Hup címlap (fb botrány)

A twitter és a youtube (alphabet) tud arról, ha megnyitom a hup címlapját. (A hup.hu/tracker van könyvjelzőzve, szóval ez viszonylag ritkán fordul elő.)

Ezt a tényt utálom.

Néha eszembe jut a HWSW, ahol sok éve a google és fb lájk gombok olyanok voltak, hogy ne kövessék az embert. Nem tudom ki intézte, de rendes volt tőle.

Kéne ugyanilyen yt videóra és twitter bejegyzésre. És kéne egy privacy tudatos közönség, amely ezt kiveri az oldal tulajdonosából.

szerk: [erre a botrányra] utaltam a post címében.

Hozzászólások

uBlock Origin +
külső szűrőnél Fanboy’s Enhanced Tracking List,
vagy esetleg Fanboy’s Social Blocking List,
és társai; esetleg noscript?

Browser pluginbol blokkolva vannak nalam az ilyenek.
Bar amiota foleg csak twitter linkekbol allnak a cikkek, egyre ritkabban jarok erre amugy is.

Minden böngészőnél elsődleges nagyon fontos beállítás (soha nem fogják alapértelmezetté tenni multi céges okok miatt):

Tiltani a harmadik féltől származó sütik hozzáférését (Accept 3rd party cookies: Never). Ha ez tiltva van, akkor az oldalak nem tudják látni mások sütijeit, csak sajátjukat.

Szerintem tévedésben vagy. Idegen cookie-t nem érhet el egyetlen lap sem. A 3rd party arról szól, hogy csak az url-ben lévő domain hagyhat cookie-t a böngésződben, de pl. a like gomb által a facebook már nem. Viszont ennek a tiltásnak lehet olyan következménye, hogy pl. beágyazott videó nem működik, disqus jellegű komment rendszerek nem működnek stb.

Fordítva:

Nem az van hogy te tudsz lekérni bármilyen sütit, hanem az oldal tud letenni különböző fajta módon beállítottat. Tehát ha olyan sütit tesz le, aminél nincs például "Domain" paraméter, akkor hozzá tudnak férni más oldalak. És ha FB letesz ilyet, akkor a weboldalak láthatják a FB infódat (beleteszi például infót rólad, egy id-t) és így keresztbe tudnak azonosítani.

További infó:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie

Szerk.: még egy fontos dolog. Az számít hogy az oldalon futó script URL-je hova mutat, nem pedig az oldal URL-je. Tehát ha a saját oldaladra beinjektálsz egy script-et FB.com-ról, akkor ő hozzá fog férni az FB.com által letett script-ekhez, hiába másik domain-ről fut az oldal. Lásd G hirdetések, vagy G analitika vagy Lájk gomb.

Benéztem, úgy látszik szigorúbb mint gondoltam, a felső bekezdés így nem érvényes, csak az alsó. Akkor a messenger.com úgy tud bejelentkeztetni a fb-ba, hogy a messenger-com-ra eleve beleinjektálnak kódot fb-ról. Ez így érthető.

De akkor is fontos szerintem a 3rd party cookie elfogadásának kikapcsolása, mivel rengeteg oldal tartalmaz hívást 3rd party domain-re.

Ugyan alaposan nem volt időm átnézni, de úgy sejtem amikor a messenger.com-ot megnyitod, akkor az vagy egy scriptet tölt le a fb domainjéről, vagy egy ajax kérést intéz. Ezen request megkapja a fb domainhez tartozó sütiket, és ez alapján a válaszban el tudja árulni ki a bejelentkezett felhasználó.

Ha a third party sütik támogatása le van tiltva, akkor a fenti esetben a sütiket nem kapná meg a FB szerver a requesttel.

Igazából nem értem, hogy az img tag miért szükséges ez esetben.

A vicces, hogy az authentikációs adatok domaineken keresztüli átadása megoldható volna sütik nélkül is, szimpla átirányításokkal, és akkor a 3rd party sütik tiltása mellett is működne a dolog.

Igaz. Hogy kicsit konstruktív is legyek, messenger.com tartalmaz egy ilyet (a uuid-eket átírtam):


<script src="https://static.xx.fbcdn.net/rsrc.php/v3/y3/r/XXXXXXXXXXX.js" data-bootloader-hash="YYYYY" crossorigin="anonymous">

A .js-t megnyitva auth-ra keresve van pár találat. Valszeg ez van.

En sokaig nem ertettem, hogy mi itt az emberek problemaja amig egyszer veletlenul meg nem neztem a HUP-ot egy nem rendesen beallitott bongeszovel.

uBlock Origin, NoScript (es DDG extension) sokat segit. Meg valahogy a roviditett linkeket kellene visszahosszitani, de az mar annyira nem zavar, hogy foglalkozzak is vele.

--
http://blog.htmm.hu/

DuckDuckGo Privacy Essentials böngésző addon-t ajánlom. Mobilra van böngészőjük, azt is ajánlom.

Ilyen sokan ajánlottátok, megnéztem ezt a DDG kiterjesztést.

Felküldi a netre, amit a címsorba írok. Hát ez ennyi volt ¯\_(ツ)_/¯

szerk: mármint simán lehet hogy az összes többi kiterjesztés is ezt teszi, de legalább nem mutatják

A DDG kiterjesztés elvileg "tracker blockol" bármit is jelentsen ez a gyakorlatban. Leginkább spyware.

A DDG oldal meg egy front-end a yahoo/bing elé.

szerk: hoppá, a https://addons.mozilla.org/en-US/firefox/addon/duckduckgo-for-firefox/ oldalon leírják hogy mihez fér hozzá az add-on, ez jó dolog.

Ha címsorba írok valamit, akkor nem szeretném hogy a DDG (meg mindenki a neten) értesüljön arról, hogy azt odaírtam.

Például: URL-ek, URL-ek GET meg session adatokkal, más keresőkhöz tartozó keresőszavak, gépemen levő HTML file-ok elérési útvonala, satöbbi.

Miért futtatnám át ezt a DDG-n? (Ha keresni akarok náluk, akkor a keresőmezőbe beírom a szót, és nyomok egy entert.)

(fogalmam sincsen hogy mit küld fel tbh, könnyen lehet hogy a firefox funkciója ez, és csak azokat küldi fel, amiket nem képes URL-ként értelmezni)

--
xkcd://386

Felajánlja hogy mire keressek.

Jaj, azt hiszem értem már a problémád. Az "FF hülyesége", vagyis a keresőszavak kiegészítése a DDG-nél fut. Ami a címsorban van, azt felküldi a DDG-hez, az meg visszaküld egy csomó keresési opciót.

Végtére is utána is lehetne nézni, hogy konkrétan hogyan működik az ilyen keresőszó kiegészítés.