni egészen 2017-ig, amikortól kezdve egy EU-s rendelet miatt már személyi igazolványt kérnek a Postán a rózsaszín csekkes utaláshoz. A rendeletet természetesen a szokásos Tenor Pistás bullshittel indokolták, de valójában csak arról van szó, hogy az összes pénzmozgást ellenőrzés alatt akarják tartani.