A cikk nagyobb részét igazából nem értem (lehet, hogy át kéne párszor olvasni), de a lényeg, hogy a Meta illetve a Yandex használ egy olyan cookie-based megoldást, amellyel a felhasználó böngészését akkor is meg tudja figyelni, ha az incognito módot használ. Elég hozzá, ha a Facebook vagy a Yandex alkalmazás fut a mobilján a háttérben. Cookie törlés nem segít.
Ha jól veszem ki, a böngészőt ráveszi, hogy localhost socketen át kommunikáljon az alkalmazás adott portjaival, és azon keresztül küldi az adatokat.
Androidon működik (ténylegesen), iOS-t és desktop rendszereket még nem nézték át alaposan.
- 678 megtekintés
Hozzászólások
A weboldalon futo Javascript kommunikal a mobilon futo (localhost:<port>) applikacioval (ha telepitve van), igy osztja meg az informaciokat. Az eszkozon beluli kommunikacio nincs tiltva alapbol (miert is lenne) es igy ez kihasznalhato jo es rossz celokra is.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
- A hozzászóláshoz be kell jelentkezni
Egy TLS trafficot hogy proxyzik eszrevetlenul?
- A hozzászóláshoz be kell jelentkezni
nem proxyzik. csak elkuldi a weboldalba agyazott javascript (meta pixel nevu cucc, kb minden nagyobb website tartalmazza/hasznalja, kb mint a google analytics) a localhost:Xxxx portra azt az infot (UDP-n, webrtc-vel ha jol ertem), hogy az user epp milyen weboldalon milyen eventet (vasarlas, stb) csinal. a hatterben futo, adott local porton listenelo facebook/instagram app pedig ismeri az user login adatait es osszekoti az infoval. igy a bongeszoben hiaba van tiltva/szurve mindenfele tracking...
- A hozzászóláshoz be kell jelentkezni
Na várjál! Az addig OK, hogy a telepített applikáció (jelen esetben pl. Facebook app) nyitva tart egy localhost:port-ot, amin kommunikálni lehet vele, de az incognito-ban megnyitott random weboldalon futó JavaScript ezt miért tenné?
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
- A hozzászóláshoz be kell jelentkezni
A facebook app nyitvahagyja mondjuk a localhost:8080-t. A böngésző betölti az oldalt. Az oldalban lefut egy javascript, amelyik pedig a localhost:8080-ra csatlakozik. Ha ez megvan, akkor innentől működik az adatcsere. A weboldal elküld egy egyedi azonosítót (pl. USER-12345), amikor nyomizol a weboldalon, például a weboldal keresőjébe beirod hogy "elefánt rubik kockát rak ki" az átküldésre kerül a localhost:8080-ra ("USER-12345 searched elefánt rubik kockát rak ki"), a facebook-on be vagy jelentkezve tehát ők tudják hogy Kis Pista vagy, majd pedig ezt az infót egy hátsó csatornán szépen elküldik az eredeti weboldalnak ("Küldtél nekem egy USER-12345 azonosítót. A hozzá tartozó profil Kiss Pista, és egyébként arra keresett hogy elefánt rubik kockát rak ki"), igy már meg is történt a beazonosításod.
Ezért olyan büntetést kellene kapnia a Facebook-nak hogy beleszakad.
- A hozzászóláshoz be kell jelentkezni
Ez technikailag OK, persze. Az nem volt tiszta, hogy akármelyik kiskutya.hu weboldalon (vagy akár a pornhub.com-on) mit keres ilyen JavaScript kód - de erre arpi_esp itt megadta az egyértelmű választ.
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
- A hozzászóláshoz be kell jelentkezni
Az eszkozon beluli kommunikacio nincs tiltva alapbol (miert is lenne)
Őőő, hát pl mert egyértelműen olybá tűnik, hogy az appok silókban vannak, és mindenféle szarhoz a hozzáférést jogosultságok megadásával, és intentek használatával kell megoldani? Hogy pl zeller nyekereghessen, hogy mer a mobil az csudibiztonságos ellenben a sima számítógéppel....
- A hozzászóláshoz be kell jelentkezni
Nem tudom mi lenne a jo ebben az esetben. A FB huzasat nem dijjazom. Ha valami tulsagosan le van zarva az sem nyero. Ha tul sokat kerdez az nem felhasznalobarat (pl. FB app meg akarja nyitni a localhost:XXX portot, erre mit mondjak, nem tudom mit akar ott, legitim oka is lehet ra, nem mindenki app fejleszto hogy tudja mire kell, de foleg a Marika neni nem fogja tudni)
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
- A hozzászóláshoz be kell jelentkezni
Egyrészt ez már meg van mind, és rutinszerűen várjuk el a userektől, hogy használják.
Nem kell ide localhost. "A chrome böngésző adatokat akar küldeni* a messenger appnak. Lehet? I/N/mostazegyszer"
Másrészt *igazából inkább folyamatos kapcsolatot akar, nem is sima adatcserét. Erre alapvetően nem szokott szükség lenni egy mobilos ökoszisztémában (lehetne, lehetne, de tényleg az egész a te biztonságod érdekében (tm) nem így van összerakva), szóval halálos nyugalommal próbálkozzon csak magyarázkodni a meta a felugró ablakon, hogy mi a fasznak neki ez.
- A hozzászóláshoz be kell jelentkezni
Többször volt itt mostanában szó arról, hogy a mobileszközöknél a biztonság egyik komoly tényezője, hogy egyik alkalmazás a másikkal nem tud kommunikálni. Filerendszeren keresztül sem mindig (bár Androidon talán kevésbé van így elszeparálva), processz szinten sem. Ez a megoldás viszont kikerüli ezt a szeparációt, és localhostont mégis kommunikál. Legalábbis ha jól értem.
- A hozzászóláshoz be kell jelentkezni
> Androidon működik (ténylegesen), iOS-t és desktop rendszereket még nem nézték át alaposan.
desktopon nem jellemzo hogy futna kulon facebook app a hatterben, bar talan a messsengernek van onallo appja, mondjuk en meg nem lattam embert desktopon azt hasznalni.
ios pedig nem is engedi a hatterben futni az appokat, azert talaltak ki anno a push-t hogy ez ne legyen szukseges.
- A hozzászóláshoz be kell jelentkezni
Facebook nem, de pl. messenger van macOS-en.
- A hozzászóláshoz be kell jelentkezni