 Deanonimizacja użytkownika i uzyskiwanie informacji |
| Deanonimizacja użytkownika i uzyskiwanie informacji |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 678 Pomógł: 124 Dołączył: 26.09.2009 Ostrzeżenie: (0%) 
 |
Ostatnimi czasy obejrzałem film, w którym niejaki Billy Hoffman pokazuje m.in. jak potężnym narzędziem może być javascript jeśli chodzi o zbieranie informacji o użytkowniku.
Postanowiłem więc założyć ten temat, jako dyskusja o metodach dowiadywania się jak najwięcej o odwiedzających nasze strony userach. Zaciekawiła mnie szczególnie metoda uzyskiwania informacji za pomocą js i ramek. Załóżmy na przykład, że umieszczamy na naszej stronie ramkę do facebook'a. Jeśli akurat user jest na niego zalogowany, to teoretycznie powinniśmy być w stanie uzyskać np. jego imię i nazwisko, zawarte chociażby w <title></title>, które mogą być pomocne przy spamujących natrętach itp. Niestety nie wiem czy ten sposób działa, nie mam tego aktualnie jak sprawdzić, więc może ktoś z was się pokusi? (IMG:style_emoticons/default/smile.gif) Czekam na wasze pomysły dot. deanonimizacji nie koniecznie za pomocą js (IMG:style_emoticons/default/winksmiley.jpg) |
 |
 
|
 |
|
Post
#2
|
|
|
TAO programowania Grupa: Zarejestrowani Postów: 340 Pomógł: 3 Dołączył: 25.03.2003 Skąd: ze słoika Ostrzeżenie: (30%) 
|
Cytat(erix @ 5.08.2010, 12:08:27 )  Dość długo siedziałem cicho, ale teraz powiem, publicznie: o szacunku do innych powinieneś być ostatnią osobą, która ma coś na ten temat do powiedzenia. Ostatnie upomnienie z mojej strony. A pozniej co, wystawisz mi warna ? O jeju jeju czarodzieju. Tylko nie zapomnij przygotowac sobie punktu regulaminu ktory zlamalem bo juz kilka osob probowala dac mi warna za nieistniejace punkty (nulla poena sine lege).Cytat(thek @ 5.08.2010, 12:15:42 ) Na szacunek należy zapracować, ale jeśli do osoby "na dzień dobry" podchodzisz per "Ty ułomie", to nie dziw się, że do Ciebie wielu nie ma szacunku. Dla mnie jak wspomniałem nie liczy się tylko wiedza ale i kultura osobista. Ty jej nie masz patrząc pod kątem forumowego zachowania i stąd naprawdę musiałbyś zmienić swoje podejście by wpierw wyjść z mułu a dopiero potem jeszcze się podnieść na tyle bym zaczął Cię za osobę godną szacunku uznać. I akurat niewiele mnie obchodzi co Ty o mnie uważasz. Bo czemu miało by mi zależeć na zdaniu osoby, której nie szanuję? (IMG:style_emoticons/default/winksmiley.jpg) I vice versa, mam zerowe zainteresowanie w tym zeby ktos kogo uwazam za gorszego od siebie mnie szanowal (znaczy sie jakies 98% spoleczenstwa).Cytat(thek @ 5.08.2010, 12:15:42 ) A czy spędzać godziny nad tym? Nie. Nikt nie każe Ci tego implementować przecież, ale nazywanie czegoś debilizmem tylko na podstawie własnego "widzimisię" jest po prostu śmieszne i nieprofesjonalne. To, że jeden lub więcej z linków w opracowaniu nie działa (tu raczej należy chwalić FB, że je niweluje), nie zmienia faktu, że pozostają inne lub wręcz nowe powstałe przy okazji udostępniania nowych funkcjonalności o których w zestawieniu nie wspomniano. Czy jesteś w stanie obiektywnie ocenić, że nie da się tego zastosować w obliczu ciągle następujących zmian/łataniu? Mało to co chwila informacji o lukach w serwisach typu social? FB jest popularny, zmierza do załatania co się da, ale mentalności ludzkiej nie zmienisz łatwo. Dopóki nie będzie całkowitej "desocjalizacji" portali społecznościowych (toż to zaprzeczenie idei takiego portalu) wyciąganie informacji będzie możliwe i ich analiza także. Z czasem skuteczność będzie się zmieniała (w zależności od wykrywanych luk), ale tak naprawdę skuteczność będzie się wiązała z odpowiednio dużą porcja danych dla algorytmów oraz czasem. Co do kosztów, to w czasach obecnych, gdzie wynajęcie mocy obliczeniowych botnetów jest za śmieszne pieniądze argument po prostu upada. Jedyną przeszkodą jest napisanie algorytmu i znalezienie podatnych linków do niego. A te póki co istnieją. Jest ich mniej, ale wciąż są. Łącząc zaś dane analizowane z kilku sociali (user będzie w różnych podobne tematycznie wybierał) prawdopodobieństwo trafienia wzrośnie. Czy tak trudno posłużyć się rozumem by do owych wniosków dojść? Nie sądzę. Jak więc wspomniałem to kwestia głównie czasu i ilości danych na wejściu. Pierwszy w zasadzie mamy niegraniczony, drugie dostarczą nam crawlery do tego celu napisane. Sobie uargumentowalem moje nazwanie tego debilizmem, a ze nie chce mi sie rozpisywac na pol/pietnascie stron na ten temat to fakt lenistwa. A jezeli dyskusja miala by sie sprowadzic to wynajdywania co chwile nowych exploitow w systemie to nigdy sie ona nie zakonczy poniewaz programy zawsze beda mialy bugi, i w mysl takiego podejscia moznaby znacznie uproscic proced sprawdzanie kim ktos jest (prosty przyklad do jeden z miliarda exploitow w JVM ktory pozwala na uruchomienie remote shella na dowolnej maszynie i sprawdzenie na kogo zainstalowane sa programy/system operacyjny) tak wiec dysputa powinna toczyc sie wobec metod ktore sa dostepne "z zalozenia" a nie luk w systemie. Dla przykladu takie to przynaleznosc do grup, sprawdzenie jakie linki kliknal itd. A poki ktos mi nie pokaze efektywnej takiej detekcji w praktyce to pozwole sobie byc sceptykiem z racji chociazby na problem wydajnosci tak ogromnej bazy danych (samo zaoranie facebooka dalo by mase danych ktora zagnie nie jeden serwer, nie mowiac o resztach spolecznosciowek) co uczyni atak niepraktycznym i nieoplacalnym.Cytat(thek @ 5.08.2010, 12:15:42 ) A tak offtopem: dowód na 2+2=3 jest do wyprowadzenia na około pół strony. To coś co poznaje się na 1 semestrze studiów z algebry. Uwierze na slowo, mnie matma przestala interesowac w okolicy ulamkow i procentow. |
|
|
|
Blame Deanonimizacja użytkownika i uzyskiwanie informacji 4.08.2010, 17:06:11 
erix Mało to teraz funkcji geolokacji w różnych systema... 4.08.2010, 17:12:10 Crozin Przeglądarka nie powinna udzielić dostępu JSowi do... 4.08.2010, 17:20:46 SHiP Można też sprawdzać czy użytkownik odwiedzał jakie... 4.08.2010, 17:56:07 
Puciek Cytat(SHiP @ 4.08.2010, 18:56:07 ) Je... 4.08.2010, 18:03:39 WebCM Zbadałem, czy w przeglądarkach IE i Firefox jest m... 4.08.2010, 18:00:07 SHiP @Puciek: Gratuluję nie rozumienia tematu. Kolejny ... 4.08.2010, 23:20:12 Puciek Cytat(SHiP @ 5.08.2010, 00:20:12 ) @P... 5.08.2010, 06:34:21 everth Czyli jak zwykle wszystko sprowadza się do pytania... 5.08.2010, 01:57:43 thek Ja tylko dorzucę: "duże szanse na okreslenie ... 5.08.2010, 08:22:26 Puciek Cytat(thek @ 5.08.2010, 09:22:26 ) Ja... 5.08.2010, 08:39:26 vokiel Nikt nie mówi, że jest to łatwe i daje 99,9% szans... 5.08.2010, 09:11:34 SHiP @Puciek - zajrzałbyś w link, który wysłałem wyżej.... 5.08.2010, 09:40:15 thek Szukając po postach, raczej trudno nie odnieść wra... 5.08.2010, 09:41:39 Puciek Cytat(thek @ 5.08.2010, 10:41:39 ) Sz... 5.08.2010, 09:59:25 Blame Chciałem rozpocząć zwykłą, ciekawą dyskusje, pozna... 5.08.2010, 14:20:43 SHiP Facebook się postarał i trochę to załatał ale taki... 5.08.2010, 10:36:05 erix ~Puciek, nudzisz się...?
CytatA na szacunek trzeb... 5.08.2010, 11:08:27 thek Na szacunek należy zapracować, ale jeśli do osoby ... 5.08.2010, 11:15:42 erix CytatA pozniej co, wystawisz mi warna ? O jeju jej... 5.08.2010, 12:06:18 erix CytatChciałem rozpocząć zwykłą, ciekawą dyskusje, ... 5.08.2010, 14:27:41 ARJ zabawnym sposobem na podglądanie czyjejś historii ... 5.08.2010, 15:51:06 erix I nie tylko w trybie prywatnym podobne zabezpiecze... 5.08.2010, 16:04:28 vokiel Zabezpieczenia przeglądarek - i owszem, ale serwis... 5.08.2010, 17:46:39 everth Konkretne pytania:
co nas interesuje w statystyczn... 6.08.2010, 15:55:58 SHiP Cytat(everth @ 6.08.2010, 15:55:58 ) ... 6.08.2010, 22:40:02 erix Wystarczy sprawdzić, do jakich grup użytkownik nal... 6.08.2010, 21:47:42  |
|
Aktualny czas: 26.12.2025 - 16:23 |
