Virsec
Member
Offline
Activity: 140
Merit: 33
|
|
February 17, 2020, 04:05:50 PM Last edit: February 17, 2020, 04:20:51 PM by Virsec |
|
Ссылки на bitcointalk вместо информации об авторе расширения достовляют. Расширение от анонимуса Доказано технически. Я включил сканер портов и обнаружил что расширение подозрительно куда-то передает трафик. Сервера логгируют и складывают в картотеку ваши метаданные. Короче всю инфу об отпечатке браузера расширение передает сразу на сервера.
|
|
|
|
|
|
|
|
|
You can see the statistics of your reports to moderators on the "Report to moderator" pages.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
suchmoon
Legendary
Offline
Activity: 3654
Merit: 8922
https://bpip.org
|
|
February 17, 2020, 04:32:24 PM Last edit: November 30, 2020, 03:41:08 AM by suchmoon Merited by Symmetrick (1) |
|
Доказано технически. Я включил сканер портов и обнаружил что расширение подозрительно куда-то передает трафик. Сервера логгируют и складывают в картотеку ваши метаданные. Корчое всю инфу об отпечатке браузера расширение передает сразу на сервера.
Расширение подключается только к bpip.org. Вот что отправляется и получается на обычной странице со всеми включенными функциями: Edited 2020-11-30 to fix a broken imageСодержание POST-запроса: {"instance_id":null,"items":["36044","64507","99165","366233","917790","2033515","2664833"]} (номера пользователей для получения информации о статусе/DT). Заголовки запроса - такие же, как если бы вы посетили bpip.org, стандартный запрос «fetch» из браузера, с «origin» указывающим на расширение: Edited 2020-11-30 to fix a broken imageЕсли вы не используете дополнительные функции, ничего не отправляется и не принимается, и расширение показывает только значок «(i)» со ссылкой на BPIP.
|
|
|
|
Virsec
Member
Offline
Activity: 140
Merit: 33
|
|
February 17, 2020, 05:02:54 PM |
|
1) BPIP тормозной и медленный. Информация обновляется медленно. В Loycev все быстрее и там самые актуальные логи
2) Создатель расширения BPIP - анонимус. Устанавливать непонятное расширение от анонимуса - экстрим на любителя. Да еще с такой сомнительной репутацией на форуме
3) JAVA тоже дырывая - все через Яву может утечь.
Красивые иконки в обмен на конфиденциальность. Уж увольте. Я итак знаю по памяти кто в DT, а кто не в DT
Плюс ты сачмун Ратимову не угодил. Отсутствует расширение на Opera. Сдался ему тормозной Фаерфокс или глючый Хром.
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
February 18, 2020, 08:06:50 AM |
|
Давайте позовем Фузстоуна, он вам расскажет про анонимность Ага, мне ссылку на эту тему в Телегу кинули... Форум тухнет, уже не знают какие костыли придумать, чтобы народу было интересно здесь время проводить. Да и что здесь рассказывать, Balthazar прав: Абсолютно любое расширение так может, а не только это. Всякие адблоки и ютуб даунлодеры - та же фигня, все крутится в привилегированном контексте, в режиме бога относительно объектов страниц во вкладках и всего кода на них. кто-то потом будет копаться в твоих ЛС Юзай и другим советуй, и не бойся, что тебя читают -- https://gnupg.org/Здесь Balthazar тоже прав: А с вшитыми блокировщиками рекламы браузера та же история?
Речь о расширениях. Встроенная функциональность браузера, разумеется, может видеть все что хочет, но это же браузер.. Если к браузеру нет доверия, тогда просто надо пользоваться другим браузером. P.S. Brave - говно. Хочется приватности? Юзайте Firefox и крутите гайки: https://tgraph.io/Reliz-Firefox-71-osnovnye-novshestva--paru-rekomendacij-po-ego-nastrojke-i-brauzernym-rasshireniyam-12-13Если использовать VPN, допустим Mullvad VPN, и опустошить всю переписку, использование данного расширения опасно? Использование данного расширения просто бессмысленно. Понятно, что при разрыве VPN соединения можно сверкнуть своим реальным IP, не уж то, как пишет корнер, и реальный IP можно засветить? Не знаю что там пишет корнер, но на Линуксе Kill Switch делается за две минуты, и ничем не надо "сверкать". Если использовать любой ВПН (даже самопальный) это уже само по себе опасно. Нет, нужно просто быть осторожным и понимать что ты делаешь. То же касается и тора. Да, то есть -- нужно просто быть осторожным и понимать что ты делаешь. Эти технологии придуманы прежде всего для проведения атак И кого ты в onion хочешь атаковать? Может быть свой банк? Или какую нибудь бухгалтерскую контору? Или свой ЖКХ? и для анонимного получения незаконного контента И все, больше ни для чего? В onion нет цензуры, а значит есть все, от незаконного (оружие, наркотики, и пр.), и до всяких политических форумов, и других сообществ, где людям приватность просто необходима, чтобы не подвергать риску свою жизнь -- почему это не упоминается? А, да, ведь политикам пиздунам популистам так прикольней шугать быдло: "В Tor одни педофилы! Запретить!!11!!!1" Допустим, вычислили, что я использую VPN и вычисленный IP не реальный, вычислили время моей машины, разрешение экрана и т.д. Как это вообще может отразиться на моей идентификации, если таких машин миллионы в сети? По уникальности твоего браузера, а там прям куча всего интересного, типа cookies (кросс-платформенная слежка в подарок! ), Flash, Silverlight, Canvas, шрифты + утечка DNS и пр. Тестить свой браузер на уникальность здесь: https://browserleaks.com/А теперь смотри как все просто. Ты говоришь о "миллионах машин" в сети... Подумай, а сколько с тех миллионов установили это расширение BPIP (или как оно там, сорри, мне лень посмотреть шапку темы)? Пусть будет 1000 (что является очень раздутым кол-вом пользователей), ок, дальше. Беремся за твой VPN и тайминг атаку (припустим твой VPN-провайдер не ведет логи) -- анализируем твою активность на форуме (она открытая для всех), именно активность-постинг. К этому всему имеем куки (которые ты вряд ли чистишь вручную или каким то софтом), разрешение экрана, шрифты, версию системы, user agent и пр. интересные вещи, которые лично тебя отличают от других машин (уникальный отпечаток). Что делаем имея все на руках? Ждемс твоей активности (а параллельно ты еще точно где то залогинен, а может и DNS течет, что вообще было бы отлично для твоей поимки), и как только видим твою активность -- общаемся с твоим VPN-провайдером, который сдаст тебя (понятно, что здесь надо предварительное общение, предоставление материалов твоего дела и т.д.). То что VPN-провайдер не ведет логи, это не значит, что при поступлении запроса от служб (и предоставления "пруфов") они не будут сотрудничать. Как раз и наоборот, будут сотрудничать как миленькие. Тот же ProtonMail (-VPN) сотрудничает при запросе служб, когда какой то очередной альтернативно-одарённый даун юзает ProtonMail чтобы "минировать" вокзалы и пр. И это только один из возможных векторов атак. Пусть каждый решит сам для себя -- становиться ли действительно уникальным в сети, благодаря этому расширению, чтобы взамен получить какие то значки над профилями. Я, пожалуй, откажусь. З.Ы. Я только проснулся, так что в этом посте могут быть ошибки, сорри. Данный пост ни к чему не призывает. Думайте своей головой.
|
|
|
|
Virsec
Member
Offline
Activity: 140
Merit: 33
|
|
February 18, 2020, 08:56:24 AM |
|
прям куча всего интересного, типа cookies (кросс-платформенная слежка в подарок! ), Flash, Silverlight, Canvas, шрифты + утечка DNS и пр. Короче я придумал Я завел себе второй комп. Купил симкарту оформленную на бомжа + USB модем И оттуда пользуюсь палевным расширениями от сачмуна Теперь можете беспалевно заниматься промошеном своих свистелок и перделок. Эй сачмун теперь можешь обмазываться не свежим говном и драчить без упреков
|
|
|
|
stoos
|
|
February 18, 2020, 09:49:11 AM |
|
Если использовать любой ВПН (даже самопальный) это уже само по себе опасно. Нет, нужно просто быть осторожным и понимать что ты делаешь. То же касается и тора. Да, то есть -- нужно просто быть осторожным и понимать что ты делаешь. Я как раз и написал о том, что через впн и тор делать можно, а что не нужно, не ограничиваясь абстрактными и надменными фразами наподобие "нужно просто быть осторожным и понимать что ты делаешь" Эти технологии придуманы прежде всего для проведения атак И кого ты в onion хочешь атаковать? Может быть свой банк? Или какую нибудь бухгалтерскую контору? Или свой ЖКХ? Первая часть относилось к впн. А вот следующее к тору: и для анонимного получения незаконного контента И все, больше ни для чего? В onion нет цензуры, а значит есть все, от незаконного (оружие, наркотики, и пр.), и до всяких политических форумов, и других сообществ, где людям приватность просто необходима, чтобы не подвергать риску свою жизнь -- почему это не упоминается? А, да, ведь политикам пиздунам популистам так прикольней шугать быдло: "В Tor одни педофилы! Запретить!!11!!!1" Я не зря использовал слово "незаконный". Ибо так и есть. Тут правда есть одна небольшая грань: форум российских экстремистов не запрещён где-нибудь в Индии, и для него достаточно индусского или китайского впн провайдера - ну будет знать Раджа из Дели, что Вася из Новосибирска кухонный революционер, думаю, это можно пережить. А вот другой запрещённый во всех цивилизованных странах контент уже требуют тора. Так что не надо лить за тор и боязнь за жизнь, это смешно. Я сам против цензуры, но смысла использовать тяжёлый тор, чтобы попелосить "эту страну" не вижу.
|
|
|
|
Virsec
Member
Offline
Activity: 140
Merit: 33
|
|
February 18, 2020, 09:53:56 AM |
|
Я, пожалуй, откажусь.
Поздно отказыватся. Ты теперь не анонимус. Твои фоточки с бинанса - нам известны Какой ты анонимус - если ты KYC прошел на дырявом Бинансе? Я сам против цензуры, но смысла использовать тяжёлый тор, чтобы попелосить "эту страну" не вижу.
Шутишь чтоли? Тут полфорума ФСБшников. К одному юзеру уже приезжали пативены, а ты говоришь что не надо тяжелый тор использовать Отедляться надо, свою UA-локаль создавать надо, недоступную для гебистов
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
February 18, 2020, 10:07:08 AM |
|
~ P.S. Brave - говно.
Чем Brave не угодил? Сказать говно это легче всего, надо бы обосновать. Надо бы? Кому? Еще бы сказал: "ты обязан обосновать". Если бы тема шла о чем то более сложном, понимаю, мало инфы, надо делиться (я только за). А когда речь идет о том, чтобы чуток погуглить... сорри, я за других Гугл юзать не буду. EDIT. Хотите чтобы я за кого то гуглил, пожалуйста -- типните мне пару баксов в Лайтнинге https://tippin.me/@thefuzzstone, а я за вас Гугл буду юзать.
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
February 18, 2020, 10:20:38 AM |
|
Понятно, я так и понял что это был просто пук Разбираешься в пуках? Ты действительно хочешь срачь начинать? Или ты действительно настолько наивен, что профит компания, которая стоит за Брейв (рекламная контора), прям трясется над твоей приватностью? Или ты наивный, или вложился в их говно-токен. Brave нормальный браузер А для меня говно, которое ничего не имеет общего с приватностью. и при правильной настройке вполне можно пользоваться. Ой, а ну ка расскажи нам здесь, как правильно ты его настроил?
|
|
|
|
~DefaultTrust
Copper Member
Sr. Member
Offline
Activity: 1554
Merit: 489
Stop the war!
|
|
February 18, 2020, 10:42:47 AM |
|
По нынешним временам, написать собственный браузер может любой студент за неделю или его преподаватель за один день. Только вот кто из этих песателей аудировал код хромиума и электрона на возможные закладки от правильных пацанов? Попробовал только что на сайте https://browserleaks.com/ связку VPN + tor браузер, в принципе неплохо получилось. Даже близко ничего похожего на себя не нашел Зато VPN + обычный браузер, когда ему разрешил гео API, выдал практически полный домашний адрес, только номера квартиры не хватает.
|
Do not trust bitcointalk fascists: leonello; Snork1979; ivan1975
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
February 18, 2020, 11:18:33 AM |
|
Ой, а ну ка расскажи нам здесь, как правильно ты его настроил? Там все прозрачно Ага, понял, вот и конец твоей "правильной настройке", которая основана на доверии к компании Brave и её партнерам рекламодателям, а также кликбейт-контенту контенту в стиле -- "Брейв приватен!" Все настройки обеспечивающие приватность включены. Ну так и скажи: "Натыкал галочек и все вдруг стало приватно: privacy mode ON." Если говоришь то подкрепи, чтобы я и другие знали в чем именно гавно заключается. Почему бы не проверить мои слова? Тебе Гугл лень заюзать? И по второй части... так, получается ты не знаешь в чем он говняный, а все равно продолжаешь говорить что "там все открыто, норм браузер".
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
February 18, 2020, 12:21:20 PM Merited by Symmetrick (3) |
|
Не раздувай щеки, в мозиле ты делаешь тоже самое, тыкаешь нужные галочки. Я там копался лично, ручками своими любимыми, при этом, гуглил инфу об каждой непонятной мне включаемой/отключаемой опции: И ты хочешь сказать, что то, что ты тыкнул 5 галочок (а может и меньше) через UI-йку в говно-Brave, сделало тебя приватным? Да, теперь я тебе верю -- в токен ты не вложился, ты просто наивный. А раз ты наивный (плюс не умеешь пользоваться Гуглом), дарю инфу, без регистрации и смс: 1. Во-первых, погугли об их автоматических говно-Brave обновлениях, и куда они стучаться (пссс, это серваки Амазона, только никому не говори, это приватностЪ), и что эти обновления ты НЕ отключишь через настройки браузера, вот здесь народ за житуху трёт, там же и ответ одного из разрабов: " Мы не планируем добавлять в UI возможность отключать обновления..." -- ну и да, как всегда, пугают "риском", под который попадут все пользователи, которые хотят это отключить. А они пиздатые, за вас все уже продумали. Ну, в общем, как ты сказал выше -- "все открыто", верно? Когда ты сказал о "правильной настройке", без сарказма, я подумал что ты запустил WireShark, посмотрел куда этот блядский Brave стучится и добавил правила для своего фаерволла, чтобы эта мразь "сидела локально и молчала". Но я чуть не угадаль. 2. Прошлогодний проёб со стороны Brave: https://www.bleepingcomputer.com/news/security/facebook-twitter-trackers-whitelisted-by-brave-browser/. Пиздуны они. Откуда знаю? Потому что у меня все известные трекеры блочатся уже годами, включая трекеры от ФБ, Твиттера и той хуйни, что в их списке. И, о мистика! -- У меня все работает как надо. 3. Еще здесь кое что есть: https://spyware.neocities.org/articles/brave.html4. Тут тоже кое что интересное: https://news.ycombinator.com/item?id=18734999Кстати, я не говорю что все идеально в Firefox сразу после установки, но, имхо, лучше чем в говно-Brave. Я когда им пользовался, тестил, ну хуле, форк Хромиум с говно-токеном, не более. Тому, кто качественно переведет с инглиша эту инфу о Brave, и красиво оформит отдельной темой, с меня 20 меритов. EDIT. Зы. Наш авторитетный пошел гуглить. Пост для тебя наивного и криворукого писал. Надеюсь тебе стыдно, за то, что ты не дружишь с поисковиками, и за то, что отнял у меня время. Насчет гугла не сомневайся. Я проверил и компромата не нашел. Чувак, я уже выше увидел твою "правильную настройку", пожалуйста, не надо. Но если ты что ты что-то знаешь, то будь добр ткни носом Инфа выше, читай. может и я откажусь от брейва. Честно, мне похуй. Ты, должен заботиться о своей приватности, а не я. Пока все твои слова выглядят как сотрясение воздуха. А ты показался дурачком в этой ситуации (со своей "правильной настройкой, и верой что "там все открыто"). А я когда то думал, что ты более прошаренный в этом вопросе. Зы. Наш авторитетный пошел гуглить. А теперь не выё, а иди кури инфу.
|
|
|
|
Balthazar
Legendary
Offline
Activity: 3108
Merit: 1358
|
|
February 18, 2020, 01:00:49 PM |
|
А это ваапще полный писец. Авторитетнейший даже не понимает что там написано и пытается спорить.. Крейзи.
Он, вроде бы, просто попросил сделать тему с переводом, нет? С чего ты взял, что не понимает? Телепатия, наверно, не иначе.
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
February 18, 2020, 01:35:35 PM |
|
Ты мне по брейву что нибудь дай, а не пукай. Ты даун, или слепой? Пройдись по пунктам от 1 до 4 и почитай о любимом Brave. Авторитетнейший даже не понимает что там написано и пытается спорить.. Крейзи. Не, ну точно даун. Мне как будто нечего делать, а генерить контент для форума. Предложил заработать Мерита за честный труд, чтобы другие знали, что такое Brave, а ты подумал что мне этот перевод надо... (рука-лицо) А по поводу "авторитетнейший", так что, тебе подгорает, или как? Бегло просмотрел - кому-то не поправилась их модель монетизации и идет размусоливание этой темы. Это вот эта ссылка: https://news.ycombinator.com/item?id=18734999А вот инфу по другим ссылкам, ты как то не комментишь, как будто слепнешь и не видишь. Давай еще раз, вот чем является твой любимый говно-Brave: Пусть дует, для блондинок наверное старается. Оуу, вот и приехали! Я заказной, от Firefox, на Brave гоню. Талант, вы, сэр. Могу взяться, я недавно переводил как раз материальчик по Brave, если не понравится качество моего перевода, тему удалю, тогда пусть другой кто-то сделает. Переводи. Я видел пару твоих переводов, норм.
|
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
February 18, 2020, 01:52:57 PM Last edit: February 18, 2020, 02:16:40 PM by TheFuzzStone |
|
А по поводу "авторитетнейший", так что, тебе подгорает, или как?
Не не подгарает, но ты сам в своем посте перед этим в качестве аргументации заявил - "у меня тут авторитет" - подтер потом правда за собой. Зы. По поводу дауна, ты там случайно на гитхабе дальше своего знаменитого "Hello World" на питоне еще не продвинулся? Зы..зы И не забудь Ратимову 20 меритов отсыпать , когда он для тебя "не-дауна" переведет то, что ты сам не в состоянии понять. Да, у меня есть кака-никакая репутация, что явно никогда не помешает, так это всегда проверять мои слова, о всем, Линуксе, Монеро, приватности и пр. По Питону пока нет времени (дошел до классов и написания тестов), приятно что следишь. Ратимов, не Ратимов, мне пох кому 20 меритов отдать за перевод материала. З.Ы. А вот ссылок ты упорно не видишь и не комментишь! Если вы видите эти ссылки, значит вы не xenon131:
А вот есть норм чувак, open source-щик, который красиво разобрал Brave по полочкам, и который явно больше ресёрча слелал чем xenon131: https://www.youtube.com/watch?v=8qeG5vJhCMsНо все равно, он этого не увидит, и спрыгнет на Ратимова, мерит, Мозиллу, Иисуса, Элвиса, только не по теме.
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1834
Crypto for the Crypto Throne!
|
|
February 18, 2020, 04:36:00 PM |
|
Или ты действительно настолько наивен, что профит компания, которая стоит за Брейв (рекламная контора), прям трясется над твоей приватностью?
Ну если говорить честно, то Мозилла тоже не святошами разрабатывается из швейцарских храмов. Здесь стоит задаться вопросов как они получают бабки на житье бытье и разработку. По поводу ВПН - спасибо за вот эту ссылку https://browserleaks.com/Я помню через Фаерфокс подключался через один ВПН, и там он сразу меняет язык браузера и так далее на тот, к стране которого ты подключился. Иначе по тем же java скриптам можно и время твоего компьютера посмотреть, и язык, и тайм зону и догадаться что странно, айпи японский а время то белгородское
|
|
|
|
Balthazar
Legendary
Offline
Activity: 3108
Merit: 1358
|
|
February 18, 2020, 05:13:14 PM Last edit: February 18, 2020, 05:45:38 PM by Balthazar |
|
Здесь стоит задаться вопросов как они получают бабки на житье бытье и разработку.
Не такой уж и секрет. К примеру, у меня настроена подписка, каждый месяц снимается $300 с карточки в пользу Mozilla Foundation. Не весть какая большая сумма, но такие пожертвования делает много кто, в том числе и разного рода организации.
|
|
|
|
lovesmayfamilis
Legendary
Offline
Activity: 2086
Merit: 4292
✿♥‿♥✿
|
|
February 20, 2020, 02:07:51 PM Merited by Symmetrick (1) |
|
Зы, вот еще одна неплохая ссылка тебе в копилку https://www.deviceinfo.me/ + если не установлено то советую три неплохих адона для мозилы Canvas Fingeprint Defender, AudiooContent Fingeprint Defender и Font Fingeprint Defender. Они накладывают шум на соответствующие отклики мозилы. Зы, зы а тут много полезных ссылок для криптанов https://cryptositeslist.com/ Мне особенно нравятся презентации от MIT Bitcoin Club Раз тема зашла про копилки, наверное некоторые слышали о таком сервисе как фейкдетектор. Сервис обнаруживает было ли вмешательство пользователя в настройки браузера,и тем самым показывает самые важные моменты, которые следует изменить. http://www.f.vision/информация с форумов см поиск Заходя на Fake Vision вы можете самостоятельно выбрать необходимые проверки, связанные с подключением исходя из необходимости (некоторые тесты требуют дополнительного времени - приблизительное ожидание написано рядом с конкретным тестом). Для наиболее точной картины фейка мы рекомендуем выполнять максимально возможный перечень проверок.
После запуска теста Fake Vision выполняет проверку правдивости браузера и подключения, используя особые алгоритмы и технологии, нацеленные на выявление подмены.
Кроме особых тестов выполняется проверка следующих базовых параметров:
Общие: ip4 / WebRTC адреса, Timezone, Zip, Geolocation, Useragent
Браузер: Scripts, Audio, Screen, Canvas, Navigator, Plugins, Fonts, WebGl, Timezone, clientRects, Modernizr, Java, Ubercookie, Hashes
Подключение: Open ports, Nmap, DNS, Double ping, Black List, Proxy headers, Timezone и др.
Исходя из результатов проведенных тестов вы получите наглядную информацию в виде процентов вероятности того, что браузер или подключение к Сети было подвергнуто вмешательствам со стороны пользователя. Кроме того, фейк-детектор укажет красным цветом на основные проблемные моменты для того, чтобы вы могли максимально комфортно и быстро устранить недостатки в вашей конфигурации.
|
|
|
|
FontSeli
|
|
February 20, 2020, 10:39:55 PM |
|
Здесь стоит задаться вопросов как они получают бабки на житье бытье и разработку.
Не такой уж и секрет. К примеру, у меня настроена подписка, каждый месяц снимается $300 с карточки в пользу Mozilla Foundation. Не весть какая большая сумма, но такие пожертвования делает много кто, в том числе и разного рода организации. Так вот как выглядят донатеры Лисы)) Бытует мнение что они и пользовательскими данными приторговывают. Я на всех своих машинах пользуюсь мозиллой и давно заметил что для контекстной рекламы даже аккаунты не нужно объединять, достаточно где-то поискать новые шины на патрол и вуаля - теперь тебе пихают шины и шиномонтажки везде, где ты бы не засветился. Видать не хватает "лисам" твоих $300, они икорку тоже кушать хотят)
|
|
|
|
|