Метод слежки с помощью куков

← →
Verter_Alice (2011-01-11 23:26) [0]

Привет всем! Куки позволяют опознавать пользователя зашедшего на один и тот же сайт. А вот левый сайт может считывать куки относящиеся к другому сайту. С технологией незнаком, уж просветите.
Вот захожу на один сайт, а снизу статьи мое лицо, аккаунт с контакта.
Что значит этот сайт мог записать у себя, что я был на сайте? (конкретно ид)
(прочитав кук с контакта, я оттуда не вышел, и кук естно свежий)
Сразу зашел в контакт нажал на кнопку выход - кук удалился,
перегрузил ту страницу сайта - он меня не опознал...

← →
antonn © (2011-01-11 23:34) [1]

> А вот левый сайт может считывать куки относящиеся к другому
> сайту.

теоретически не может

← →
Dimka Maslov © (2011-01-11 23:36) [2]

На странице располагается некий элемент (маленькая картинка, скрипт), который заставляет браузер в процессе отображения страницы полезть на контакт, передав ему куку, которая через джаваскрипт будет видна и на загружаемой странице. Ну а дальше кука передаётся на сервер и обрабатывается. Именно поэтому в настойках безопасности рекомендуется блокировать куки с посторонних доменов, не относящихся к загружаемой странице. Может как-то по другому.

← →
Verter_Alice (2011-01-11 23:37) [3]

Dimka Maslov

"дальше кука передаётся на сервер и обрабатывается"
надеюсь на сервер контакта?

← →
Dimka Maslov © (2011-01-11 23:38) [4]

Нет, на "левый" сайт. По крайней мере, мне помнится, о такой возможности лет 10 назад где-то писали. Сейчас это могли исправить, и делается это другими способами.

← →
Inovet © (2011-01-11 23:45) [5]

Так вроде же по договорённости с ВКонтактом это делается на определённых сайтах.

← →
tesseract © (2011-01-11 23:56) [6]

> ВКонтактом это делается на определённых сайтах.

referer есть. По нему вычисляем. А если есть js фрэйм который весь из себя находится на xxx и xxx законопослушно передает твои данные - это Google в лохматых годах уже разбазарил. Вконтакт - как и mail.ru и др - копипастит чужие технологии.

← →
Дмитрий Тимохов (2011-01-12 01:57) [7]

причем тут реферер?

← →
* (2011-01-12 07:10) [8]

> Dimka Maslov © (11.01.11 23:36) [2]

это называется XSS-атака
и с помощью ее пароль можно украсть далеко не всегда, а скорее всего - никогда
хеш пароля и можно увести, после чего сделать фейковую куку, которую сайт может (!) воспримет за настоящую и пустит.
но сейчас это уже почти невозможно.

← →
12 © (2011-01-12 08:49) [9]

тоже сильно удивился, спасибо за расъяснение

← →
Verter_Alice (2011-01-12 10:47) [10]

Inovet
помоему всем можно, вроде как ввести код на страницу,
надо посмотреть раздают ли код...или посмотреть на сайте
и оно будет подхватывать пользователя контакта.
Хм, а можно ведь на своей странице забить скриптик,
который прочтет уже сформировавшую страницу и выдерет оттуда
ID пользователя контакта - считай уже отследил кто был на моем сайте.
Можно ещё копить IP откуда пришел...

Речи о воровстве паролей не идет, а аутентификации пользователя.
У яндекса в куках есть переменная yandexuid, тоже следит)

← →
KSergey © (2011-01-12 11:19) [11]

> * (12.01.11 07:10) [8]

в [2], на сколько я понял, было как раз написано про вполне легальные технологии, без какого-либо воровства и подмены.

← →
KSergey © (2011-01-12 11:22) [12]

> 12 © (12.01.11 08:49) [9]
> тоже сильно удивился, спасибо за расъяснение

Не понятно чему удивляться.
Наверняка вконтакт предоставляет соотв. интерфейс.
Достаточно поглядеть исходик того сайта, который отображает. там явно просто ссылка на вконтакт - и все. Все честно, никакого воровства.

← →
12 © (2011-01-12 11:43) [13]

> KSergey © (12.01.11 11:22) [12]

Ну, не знаю,
сам я самоудалился отовсюду,
и не очень слежу в послед.время за браузерными технологиями

вот видел, например, новости и есть где-то банер - "написать на стене". Это на одном из подобных сайтов, есть аля заметки юзера, как понял.
Словом, жмакаешь на одном сайте и там, на другом, появляется надпись, как если б ты ее набил в input элемент и жмакнул submit

Посчитал ловким приемом.. :)
Не более, но и не менее. Достойно удивления, словом. Легкого :)

← →
Dimka Maslov © (2011-01-12 13:27) [14]

> KSergey © (12.01.11 11:19) [11]

Многие легальные технологии впоследствии стали использоваться в аморальных целях.

← →
KSergey © (2011-01-12 13:44) [15]

> Dimka Maslov © (12.01.11 13:27) [14]
> Многие легальные технологии впоследствии стали использоваться в аморальных целях.

По-моему - решительно все.
Ибо воровать - выгоднее ввиду большего риска.

← →
DiamondShark © (2011-01-12 13:53) [16]

> Ибо воровать - выгоднее ввиду большего риска.

По такой логике -- прыгать вниз головой с 10-го этажа ещё выгоднее.

← →
Dimka Maslov © (2011-01-12 14:38) [17]

> DiamondShark © (12.01.11 13:53) [16]

Естественно, ибо все проблемы решаются раз и навсегда!

← →
Мимо не прошел (2011-01-12 20:02) [18]

Это еще цветочки, официальный виджет от вконтакта, который можно ставить на сайт.
Больше интересна ситуация когда вконтакт читает адресную книгу. Собирает с нее емайлы людей с которыми вы переписывались и рассылает им приглашения вида: "Этого человека вы знаете, он зареган вконтакте и вас тудайже зовет".
Раньше подобным только вирусы занимались. А теперь это становится обычным делом? :) И что еще читает вконтакт кроме адресной книги?

← →
KSergey © (2011-01-12 20:29) [19]

> Мимо не прошел (12.01.11 20:02) [18]

Погодите.
Он читает адресную книгу вконтакта, правильно?

← →
Мимо не прошел (2011-01-12 20:40) [20]

> Погодите.Он читает адресную книгу вконтакта, правильно?

В том то и дело что нет.
Я не был зареган вконтакте и стал получать письма от этой сети с такого содержания: "Возможно вы знаете этого человека, он зарегистрирован вконтакте." и фотки и адреса малознакомых людей с которыми я когда-то переписывался, по работе, или по другим делам. Сами они такого не сделают, т.к. малознакомы. Из чего получается что мой адрес у этих людей болталсо где-то в "отправленных", а вконтакт его выудил и отписал мне от их имени. Вообще фигня какая-то. "это же не наш метод!"

← →
Плохиш © (2011-01-12 20:46) [21]

> Из чего получается что мой адрес у этих людей болталсо где-
> то в "отправленных"

Нифига не получается. Он лежит на 99% в их адресной книге. Outlook Express и Mail сохраняют по-умолчанию адресата в книге, другие программы, подозреваю, делают тоже самое.

← →
Игорь Шевченко © (2011-01-12 20:48) [22]

> и стал получать письма

это спам

← →
Мимо не прошел (2011-01-12 20:49) [23]

> Он лежит на 99% в их адресной книге. Outlook Express и Mail
> сохраняют по-умолчанию адресата в книге, другие программы,
> подозреваю, делают тоже самое.

Ну. И если вконтакт может читать адресную книгу, то и (пишите сами) :)
Ведь так? Насколько это вообще этично\правомерно и куда уж дальше заглянет соцсеть? К веб камере подключаться уже умеет:)

← →
Копир © (2011-01-12 21:20) [24]

Слежки!

Пользуйтесь Netscape 4.73, как я.
И даже всемогущая ФБР не определит кто и где.
Отключите JS.

Подключитесь через анонимайзер.
И будет Вам интимное, полновесное щастье посещать те сайты,
которые Вам близки!

Современная практика юзеров, которые всю дорогу пытаются
уйти от преследования, очень напоминают поведение подростков,
стремящихся к тайне, к интриге!

Да кому Вы нужны!

← →
KSergey © (2011-01-12 21:59) [25]

> Плохиш © (12.01.11 20:46) [21]
> Нифига не получается. Он лежит на 99% в их адресной книге.
> Outlook Express и Mail сохраняют по-умолчанию адресата
> в книге, другие программы, подозреваю, делают тоже самое.

Программы - может и да (врода даже WinAPI соотв. есть).
но браузер?? он, конечно, тоже программа, но все ж мне сомнительно, чтобы с WEB-страницы был доступ до адресной книги.
Этак давно бы уже все адреса у всех стырили, ибо инфа крайне интересная.
Не, чета сказки какие-то.

Другое дело, если переписка шла через WEB-интерфейс mail.ru, и mail.ru как-то с вконтактом задружил на эту тему, но это тоже маловероятно, ибо их интересы явно пересекаются в плане соц. сетей.

По-моему, какие-то сказки, либо протечка если и была - вовсе не там. А может и вовсе не протечка.

← →
Мимо не прошел (2011-01-12 23:01) [26]

> Не, чета сказки какие-то.

Ну расскажу подробнее. Я даже вконтакте зарегался, так меня это заинтересовало. После регистрации он просит указать свой е-майл и пароль к нему:) Так и говорит: для улучшения поиска ваших друзей. Видимо юзеры указывают.
Т.е. вконтакт роется в почте, (непонятно только где, через веб на серверах или все-таки на компе), читает почту, находит там адреса, которые не знает и рассылает по ним приглашения зарегацца, ссылаясь уже на хозяина ящика. Отсылает письмо с данными (фото, фио) хозяина ящика и текстом "возможно вы знаете этого человека, он зареган, приглашаем и вас"
у меня не сохранилось письма, все фтопку улетело сразу. жаль, надо было хоть одно оставить.

← →
Inovet © (2011-01-12 23:13) [27]

> [26] Мимо не прошел (12.01.11 23:01)
> После регистрации он просит указать свой е-майл и пароль к нему:)

Чё-то новенькое. Ты точно на том Вконтакте регистрировался, а то под него много закосов для выманивания пароля?

Мне, кстати, приходило пару раз письмо с просьбой от, якобы, одного из моих адресатов, зарегистрироваться на фейсбуке. Я пока не расспрашивал, скорее всего адресат не в теме - тыркнул где-нибудь что-то, или вообще вирус выловил адреса, но сайт фейсбук, вроде настоящий был по ссылке.

← →
Anatoly Podgoretsky © (2011-01-12 23:23) [28]

> Мимо не прошел (12.01.2011 23:01:26) [26]

Зачем ей где то рыться? Если email и пароль отдаются добровольно и явно

← →
Мимо не прошел (2011-01-12 23:46) [29]

> Inovet © (12.01.11 23:13) [27]
Спасибо, поправил меня. Я совсем с этими сетями запутался. Все что было сказано выше про Вконтакт - это было про Фейсбук, я их перепутал, сори. Письма мне приходили с фейсбука. Я и в корзине их сейчас нашел:)
Вот, то что и ты получил, это не юзер случайно ткнул, а отправил именно сам фейсбук с его ящика.
Т.к. Вконтакт - клон фейсбука, то от и него можно ожидать все что угодно)

> Зачем ей где то рыться? Если email и пароль отдаются добровольно и явно

Да, тут налицо развод на доверии. А рыться, чтобы найти ящики которые еще незавечены и сделать на них рассылку приглашений.
(конечно, почту он не читает, это ж неэтично:)

← →
Verter_Alice (2011-01-13 00:04) [30]

адресную книгу-
это что то новое, каким раком, скриптами залесть в файло...
скорое шарится в виньпапках и отправляет его на сервак, там проги посерьезнее дрючат - выбирая емайлы, пароли...

> [29] Мимо не прошел (12.01.11 23:46)
> Все что было сказано выше про Вконтакт - это было про Фейсбук

Так не мудрено. Нетрудно догадаться, кто у кого плагиатит.:)

> [29] Мимо не прошел (12.01.11 23:46)
> Вот, то что и ты получил, это не юзер случайно ткнул, а
> отправил именно сам фейсбук с его ящика.

Я и имел ввиду, что галку какую тыркнул, была по умолчанию тыркнута, и пароль, как ты сказал, ввёл, чтобы фейсбук и слал потом приглашения. А кто там вникает в такие сложности - сказали ввести, и вводят.

Удалено модератором

← →
Мимо не прошел (2011-01-13 00:37) [34]

> А кто там вникает в такие сложности - сказали ввести, и
> вводят.
> сами пишут пароль на свою почту

Учитывая что количество юзеров фейсбука перевалило за 250млн. то имея доступ к личным ящикам, можно собирать вполне адекватную статистику по ключевым словам, темам и т.п. Хорошо если эти данные используются на благие цели, но как показывает история, в итоге, что изобретают во благо, потом поворачивается задом.

← →
Verter_Alice (2011-01-13 00:42) [36]

левый наверное нужно
фейс букс не наш - америкоса однако

← →
Verter_Alice (2011-01-13 00:55) [37]

Другая история, не все знают что куки есть и во внутреннем
флеш кэше, флеш свои куки делает и кладет у себя...

> Inovet © (13.01.11 00:38) [35]
> > И правда просит!
> Не вводить нельзя?

Можно, но упорно спрашивает.

В любом случае спрошение пароля почты - это не знаю даже как назвать.

← →
Мимо не прошел (2011-01-13 10:40) [39]

Сейчас от фейсбука пришло письмо с таким же содержанием, фотками, именами, только по ссылке уже просит ввести логин\пароль от скайпа:) Вот так. На дурака не нужен нож. Большой брат смотрит на него из его же вебкамеры:)

← →
Verter_Alice (2011-01-13 10:53) [40]

Кстати физически лучше жвачкой веб камеру залеплять...
иначе может скрытно фоткать и отсылать ваши фотки....

Метод слежки с помощью куков Найти похожие ветки