Перейти к содержанию

Recommended Posts

p2u

Заходите сюда.

Нажмите на 'Let's start!' и ждите пару минут. Для пользователей Firefox + NoScript: включите, пожалуйста, скрипты для данного домена для того, чтобы увидеть, сколько можно набрать на доверенных доменах.

P.S.: Если вами посещённых сайтов там нет, не унывайте: скоро будут... :D

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Ну думаю он читает куки...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Ну думаю он читает куки...

Не угадали. :)

Это CSS-хак. Если вы ничего специально не настройли, то тогда сылки, которые вы раньше посещали показываются браузером другим цветом. Вот подсказка...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

[14:52] %ЙаЛис: дело не в кукисах.

[14:52] %ЙаЛис: Всё много проще.

[14:52] Роль Bishounen была изменена на 'Участник'.

[14:52] Bishounen вошел

[14:52] Se7ven вышел

[14:52] %ЙаЛис: Современные браузеры позволяют использовать такую хитрую вещь как selectorAPI.

[14:53] %ЙаЛис: то есть использование CSS синтаксиса для выборки элементов.

[14:53] Angeli-Ka вышел: I'm happy Miranda IM user. Get it at http://miranda-im.org/.

[14:53] %ЙаЛис: И если ты делаешь кучу ссылок на разные сайты, потом берёшь выборку по a:visited, то ты можешь получить значения этих ссылок и грязно их заюзать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

ой, я нифига не понял, ну да ладно)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
ой, я нифига не понял, ну да ладно)

У них достаточно большой список сайтов: http://startpanic.com/db/db_en.txt

Их скрипт говорит вашему браузеру, чтобы тот показал сайты в их списке определённым шрифтом/цветом в зависимости от того, посещали ли вы этот сайт или нет. То есть: сайты, которых у них нет в базе, сервер не может узнать данным трюком. :)

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
barsukRed

Странно как-то... Опера, куки включены, ЯС включен. Ни одного сайта, который посещял( а набор довольно большой и в списке некоторые есть) не показало, но... только однокласники.ру который я не посещал! Даже куков в браузере от него нет!

Как это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Странно как-то... Опера, куки включены, ЯС включен. Ни одного сайта, который посещял( а набор довольно большой) не показало, но... только однокласники.ру который я не посещал! Даже куков в браузере от него нет!

Как это?

С куками это НЕ связно. Во-первых я должен сказать, что Опера из всех браузеров лучше всего защищён против таких эксплойтов (возможно из-за отсутствии plug-in'ов и add-on'ов, не знаю). Насколько поддержка Net-Framework или её отсутствие на это влияет пока не могу сказать. Вы, наверное, регулярно очищаете Историю в браузере? В таком случае, больше, чем то, что набралось в данной сессии они всё равно не узнают.

Вы хотите сказать, что вы сами никогда не были на одноклассники.ру? А может быть имеется другой профиль (жены, подруги, брата), который там был? Или это остаток рекламной ссылки какой-нибудь? Дело в том, что когда вы посещаете один сайт, вы на самом деле тоже посещаете другие (могут быть юзер-бары оттуда где-то). Например, если вы разрешаете картинки по умолчанию, то тогда там где участвует Deja_Vu в темах здесь, ваш браузер физически тоже ходит на вконтакте.ру и висит там некоторое время (это из-за его юзер-бара 'Anti-Malware Member'), а вы потом будете отрицать, что вы там когда-либо были. А Deja_Vu ещё - хороший человек и не скрывает ничего; можно также поместить в профиль, в подпись, или в сообщениях картинку 1х1 (невидима), которая ведёт в другой ресурс, и ваш браузер тоже туда будет ходить... :)

P.S.: 'Ну и что?' читатель, возможно, думает. 'Пусть узнают'. Но дело в том, что в список проверяемых также можно поместить одни банковские сайты или почтовые серверы (в зависимости от того, что требуется), и атакующий будет знать, какой банк вы посещаете в он-лайн, или какой мейл сервер у вас. Это увеличивает вероятность нацеленной атаки через XSS, и т.д. через многочисленные другие дыры...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Нашёл ссылку, где на понятном русском языке обсуждается как это всё делается:

Чтение истории посещений с помощью CSS - автор: Raz0r.name.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
barsukRed
Вы хотите сказать, что вы сами никогда не были на одноклассники.ру? А может быть имеется другой профиль (жены, подруги, брата), который там был? Или это остаток рекламной ссылки какой-нибудь?

Так и есть, я не посещяю этот сайт уже давно (более года назад забыл пароль и не стал больше ничего востанавливать за ненадобностью) и за этот период я пользуюсь (кроме меня никто) уже другим браузером с атоматическим удалением истории посещений... Но почему только однокласники? И в конце концов перед тем как посетить вышеуказанную ссылку я часа полтора посещал разные сайты и в том числе из списка startpanic.com... Не выходил из оперы а значит не удалял историю посещений...

Ссылка на однокласников осталась в фаерфоксе-портабл... Но он лежит на отдельном разделе диска и не запускался давно. Надо будет разобраться с этим вопросом хотя-бы ради любознательности :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Возможно всё-таки favicon где-то остался (картинка, которую сайты посылают если её не блокировать для того, чтобы в закладках их легко узнать). Я - маниак; я их блокирую (существуют и с ними эксплойты). :D

browser.chrome.favicons, boolean, falsebrowser.chrome.site_icons, boolean, false

Браузеры сразу же индексируют ВСЁ доступное (ссылки, htm, и т.д.), что у вас на компе (скорее - это делает Windows для них). Если копия этой ссылки у вас на компе лежит, то тогда Опера об этом 'знает' (в этом виновата сама ОС). Она также знает, что вы там были, так как ссылки на посещённые сайты имеют другой цвет по умолчанию.

Офф-топ: Настоятельно рекомендую Index.Dat Analyzer.

Это очень простой forensics tool; c ним убедитесь, что CCleaner и подобные не всё очищают, и что Windows гораздо больше индексирует, чем указано в значениях 'История' во всех браузерах - якобы для быстрого поиска. Index.Dat Analyzer бесплатна и у меня доверена (что редко бывает).

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
ваш браузер физически тоже ходит на вконтакте.ру и висит там некоторое время (это из-за его юзер-бара 'Anti-Malware Member'), а вы потом будете отрицать, что вы там когда-либо были.

Не правда -))

Это прямая ссылка на рисунок. Так что никто нигде не висит. :р

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

favicon, вроде бы не при чем. Т.е. у меня стоит локальный web-server и создан виртуальный хост с адресом существующем в интернете.

Так вот, favicon на виртуальном хосте нет, однако тест нашел его и проставил иконку с "настоящего" хоста в интернете

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Не правда -))

Это прямая ссылка на рисунок. Так что никто нигде не висит. :р

У меня нет, правда, потому что здесь разрешаются только картинки от самого anti-malware.ru, причём не все. Остальные пусть проверяют с помощью netststat или TCPView. Пока пользователь здесь в теме читает, состояние 'cs1108.vkontakte.ru' будет 'ESTABLISHED' (в Firefox) как и с картинками от radikal.ru и других ресурсов бывает. Это может длиться до того, как человек закрывает браузер (то есть: через РАЗНЫЕ домены). Это в отличии от картинок Андрей-100 (bestsmiles), например: у них соединение сразу же исчезает...

P.S.: Это не упрёк; я просто объясняю человеку откуда траффик идёт... ;)

favicon, вроде бы не при чем. Т.е. у меня стоит локальный web-server и создан виртуальный хост с адресом существующем в интернете.

Так вот, favicon на виртуальном хосте нет, однако тест нашел его и проставил иконку с "настоящего" хоста в интернете

В данном эксплойте favicon не при чём. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
В данном эксплойте favicon не при чём. :)

ага, я только потом прочитал ваш пост про css выборку -))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Забавный сайт. В принципе, все угадал :) Я даже подписал петицию :) Паул, что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Паул, что делать?

А я уже подумал: Почему не спрашивают? :D

На данном сайте NoScript защищает, так как здесь всё делается через скрипты. Однако, такой эксплойт можно также организовать без скриптов. Доказательство: здесь. Поэтому:

Держать Историю на '0' (браузер не должен запоминать ничего) и сёрфить только в Private Mode, P0rn Mode или как это всё называется во всех браузерах. Причём, в Firefox 3.5 (сейчас ещё Beta) есть настройка в about:config:

pref layout.css.visited_links_enabled поставить на False. (Это значит, что посещённые ссылки больше не будут отмечаться другими параметрами даже в одной сессии). В 3.0.10 НЕТ такой настройки. Мозилла пытается решать проблему в данный момент, но, скорее всего, программёрам это не удастся. Это не баг, а задуманное свойство (интенсивно используется уже с 2001 г. всякими шпионами/рекламщиками). Для Инудстрии Безопасности (модуль анти-шпион) теоретически возможно следить за подозрительным поведением CSS). Почему это надо? Через чтение атрибутов html-тэгов могут потом на разных сайтах XSS-атаками достать пароль, автоматически заполнен менеджером паролей вашего браузера. Поэтому всем мозг напрягать стоит...

P.S.1: Ещё один пример того, чем занимаются разные сервера с 'полезными услугами':

Я сегодня пошёл в свой почтовый ящик на freemail.ru для того, чтобы кому-то писать письмо. Во-первых такой алерт от NoScript:

Warning: The stylesheet _http://freemail.ru/file/editor/skins/office2003/html_editor.css was loaded as CSS even though its MIME type, "text/html", is not "text/css".

То есть: выдают одно за другое...

И в добавок ещё такой скрипт поставили:

Source File: _http://freemail.ru/file/editor/htmleditor.html?InstanceName=body_html&Toolbar=PluginTest

Plugin Test? Разочаровались ребятки, скорее всего: plugin'ов нет у меня; я их все выдернул...

P.S.2: В IE8 надо иметь в виду что:

1) настройку Private Mode надо каждую новую сессию заново вручную включить, что быстро надоедает

2) при открытии новой закладке или окна этот режим может уже не работать (значит надо отдельно включить заново).

(Всем понятно, я так думаю, как сама Майкрософт относится к этому режиму. ;))

P.S.3: У меня установлен Firefox 3.5 Beta 4 и я только в Private Mode сижу (там есть такая настройка, чтобы Firefox автоматически работал в этом режиме). Если вы тоже хотите установить эту версию, то тогда надо иметь в виду, что многие plug-ins и add-ons НЕ работают пока! NoScript, AdblockPlus, CookieSafe и User Agent Switcher работают. От PrefBar и ShowIP пришлось отказаться.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересный сайт, показал мне 119 сайтов, на которых я был :) Настройка FF на удаление всей истории при закрытии браузера/сессии должна минимизировать риски использования таких хаков. Или же использовать режимы конфиденциальности типа Private Mode :)

К сожалению, такая параноидальность лично меня лишила бы части часто используемого мной функционала браузера, например, быстрой подстановки URL при его вводе (ну лень мне набирать каждый раз, сохранять не хочется). Поэтому в моем случае риски нарушения приватности явно не перевешивают неудобства от защиты. Ну узнает кто-то, что я был на сайтах типа gartner, forrester, cnews, cnet, symantec, kaspersky и т.д. - реально не вижу проблемы. Поэтому предлагаю расслабиться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

А я вполне расслаблен, Сергей. Не зря же я создал топик в разделе юмора... Только определённые моменты надо иметь в виду: защита данных - это не только DLP на самом компе; трюков много существует, и банковские сайты тоже запоминаются браузером если ничего не делать. Поэтому я считаю, что, возможно, открываются новые горизонты для Индустрии Безопасности и всё не так уж плохо... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Причём, в Firefox 3.5 (сейчас ещё Beta) есть настройка в about:config:

pref layout.css.visited_links_enabled поставить на False.

Где же скачать эту бетку? Облазил весь сайт Моззилы - не нашел :(

И еще, как вам такой плагин в плане XSS ?

https://addons.mozilla.org/ru/firefox/addon/7598

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
И еще, как вам такой плагин в плане XSS ?

Если вы сами веб-мастер, то тогда может быть интересен. А так: проверка по базам; что это даёт? NoScript даст вам нужную защиту если вы не слишком многим сайтам доверять будете...

P.S.: Firefox 3.5 Beta 4 (US-en). Русского варианта нет там...

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

У меня этот тест опять не прошёл, как и прошлый, предложенный Паулом.

Видимо не позубам им мой старенький IE6 с моими собственными настройками.

И сейчас я вообще отказался от защиты своего ресурса чем бы то ни было. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
У меня этот тест опять не прошёл, как и прошлый, предложенный Паулом.

Видимо не позубам им мой старенький IE6 с моими собственными настройками.

И сейчас я вообще отказался от защиты своего ресурса чем бы то ни было. :)

Может быть поделитесь своими настройками? А то придут сюда читать, и подумают, что стоит вернуться к IE6 безоговорочно, что конечно не так...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Я после IE7 и IE8 же вернулся. И ничего страшного не произошло.

Всё, что мне надо - работает, открывается, загружается и сохраняется.

В одной из тем я писал про вспомогательные программы, которые безоговорочно помогают, если надо, а так они не включены (и сейчас у меня их всего две).

Ничего экстраординарного в моих настройках нет. А результат есть - браузер не заражается, система чиста.

Всем, кому не хочется 7-ку и 8-ку их делаю. Этого достаточно.

Это мой выбор. Писать ещё одну книгу про Интернет не имеет смысла.

Другие браузеры у меня тоже стоят. Но пользуюсь ими только от случая к случаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Причём, в Firefox 3.5 (сейчас ещё Beta) есть настройка в about:config:

pref layout.css.visited_links_enabled поставить на False.

Спасибо за ссылку. Бетка уже русская. Но такой строки нет :( Просто поставил в настройках "Приватность" - "Не будет сохранять историю".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Арбитражный управляющий Каждый может оказаться в такой ситуации, когда требуется профессиональная и своевременная поддержка юриста. Если и вы вынуждены стать банкротом и оформить это по закону, то необходимо обратиться за такой услугой в центр банкротства. В компании работают квалифицированные специалисты с большим опытом, а в их багаже большое количество успешно завершенных дел. Именно поэтому вы сможете надеяться на отличный результат. Важно учесть тот момент, что специалисты детально изучают вопрос для того, чтобы подробно рассмотреть вопрос, после чего выявить возможности благоприятного результата. Списать долги Волгоград (Списание кредитов) получится по закону. Нет необходимости в том, чтобы переживать за процесс. Так специалисту удастся списать те долги, которые вы не в силах выплатить. Увы, но этот процесс может занять несколько месяцев, к тому же он не бесплатный. Банкротство физических лиц в Волгограде ведет компетентный сотрудник – он добросовестно и ответственно подойдет к решению вопроса. Он будет защищать интересы клиента, руководствуясь Конституцией. Юрист по банкротству займется оформлением документов и заявления, подготовит все факты в пользу того, чтобы объявить вас неплатежеспособным. Опыт сотрудников позволяет браться за дела различной сложности. Арбитражный управляющий Волгоград поможет вам избавиться от долгов. Что касается расценок, то на них влияют самые разные факторы, включая расходы на законодательном уровне. Подписывается договор на указание услуг – в нем указываются обязанности каждой стороны, набор услуг. Юрист рассмотрит все аспекты вашего дела. Важным моментом является то, что все ваши долги будут списаны в полном объеме при положительном исходе дела. Специалист использует все ресурсы, которые потребуются для того, чтобы получить положительный результат.
    • Dmitrius
      Септик в Москве и Московской области Компания долгое время и на выгодных условиях оказывает услуги, связанные со строительством автономной канализации в Москве и области. Если Вам необходима выгребная яма – ознакомьтесь с интересующей информацией на официальном портале. Автономная канализация, организованная на дачном участке, положительно влияет на уровень комфорта. Несмотря на то, планируется ли круглый год проживать на участке или только летом, вы почувствуете удобство. Цену на ее установку вы сможете узнать на сайте. Компания длительное время работает в данной сфере, а потому предлагает только выгодные условия, доступные цены, а сами работы выполняются быстро, аккуратно и в наиболее комфортное время. Она наладила сотрудничество с проверенными и надежными поставщиками оборудования. Специалисты создадут высокотехнологичную и работающую систему под ключ. В работе используются только надежные, качественные материалы, выполняются технологические условия. Если говорить о ценах, то они остаются на среднем уровне, а потому воспользоваться услугой смогут все, кто хочет. Кольцевой накопитель отлично подходит для сбора сточных вод при условии, что в доме на постоянной основе проживают до 7 человек. Все работы будут выполнены в минимальные сроки и тогда, когда это удобно именно вам. С собой будут все необходимые инструменты, а также материалы. Сотрудники осуществят установку и выполнят все нужные работы. При появлении вопросов задайте их сотрудникам, которые все пояснят, а также определят общую стоимость работ. Специалисты выполнят все необходимые работы, несмотря на время года. Отсутствуют дополнительные наценки, переплаты, только прозрачные условия сотрудничества.
    • Ramonsmaps
      Over the years of independence, the institute has trained more than 13000 physicians (including 800 clinical interns, 1116 masters, 200 postgraduates and 20 doctoral students) in various directions.

      870 staff work at the institute at present,[when?] including 525 professorial-teaching staff in 55 departments, 34 of them are Doctors of science and 132 candidates of science. 4 staff members of the professorial-teaching staff of the institute are Honoured Workers of Science of the Republic of Uzbekistan, 3 – are members of New-York and 2 – members of Russian Academy of Pedagogical Science.

      The institute has been training medical staff on the following faculties and directions: Therapeutic, Pediatric, Dentistry, Professional Education, Preventive Medicine, Pharmacy, High Nursing Affair and Physicians’ Advanced Training. At present[when?] 3110 students have been studying at the institute (1331 at the Therapeutic faculty, 1009 at the Pediatric, 358 at the Dentistry, 175 students at the Professional Education Direction, 49 at the faculty of Pharmacy, 71 at the Direction of Preventive Medicine, 117 ones study at the Direction of High Nursing Affair).

      Today graduates of the institute are trained in the following directions of master's degree: obstetrics and gynecology, therapy (with its directions), otorhinolaryngology, cardiology, ophthalmology, infectious diseases (with its directions), dermatovenereology, neurology, general oncology, morphology, surgery (with its directions), instrumental and functional diagnostic methods (with its directions), neurosurgery, public health and public health services (with its directions), urology, narcology, traumatology and orthopedics, forensic medical examination, pediatrics (with its directions), pediatric surgery, pediatric anesthesiology and intensive care, children's cardiology and rheumatology, pediatric neurology, neonatology, sports medicine.

      The clinic of the institute numbers 700 seats and equipped with modern diagnostic and treating instrumentations: MRT, MSCT, Scanning USI, Laparoscopic Center and others.

      There are all opportunities to carry out sophisticated educational process and research work at the institute.

      Source:
      https://adti.uz/magistratura/
      medical institutes of uzbekistan

      Tags:
      medical institutes of uzbekistan
      regional scientific medical library
      electronic library of a medical student
      electronic medical library official website
    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
×