Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Магазин вычислил мой ящик по анонимному посещению
Частный клуб Алекса Экслера > Вокруг компьютера
Дн
14 октября 2015, 23:01
Предлагаю конкретный пример сбора информации сайтом с компьютера без ведома пользователя и без предупреждения системы безопасности. Скрин ниже.

Вопрос простой. Как был вычислен мой экслеровский адрес электронной почты?

Указанный в скрине заказ я не сделал, остановившись на форме заказа. Никаких данных в форму не вводил. Ранее на этот сайт с рабочего компьютера не помню, чтобы заходил. Когда-то давным-давно делал там заказ, но это было, когда у меня была другая работа.
Если есть смысл куда-нибудь заглянуть (куки, ещё что), я загляну и отчитаюсь. smile.gif
aik
14 октября 2015, 23:59
А где тут адрес?
Дн
15 октября 2015, 00:21
Это скрин письма, пришедшего на мою электронную почту.
aik
15 октября 2015, 09:05
Почта чья, кто провайдер?
Дн
15 октября 2015, 09:10
Я же написал, почта Экслера.

ps.gif Почтовый адрес на exler.ru.
Okeanolog
15 октября 2015, 10:42
Если делал там заказ ранее, то при регистрации наверняка указывал свою почту.
Дн
15 октября 2015, 11:15
Ну и откуда они узнали, что к ним на сайт вчера заходил указанный неттоп искать именно я?
W colonel
15 октября 2015, 11:19

Дн написал: Ну и откуда они узнали, что к ним на сайт вчера заходил указанный неттоп искать именно я?

а раньше ты на этот магазин неанонимно заходил? Браузер мог запомнить и слить, они злопамятные.
Дн
15 октября 2015, 13:28

W colonel написал:
а раньше ты на этот магазин неанонимно заходил? Браузер мог запомнить и слить, они злопамятные.

Нет, я никогда не заходил туда под своим аккаунтом с работы. У меня даже дома никаких регистрационных данных по моему аккаунту не сохранилось, а покупку я там делал за три года до того, как устроился на текущую работу.
bilbo
15 октября 2015, 13:42
А на какие сайты ты заходил с работы под этим аккаунтом? Может их и нужно рассматривать на вопрос "слива инфы"?
Дн
15 октября 2015, 14:06
Это аккаунт в магазине. Под ним нельзя зайти на другие сайты.
Дн
15 октября 2015, 15:14
Единственное, что я позволил узнать сайту - это моё местоположение. Но это вообще-то рабочий десктоп. rolleyes.gif
Solmir
16 октября 2015, 20:49
Итак, ты заходил на сайт магазина, он узнал IP. Затем прислал письмо на неизвестный ему адрес.
Проще всего предположить, что магазин, зная провайдера, узнал детали от своего человека. Тот либо при провайдере, либо при спецслужбах. Во втором случае он имеет доступ к данным СОРМ, которые провайдер обязан хранить. А там все твои контакты за последние годы. Писал с данного компьютера письма с экслеровским адресом? Сообщал его кому-то в письме с этого компьютера?
Дн
16 октября 2015, 22:55
Нет, не писал. И не сообщал. Да даже если когда-то давно это разок и случилось, это совершенно несущественно. Я регулярно пишу с этого компьютера, используя другие адреса электронной почты. И было бы странно, если бы, имея столь подробную информацию о моих электронных адресах, некто использовал бы тот, который разок где-то проскочил. Больше ведь ни на какой из адресов писем не поступало.

Да. Не вижу причины скрывать, что я каждый день захожу на Фейсбук, где логином именно экслеровский ящик. Но тогда становится интересно, каким образом его отловили. Соединение ведь с ФБ происходит по защищённому протоколу.
Anton
17 октября 2015, 15:22
Какое-то приложение на фейсбуке, которое знает твой email, слило по твоему facebookId.
Твой facebookId магазин узнал от какого-то (возможно другого) приложения на фейсбуке, в которое ты когда-то заходил с этого же компьютера, и код которого этот магазин разместил на своей странице.
Дн
17 октября 2015, 19:42
Немного не понял. Я не заходил в магазин по ID своего фейсбука.
Лунный Волк
18 октября 2015, 08:28

Дн написал: Вопрос простой. Как был вычислен мой экслеровский адрес электронной почты?

Извини, поясни плиз почему тебе важно, как это было сделано технически?
Дн
18 октября 2015, 11:56
Потому что не всегда получение персональных данных без ведома их хозяина является безобидным. Поэтому я хочу знать, что вообще сейчас с этим происходит. Раньше я всегда понимал, как утекли мои данные. В данном примере я впервые этого не понимаю.
Chief
18 октября 2015, 13:28

Дн написал: Я не заходил в магазин по ID своего фейсбука.

В сам магазин - нет, а был ли включен и заогинен фейсбук во время захода в магазин?
Дн
18 октября 2015, 17:57
Да, был.
Chief
18 октября 2015, 18:01

Дн написал: Да, был.

Вот тебе и ответ. Полагаю, Антон, именно это ввиду имел...
Дн
18 октября 2015, 18:17
А можно стрелочками изобразить? Я по описанию Антона механику этого представить себе не могу.
Chief
18 октября 2015, 18:56

Дн написал: А можно стрелочками изобразить?

Попытаться могу, хотя не как программер, а как спец по серверам, компам и их защите.
У тебя не только остались куки, они были активны. Когда я залогинен в ВК (в других соцсетях у меня просто нет аккаунтов), то мне часто на сайтах предлагают сделать комментарий или залогиниться с моим ВК-аккаунтом. И таки да, показывают ту инфу, которую я открыл для всех (минимум, но она есть).
Прочитать твою информацию из твоих куков - вообще не проблема. Обработка еще проще. Я не знаю, как логиняться в фейсбук, но в некоторых местах - это почта, которая сохранена.
ps.gif Самый страшный вирус - прослойка между креслом и клавиатурой, потому как мы разрешаем многое не думая или не зная. Но это не для этого подфорума и не для этой темы.
Дн
18 октября 2015, 20:18
Всё равно не понимаю. Вот захожу я на сайт магазина, кладу товар в анонимную корзину и вызываю форму заказа товара. Какого рода процесс при этом запускается без всякого запроса разрешения, начинает шарить по моим активным кукам и выкусывает из какого-то из моих фейсбучных приложений мой логин?

Могу предложить провести эксперимент с этим магазином. Это OLDI.

Ниже приложения, которые имеют доступ к моей информации на ФБ, но, в принципе, вопрос стоит не кто, а как.
Chief
19 октября 2015, 14:23

Дн написал: но, в принципе, вопрос стоит не кто, а как

Повторюсь: Я не программист, потому КАК не отвечу. Но сложности в этом не вижу. ТЫ подтверждаешь разрешение на обработку куков, Или ты думаешь, что гугл с яндексом тебе контекстную рекламу на основе своих мощностей вычисления твоего компа предлагают? Все на куках...
Дн
19 октября 2015, 16:38
Я себе так представлял, что Гугл с Яндексом пользуются теми сведениями, которые я ввожу в поля сервисов Гугла и Яндекса.
Если же любой сервис может лазить по любым моим кукам, то мне бы хотелось услышать, как можно ограничить действия сайтов обработкой только своих собственных куков.
Лунный Волк
19 октября 2015, 23:55

Дн написал: ограничить действия сайтов обработкой только своих собственных куков.

Я по простоте душевной считал, что это требование абсолютно, если вышеупомянутая прослойка сама куки по недомыслию не объединила.
Мне тоже бы хотелось узнать как на самом деле.
Anton
20 октября 2015, 00:45
Например.
Ты зарегистрирован на сайте x.com. У тебя там идентификатор 12345, ты там залогинен, у тебя стоят куки.
Ты заходишь на сайт y.com. Тот присваивает тебе свой идентификатор 67890, и отправляет на урл x.com/yshop/67890, обзывая это рекламой, аналитикой, кнопкой "лайк" и т.д.
Сайт x.com по урлу определяет твой id 67890 на сайте y.com, по кукам определяет твой id 12345 на себе самом, связывает их.
Потом сайт y.com напрямую связывается с сайтом x.com, говорит, "у меня тут юзер 67890, что ты можешь мне полезного про него сказать?" и сайт x.com за небольшую денежку эти данные отдает.
Лунный Волк
20 октября 2015, 07:54

Anton написал: Например.

То есть в общем-то особой опасности нет?
Никакие пароли вроде при такой схеме украдены быть не могут? Дальше открытой информации, что я сообщил этому сайту х дело не пойдет?
W colonel
20 октября 2015, 11:53

Лунный Волк написал: Никакие пароли вроде при такой схеме украдены быть не могут?

В общем случае при корректной посртойке системы безопасности ни одни из сайтов никогда и сам не знает твоего пароля. В том числе того, по которому тебя авторизует.
Лунный Волк
20 октября 2015, 12:44

W colonel написал:
В общем случае при корректной посртойке системы безопасности ни одни из сайтов никогда и сам не знает твоего пароля. В том числе того, по которому тебя авторизует.

Да это принятая сейчас норма, но она увы не всеобщая.
А что ты понимаешь под корректностью?
Дн
20 октября 2015, 15:56

Anton написал: Потом сайт y.com напрямую связывается с сайтом x.com, говорит, "у меня тут юзер 67890, что ты можешь мне полезного про него сказать?" и сайт x.com за небольшую денежку эти данные отдает.

Ну, то есть надо признать, что Facebook зарабатывает деньги на сливе открытых данных, а мой логин у него почему-то в них числится.
Anton
20 октября 2015, 23:14

Дн написал: Ну, то есть надо признать, что Facebook зарабатывает деньги на сливе открытых данных, а мой логин у него почему-то в них числится.

1. Что такое "слив открытых данных"?
2. Вовсе не обязательно Фейсбук. Всяческие приложения на нем создают кто ни попадя. Вот ткнул на первое попавшееся:
Chief
20 октября 2015, 23:15

Дн написал: Ну, то есть надо признать, что Facebook зарабатывает деньги на сливе открытых данных

А почему нет?
То, что это не законно в определенных странах - мало кого беспокоит.Сайт и сервер работают по законам той страны, где он находится.
ТЫ можешь отказаться от использования такого сервиса, но навязывать чужие законы - не можешь. Хотя что я тебе то это объясняю - в юридических аспектах ты на порядок сильнее...
Дн
21 октября 2015, 18:22

Anton написал:
1. Что такое "слив открытых данных"?
2. Вовсе не обязательно Фейсбук. Всяческие приложения на нем создают кто ни попадя. Вот ткнул на первое попавшееся:

Под сливом открытых данных я подразумевал их предоставление по запросу, который был бы невозможен без сбора сведений с моего компьютера обманным путём.

А с приложениями, по-моему, что-то проясняется. Вот у меня среди установленных в ФБ приложений есть Яндекс (см. скриншот выше). Ему доступен мой идентификатор пользователя, которым служит искомый почтовый ящик. Это что получается? Когда я через Яндекс.Маркет зашёл на OLDI, то Яндекс слил им мой ID? Классная работа. biggrin.gif
Ну что же, Яндекс из ФБ идёт в жопу.
Лунный Волк
21 октября 2015, 22:38

Дн написал: Ну что же, Яндекс из ФБ идёт в жопу.

Ну вообще-то перемешивать куки своей рукой, едва ли стоило...
Я никогда не вхожу на сайты через соцсети и даже мое мыло есть в интернет магазинах в исключительных случаях.
Дн
22 октября 2015, 13:08
Я, честно говоря, не помню, чтобы заходил на Яндекс через ID ФБ. Скорее всего, использовал какой-то сервис, который был связан с Яндексом.
Но отказывать себе в таком удобстве в целом не намерен. Просто буду теперь лучше понимать, что я делаю. smile4.gif
alibek
22 октября 2015, 14:50

Solmir написал: Проще всего предположить, что магазин, зная провайдера, узнал детали от своего человека.

Ерунда.
Обычный трекинг посетителя.
С тем уровнем проникновения интернета в RL никаких спецслужб не нужно.

Я вот помню уровень своего удивления, когда однажды на вспомогательном гугловском аккаунте (у которого, как я считал, нет никакой корреляции с основным) при загрузке фотографии в Пикасу гугл не то что нашел мой основной аккаунт, но и опознал мое лицо на фотографии.
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»