id: Гость   вход   регистрация
текущее время 01:04 29/03/2024
Автор темы: Гость, тема открыта 10/12/2006 00:07 Печать
создать
просмотр
ссылки

JavaScript vs. TOR


Правда ли, что есть такие JavaScript, которые могут узнать мой IP и др. информацию (какую?) и передать незаметно авторам сайта? Например, вместе с формой, которую я заполняю на сайте? Если "Да", то как это обнаружить? И можно пример скрипта?


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— SATtva (10/12/2006 20:08)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
К IP и другим аппаратным и протокольно-стековым данным javascript иметь доступ не должен (иначе как через большую дыру в браузере).
— spinore (10/12/2006 20:37)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


Может быть, он может косвенно выполнить на стороне пользователя код, который в конечном счёте проявит нужный айпи злоумышленникам?
— Гость (10/12/2006 21:48)   <#>
soft@mvrum.com
А как правильно сделать настройфки
— Гость (11/12/2006 10:23)   <#>
Так что, JavaScript совершенно безопасны? Чего тогда их советуют отключать? Я еще вспомнил, что есть VBScript.
— spinore (11/12/2006 15:44)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Насколько я понимаю, кукисы, как и JS, при определённом стечении обстоятельств могут использоваться для отслеживания пользователя, но не для проявления его местоположения. Если я использую спецпрофиль, с которого лажу только анонимно, и использую обычный профиль, с которого лажу не анонимно (это даже не профиль, а запущенные от разных пользователей процессы никак друг с другом не связанные), то я допускаю, что какой-то из посещаемых анонимно мною сайтов будет за мной следить. Но, с другой стороны, аутентификация на любом из анонимных сайтов тоже даёт много информации обо мне: когда я заходил, что я делал, что писал, и сайт по своему усмотрению может поделиться моими кукисами с соседним. В таком случае указанные 2 сайта будут для меня работать как один, но распределённый. Но я опять же не вижу в этом проблемы. Это всё равно слабо поможет им в раскрытии истиного айпи (хотя потенциально может помочь, но это уже совсем тонкости). Поправьте если я не прав.
— spinore (11/12/2006 15:50)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Кстати, совсем другой разговор, если вы не меняете профиль при переходе на анонимное соединения, а только запускаете тор. Поясню на простом примере: у вас, допустим, есть 2 ящика на mail.ru. Один – ваш официальный, а другой – анонимный. Если вы зашли из-под браузера в свой официальный ящик – вы оставили у себя кукисы, сайт их тоже помнит. Потом вы идёте в том же браузере на mail.ru, но на свой анонимный ящик... под тором... А mail.ru смотрит, и видит: "ага, кукисы у вас предыдущие "такие-то", значит это вася. Ага, а теперь это вася под анонимом лезет на новый свой ящик, под тором... Но мы то знаем.." Вот и всё на том. Я сам не так давно все эти тонкости понял. Да, а те кто совсем головой не думают – слушают тех кто что вякнет по этому поводу: кукисы уджалять, JS отключать, к компу не подходить... То есть всё это можно, только надо понимать когда и в каикх случаях можно, и без понимания того как это работает здесь никуды :(
— SATtva (11/12/2006 17:19)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Я еще вспомнил, что есть VBScript.

А ещё — PHP, Perl, Cold-Fusion... Только всё это (в том числе VBScript) языки программирования серверных приложений. Javascript, а также Java, ActiveX и Flash отличает то, что они исполняются непосредственно на стороне пользователя: что-то в самом браузере, что-то в специальных интерпретаторах. Серверные программы имеют дело с теми данными, которые им сочтёт нужным передать клиент. Клиентские программы могут получить всю доступную информацию сами.

Это всё равно слабо поможет им в раскрытии истиного айпи (хотя потенциально может помочь, но это уже совсем тонкости). Поправьте если я не прав.

Да нет, отчасти верно. Если Ваша единственная угроза — это раскрытие IP (полное разрушение анонимности), то бояться нечего. Если же Вы не хотите, чтобы посещаемый сайт мог даже построить примерный профиль Ваших интересов, иными словами, создать Вам псевдоним и отслеживать Вас по нему, то рассматриваемые здесь технологии потенциально опасны.

Это как Ваш пример с мэйл.ру. Предположим, вы посещаете какой-то форум анонимно и публикуете там сообщения от имени двух альтер-эго. Используя javascript администраторы могут выявить некоторые уникальные параметры Вашей системы и определить, что за этими двумя псевдонимами стоит один человек.
— spinore (12/12/2006 10:46)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Понял. Спасибо, SATtva.
— Lemtoks (12/12/2006 19:50)   профиль/связь   <#>
комментариев: 53   документов: 3   редакций: 1
SATtva:
А ещё — PHP, Perl, Cold-Fusion... Только всё это (в том числе VBScript) языки программирования серверных приложений.
Не совсем правильно. VBScript также может выполняться на стороне клиента, но только в IE, остальные броузеры его не поддерживают. По возможностям VBS и JS полностью идентичны, они различаются только синтаксисом.
— Гость (12/12/2006 22:40)   <#>
Правильно я понял, что если разрешен JavaScript, то это не дает возможности другой стороне получить обо мне информацию? Значит он безопасен.
— Гость (13/12/2006 01:31)   <#>
Правильно я понял, что если разрешен JavaScript, то это не дает возможности другой стороне получить обо мне информацию? Значит он безопасен.

Неправильно, выше все написано.


А ещё — PHP, Perl, Cold-Fusion... Только всё это (в том числе VBScript) языки программирования серверных приложений. Javascript, а также Java, ActiveX и Flash отличает то, что они исполняются непосредственно на стороне пользователя

Ну с PHP тоже не все так просто, например, насколько я помню, старые версии FastBB с помошью PHP идентифицировали пользователя (так называемый супербан) по огромному количеству параметров, сейчас идентефицируют по уникальному номеру IE, кстати на самом IE можно с помощью JS узнать очень много интересного, например серийник сидирома, содержимое буфера обмена, и пр., но мы то с вами не дураки, и юзаем Firefox и Opera ;)
Про супербан PHP из FastBB можно подробно прочитать в статье о прогремме AntiBan, если не ошибаюсь, на antichat.ru.
— Lemtoks (13/12/2006 05:16)   профиль/связь   <#>
комментариев: 53   документов: 3   редакций: 1
Ну с PHP тоже не все так просто, например, насколько я помню, старые версии FastBB с помошью PHP идентифицировали пользователя (так называемый супербан) по огромному количеству параметров
Php-скрипт не может выполняться на стороне клиента хотя бы потому, что интерпретатор не встроен в систему по умолчанию.
— Гость (13/12/2006 07:55)   <#>
Вы все конечно очень умные, но я вашего ответа не понял.
— SATtva (13/12/2006 10:59)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ну с PHP тоже не все так просто, например, насколько я помню, старые версии FastBB с помошью PHP идентифицировали пользователя (так называемый супербан) по огромному количеству параметров

Ну конечно, если IE такой идиот, что в HTTP-REQUEST передаёт все аппаратно-программные параметры системы, то с этим можно бороться только сменой IE на те же Firefox или Opera. Как я уже сказал, серверные приложения имеют дело только с теми данными, которые им сообщит клиент. Если он им ничего не сообщит или передаст только самые важные данные, необходимые для выполнения запроса, то каким-то чудесным образом что-то угадать они уже не смогут.

Вы все конечно очень умные, но я вашего ответа не понял.

А какой был вопрос? :-)
— Гость (13/12/2006 11:25)   <#>
Ну вопрос, с которого все началось. Можно без науки. Просто: да, JS может передать это..., или: нет, нет ничего не может.
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3