Интернет проник во все сферы жизни, вклад этой технологии в прогресс невозможно переоценить. Интернет-браузеры (Chrome, Firefox, Safari, Opera и т.д.) занимают топ среди инструментов "использования интернета", а сайты, которые посещают через эти браузеры — самый распространенный способ для обмена информацией.
Читатель, вероятно, знаком с основными технологиями для создания сайтов: HTML, CSS и JavaScript (он же — ECMAScript). Первые две технологии — статичный текст со специальным синтаксисом, который браузер использует для формирования визуальной части сайта. JavaScript, в свою очередь, является полноценным языком программирования, который оживляет сайты, превращая их в веб-приложения. Код JavaScript чаще всего приходит с сервера в виде текста, как и HTML/CSS, но это не статичный макет страницы, а код, который исполняется интерпретатором, встроенным в браузер. Сайт с использованием JS может быть чем угодно: от полноценного мессенджера и приложения для видеоконференций до онлайн-шутера с 3D-графикой. Браузеры исполняют код JavaScript в изолированной среде с очень ограниченным доступом, поэтому сайты не имеют доступа, например, к терминалу операционной системы, файловой системе и другим приложениям.
Несмотря на прогрессивность, в кругу людей, которые заботятся о своей приватности и что-то смыслят в технологиях, JS пользуется дурной славой. Как правило, его отключают через специальные браузерные расширения и негодуют на онлайн-ресурсы, которые вынуждают включать JavaScript для их использования.
Сложно переоценить пользу JS, который делает сайты интерактивными, удобными и современными. В то же время опасность, которая в нем таится, обычно ускользает от внимания. Эта статья — попытка заглянуть монстру в глаза, попутно открывая глаза читателя.
HTTP
Сайты и все, что с ними связано — не конь в вакууме. Поэтому кратко опишу каким образом сайты открываются у нас в браузере. Знающей публике просьба перепрыгнуть на следующий заголовок.
Для связи с сервером браузеры используют HTTP — протокол передачи текста со ссылочками и кнопочками, т.е. передачи документов в формате HTML, красоту которому придает CSS (цвета, рамки, отступы между элементами и прочее).
Сообщения HTTP состоят из двух частей: заголовков и тела. В заголовках передаются служебные данные, а в теле — полезная нагрузка вроде файлов сайта для отображения в браузере или картинку, которую пользователя загружает на сайт со своего устройства.
При запросе на сервер, заголовки сообщают базовую информацию о клиенте: предпочитаемый язык, версию браузера, версию протокола HTTP и прочее, что сервер использует для отображения пользователю версии сайта, которая подойдет ему лучше всего. Например, будет содержать текст на родном языке.
HTTP поддерживает сохранение состояния через куки (cookie). Это специальный заголовок, который браузер принимает от сервера, сохраняет его данные, и затем подставляет их в свой каждый запрос. Это обеспечивает простую реализацию авторизации и прочего, когда сервер при получении запроса имеет информацию о том, что именно сейчас пользователь должен увидеть и есть ли у него для этого права доступа. Также куки могут быть использованы без очевидной для пользователя причины: для идентификации случайного гостя сайта, чтобы в дальнейшем работать с ним как с уже известным, закрепляя за ним историю посещенных страниц и выдавая персонализированный контент. В общем, куки могут использоваться не только в кристалльно-понятных и полезных для юзера целях, но в целом механизм необходимый и вполне понятный.
В цивилизованном мире стало нормальной практикой хотя бы предупреждать о использовании куков, а факт их использования легко увидеть через инструменты разработчика.
HTTP разрабатывался до появления JavaScript и позволяет делать весьма сложные и функциональные сайты, но для обновления содержимого на странице такого сайта, страница должна быть полностью обновлена, например, по клику на кнопку. Пока этого не случится, страница неизменна с момента ее получения от сервера. О современном чате, который работает в реальном времени, или всплывающих уведомлениях, а также о многом другом, что современный пользователь привык видеть, без JS говорить не приходится.
JavaScript предоставляет разработчикам возможность создавать динамическое поведение на страницах, взаимодействовать с пользователем и изменять содержимое в реальном времени. Это делает его мощным инструментом, но также и источником потенциальных угроз. Поскольку JS-код это всегда "кот в мешке", существует риск выполнения вредоносного кода, который может украсть данные пользователя, отслеживать его действия и что еще похуже.
Слежка обыкновенная
Помимо простых куков, JavaScript предлагает такие механизмы, как LocalStorage, SessionStorage и IndexedDB, которые позволяют хранить данные в браузере. LocalStorage и SessionStorage схожи, отличие только в том, что LocalStorage сохраняет информацию на неограниченный срок, а SessionStorage очищается при закрытии вкладки. Оба метода при грамотном использовании улучшают общее впечатление от сайта, который запоминает выбранную тему оформления, товары в корзине и т.п. Третий тип хранилища отличается. IndexedDB — это уже не баловство с мелкими файликами, а база данных, которая позволяет упорядоченно хранить большие объемы информации, например, для возможности полноценного использования веб-приложения в режиме оффлайн, а также для явного кеширования большого объема данных, которые редко изменяются на сервере.
Шизофренией будет сказать, что все это придумано злодеями. Конечно нет, упомянутые технологии делают интернет таким, каким его любят миллионы людей. Но есть нюанс: пользователь, который понимает, что такое куки, которые открыто передаются в хедерах (заголовках) при каждом запросе, может не иметь представления о каком-то еще хранилище данных, которые записываются и читаются кодом JS. Следовательно, использовать эти данные и передавать их на сервер, JS-приложение, исполняемое в браузере, может более скрытно, неочевидно.
Чтобы веб-разработка не превратилась в очевидный бандитизм, существуют ограничения на то, чтобы использовать хранилища, включая куки, могли только те сайты, которые их установили. То есть хранилища в браузере работают с привязкой к домену сайта (есть Third-Party Cookies, но погоду это не делает). Таким образом, случайный визит на сайт Пети и Васи не может привести к краже токена авторизации от Хабра.
Познания в вопросах приватности при веб-сёрфинге на этом заканчиваются у 90% респондентов моего вымышленного опроса: историю надо чистить, куки удалять, хранилища освобождать. Все это на виду в настройках браузера.
Когда появилась уверенность в полном понимании куков, самое время начать говорить про EverCookie — вечные и никак не удаляемые. Однако, грубо говоря, это просто специальный подход к комплексному использованию обычных куков и хранилищ, чтобы затруднить пользователю попытки их полного удаления. Сделаем вид, что в целом механизм куков обсудили и как ни крути — победить куки возможно.
Истоки недоверия
Кому-то может показаться, что эта статья и подобные материалы — глупая истерия фанатиков, которые либо занимаются криминалом, либо старадают паранойей. Чтобы контекст недоверия к JavaScript был более понятным, надо перечислить векторы злоупотребления.
Технологии слежки в веб-разработке обеспечивают фантастическую точность психологического портрета пользователя. Благодаря этому контекстная реклама в социальных сетях и на рандомных сайтах показывает не что-то случайное, а нечто очень интересное, на что пользователь наверняка кликнет. Очевидные участники процесса — бизнес рекламодателей и рекламных сетей, где они размещаются. Отсюда и бурное развитие технологий обеспечения такой слежки.
Наивно полагать, что слежка за пользователем ограничивается экосистемой сервисов одного владельца вроде Google, Yandex и прочих. Самый посредственный сайт из провинции подключает внешнюю аналитику, чтобы наблюдать за посещаемостью, заодно сливая хозяевам мониторинга информацию о своих пользователях, которые загружают вредоносный JS-код, открывая страницу. Хозяевами таких мониторингов, как правило, являются те самые гигантские корпорации, обещающие, что их отслеживающие скрипты на странице стороннего сайта помогают индексировать его содержимое для выдачи при поисковых запросах — заманчиво!
Помимо отслеживания пользователей, на которое явно соглашается веб-мастер, обслуживающий сайт, существуют другие уловки. Например, внешний CDN. Просто говоря, это сервисы, которые дают возможность загружать JS-библиотеки, наборы готовых стилей CSS или красивые шрифты с их серверов. Почему-то у разработчиков не принято скачивать эти файлы к себе, а затем явно добавлять их в проект, загружая на свой сервер. Делается иначе: в страницу своего сайта они вставляют лишь ссылку на нужный файл на чужом сервере. В таком случае при загрузке страницы условно моего сайта, пользовательский браузер увидит, что какой-то файл надо скачать с другого адреса и обратится к нему. Если ранее сервер с ресурсами встречался на других сайтах и успел выдать вам идентификтор, браузер автоматически подставит его в запрос. Хитрый CDN отдаст файлы, а также запишет информацию с какого сайта к нему пришел пользователь (заголовок Referrer) и сделает все возможные выводы о его поведении.
В конце концов любой сайт может подключить отслеживание своих пользователей с полным осознанием — на основании специальной партнерской программы.
Собранные данные о пользователях продаются абсолютно бесконтрольно, проходя десятки и сотни рук больших корпораций и незначительных компаний. В лицензионном соглашении популярных социальных сетей без прикрас описывается факт наличия передачи информации о пользователях третьим лица: безымянным партнерам, партнерам партнеров и далее по цепочке, пока сама площадка случайно не купит свою же информацию о вас через сотню рукопожатий. Это конечно шутка, однако мировые социальные сети многократно были замечены в скандалах, когда информации о пользователях собиралось больше, чем они могли подумать, и передавалась она куда-то, куда вроде бы была не должна.
Не бэкдор, а фича
Теперь самое интересное: технологии, которые при использовании не по прямому назначению могут быть сравнимы с тяжелой артиллерией по личной жизни и интересам пользователя.
Fingerprint (отпечаток) — это общее название для любого уникального идентификатора пользователя. В отличие от традиционных методов отслеживания, таких как куки, фингерпринтинг не может быть легко заблокирован пользователями, а его создание может быть адаптированным под возможные изменения источников. Это создает дополнительные сложности для тех, кто хочет сохранить свою анонимность в сети.
Удалили куки в один клик, но сайт при входе здоровается с вами по имени? Поздравляю, это фингерпринт. Откуда он берется узнаете дальше.
Фингерпринты
WebGL (Web Graphics Library) — это мощный инструмент для рендеринга 2D и 3D графики в веб-браузерах. Самое первое, что приходит на ум — майнинг условной криптовлюты в браузере, но более практичное нецелевое использование — фингерпринтинг. WebGL дает обширный набор параметров для их уникальной привязки к пользователю: аппаратное оснащение для параллельных вычислений (видеокарты), разрешение экрана(-ов) и прочие более специфичные аспекты.
Canvas — это HTML-элемент, который позволяет динамически рисовать графику с помощью JavaScript. Он предоставляет мощный инструмент для создания 2D и 3D графики, а также для работы с изображениями, анимацией и интерактивными приложениями. Canvas стал важной частью веб-разработки, особенно в контексте игр, визуализаций данных и других графически насыщенных приложений. Разные устройства и браузеры могут обрабатывать графику по-разному, что приводит к различиям в получаемых данных. Например, если на одном устройстве используется определенный шрифт, а на другом — другой, это может создать уникальный отпечаток, который можно использовать для идентификации пользователя.
Отпечаток шрифтов — это метод, который использует информацию о шрифтах, установленных на устройстве пользователя, для создания уникального профиля. Разные устройства могут иметь разные наборы шрифтов, и это может быть использовано для идентификации пользователя. Это может быть сделано с помощью создания текстовых элементов с различными шрифтами и измерения их ширины или высоты. Если браузер отображает текст с определенным шрифтом, это может быть использовано для определения, установлен ли этот шрифт на устройстве. Сравнение размеров текста с различными шрифтами позволяет определить, какие шрифты доступны, и создать уникальный отпечаток.
Отпечаток расширений — информация о расширениях и плагинах, установленных в браузере пользователя. Каждое расширение может добавлять свои уникальные функции и изменять поведение браузера, что делает его частью уникального профиля пользователя. Веб-сайты могут использовать JavaScript для проверки наличия определенных расширений. Например, они могут пытаться получить доступ к объектам, которые создаются расширениями, или использовать специфические методы, которые доступны только при установке определенных плагинов.
Audio API — одна из многих полезных штук браузеров, которая в конкретном случае отвечает за воспроизведение звуков. Веб-приложение может генерировать звук и собирать данные о различных характеристиках вывода, таких как: частота дискретизации, задержки и анализ частот (искажения или изменения в амплитуде).
Фингерпринтинг часто комбинирует в себе несколько уникальных значений в одно. Это позволяет создать более точный и уникальный отпечаток конкретного браузера, который может не меняться годами несмотря на очистку истории и прочих успокоительных мер. Приведенный здесь список источников для фингерпринта не полный.
WebRTC
WebRTC (Web Real-Time Communication) — мощная технология, разработанная для обеспечения прямой передачи аудио, видео и данных между браузерами без необходимости в промежуточных серверах. Она особенно привлекательна для создания сервисов видеозвонков, онлайн-игр и других интерактивных приложений.
Несмотря на свои достоинства, WebRTC представляет прямую угрозу для конфиденциальности пользователей. Одним из основных рисков является возможность утечки IP-адресов. Когда пользователь подключается к WebRTC-приложению, его реальный IP-адрес может быть раскрыт, даже если он использует VPN или прокси-сервер. Это происходит потому, что WebRTC устанавливает прямое соединение между участниками соединения, что может привести к утечке информации о местоположении пользователя.
Технически говоря, WebRTC работает по UDP. Запросы этого типа вовсе не отображаются во вкладке сети в инструментах разработчика. В ряде сценариев, они минуют настройки прокси и в лучших традициях UDP такие запросы разлетаются со всех сетевых интерфейсов устройства, имея потенциал даже для обхода VPN-подключения. Никаких внешних признаков — идеальный деанон.
Простой юзкейс: пользователь настроил в браузере HTTP-прокси, чтобы ходить на сайты с подмененным IP-адресом. Он заходит на сайт, который инициирует соединение по WebRTC и, если оно удалось, сервер тут же узнаёт реальный IP-адрес гостя. Этот прием часто используется антифрод-системами, чтобы определить пытается ли пользователь прятаться и где он на самом деле находится. Более фатально это выглядит в ситуации, когда речь идет о пользователе анонимной сети вроде I2P, который использует HTTP-прокси. При включенном JavaScript, любой сайт в анонимной сети может инициировать прямое соединение вызовом одного метода. Есть пара "но", но есть и успешные тесты.
Аудио-куки
Лично мне этот вектор деанонимизации кажется самым жутким по своей эффективности, простоте и неочевидности для зеваки-маминого-молодца.
Веб-приложения могут использовать динамики для воспроизведения звуковых сигналов с частотой выше 20 кГц, которые не воспринимаются человеческим ухом, но которые могут быть улавливаемы другими устройствами, такими как смартфоны, планшеты и другие устройства с микрофонами в радиусе квартиры или кафе (горячий привет всем "умным" колонкам в вашем доме!).
Прямых ссылок на факт того, что все голосовые помощники в смартфонах умеют слышать такие аудио-маячки и отправлять информацию о них куда следует у меня нет. Для большего погружения в тему просто рекомендую ознакомиться со статьей и посмотреть это. Из личного опыта могу сказать, что на криптовалютных обменниках я неоднократно слышал писк, который пропадал после закрытия вкладки браузера.
Как быть?
В лес нам наверняка уже не уйти, в землянке не жить. Чтобы статья не превратилась в околофилософскую воду, дам краткий и во многом очевидный набор советов.
Насколько возможно откажитесь от использования продукции корпораций — это самый большой гвоздь в крышку вашей приватности. В выборе между свободными технологиями и закрытыми, выбирайте свободные, даже если за это придется заплатить частью вашего комфорта: открытые протоколы для обмена сообщениями, свободные ОС для вашего компьютера и т.п.
Настройте веб-браузер. Пусть это будет Firefox или его форк — никакой привязки к корпорации со своим поисковиком из коробки, как это сделано в Google Chrome и прочих хромиумных клонах.
Смените поисковик на DuckDuckGo - это меньшее из зол;
Установите плагины для отключения WebRTC, затруднения фингерпринтинга и блокировки рекламы. Также можете установить NoScript, который полностью отключает JS и для каждого домена его надо будет разрешать вручную.
</>
В триллерах и детективах часто фигурируют «жучки», «трекеры» и прочие схожие термины, цель и суть которых в слежке. Если в фильмах и книгах такое встречается иногда и граничит с применением силы, то в современном интернете слежка встречается очень часто и зачастую красиво обставлена. Акцент на слове «очень» можно было бы отразить как «ООООЧЕНЬ», но и этого было бы мало.
JavaScript: удобство или угроза? Простого ответа нет. Ясно лишь, что технология не безобидная и использовать ее надо осторожно, ответственно и с теоретической подготовкой.
Приватность - право каждого пользователя, равно как и его личная ответственность.
Комментарии (26)
RoasterToaster
23.12.2024 01:24Пчелайн мне официально предлагал пользоваться их базой для идентификации пользователей нашего сайта. Наверное , тоже как то с куки связано
Number571
23.12.2024 01:24Думаю всё куда проще. Так как DNS не шифруется, сим-карты привязаны к паспортным данным, а сам пчелайн является оператором связи, то он вполне себе может видеть куда отправляются запросы и от какого лица они были отправлены. В итоге, оператор просто формирует базу данных по типу <пользователь:сайт:время>, а далее её продаёт в "обезличенной" форме.
pureacetone Автор
23.12.2024 01:24Про приватность (и тем более про анонимность) в контексте обычного интернета очень сложно говорить. Каждый аспект заслуживает отдельного туториала и мозговой активности пользователя для грамотной настройки своего устройства, но риск утечки каких-либо данных все равно очень вероятен просто из-за пробелов в теории и неаккуратности.
Эта статья по узкой и неочевидной теме, о которой иногда даже опытные пользователи защещенного DNS и супер-трипл-VPN не задумываются. Постарался поднять флаг к тому, что не лишним будет еще раз вспомнить, что современные браузеры и сайты - это своеобразный тихий ужас.
cupraer
23.12.2024 01:24Пусть это будет Firefox или его форк — никакой привязки к корпорации со своим поисковиком из коробки, как это сделано в Google Chrome и прочих хромиумных клонах.
Ну вот это довольно спорное утверждение (хотя со всем остальным я согласен, конечно). Вы же не думаете, что ФФ до сих пор пилят пара энтузиастов на коленке? Почитайте, что ли, про скандалы вокруг Mozilla Foundation, и подумайте: что лучше, вылизанный на основе открытого движка какой-нибудь Brave, или ФФ от жадных до денег ребят, которые при случае будут сливать ваши следы не Брендану Эйху, а как раз таки в Гугл.
pureacetone Автор
23.12.2024 01:24Моя субъективщина, основанная на том, что Firefox известен обычному пользователю "из Одноклассников" и, учитывая все возможные настройки FF из коробки, этот браузер можно наделить статусом "потенциал приватности", а вот Chromium-поделия без особых навыков даже тестировать затруднительно. Например, WebRTC в хромах вообще не отключается нативно by design.
Но я с вами не спорю. Много факторов зависит от того кому именно рекомендация и кто ее дает.
cupraer
23.12.2024 01:24Если пользователя можно научить влезть в настройки и отключить WebRTC, и ему недостаточно политики «Default Public Interface Only» — намного проще научить его открывать тор-вкладку, не?
pureacetone Автор
23.12.2024 01:24Вы правы, спасибо.
Стараюсь не уйти в дебри дискуссий, так как статья не о хороших и плохих браузерах и движках, да и не о безопасности в целом, а о JS и неожиданных фичах, из-за которых в некоторых кругах пользователей его наглухо отрубают.
Это не гайд к действию, а скорее небольшое чтиво на "подумать". Вполне вероятно, после статьи и ваших комментариев кто-то придет к использованию Brave. Я не против.
технология не безобидная и использовать ее надо осторожно, ответственно и с теоритической подготовкой
gonzazoid
23.12.2024 01:24Поскольку статья очень сильно по теме которой я занимаюсь - позволю себе высказаться.
Во первых - не упомянули hsts pinning, по сравнению с ним все остальные техники трекинга - беззубые котята.
Во вторых, зная о существовании hsts pinning-а И зная как он реализован в хроме/хромиуме, вот это утверждение:
Шизофренией будет сказать, что все это придумано злодеями.
уже звучит не настолько уверенно. Гуглеры хранят hsts записи по хэшу от домена - то есть в принципе информации о том какие именно домены и что именно они положили в hsts хранилище - не достать если заранее не знать домен.
Далее про шизофрению - общался с типуганчиком который делал денег на подслушивающем софте. В общем кухня там следующая - мобильный софт (точнее модуль монетизации) который слушает микрофон на определенных частотах (звуковых) А в торговых центрах крутят всякие музыку/зазывалки/объявления и вот там тоже на определенных частотах пробрасывается инфа, немного, буквально байты, что то вроде id. Так вот, благодаря этому мобильное приложение подслушивающее - может этот id распознать и скинуть агрегатору. А тот уже собирает статистику и определяет потоки трафика. Свучит фантастически но тут надо понимать - это модуль монетиации, они сами мобильный софт не пишут. Это уже разрабы тащат это говно в свои поделия что бы хоть как то отбиться. Да, звучит как ОБС агентство, я сам в эту тему глубоко не погружался но в принципе выглядит как рабочая схема. Помножить на человеческую глупость и жадность - на выходе вполне может быть ощутимый выхлоп.
Далее, вы смешивание два вида различных техник в одну кучу. Фингерпринтинг - это способ определить модель - браузера, железа, операционки. С точки зрения этих техник два разных пользователя на одинаковом железе/софте будут неотличимы. И отдельно идут техники трекинга, это именно то что позволяет навесить на пользователя ярлычок и опознать его в дальнейшем.
Далее, говоря о таких вещах странно не упомянуть антидетект браузеры и мультиаккаунтинг- это именно те сборки которые позволяют обойти все эти шпионские приблуды черезчур активного бизнеса (и не только)
Далее, evercookie устарели, там половина того что они используют уже в браузерах выпилено, supercookie используют только favicons (их Вы тоже не упомянули а стоило бы)
Далее, мест куда можно писать немного больше, есть как минимум еще https://developer.mozilla.org/en-US/docs/Web/API/CacheStorage и он отличается от http кеша.
Ну и напоследок - есть как минимум две техники обхода - сбрасывать к **ам все и не позволять сайтам сохранять в разных укромных местах id пользователя (как делает brave с favicons) либо дать пользователю возможность вести сессии (мультиаккаутнтинг) и в нужный момент переключаться между ними, как делает большинство коммерческих антидетект браузеров (и да, firefox тут вас не спасет, какое бы славное прошлое у него ни было - надо уже найти в себе силенки и посмотреть правде в глаза)
Ну и совсем напоследок похвастаюсь своей сборкой хромиума по этой теме, Ultimatum - мы здесь всерьез и надолго ) https://habr.com/ru/articles/868604/
PPS это не поливание, это конструктивная критика. О безопасности в сети говорить надо и говорить много, уровень осведомленности к сожалению падает, так что за статью и приложенные усилия - отдельное спасибо!
pureacetone Автор
23.12.2024 01:24Тема статьи - не моя основная деятельность, поэтому о киллер-фиче хрома hsts никогда не слышал. Любопытно. Спасибо за отличное дополнение.
В свое оправдание могу привести только цитату:
Приведенный здесь список источников для фингерпринта не полный.
olku
23.12.2024 01:24Есть ещё пассивные методы отслеживания без JS, например https://test.noleaks.eu/
Куки баннеры все же не про "цивилизованный мир", а про реализацию согласия для соответствия GDPR в конкретной юрисдикции. Уловки притвориться 1st party там тоже имеются.
Robastik
Когда банки сливают данные KYC - это мы сразу чувствуем и поэтому понимаем. То же самое с госуслугами, всеми прочими госами (в т.ч. ВК и Я) и опсосами. Когда мне в телегу стучится фейковый руководитель, я понимаю, что это привет от соцфонда, госуслуг или опсоса.
Но вот совет
не понятен. Ну да, гуглы и прочие фейсбуки (ровно как и скрепный касперский, и сбер) собирают каждый клик, сохраняют введенные и не отправленные тексты, сам характер ввода, фактически представляющий собой биометрию.
Но звонки из "Центральных Банков", "Центральных Аппаратов МВД" и прочих "опросов общественного мнения" происходят явно не по вине гугла.
Почему? Потому что гугл оштрафован на квадратную сумму, а представившийся ментом мошенник знает, что разговор записан несколько раз, что он наговорил уже достаточно для его определения по голосу с третьего звука, что при минимальном желании найти его на зоне не представляет никакой сложности (и нашли уже, и на блюдечке принесли), но никто никогда не будет в этой стране заниматься защитой миллионов обманутых сетевыми мошенниками граждан.
Это про страну с официально запрещенными ВПН и TLS 1.3 с ECH?
MAXH0
Вам не кажется, что в стремлении донести до нас Вашу гражданскую позицию, Вы слегка скатываетесь в обсуждение вопроса: Уместно ли пока у нас холопов порют, нам упоминать что где-то негров линчуют... Автор поднимает верную тему. Вас же ответ - о наболевшем, а не по теме.
Robastik
Ни в постановке, ни при раскрытии вопроса акцент на "там и здесь" отсутствует.
Именно мне непонятен, не кому-то "там". Я с "там" не сравниваю и "тамом" не интересуюсь.
Если вам понятен, то раскройте вред от гугла в российском правовом ландшафте.
cupraer
Почему вы думаете, что Яндекс дяде майору стучит, а Гугл — нет? На основе чего сделан такой вывод? От связи с АНБ им уже никогда не отмыться (из-за чего приличные люди вот уж несколько лет шарахаются от гугловских офферов с баснословными бонусами на вход — как от огня), из какого пальца высосана ваша уверенность, что любовь с РКН — не обоюдная, можно узнать?
MAXH0
Тут все просто... То, что вы назвали "Российский правовой ландшафт" не более чем колдобины на магистральном пути который прокладывает Гугл (и иже с ними). И колдобины это одно, а то что общий путь свернул не туда - это другое. И решать куда пойдет путь будет решать не "рос.ком что то там", а Трамп с Маском и корпораты.
Именно Гугл превратил торговлю данными пользователя в бизнес. Потом к этому бизнесу присоединились другие корпорации. А мошенники, про которых вы пишете, мелкая рыбешка на общем фоне. И они ВООБЩЕ к теме JS отношения чаще всего не имеют. Это так же, как в обсуждении свой почтовый ящик или Гугла постоянно всплывают нигерийские спамеры. Хотя вопрос со спамом на своем ящике решается. И, как мне кажется - эта тема выдается с целью свернуть обсуждение в сторону.
Вот и у Вас, как мне кажется, вбоквел получился. По местным мотивам.
И еще...
Если право не реализовано или ущемляется, то это еще не значит, что оно отсутствует. https://documents.un.org/doc/undoc/gen/n18/450/00/pdf/n1845000.pdf
Права человека неотъемлемы, то есть неотделимы от самого человека.
Это означает, что все люди от рождения обладают определёнными правами (естественными), которые сохраняются за ними при любом общественном строе, при любом государственном порядке. Государство не вправе изъять основные права и свободы или ввести запрет на их реализацию человеком.
Да! Это просто декларация. И чтобы это не было просто декларацией надо помнить вторую часть фразы
Robastik
Давайте уточним формулировку вопроса.
Вы утверждаете, что гугл украл у вас нечто, что у вас было и заработал на этом.
Назовите конкретные убытки, которые необходимо компенсировать для восстановления нарушенного права. Как изменились после нарушения права ваши жизненные обстоятельства? Каких конкретных благ вы были лишены?
Приватность - это абстрактное понятие, которое невозможно измерить. Вот слив ПД измеряется миллиардами украденных денег. А сбор обезличенных данных, который приобретает ценность только при переходе количества в качество, не несет никаких убытков. Гугл продает не приватность, а статистику, которую сделал сам и ни у кого ее не отбирал.
MAXH0
Давайте уточним...
Не стоит полемически усиливать мои слова и заставлять защищать меня позицию, которую я не отстаивал. Зачем Вы это делаете, мне не понятно.
Мы то обсуждаем
Понятный это совершенно совет. Просто ценность его не для всех. И отказываться можно не только после того, как у тебя что то украли. А просто так... Или в рамках неких своих убеждений.
Для меня, Гугл - масдай. ИМХО посмотрим как Гугл демонополизируют в США. Я с оптимизмом смотрю на связку Трамп/Маск в этом вопросе.
Автор же статьи, по моему, просто предлагает игнорировать корпоративные решения из профилактики. Если посмотреть обсуждение, он сам только начал разбираться в этом вопросе и выложил свои открытия. Ниже ему уточнили позицию открыв еще пару уязвимостей приватности от корпорации добра.
cupraer
Это шутка? Для этого придется сначала демонополизировать АНБ и отменить Patriot Act. Курицу, несущую золотые яйца, — никакой Трамп даже пытаться отменять не станет, а Маску она и вовсе вообще не по зубам.
Все эти «рыночек порешал» — уже давно сказки для людей, ничего вообще про устройство США не знающих. Более полицейского государства на земле сейчас просто не существует, а вы ждете, что президент, хотя бы косвенно интересующийся процветанием страны, попрет против службы, которая его в порошок сотрет и не поперхнется?
С Маском история еще ироничнее: сто́ит ему обналичить хотя бы сто миллионов из его так называемого «состояния» — и он банкрот.
pureacetone Автор
Тема приватности в целом и обсуждения о ее ущемлении могут идти намного дальше, согласен. Эта статья узко про веб-браузеры и скрытые угрозы, которые многие из нас привыкли не видеть.
Robastik
Может быть в этом и есть какой-то намек на реальное состояние дел, то он настолько тонкий, что ег совершенно не видно. Как я сказал по приведенной ссылке, польза от фингерпринтинга выглядит вполне осязаемо. А вот вред от того, что гугл&co может увидеть меня среди миллиардов - не обозначен совершенно. В чем угроза то?
pureacetone Автор
Если вам нечего скрывать - ничего не скрывайте. Статья о том, что вдруг кому-то не безразлична его приватность, а браузер незаметно позволяет ее красть. Это не завершенный философский трактат, чтобы искать в нем строгую систему от причин до следствий; лишь заметка о неожиданных фичах в привычном браузере.
Robastik
Вы заявили наличие угрозы, но в чем конкретно пострадает мое материальное и моральное положение от того, что меня посчитают, называть отказываетесь.
Мне недавно предъявили ДТП на основании того, что мимокрокодил слышал звук и видел меня рядом с ним. Но даже менты с первой попытки сообразили, что при отсутствии ущерба событие ДТП не существует по определению. (Справедливости ради - это дошло только до эксперта и то только по факту того, что ему нечего было заносить в акт осмотра. Остальным не давало покоя наличие свидетеля, который что-то слышал и видеозаписи, на которой ничего не видно.)