?

Log in

No account? Create an account

либералистический СОРМ ;) - Узором созвездий по мантии ночи

30.01.2015, Пятница

16:59:00 - либералистический СОРМ ;)

Previous Entry Поделиться Next Entry

Вот этот пост на FB, а затем и хабро-статья "imarker — коммерческая СОРМ-like веб-аналитика уже у вашего провайдера" появились почти синхронно с рассуждениями Санчеса о том, как и почему идеология либерализма стоит в одном ряду с коммунизмом и фашизмом. Идеалы вроде иные, а результаты как бы те же. И вот как раз и доказательства.

Вспомните, сколько было шума про "тотальную слежку" СОРМа. Сколько шума подняли недавно разоблачения, сделанные Сноуденом...
И вот снова тотальная слежка за пользователем -- но теперь от "свободного предпринимательства". И если про СОРМ в России было много шуму, то коммерческие системы слежки за пользователями провайдеры ставят тихо и, видимо, не без удовольствия (ибо они-то с этого, очевидно, деньги имеют).

Причём, что примечательно, если "кровавая гэбня" просто требовала копию трафика, то "свободные предприниматели" не стесняются тут же на тот же сайт сами сходить, о возможных последствиях (пример смотри в посте в FB, а кто разбирается в вопросе, тот и сам накидает ещё пачку возможных проблем) совершенно не заботясь.

Попутно получается, что любой HTTP-трафик, приводящий к каким-либо действиям на сервере, нужно уже гонять по HTTPS.

This entry was originally posted at http://arilou.dreamwidth.org/956010.html. Please comment there using OpenID.

Comments:

[User Picture]
From:vitus_wagner
Date:30.01.2015 14:23:11
(Link)
И не просто по HTTPS, а с использованием своего собственного CA. И если использвется не браузер, а какой-нибудь более кастомный клиент, то этот клиент должен быть настроен не доверять никаким CA кроме этого своего собственного.

Иначе эти коммерсанты MitM устроят только так.
(Ответить) (Thread)
[User Picture]
From:slobin
Date:30.01.2015 14:54:53
(Link)
Ни в коем случае не оправдывая этих.. ммм.. нехороших людей, отмечу всё же, что "трафик, приводящий к действиям на сервере", нельзя засовывать в GET-запросы. Из тех, которые умеют делать обычные браузеры -- только POST. Вот ровно по причине возможности подобных инцидентов (тупые роботы имеют полное право делать любые GET, и нет никаких формальных правил, откуда они берут URL для этих GET). Да, я тоже нарушаю это правило, но тем не менее.

... Уточнённое издевательство ...

(Ответить) (Thread)
[User Picture]
From:arilou
Date:30.01.2015 15:33:42
(Link)
Тонкость в том, что роботу нужно откуда-то получить сам URL. Т.е. если ссылки нет нигде на другой странице, то URL можно только наснифить или украсть. А также, возможно, потребуются и куки всякие, чтобы его запрос привёл к действиям, а не ответу 4xx.

Долгое время сайтостроительство рассчитывало на прицип "неуловимого Джо", мол без особой нужды никто не будет снифить весь трафик каждого пользователя. И даже пресловутый СОРМ, в общем-то, был почти пофиг, если ничего не нарушаешь.

Ну вот халява и кончилась.
(Ответить) (Parent) (Thread)
[User Picture]
From:slobin
Date:30.01.2015 22:24:43
(Link)
"Антикеширующий прокси". Ну то есть, кеширующий может не отправлять твоего второго запроса, а этот, наоборот, отправить второй за тебя. Ещё раз, я не оправдываю этих нехороших людей, но всё-таки тот, кто ставит на GET-запрос действие, а не просто выдачу информации -- в какой-то степени ССЗБ. Пойду у себя починю, а то аж стыдно стало. У меня, конечно, случай игрушечный (буквально), но чтобы дурного примера не подавать.

... Mijn pipi is een laserstraal ...

(Ответить) (Parent) (Thread)
[User Picture]
From:slobin
Date:30.01.2015 22:32:20
(Link)
Вдогонку, ещё более резкое утверждение: мне категорически не нравится практика "эта ссылка нигде не была опубликована, поэтому никто в норме не мог пройти по ней второй раз". Потому что это прямая дорога к списанию денег по прохождению по ссылке, и хрен докажешь, что проходил не ты: "мы ссылку сгенерировали только для вас, и никому её не показывали... ах, извините, это сбой был". Нафиг. Слишком много способов слить эту ссылку "как бы случайно". Я даже верю в теорию заговора, что эти извинения ("сбой был") были намерено принесены, чтобы легализовать эту практику в остальных случаях, если "сбоя" не было (или за руку не поймали). Поэтому давайте хоть в этом месте следовать стандарту (что не отменяет других мер, как юридических ("подглядывать нехорошо"), так и технических (шифрование трафика)).

... Не рой другому яму сам! ...

(Ответить) (Parent) (Thread)
[User Picture]
From:al_kur
Date:07.02.2015 16:48:17

немало "доказательств" очевидного

(Link)
>одном ряду с коммунизмом и фашизмом. Идеалы вроде иные, а результаты как бы те же. И вот как раз и доказательства.
давно читал с подачи Wagner'a:

«Большая тройка» сотовых операторов предлагает ограничить действие IP-телефонии в РФ. Они объясняют это тем, что голосовая связь неподконтрольна для прослушивания силовиками. Но истинная причина — борьба за деньги IP-телефонии.

Чудесная эволюция тоталитаризма: мол, они объясняют это необходимостью прослушивания, но мы-то знаем, что дело в деньгах. [ http://svv.livejournal.com/2009/07/23/ ]
(Ответить) (Thread)