PDA

Просмотр полной версии : Как запретить сайтам утаскивать чужие кукисы?



ScratchyClaws
31.10.2007, 14:58
Браузер SeaMonkey, ситуация такая, часто натыкаюсь на рекламные банеры содержащие в себе текст последнго моего запроса к яндексу (или фрагмент этого текста). запросы бывают специфические, так что вероятность совпадения почти нулевая...
Стоит постоянно обновляемый DrWeb и кривой Outpost (надо бы переставить)....
Вирусов на компе не наблюдается...

Rene-gad
31.10.2007, 15:19
@ScratchyClaws
Если ты пользуешь ЯндехБар (я - нет ;)), оч. м.б. что там есть опция сохранения/удаления поисковых запросов, как напр. в GoogleBar, которой я пользуюсь.

ScratchyClaws
31.10.2007, 15:54
у меня есть гугл бар в эксплорере, но к SeaMonkey он никакого отношения не имеет... На ней никаких тулбаров нету

Rene-gad
31.10.2007, 16:49
@ScratchyClaws
А как у устрицы установлено акцептирование куков? Если все по умолчанию - то это не есть здорово. Попробуй почистить куки и кэш. Что касается куков - можешь удалить все и изменить режим акцептирования "только с подтверждением пользователя". Потверждение немного действует на нервы, зато это гораздо более безопасно. Кроме того - АФАИК акцептировать куки от поисковых систем не обязательно.

PavelA
31.10.2007, 17:51
У меня ни одного тулбара, но гугл куки утаскивает. Virusinfo всегда в первых рядах высвечивается.

Поисковые запросы иногда в такие места залетают, закачаешься.

IE6, Windows2000 SP4

anton_dr
31.10.2007, 18:51
Это не куки. Это новая фича Яндекса :)
Надо поискать ссылку, где-то была. Если коротко -
В поиске вводится фраза, по ней переходите сайт с рекламой от AdRiver, при следующем посещении любого сайта с AdRiver, вам показывается реклама, специально для вас.

anton_dr
31.10.2007, 18:51
Вот, нашёл.
http://www.habrahabr.ru/blog/i_am_clever/20041.html

drongo
31.10.2007, 21:09
скрипты отключи и фиг тогда у них получиться ;) Noscript рулит ;)

XP user
14.11.2007, 18:29
скрипты отключи и фиг тогда у них получиться > Noscript рулит Поддерживаю. Кстати надо в NoScript удалить белый список по умолчанию; уже атакуются. И ещё для надёждности надо по умолчанию ЗАПРЕТИТЬ все куки, и задать исключения. У меня 4 домена, которые могут дать куки: * форум вирусинфо * форум Касперского * форум веб-хак (защита от ДДос) * фримейл точка ру (почтовый ящик). Paul

Geser
14.11.2007, 19:15
Хм... Нет никакой возможности у одного сайта получить куки другого, если компьютер не взломан. Не нужно паранои.

XP user
14.11.2007, 19:25
Хм... Нет никакой возможности у одного сайта получить куки другого, если компьютер не взломан. Не нужно паранои.

Совсем необязательно взломать компьютер жертвы для того, чтобы куки красть. Смотрите здесь: http://www.cgisecurity.com/articles/xss-faq.shtml#intro Приводятся примеры ява-скриптов, с которыми крадывают куки. Конечно, куки с данного форума вряд ли украдут, но как насчёт куки Web Money, PayPal, банки, и т.д.? Paul

Geser
14.11.2007, 19:41
Совсем необязательно взломать компьютер жертвы для того, чтобы куки красть. Смотрите здесь: http://www.cgisecurity.com/articles/xss-faq.shtml#intro Приводятся примеры ява-скриптов, с которыми крадывают куки. Конечно, куки с данного форума вряд ли украдут, но как насчёт куки Web Money, PayPal, банки, и т.д.? Paul

Для успеха xss нужно что бы выполнялись 2 условия.
1. Сайт должен содержать уязвимость.
2. Нужно нажать на поддельную ссылку.

Далее, на сайтах где важна безопасность (банки, кредитные организации и т.д.) если они не полные идиоты, в куках не хранят ничего кроме номера сессии. А сессия заканчивается с закрытием окна. Потому кража номера сессиии практически ничего не даёт.

Так что опасность кукиз сильно преувеличена.
А если сайт делался идиотами хранящими в куках пароли, то там будет еще столько дырок, что можно взломать и без кражи кукиз.

XP user
14.11.2007, 19:50
Для успеха xss нужно что бы выполнялись 2 условия.
1. Сайт должен содержать уязвимость.
2. Нужно нажать на поддельную ссылку.

Далее, на сайтах где важна безопасность (банки, кредитные организации и т.д.) если они не полные идиоты, в куках не хранят ничего кроме номера сессии. А сессия заканчивается с закрытием окна. Потому кража номера сессиии практически ничего не даёт.

Так что опасность кукиз сильно преувеличена.
А если сайт делался идиотами хранящими в куках пароли, то там будет еще столько дырок, что можно взломать и без кражи кукиз. Будущее покажет. Надеюсь, что вы правильно оцениваете силу Гугл редиректов, Гугл кэш, и URI уязвимости IE, которые распространяются на все бразеры... Paul

Alex Plutoff
14.11.2007, 23:32
-Firefox (http://www.mozilla-europe.org/) + плагин NoScript (http://noscript.net)

SuperBrat
15.11.2007, 07:21
После посещения сайта банка, необходимо очистить куки (хотя бы его). Сейчас браузеры позволяют это проделать в пару кликов (в Opera делаю это регулярно). Хотя никакой серьезной иформации, слава богу, туда программисты моего банка не пишут.

ScratchyClaws
15.11.2007, 09:27
Это не куки. Это новая фича Яндекса :)
Надо поискать ссылку, где-то была. Если коротко -
В поиске вводится фраза, по ней переходите сайт с рекламой от AdRiver, при следующем посещении любого сайта с AdRiver, вам показывается реклама, специально для вас.

не все так просто... пыталась поискать ТЫндексом просто бессмысленный набор символов... или что-то дающее 1-2 результата.... И и баннер не появлялся (зато лицезрела другую рекламу в этом месте)...
Получается что данные не просто тупо таскаются, но ещё и обрабатываются?

2SuperBrat - я вот думаю, а если банку зарпетить кукисы, он будет работать?


UPDATE: несколько цитат из гугля на этот счет... речь идет о баннерах показываемых в гмейле сбоку от письма


О рекламе и относящейся к ней информации
Хотите знать больше о рекламе и относящихся к ней страницах, предлагаемых Gmail? Мы рады, что вы задали этот вопрос!

Реклама в Gmail размещается тем же способом, как на страницах результатов поиска Google, а также с помощью программы Google AdSenseна тематических веб-узлах в Интернете. Наша цель - предоставить пользователям полезную информацию, рекламные объявления и ссылки, отвечающие их интересам.

Gmail - технологичная служба. Реклама показываются с помощью полностью автоматизированного процесса. Рекламные объявления выбираются по тематике и предоставляются компьютерами Google с использованием той же самой технологии контекстной рекламы, на которой основана наша программа AdSense. Эта технология позволяет Google обслуживать динамически меняющееся содержимое, например, электронную почту или ежедневные новости.

При подборе подобной нацеленной на содержание рекламы или информации содержимое электронной почты не будет просматриваться людьми. Поскольку реклама и относящиеся к ней страницы соответствует интересующей вас информацией, мы надеемся, что они вам пригодятся.

ваша конфиденциальность и безопасность

Google не распространяет, не продает и не предоставляет персональную информацию пользователя, которая может быть использована в маркетинговых целях, без прямого разрешения пользователя и никогда не будет этого делать. Ни содержание электронной почты, ни другая персональная информация не будет предоставляться рекламодателям.

Конфиденциальность - это вопрос, к которому мы относимся очень серьезно. Через нашу сеть распространяется и доставляется в почтовые ящики пользователей Gmail только такая реклама, которая классифицируется как пригодная для семейного просмотра. Например, Google не будет размещать в электронной почте письма о катастрофах.


Адреса, посылки и другие ссылки
Gmail упрощает отслеживание ваших посылок и сопоставляет адреса назначениям. Когда вы открываете письмо, в котором приведен адрес или номер для контроля посылки, Gmail показывает удобные ссылки для сопоставлений и адресов или статус доставки вашей посылки.

Для вашего удобства эти ссылки создаются автоматически. Никто не прочитает вашу электронную почту для создания этих ссылок, и ни одна из них не является рекламной. Мы надеемся, что они окажутся релевантными и полезными!

вывод - информация конфиденциальна, мы её не передаем другим людям, она не используется в маркетинговых целях. Мы её анализируем и информацию, подходящую с нашей точки зрения, используем для показа сссылок. Так как ссылки основанны на вашей информации, они должны быть полезны. Если ссылки могут быть полезны они не являются рекламой...

и privacy notice службы gmail

Google maintains and processes your Gmail account and its contents to provide the Gmail service to you and to improve our services. The Gmail service includes relevant advertising and related links based on the IP address, content of messages and other information related to your use of Gmail.
Google's computers process the information in your messages for various purposes, including formatting and displaying the information to you, delivering advertisements and related links, preventing unsolicited bulk email (spam), backing up your messages, and other purposes relating to offering you Gmail.

краткий перевод -
Гугл обрабатывает информацию о вашей учтеной записи и её содержимом для обеспечения работы службы Gmail и для улучшения работы наших сервисов. В сервис Gmail входит релевантная реклама и *связанные* ссылки основанные на вашем ip-адресе, содержимом писем и остальной информации связанной с вашим использованием службы Gmail.
Компьютеры Google обрабатывают информацию из ваших писем для различных целей, включая форматирование и показ информации, показ рекламы и *связанных* ссылок, предотвращение спама, создание резервных копий ваших сообщений и для других целей, связаннных с предоставлением вам сервиса Gmail

drongo
15.11.2007, 10:05
ScratchyClaws ,банк будет работать, но ты не сможешь пользоваться их серевисом ;)

ScratchyClaws
15.11.2007, 10:17
ScratchyClaws ,банк будет работать, но ты не сможешь пользоваться их серевисом ;)

я дома поэксперементирую с этим

SuperBrat
15.11.2007, 13:33
ScratchyClaws, не надо экспериментировать. Кукисы содержат информацию о твоих настройках страницы, местоположении, законченности сессии наконец. Там нет информации о твоих деньгах. Враг сидит не в кукисах. Он вполне реально может сидеть в банке, получать небольшую зарплату и немножечко вредить. ;)

drongo
15.11.2007, 14:38
для удобной настройки кукисов, плагин CSlite поставь. Всё просто : блокируеться автоматом все, потом разрешаешь кому доверяешь и всё. SeaMonkey тоже поддерживаеться ;)
http://forum.softwareblaze.com/viewtopic.php?t=137&sid=787f8fcb2dd6941b0f5723756c30a71d

ScratchyClaws
15.11.2007, 15:03
drongo
у меня проблема была в прошлой версии SeaMonkey когда у некоторых сайтов кукисы вообще не сохранялись... так что я остерегаюсь теперь сразу всё блокировать...

drongo
15.11.2007, 22:44
А ты в самом браузере настpойки куков не трогай, а левой кнопкой мышки нажимать надо на значок печенья и выбрать кому разрешить. Не бойся- мы с тобой ;)
Вот в картинках :
http://virusinfo.info/showpost.php?p=121136&postcount=1