Ostatnimi czasy obejrzałem film, w którym niejaki Billy Hoffman pokazuje m.in. jak potężnym narzędziem może być javascript jeśli chodzi o zbieranie informacji o użytkowniku.
Postanowiłem więc założyć ten temat, jako dyskusja o metodach dowiadywania się jak najwięcej o odwiedzających nasze strony userach.

Zaciekawiła mnie szczególnie metoda uzyskiwania informacji za pomocą js i ramek. Załóżmy na przykład, że umieszczamy na naszej stronie ramkę do facebook'a. Jeśli akurat user jest na niego zalogowany, to teoretycznie powinniśmy być w stanie uzyskać np. jego imię i nazwisko, zawarte chociażby w <title></title>, które mogą być pomocne przy spamujących natrętach itp. Niestety nie wiem czy ten sposób działa, nie mam tego aktualnie jak sprawdzić, więc może ktoś z was się pokusi?

Czekam na wasze pomysły dot. deanonimizacji nie koniecznie za pomocą js

Mało to teraz funkcji geolokacji w różnych systemach/urządzeniach? iPhone przecież dorzuca współrzędne do EXIF-ów, ostatnio w wielu routerach znaleziono buga, który pozwala na uzyskanie adresu MAC i całkiem użyteczne namierzenie urządzenia.

Przeglądarka nie powinna udzielić dostępu JSowi do treści z ramki z innej domeny.

Można też sprawdzać czy użytkownik odwiedzał jakieś strony. Tutaj artykuł - http://srodek.info/blog/166/podglad-historii Jedna firma napisała skrypt sprawdzający setki podstron na facebooku co dawało duże szanse na okreslenie prawdziwej osobowości internauty(sic!). Tego też nie powinny umożliwiać przeglądarki ;].

Zbadałem, czy w przeglądarkach IE i Firefox jest możliwy dostęp do ramek i odpowiedzi AJAX z innych domen. Nie ma się czego obawiać. Nie wykluczam, że istnieją luki w innych mechanizmach.

IE 8 zezwala na to tylko w lokalnych plikach. Firefox 3.6 w ogóle nie zezwala.

A może dostęp do zawartości zdalnego obrazka albo pliku SVG? Nie sprawdziłem

Wydaje mi się, że największą luką są wtyczki Flash, QuickTime...

Gratuluje rozpuszczania bredni wsrod publiki, kolo gospodyn miejskich oraz cysiatron dali sie nabrac.
Dla osob ulomnych wyjasniam, odnosniki i strony profilu nie posiadaja w adresie odrebnienia czy to jest twoj profil czy nie twoj, czyli widzac link http://www.facebook.com/#!/profile.php?id=1498846870 nie mozemy powiedziec czy ktos zajrzal zeby zobaczyc moje zajebiste zdjecie czy jest wlascicielem. Co innego gdyby ludzie z FB totalnie zdurnieli i mieli np. myprofile.php?id=1498846870 (co jest ulomne do granic ulomnosci).

@Puciek: Gratuluję nie rozumienia tematu. Kolejny raz prowokujesz głupimi odzywkami chociaż nie masz zielonego pojęcia o czym się tu rozmawia. Proste wytłumaczenie: Wybieramy 2000 grup próbnych na facebooku. Z historii przeglądarki wiemy, że użytkownik przeglądał 23 z nich. Szukamy kogoś, kto znajduje się we wszystkich tych grupach jednocześnie. Przy odrobinie szczęścia można otrzymać zbiór osób z największym prawdopodobieństwem. Analogicznie jest z LinkedIn i innymi social serwisami.


A dla pozostałych bardziej złożona publikacja na ten temat na dobranoc - http://docs.google.com/gview?url=http://ww...R.pdf&pli=1

Czyli jak zwykle wszystko sprowadza się do pytania: Jak dużo unikatowych informacji o sobie zostawiasz w sieci? I praktycznie zawsze odpowiedź jest ta sama - za dużo. Nie dajmy się zwariować

BUahahahahahahahhahahahahahahahhhahahahahhahahahhahahh. Juz nawet nie bede tlumaczyl jak straszne glupoty fanzolisz i pozwole ci wierzyc w takie magiczne "znalezenie po grupach". Tylko tak drobne pytanie, malunkie maciupenke. Otworz losowe profile i powiedz mi do jakich grup naleza (gdzie defaultowym ustawieniem dla profilu jest nie pokazywanie tego info nie friendom a co za tym idzie ma tak 80%+ userow).
Ale skoro ja tylko prowokuje, proste wyzwanie, ja wejde na stronke z nie mojego konta FB a ty mi powiesz jak sie konto nazywalo.

Ja tylko dorzucę: "duże szanse na okreslenie prawdziwej osobowości" to nie "a ty mi powiesz jak sie konto nazywalo". Poza tym sytuacja wymaga analiz statystycznych przez jakiś okres czasu. To nie jednokrotne uruchomienie skryptu i mamy wyniki. I w takim wypadku będzie możliwe z dużą dozą prawdopodobieństwa czy dany user to określone konto. Zważywszy zaś fakt, że w socialach ludzie bardzo chętnie akceptują zaproszenia od nieznajomych, to dostanie się do kręgu osób i tak widzących owe grupy nie jest karkołomnym zadaniem. Wcale nie trzeba jakiejś wybitnej socjotechniki. Im aktywniejszy użytkownik tym zadanie staje się prostsze. Dlatego moim zdaniem Puciek po prostu spłyciłeś temat tak, by wyszło na Twoje. Odpowiednia ilość czasu w zupełności wystarczy by to miało duże szanse powodzenia. Ja nie widziałem by SHiP twierdził, że sposób pozwala na jednoznaczne i bezbłędne rozpoznanie. Takie wykpiwanie każdego jak leci Puciek średnio mi się podoba. Możesz mieć wiedzę, możesz być sobie kim chcesz, choćby i prezydentem. Ale z tego jak traktujesz innych łatwo można wnosić o poziomie. A ten osobiście uważam w Twoim wykonaniu za niski i dla mnie zwyczajnie pokazujesz, że jesteś chamem. Z wiedzą i doświadczeniem, ale jednak prostakiem. Takie odzywki możesz walić kolegom podczas rozmów prywatnych, na IRC-u ze znajomymi, którzy wiedzą, że masz taki a nie inny charakter oraz to akceptują. Ale publiczne forum to publiczne forum i jakiś poziom kultury powinno się trzymać. Jeżdżenie zaś po ludziach tylko dlatego, że mają mniejszą wiedzę lub po prostu inne zdanie to moim zdaniem przejaw buractwa, podwyższania sobie ego czyimś kosztem. Od czasu do czasu zdarza się każdemu i można przymknąć na to oko. Jeśli jest nagminne świadczy tylko o zachowaniach antyspołecznych I by było zabawnie... Miałem testy przeprowadzane gdzie w wynikach miałem bardzo wysoko ocenione logiczne myślenie (10 sten) ale z dopiskiem na końcu testu, że jestem osobą nieprzystosowaną społecznie. Co więc można powiedzieć o Tobie w takim wypadku - przemilczę.

Wszystkie wymienione wobec mnie "inwektywy" mam w CV, na wizytowce oraz wyszyte na bieliznie (razem z faktem bycia socjopata) wiec "not much of a news". Nomen est omen, nie wysmiewam kazdego, proponuje poszukac . A co do twojego testu, w sporej mierze rozni nas to ze ja poprostu mowie co mysle, nie ubieram tego w ladne slowa i nie staram sie byc kims kim nie jestem.
I patrzac na ilosc zmiennych moze to byc robione w teori ale w praktyce wydajnosc tej metody jest porownywalna z malpa rzucajaca kamieniami w ksiazke telefoniczna, nigdzie w okolicy sporych szans [a to juz twierdzil]. Do tego fakt ze musisz go dodac do friends (i czekac na autoryzacje) a i tak nawet po tym jest mala szansa na prawidlowa identyfikacje osoby podle histori.

Nikt nie mówi, że jest to łatwe i daje 99,9% szans na powodzenie.
Łącząc jednak taką analizę z np Panopticlick czy A Primer on Information Theory and Privacy można już coś zdziałać.

Łącząc to z geolokalizacją przeglądarki i danymi współrzędnych zapisanych w EXIF zdjęć w profilu można kogoś trafić. Niech to będzie porównywalne do "Szczęśliwy traf" z google, ale szanse są.

Oczywiście, te metody się nie sprawdzą u wszystkich. Wiele osób np przerabia zdjęcia w Photoshopie i usuwa wszelkie dane EXIF, inni korzystają z IE6 (jeśli jeszcze tacy są ) i nie mają geolokalizacji itd. Część osób jest świadomych prywatności w sieci i stara się zostawiać jak najmniej śladów.

@Puciek - zajrzałbyś w link, który wysłałem wyżej. Ja widzę, że nie rozumiesz tej techniki. Całkowicie błędne założenia masz. Kilku mądrych ludzi zrobiło dokładne analizy i testy. Statystycznie im wyszło, że da się tą techniką określić tożsamość około 40% ludzi.

Oczywiście zawsze można napisać: "ale ja nie mam facebooka więc to nie działa" analogicznie jak ktoś sobie pochowa wszystko dla znajomych i usunie się z grup lub ustawi błędne dane to też ciężko będzie cokolwiek znaleźć. Poza tym nie badamy tylko facebooka ale równolegle inne portale myspace, friendstera etc.

Ludzie chowają przynaleźność do grup? Haha - przykład z Polski http://www.goldenline.pl/grupa/design/ludzie O i ponad 3 miliony ludzi lubi Przyjaciół na facebooku - http://www.facebook.com/friends.tv Ale oczywiście nikogo nie możesz zobaczyć bo są tajemne filtry włączone... Najlepiej widać to na myspace, gdzie praktycznie każdy jest fanem kilku zespołów.



A ja pomyślę kształt a ty zgadniesz, o który mi chodziło. Dokładna historia z przeglądarki przeciętnego użytkownika z dłuższego okresu czasu i mógłbym coś zdziałać... Badanie informatyków takimi metodami to jak skradanie się do wojownika ninja.

Szukając po postach, raczej trudno nie odnieść wrażenia, że uważasz za "godnego" wyśmiania każdego, kto według Ciebie stoi na niższym poziomie wiedzy. A że masz o sobie naprawdę ogromne mniemanie to pod to łapie się niemal 100% osób tutaj piszących, gdyż nawet administracja i moderatorzy mieli jakieś potknięcia. W zasadzie mógłbym nawet twierdzić, że 100% tu piszących za wyjątkiem Ciebie za takie uważasz. Jakoś nie widziałem byś miał choć jeden post gdzie byłbyś pozytywnie nastawiony do jakiegoś pomysłu. W najlepszym wypadku neutralny. Tu nie chodzi tylko o to, że wyzywasz ludzi od ułomów czy tego typu teksty, ale o to jak ogólnie na forum się zachowujesz. Co do mówienia co się myśli, to moim zdaniem tylko napinanie się w sytuacji gdy wiesz, że to Ty jesteś na lepszej pozycji. W sytuacji gdybyś miał nóż przy nerkach szybko by z Ciebie chojractwo uszło. A co do mojej "kwiecistej mowy" i bycia "kim nie jestem"... Uważam, że każdy ma prawo do pewnego poszanowania jego zdania/uczuć/czego tam chce. Ale trzeba też umieć wyrazić odmienne zdanie bez używania słów w stylu "trzeba być ułomem", "to debilizm". Jak wspomniałem - dla mnie to buractwo.
Ilość zmiennych jest taka duża? Nie sądzę. Autoryzacja, dodanie do przyjaciół przeszkodą? Wyślij do 50 losowych osób prośbę o to i policz ilu zatwierdzi Skąd wnioskujesz o "małej skuteczności"? Bo Ty tak uważasz? No weź sobie jaj nie rób. Wszystkim wytykasz brak profesjonalizmu, rozpuszczanie niepotwierdzonych bredni, a co właśnie robisz? Masz potwierdzenie nieskuteczności tego? Nie widzę. Przekonaj mnie, że to Ty masz rację. I proszę o coś więcej niż tylko "bo tak po prostu jest". SHiP dał link do swojego wpisu na blogu jak wygląda sprawa mechanizmu historii + link do opracowanego dokumentu badań. A z nich mogę przecież głębiej poszukać. A u Ciebie? Mam wierzyć po prostu na słowo, że tak jest? Daj mi do ręki opracowania o przeciwstawnych wynikach, obalających je to porównam oba i sam wyciągnę wnioski. Na razie racja nie stoi po Twojej stronie i nawet Twoje najgłośniejsze krzyki nic tu nie zmienią. Nie bądź jak "obrońcy krzyża" na Krakowskim Przedmieściu

Fakt, jezeli ktos by planowal wbic noz w nerki to przyznalbym sie do wystepnego z kobyla obcowania. Ale czy to mowi o mnie cokolwiek wiecej niz "chce zyc" ? Bo nie wiem co chciales tym udowodnic. A na szacunek trzeba sobie zapracowac, widac odrazu ze wyrywkowo przegladales (jezeli w ogole) moja historie postow na tym forum bo pare osob ten szacunek ma.
Czyli mam spedzac godziny zeby debunkowac czyjas teorie zamiast nazwac to poprostu debilizmem na wrotkach ? To tak jakbym ja przyszedl i powiedzial "2+2 jest 3" i domagal sie od ciebie wyprowadzenia dowodu matematycznego na 15 stron zeby udowodnic inaczej. Uzasadnienie spoczywa na osobie ktora probuje wmowic innym swoja teorie, nie w druga strone. Ja tez w przeciwienstwie do shipa zadalem sobie trud zeby sprawdzic aktualnosc dokumentu i z tego co widze to upload.php?id=[userid] jest juz nieaktualny (co skutecznie zmniejsza wydajnosc tego ataku). Do tego wbrew co pisza w dokumencie, to nie bedzie tani w przeprowadzeniu atak.

Facebook się postarał i trochę to załatał ale takie linki dalej istnieją - http://www.facebook.com/#!/editalbum.php?new&id=[userId] Fakt, że przeglądarki różnie zapisują adresy z # ale to jest tylko czubek góry lodowej. Socialów je masa i wiele z nich jest napisana na średnim poziomie. 1 strona z kodem JS + identyfikacja przeglądarki + serwer zapisujący wyniki(tu jedynie dużo miejsca na baze potrzeba). Ten atak jest nie tyle drogi, co ciężki do realizacji bez pokaźnej wiedzy z matematyki.

~Puciek, nudzisz się...?


Dość długo siedziałem cicho, ale teraz powiem, publicznie: o szacunku do innych powinieneś być ostatnią osobą, która ma coś na ten temat do powiedzenia. Ostatnie upomnienie z mojej strony.

Na szacunek należy zapracować, ale jeśli do osoby "na dzień dobry" podchodzisz per "Ty ułomie", to nie dziw się, że do Ciebie wielu nie ma szacunku. Dla mnie jak wspomniałem nie liczy się tylko wiedza ale i kultura osobista. Ty jej nie masz patrząc pod kątem forumowego zachowania i stąd naprawdę musiałbyś zmienić swoje podejście by wpierw wyjść z mułu a dopiero potem jeszcze się podnieść na tyle bym zaczął Cię za osobę godną szacunku uznać. I akurat niewiele mnie obchodzi co Ty o mnie uważasz. Bo czemu miało by mi zależeć na zdaniu osoby, której nie szanuję?

A czy spędzać godziny nad tym? Nie. Nikt nie każe Ci tego implementować przecież, ale nazywanie czegoś debilizmem tylko na podstawie własnego "widzimisię" jest po prostu śmieszne i nieprofesjonalne. To, że jeden lub więcej z linków w opracowaniu nie działa (tu raczej należy chwalić FB, że je niweluje), nie zmienia faktu, że pozostają inne lub wręcz nowe powstałe przy okazji udostępniania nowych funkcjonalności o których w zestawieniu nie wspomniano. Czy jesteś w stanie obiektywnie ocenić, że nie da się tego zastosować w obliczu ciągle następujących zmian/łataniu? Mało to co chwila informacji o lukach w serwisach typu social? FB jest popularny, zmierza do załatania co się da, ale mentalności ludzkiej nie zmienisz łatwo. Dopóki nie będzie całkowitej "desocjalizacji" portali społecznościowych (toż to zaprzeczenie idei takiego portalu) wyciąganie informacji będzie możliwe i ich analiza także. Z czasem skuteczność będzie się zmieniała (w zależności od wykrywanych luk), ale tak naprawdę skuteczność będzie się wiązała z odpowiednio dużą porcja danych dla algorytmów oraz czasem. Co do kosztów, to w czasach obecnych, gdzie wynajęcie mocy obliczeniowych botnetów jest za śmieszne pieniądze argument po prostu upada. Jedyną przeszkodą jest napisanie algorytmu i znalezienie podatnych linków do niego. A te póki co istnieją. Jest ich mniej, ale wciąż są. Łącząc zaś dane analizowane z kilku sociali (user będzie w różnych podobne tematycznie wybierał) prawdopodobieństwo trafienia wzrośnie. Czy tak trudno posłużyć się rozumem by do owych wniosków dojść? Nie sądzę. Jak więc wspomniałem to kwestia głównie czasu i ilości danych na wejściu. Pierwszy w zasadzie mamy niegraniczony, drugie dostarczą nam crawlery do tego celu napisane.

A tak offtopem: dowód na 2+2=3 jest do wyprowadzenia na około pół strony. To coś co poznaje się na 1 semestrze studiów z algebry. A skoro jesteś tak dobry to sam o tym wiesz, wystarczy udowodnić maleńką liczbę własności, w tym łączność i przemienność. To zaś dla tak banalnych przypadków jak podany wiąże się z liczbą linijek (do tego bardzo krótkich) policzalną na palcach jednej ręki. To żaden kosmos. Już obliczenia macierzowe czy ortogonalizacja macierzy są o rząd wielkości trudniejsze.

A pozniej co, wystawisz mi warna ? O jeju jeju czarodzieju. Tylko nie zapomnij przygotowac sobie punktu regulaminu ktory zlamalem bo juz kilka osob probowala dac mi warna za nieistniejace punkty (nulla poena sine lege).

I vice versa, mam zerowe zainteresowanie w tym zeby ktos kogo uwazam za gorszego od siebie mnie szanowal (znaczy sie jakies 98% spoleczenstwa).

Sobie uargumentowalem moje nazwanie tego debilizmem, a ze nie chce mi sie rozpisywac na pol/pietnascie stron na ten temat to fakt lenistwa. A jezeli dyskusja miala by sie sprowadzic to wynajdywania co chwile nowych exploitow w systemie to nigdy sie ona nie zakonczy poniewaz programy zawsze beda mialy bugi, i w mysl takiego podejscia moznaby znacznie uproscic proced sprawdzanie kim ktos jest (prosty przyklad do jeden z miliarda exploitow w JVM ktory pozwala na uruchomienie remote shella na dowolnej maszynie i sprawdzenie na kogo zainstalowane sa programy/system operacyjny) tak wiec dysputa powinna toczyc sie wobec metod ktore sa dostepne "z zalozenia" a nie luk w systemie. Dla przykladu takie to przynaleznosc do grup, sprawdzenie jakie linki kliknal itd. A poki ktos mi nie pokaze efektywnej takiej detekcji w praktyce to pozwole sobie byc sceptykiem z racji chociazby na problem wydajnosci tak ogromnej bazy danych (samo zaoranie facebooka dalo by mase danych ktora zagnie nie jeden serwer, nie mowiac o resztach spolecznosciowek) co uczyni atak niepraktycznym i nieoplacalnym.

Uwierze na slowo, mnie matma przestala interesowac w okolicy ulamkow i procentow.

Musiałbym najpierw dorosnąć do Twojego poziomu, jeszcze brakuje mi skilla.

Chciałem rozpocząć zwykłą, ciekawą dyskusje, poznać wasze metody i pomysły a wyszło co? Poligon z armatami na mięso, w roli główniej oczywiście Puciek kontra reszta świata. Chciałbym jeszcze zadeklarować, że skoro taki Thomson czy ktokolwiek inny, komu zdarzyło się parę razy zaspamować na forum, jest gorzej traktowany od gościa, który jak tylko coś napiszę na tym forum to musi wylewać całą nazbieraną żółć to sory, ale chyba coś jest nie tak...


Tym chciałbym zakończyć ten temat ponieważ widzę, że zmierza w złym kierunku. Proszę któregoś z rozsądnych moderatorów o zamknięcie go.

No niestety, gdyby nie on, to pewnie dyskusja toczyłaby się na właściwych torach.


Wobec Pućka zostały już wyciągnięte odpowiednie konsekwencje; już nie pamiętam, kiedy ostatnio wlepiliśmy komuś taką karę.


Chyba nie ma potrzeby. Można powrócić do tematu.

zabawnym sposobem na podglądanie czyjejś historii przeglądania jest strona http://didyouwatchporn.com
ktoś wam przesyła niewinny link, pojawia się napis "DID YOU?", a następnie lista odwiedzanych stron porno (o ile takie były). natomiast osoba która to wam wysłała otrzymuje mail także z tą listą. oczywiście teraz większość przeglądarek wprowadziła tryby prywatne więc użycie historii daje mniejsze pole popisu. wcześniej zawsze istniała możliwość, że osoba przeglądająca strony (nie tylko porno) zapomniała usunąć czegoś z historii i można to było wyśledzić.

I nie tylko w trybie prywatnym podobne zabezpieczenia są wprowadzane...

Zabezpieczenia przeglądarek - i owszem, ale serwisy społecznościowe mogą mieć inne podejście do prywatności: Dane ponad 100 mln użytkowników Facebooka do pobrania

Konkretne pytania:

• co nas interesuje w statystycznym użytkowniku (nr. karty bankomatowej, hasło do konta na (FB,NK,...),PESEL, imię nazwisko, preferencje kulinarne, skłonność do ryzyka)?
• jakie informacje są powiązane z powyższym celem i na tyle unikatowe by zebrane pozwoliły na identyfikację użytkownika z określonym prawdopodobieństwem
• na jakich stronach można te informacje zebrać
• ile czasu to zajmie i czy wymaga użycia nielegalnych metod

I tak mi się zdaje że większości z powyższych celów wystarczy zwykła analiza statystyczna tego co użytkownik robi. A taką analizę na pewno przeprowadza Google (ma trochę trudniej bo informacje są nieuporządkowane i nie przypisane konkretnym użytkownikom), za darmo taką analizę przeprowadzają dla swoich serwisów społecznościowych użytkownicy (są unikatowi, sami przyporządkowują się do grup, głosują komentarzami - po co tu komu jeszcze imię i nazwisko?), prawdopodobnie podobnymi informacjami dysponują serwisy do analizy ruchu na stronach. W połączeniu z tym że do każdego zapytania przeglądarki wysyłają pewne dane z których da się wygenerować odcisk palca - gdzie my mówimy o anonimowości?

Wystarczy sprawdzić, do jakich grup użytkownik należy na FB. Mało kto jest świadomy, że to klucz do stworzenia profilu psychologicznego...

Numery kart to raczej złodziejom są potrzebne. Dane osobiste raczej zbierają firmy zajmujące się sprzedażą danych osobowych. A ci co zajmują się zakupami przez internet oraz reklamą zbierają całą resztę - zainteresowania, wyznawana religię czy chociażby skłonność do ryzyka. Jeśli wiadomo, że interesujesz się php to jest bardziej prawdopodobne, że kupisz książkę o PHP niż pani Danusia, która interesuje się biologią lub Mirek, hardkorowiec, któremu lepiej zaproponować kupno deskorolki. Ten ostatni punkt nie jest w gruncie rzeczy zły pod warunkiem, że nikt nikogo nie naciąga tylko dlatego, że ma większe skłonności do kupna różnych rzeczy(np. lecznicze lampy dla babć, które są zwykłą lampką z czerwoną żarówką).

Zresztą, firmy już i tak wszystko o was wiedzą. Dosłownie wszystko. Przyznać się kto dostaje reklamy viagry lub operacji powiększenia przyrodzenia na skrzynke pocztową?


Wszystko to co użytkownik wpisuje w internecie. Jeśli ktoś to przechwyci to wie najwięcej. W innych przypadkach to co zdoła zebrać z istniejących danych z sieci tj. facebooka, nk etc oraz chociażby historii przeglądarki.


Potrzebujesz spreparowanej strony internetowej i jakiegoś bota zbierającego dane z sieci. O ile boty są raczej legalne to z tą stroną może być różnie.



Jeśli chodzi o nielegalne wykorzystanie danych, to jest masa możliwości. Znając adres złodziej może kogoś wysłać na wycieczkę i okraść dom. Dochodzi jeszcze podszywanie się pod kogoś etc. Zresztą, trochę socjotechniki i przeciętny użytkownik sam poda resztę danych, nawet numer dowodu osobistego ;] a to już krok od założenia np. lewego konta bankowego.