Полезная информация

Mozilla Россия — свежие версии программ Mozilla, а также масса полезной информации по каждому продукту.

№126-01-2018 06:29:18

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9326
UA: Seamonkey 2.14

небольшая демонстрация стука через цсс

детектим тип браузера даже с отключенными скриптами и убранным или поддельным юзерагентом
и отсылаем инфу на сервер
типы
1 ие (можно было еще и версию воткнуть типа 6 7 8 итд но лень)
2 мозилловский
3 все остальные(написал что вебкит)
отправка данных о задетекченном типе идёт через запрос картинок-фонов
вебкит один зеленый
ие зелёный и синий
мозилла зелёный и красный

http://www.xmail.net/daednrob/files/mysoft/cssishole/browserdetectcss.htm

и это еще не юзались всякие @media
ps наверняка и у хрома и прочих сафарей можно найти специфическое типа moz- но ковыряться лень.
и до кучи размер экрана можно узнать с отключенными скриптами там как раз собака-медиа юзается.
воткнуть туда запросы-картинки передающие значения можно точно также.
http://www.xmail.net/daednrob/files/mysoft/cssishole/showscreensize.htm
---
нее браузер не стучит! технологии безопасны!! ВЕРЬТЕ НАМ!!
добавил еще немного про стук
и ещё

Отредактировано okkamas_knife (04-02-2018 09:06:56)


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.

Отсутствует

 

№226-01-2018 19:15:03

Крошка Ру
Участник
 
Группа: Extensions
Зарегистрирован: 19-10-2008
Сообщений: 8716
UA: Firefox 52.0

Re: небольшая демонстрация стука через цсс

okkamas_knife,Какой отклик без стука :)

"Просите – и вам дадут, ищите – и найдете, стучите – и вам откроют. Потому что каждый, кто просит, получает, и кто ищет, находит, и тому, кто стучит, откроют."

Отредактировано Крошка Ру (26-01-2018 19:17:07)

Отсутствует

 

№326-01-2018 20:12:05

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9326
UA: Seamonkey 2.14

Re: небольшая демонстрация стука через цсс

да я давно уже заметил что на безопасность всем плевать.
это чисто для демонстрации тем недопараноикам что хотят замаскировать браузер с включенными скриптами
если и без скриптов то можно задетектить (а юзая @media и версию узнать поконкретнее)
то со скриптами и подавно.
если непонятно как работает стук еще раз поясню
вот зашел ты на страничку , юзерагент скрыт или изменён, скрипты выключены
если обработки странички нет или вырублены картинки то в логах сервера будет только один запрос
если там не ие и не мозилла то 2 запроса страничка и green.png
если ие то запросов три  страничка зеленый и синий если мозилла то тоже три страничка зелёный и красный.
сделать всё это незаметным и удобоваримым для последующей обработки вообще нет проблем.
и это таки да кусок к отпечатку
ну а разместив подобное в разных местах и генеря картинки  можно отслеживать юзера даже если он режет скрипты
и меняет юзерагента


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.

Отсутствует

 

№426-01-2018 20:22:42

Крошка Ру
Участник
 
Группа: Extensions
Зарегистрирован: 19-10-2008
Сообщений: 8716
UA: Firefox 52.0

Re: небольшая демонстрация стука через цсс

okkamas_knife, Ну так и что с этим поделать? :whistle: :)

Отсутствует

 

№526-01-2018 21:19:31

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9326
UA: Seamonkey 2.14

Re: небольшая демонстрация стука через цсс

ничего.. просто иметь ввиду что безопасность штука комплексная и достаточно одного прокола.
всё равно юзеры не способны выполнять даже минимум правил.
они даже не научились не верить заявлениям всяких деятеле и контор о безопасности той или иной фигни.
фраза Мы защитим вас от шуршунчика  означает на деле  Мы не хотим чтоб шуршунчик выпил у вас кровь которую мы хотим выпить сами. или как вариант Мы придумали шуршунчика чтоб запугать им вас тогда вы сами предоставите нам доступ к своему тельцу чтоб мы смогли полакомиться.
ну а чтоб определить реальный шуршунчик или нет нужно мозг включать а с этим у юзеров сам знаешь хреново.
вот скажи ты лично сам проверил написанное выше в разных браузерах? наверняка поленился ведь?


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.

Отсутствует

 

№627-01-2018 18:36:28

Крошка Ру
Участник
 
Группа: Extensions
Зарегистрирован: 19-10-2008
Сообщений: 8716
UA: Firefox 52.0

Re: небольшая демонстрация стука через цсс

наверняка поленился ведь?

okkamas_knife, Наверняка:lol: ... а зачем проверять ,если информация вызывает доверие :)

Отсутствует

 

№727-01-2018 18:52:45

Ultima2m
Участник
 
Группа: Members
Откуда: Россия
Зарегистрирован: 28-11-2013
Сообщений: 566
UA: Firefox 58.0

Re: небольшая демонстрация стука через цсс

Обычному пользователю некогда этим заниматься.
Ведь нужно перелопатить кучу информации, научиться хотя бы основам.
А если у тебя работа непрофильная или две? Семья.
Поэтому, более озабоченные безопасностью, юзают продукты доработанные специалистами.
Например, TOR.
Правда, поговаривают, что специалисты из TOR основной считают работу в ФБР...
Да и где гарантия, что всякие proxy/VPN сервисы не контролируются кем-то со стороны?

Отсутствует

 

№827-01-2018 19:19:39

AlAvis
Участник
 
Группа: Members
Зарегистрирован: 16-06-2014
Сообщений: 288
UA: Firefox 56.0

Re: небольшая демонстрация стука через цсс

Неверная формулировка . Стук - когда браузер сливает информацию . Когда сайты следят за разностью возможностей браузеров (а так будет всегда , пока у всех не будет один и тот же , одной , неразвивающейся версии) - шпионаж . Соответственно не к мозилле придираться , а со слишком "любопытными" сайтами бороться . Например просто не заходить .

Ultima2m пишет:

поговаривают, что специалисты из TOR основной считают работу в ФБР

Поговаривают те - кому "специалисты из TOR" мешают следить за пользователями и ограничивать доступность неугодных ресурсов .

Отредактировано AlAvis (27-01-2018 19:23:57)

Отсутствует

 

№927-01-2018 23:49:56

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9326
UA: Seamonkey 2.14

Re: небольшая демонстрация стука через цсс

AlAvis пишет: Стук - когда браузер сливает информацию .

а это что - не слив?
один простой запрос странички в дефолтном браузере уже сливает сайту твою версию браузера поддерживаемые языки и форматы твою операционку
и это только юзерагент и парочка заголовков а их там гораздо больше
а уж если владелец сервера спросит(используя возможности скриптов стилей хтмл) то браузер не спрашивая тебя сольёт гораздо больше инфы.
а пример собственно приведён для ттого чтоб понимать что если скрипты и заголовки ещё можно както порезать в фф то вот такие вот дыры заткнуть совсем непросто даже тому кто разбирается.

Ultima2m пишет: Поэтому, более озабоченные безопасностью, юзают продукты доработанные специалистами.
Например, TOR.
Правда, поговаривают, что специалисты из TOR основной считают работу в ФБР...
Да и где гарантия, что всякие proxy/VPN сервисы не контролируются кем-то со стороны?

так вот я и талдычу что когда ктото говорит про безопасность и её улучшение это обман и намеренное введение в заблуждение юзера.
а следовательно полагаться на чьито там заверения глупо.
если ты купил сапоги это не значит что они защитят тебя от промокания потому что лужа может оказаться глубже
и надевание химзащиты или скафандра не поможет потому что на дне может оказаться острая арматура или какаято зубастая хрень.
поэтому даже надев всё это изабравшись в танк надо осознавать что ты не в безопасности и двигаться по асфальтированной дороге объезжая лужи и прочие подозрительные места.
надо просто осознавать хотябы часть опасностей и вести себя соответственно.
и да безопасность и удобства никогда не бывают вместе и если чтото делается для удобства то в 99% случаев это в ущерб безопасности.


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.

Отсутствует

 

№1003-02-2018 07:37:14

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9326
UA: Seamonkey 2.14

Re: небольшая демонстрация стука через цсс

до кучи желающие могут почитать как отслеживать действия пользователя с помощью только CSS https://habrahabr.ru/post/348196/
статья вобщемто "капитанская" и далеко не полная но всё же как пример того что собирать данные можно и с выключенными скриптами сойдёт.
ну и бонусом напомню что тэги script и style ддля того чтоб запихнуть скрипт и стиль на страничку юзать совершенно необязательно
например можно юзать подобное <div style="blabla...." onmouseover="alert(ololo)">
и таки я еще не сказал про использование тэга img ? не?  ну так элементарно же - есть например формат apng который тот же ие не поддерживает
втыкаем его и смотрим отобразился или нет и вот мы уже знаем что у юзера мозилловский движок  или другой.
(отследить можно также стилем)
плюс в него (в тэг) можно втыкать любой урл т.к. браузер распознаёт картинку по заголовку что предоставляет дополнительные воззможности для скрытия слежки.
и это юзается - возмите любую картинку с мордокниги - без запросной части фиг вам а не картинка.
я уж молчу про всякие радикалы итп  которые без заголовка реферер (аддрес страницы с какой пришёл запрос) фиг что покажут.


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.

Отсутствует

 

№1103-02-2018 12:16:15

Dumby
Участник
 
Группа: Members
Зарегистрирован: 12-08-2012
Сообщений: 846
UA: Firefox 52.0

Re: небольшая демонстрация стука через цсс

Отсутствует

 

№1203-02-2018 13:53:20

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9326
UA: Seamonkey 2.14

Re: небольшая демонстрация стука через цсс

ну и что? я ж написал что это не единственный вариант  а самый простой
берём тот же @support и проверяем что поддерживается,  а что нет и на этом основании вычисляем
возможно чисто правилами вывести юзеру нужное будет затруднительно но ведь это вобщемто и не нужно
достаточно того что ты можешь проанализировать  пришедшие запросы типа если поддерживается такое правило то запросить одну картинку если другое то другую и по совокупности вычислить даже версию.
и да я в курсе что в поздних версиях ие конструкция условных комментарием не работает.
задача то не полноценную определялку соорудить а наглядный пример да еще без обработки на сервере.

Отредактировано okkamas_knife (03-02-2018 13:54:04)


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.

Отсутствует

 

№1304-02-2018 09:05:59

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9326
UA: Seamonkey 2.14

Re: небольшая демонстрация стука через цсс

хехе а вот вам ещё и CSS кейлоггер чтоб воровать пароли
а прикол в том что стиль для страницы может быть прописан не только в её коде но и в стайлише юзерхроме и в любом дополнении\кнопке\юзерском скрипте
и что для этого не нужно много писать достаточно одной строчки @import('урл')
как вы думаете на амо проверяют стили в дополнениях?
а на скольких сайтах подключены внешние цсски?
зы выражаю благодарность автору тех статей за проделанную работу (про демонстрации очевидного но всем же лень писать как и мне - только ща сподвигнулся на этот прмер а знал то давно)

Отредактировано okkamas_knife (04-02-2018 09:07:59)


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.

Отсутствует

 

№1411-02-2018 07:20:11

ifln
Участник
 
Группа: Members
Зарегистрирован: 20-09-2013
Сообщений: 182
UA: Firefox 52.0

Re: небольшая демонстрация стука через цсс

Расширение предлагается. Толк есть? Не понятно, на 52ESR не ставится.
CSS Exfil Protection

Отсутствует

 

№1511-02-2018 13:04:41

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9326
UA: Seamonkey 2.14

Re: небольшая демонстрация стука через цсс

ifln пишет: Расширение предлагается. Толк есть? Не понятно, на 52ESR не ставится.
CSS Exfil Protection

фуфло. спекуляция на теме .  защитит возможно при одном варианте но стоит чуток поменять способ и толку ноль
товарищ взял пример реализации атаки и сделал конкретно против него.
(он там инпуты проверяет и всё! кто мешает в качестве селектора вместо input указать *[type="text"] например(это я условно) или #ид_инпута)
вобщем ложное чувство безопасности это всё что даёт это расширение.


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2011 Mozilla Russia
Язык отображения форума: [Русский] [English]