Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Do Sądu Okręgowego w San Francisco trafił pozew przeciwko wielkim witrynom wykorzystującym technologię tzw. zombie cookies. W pozwie wymieniono m.in. ABC, MySpace, MTV czy ESPN oraz firmę Quantcast, twórcę ciasteczek-zombie.

Cookies takie, zwane są też Flash cookies, gdyż ich działanie polega na tym, że informacje przechowywane są nie tylko w tych katalogach, do których zwykle trafiają ciasteczka, ale również w Adobe Flash Playerze. Skutek jest taki, że po wykasowaniu cookies z komputera... pojawiaj się one ponownie, użytkownik jest zatem nadal śledzony, mimo iż wyraźnie dał do zrozumienia - kasując cookies - że sobie tego nie życzy. Jedynym sposobem na ich pozbycie się jest wykasowanie cookies oraz usunięcie Flash Playera. Później może go ponownie zainstalować. Jednak złożenie wizyty na którejś z witryn używających Flash cookies oznacza, że znowu będziemy musieli usuwać Flash Playera.

Zombie cookies nie są kontrolowane przez przeglądarkę, a więc nawet jeśli odmawiamy przyjmowania cookies, te akurat zostaną zainstalowane na naszym komputerze. Jako, że Flash Player jest zainstalowany na około 98% komputerów, można stwierdzić, że problem zombie cookies dotyczy wszystkich internautów.

Share this post


Link to post
Share on other sites

Aż tak źle nie jest, tzw LSO czyli Local Shared Objects trzymane są w systemie plików, w Windows w katalogu

C:\Documents and Settings\___UŻYTKOWNIK___\Dane aplikacji\Macromedia\Flash Player, w MacOSX ~/Library/Preferences/Macromedia/Flash Player, w Linux ~/macromedia/Flash_Player.

 

Jedną z możliwości jest usunięcie zawartości katalogu i wyłączenie praw zapisu do niego, inną jest użycie panelu ustawień Flasha dostępnego na stronie Adobe http://www.macromedia.com/support/documentation/pl/flashplayer/help/settings_manager.html (można wywołać z menu kontekstowego Flash Playera) i wyłączyć zapisywanie, albo zredukować dopuszczalną wielkość plików (swoją drogą zmiana ustawień zainstalowanego lokalnie programu za pomocą programu znajdującego się na stronie producenta to dość kontrowersyjny pomysł), można też używać trybu prywatnego przeglądarki, pod warunkiem użycia Flash-a 10.1 (lub nowszego, starsze wersje tego trybu nie respektują), istnieją też rozszerzenia dla Firefoxa i Chorme służące do kasowania tych plików, znaleźć je można w bazie rozszerzeń odpowiednie https://addons.mozilla.org/ i https://chrome.google.com/extensions/ szukając ciągu znaków LSO.

Brak możliwości zapisu tych plików skutkuje niestety niezapisywaniem preferencji użytkownika, co czasem może być nieakceptowalne.

Share this post


Link to post
Share on other sites

W firefoxie jest też plugin który może usuwać te świństwa np. za każdym razem jak wyłączymy przeglądarkę(przynajmniej ja tak sobie ustawiłem).

Zwie się BetterPrivacy.

 

Można też zobaczyć tam listę cookiesów LSO które mamy w naszym systemie.

Share this post


Link to post
Share on other sites

Szacunk dot obecnosci Flasha na komputerach sa przesadzone. Ja np nie uzywam Flasha, o.

 

A LSO uzywa sie przy pomocy BetterPrivacy z timerem, lub opcja czyszczenia przy wyjsciu. W Unixach mozna zmienic uprawnienia folderu, w ktorym LSO, lub przekierowywac je na /dev/null a wiec tam, gdzie jest miejsce smieci. Jedynym LSO, ktore moze sie internautom przydac, to FlashSettings, ale ustawienia Flasha i tak sa nieistotne, wiec mozna to usunac.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Każde oprogramowanie zawiera błędy, ale jak mogliśmy się dowiedzieć podczas konferencji Black Hat Europe, najwięcej błędów zawiera oprogramowanie tworzone przez instytucje państwowe lub na ich potrzeby.
      Chris Wysopal z firmy Veracode, która specjalizuje się w wyszukiwaniu dziur w programach, poinformował o wynikach badań przeprowadzonych pomiędzy drugą połową roku 2010 a końcem roku 2011.
      W tym czasie jego firma przeanalizowała 9910 różnych aplikacji. Eksperci stwierdzili, że 80% programów nie spełnia wymagań bezpieczeństwa firmy Veracode. Oprogramowanie tworzone dla instytucji państwowych wypadło znacznie gorzej, niż programy komercyjne. Okazało się bowiem, że jedynie 16% stworzonych przez rząd i dla rządu aplikacji sieciowych można było uznać za bezpieczne z punktu widzenia standardów OWASP (Open Web Application Security Project). Dla  sektora finansowego odsetek ten wynosił 24%, a dla innego komercyjnego oprogramowania - 28%.
      Z kolei do wyników badań innych programów niż programy sieciowe posłużono się kryteriami opracowanymi przez SANS Institute. Za bezpieczne uznano 18% oprogramowania rządowego, 28% oprogramowania finansowego i 34% innego oprogramowania komercyjnego.
      Rząd zachowuje się tak, jakby bezpieczeństwo było problemem sektora prywatnego i próbuje go ściśle regulować. Jeśli jednak bliżej się temu przyjrzymy to okazuje się, że sektor prywatny jest zdecydowanie bardziej bezpieczny niż sektor rządowy - mówi Wysopal.
      Aż 40% aplikacji sieciowych wytworzonych dla agend rządowych było podatnych na ataki SQL injection. Dla sektora finansowego odsetek ten wynosił 29%, a dla oprogramowania komercyjnego 30%. Na ataki typu XSS (cross-site scripting) narażonych było 75% rządowych aplikacji sieciowych, 67% aplikacji wytworzonych przez sektor finansowy oraz 55% aplikacji komercyjnych.
      Alan Paller, dyrektor ds. badań w SANS Institute mówi, że przyczyną takiego stanu rzeczy jest to, iż sektor prywatny karze firmy za błędy, a sektor rządowy je nagradza. Jeśli przedsiębiorstwo stworzy komercyjne oprogramowanie zawierające błędy, to ryzykuje utratę klientów oraz dobrego imienia, co wpłynie na jego wyniki finansowe w przyszłości. Jeśli zaś napisze wadliwe oprogramowanie dla sektora rządowego, to zostanie nagrodzone kolejnym kontraktem na poprawienie tego oprogramowania. Nie twierdzę, że nie próbują wykonać swojej pracy właściwie. Ale w ten sposób działa system nagród i zachęt - mówi Paller. To powoduje, że błędy w oprogramowaniu rządowym istnieją nawet wówczas, gdy zanikają w oprogramowaniu komercyjnym. Specjaliści od dwóch lat obserwują spadek odsetka dziur typu SQL injection i XSS w oprogramowaniu komercyjnym. W programach rządowych  nic się w tym zakresie nie zmieniło.
      Wszystkie powyższe dane dotyczą USA.
    • By KopalniaWiedzy.pl
      Zaoferowana przez Google’a nagroda za złamanie zabezpieczeń Chrome’a zachęciła hackerów do działania. Przeglądarka Google’a jako pierwsza poddała się uczestnikom konkursu Pwn2Own. W ubiegłym roku żaden z hackerów nie próbował się do niej włamać. Tym razem było inaczej i nie pomogło łatanie przeglądarki na kilka dni przed konkursem. Współzałożyciel francuskiej firmy VUPEN Chaouki Bekrar i jego zespół wykorzystali dwie dziury typu zero-day w Chrome do przejęcia kontroli nad komputerem z w pełni załatanym 64-bitowym Windows 7.
      Bekrar powiedział, że znalezienie dziur i napisanie odpowiedniego kodu zajęło 6 tygodni. Musieliśmy użyć dwóch dziur. Za pomocą pierwszej obeszliśmy technologie zabepieczające DEP i ASLR w Windows, a druga umożliwiła nam wyjście poza „piaskownicę“ Chrome’a. Nie chciał zdradzić, czy luka działa na kodzie Google’a czy firmy trzeciej. To była dziura typu use-after-free [związana z nieprawidłowa alokacją pamięci po jej zwolnieniu - red.] w domyślnej instalacji Chrome’a. Nasz kod działa na domyślnej instlacji, więc nie ma znaczenia, czy wykorzystuje on [dostarczony wraz z przeglądarką - red.] kod firmy trzeciej - mówi.
      Podczas demonstracji Bekrar stworzył spreparowaną witrynę, a gdy odwiedzono ją za pomocą komputera wyposażone w Chrome, doszło do automatycznego ataku i otwarcia Kalkulatora poza „piaskownicą“. Nie jest wymagana żadna interakcja ze strony użytkownika, żadne dodatkowe kliknięcia. Wchodzimy na stronę i program jest uruchamiany.
      Bekrar pochwalił jednocześnie Chrome’a. Jego zdaniem Google stworzył bardzo bezpieczny sandbox i Chrome jest jedną z najbezpieczniejszych przeglądarek.
      Drugą przeglądarką, która poddała się atakom, była Safari zainstalowana w systemie Mac OS X. Również i ona padła ofiarą ekspertów z VUPEN. Atak przeprowadzono w zaledwie 5 sekund, co każe poważnie zastanowić się nad prawdziwością poglądu, jakoby Mac OS X był bezpieczniejszy od Windows. Zdaniem hackerów, wcale tak nie jest. System Apple’a nie dość, że korzysta tylko z technologii ASLR, a nie używa DEP, to dodatkowo jest ona źle zaimplementowana. Ataku na Safari dokonano za pośrednictwem silnika WebKit, który zawiera wiele dziur. Co prawda z WebKita korzysta też Chrome, jednak Google znacznie poprawił kod silnika, dzięki czemu jego przeglądarka jest bezpieczniejsza.
    • By KopalniaWiedzy.pl
      Amerykańska Narodowa Agencja Bezpieczeństwa (NSA) poinformowała o zbudowaniu około 100 „ultrabezpiecznych“ smartfonów z systemem Android. Urządzenia Fishbowl powstały w oparciu o standardowe ogólnodostępne podzespoły i są na tyle bezpieczne, że pozwalają agentom na prowadzenie rozmów na tajne tematy.
      Margaret Salter z NSA, przemawiając podczas konferencji RSA powiedziała, że połączenia są prowadzone za pośrednictwem komercyjnej infrastruktury, a mimo to dane pozostają bezpieczne. Przyznała jednocześnie, że napotkano poważne kłopoty podczas budowy urządzeń, a ich główną przyczyną był brak kompatybilności pomiędzy produktami różnych firm. Z tego też powodu wykorzystano np. IPSEC a nie SSL VPN. Zdecydowano się na większą liczbę tego typu kompromisów, jednak ogólne bezpieczeństwo smartfonów nie doznało przez to uszczerbku. Potrzebowaliśmy aplikacji głosowej, która obsługiwałaby DTLS, Suite B oraz SRTP, ale nie mogliśmy takiego kupić. Przemysł bardziej skupia się na Session Description Protocol, więc zdecydowaliśmy się na to rozwiązanie - powiedziała Salter.
    • By KopalniaWiedzy.pl
      Kara, którą sam sobie wymierzył Google, okazała się dotkliwa dla przeglądarki Chrome. Jej rynkowe udziały spadły, zyskały natomiast Internet Explorer i Firefox.
      Jeszcze w grudniu dotychczasowy trend wśród przeglądarek utrzymywał się. Chrome zyskiwał, jego najwięksi konkurenci tracili. W listopadzie, według Net Applications, do IE należało 52,64% rynku, a w grudniu odsetek ten spadł do 51,87%. W tym samym czasie udziały Firefoksa zmniejszyły się z 22,14% do 21,83%. Chrome zwiększył swój stan posiadania z 18,18% do 19,11%.
      Jednak na początku stycznia Google ukarał się za wpadkę z płatnymi linkami w swojej wyszukiwarce zmniejszając Page Rank witryny Chrome’a do 0.
      Od razu zyskał na tym Internet Explorer, którego udziały zwiększyły się do 52,96%. Firefox znowu spadł do 20,88%, ale spadły też udziały Chrome’a, który stracił 0,17 punkta procentowego. W lutym udziały Chrome’a zmniejszyły się do 18,90%. Spadł też - o 0,12 pp - Internet Explorer. Zyskał za to Firefox, do którego należy obecnie 20,92% rynku.
      Obserwując rynkowe trendy można stwierdzić, że gdyby Google się nie ukarał, to w lutym miałby szansę ostatecznie przegonić Firefoksa i zostać drugą najpopularniejszą przeglądarką na świecie.
    • By KopalniaWiedzy.pl
      Google postanowiło wyjaśnić kwestię technologii P3P i jej pomijania przez liczne wiryny, co skutkuje umieszczaniem w przeglądarce Internet Explorer cookies, które wbrew intencjom użytkownika mogą zbierać o nim informacje. P3P została zaimplementowana w IE w 2002 roku. Wówczas nie sprawiała ona większych problemów, jednak obecnie nie jest ona kompatybilna ze współczesnymi cookies.
      Powoduje to, że jej ścisłe przestrzeganie prowadzi do poważnego obniżenia funkcjonalności witryn. Jak twierdzą przedstawiciele Google'a, nie jest możliwe jednoczesne przestrzegania zaleceń P3P i korzystanie z przysku "Like" Facebooka czy też logowanie się do witryn za pomocą konta w serwisach Google'a. To powoduje, że wiele witryn nie uzywa technologii P3P w sposób zgodny z wymaganiami Internet Explorera. W 2010 roku badacze z Carnegie Mellon stwierdzili, że 11 176 spośród zbadanych przez nich 33 139 witryn nie używa P3P w sposób wymagany przez Microsoft. Co więcej, zaleceń koncernu z Redmond nie przestrzega sam Microsoft na stronach live.com czy msn.com. Co więcej, badacze stwierdzili, że na witrynie pomocy technicznej Microsoftu zalecono korzystanie z nieważnych tagów CP jako sposobu na obejście problemów z IE.
      Zarówno eksperci jak i sam Microsoft od dłuższego czasu wiedzą, że technologia P3P jest bardzo skomplikowanym sposobem blokowania cookies. Nigdy nie zdobyła ona popularności, co zapewne spowodowało, że nie została dostosowana przez W3C do wymagań współczesnego internetu. Jest używana tylko przez Internet Explorera.
      Google przyznaje, że nie przestrzega zaleceń P3P, gdyż wówczas nie działałby np. przycisk +1. Podkreśla jednak, że witryny marketingowe firmy, takie jak doubleclick.net i googleadservices.com dostosowują się do wymagań Microsoftu. Potwierdziły to testy przeprowadzone przez dziennikarzy The Wall Street Journal.
      Oczywiście nadal można uznać działanie firm nieprzestrzegających zaleceń P3P za korzystanie z technik pomijania pewnych zabezpieczeń. To prowadzi do jednego wniosku - użytkownik powinien sam zadbać o swoją prywatność i skonfigurować przeglądarkę odpowiednio do swoich wymagań. Sami musimy znaleźć złoty środek pomiędzy funkcjonalnością współczesnego internetu a ochroną swojej prywatności.
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...