5   2009  
11 комментариев
Vadim
В фоксе на маке длиннющий список, а в четвёртом сафари — коротенький список из четырех адресов. Почему так? Джобс думает о нас? :)
Илья Бирман
Может быть :-)
Антон Вернигор
«Уязвимость», подозреваю, используется связанная с цветом посещенных ссылок.
Но оформили достаточно эффектно.
Олег
Да, верно. Определяется через цвет посещенных ссылок. Список сайтов здесь: http://startpanic.com/db/db_en.txt
Антон Вернигор
Сто тысяч адресов... Хорошо постарались.
Иван Пухкал
У меня на девятисполтинной Опере определились только 11 сайтов, которые я набивал в адресной строке вручную.
Alisey
Обнаружило, что я заходил на сайт startpanic.com, начинаю паниковать.
homm
Я бы с радостью подписал петицию против фиксированных задников. Из-за них прокрутка начинает тормозить на любой странице.
homm
Я бы с радостью подписал петицию против фиксированных задников. Из-за них прокрутка начинает тормозить на любой странице.
Vitaly Sharovatov
Петиция требует ограничения :visited только ссылками на страницы на текущем домене. Считаю, это неверно, гораздо правильнее предлагать параноидальным пользователям возможность выключить поддержку :visited в настройках (как в FF), или, что ЛУЧШЕ — предлагать пользователям посещать сайты, которые они не хотят светить в истории, в Private Browsing mode.

см. http://sharovatov.wordpress.com/2009/04/21/startpaniccom-and-visited-links-privacy-issue/
Илья Бирман
Может просто не давать скриптам узнавать цвет посещённых ссылок?..
Антон Вернигор
Илья, если не давать браузерам получать цвет ссылок (придется это сделать для всех, а не только для посещенных), то это может усложнить реализацию визуальных эффектов на JavaScript’е.
С другой стороны, виденных эффектов, затрагивающих это, я вспомнить не могу, и это минимальная цена приватности, которую можно заплатить в этой ситуации.
Vitaly Sharovatov
товарищи, если не давать браузеру что-то различать, то придётся отключить :visited вообще. Иначе обязательно найдётся способ определить, была ли посещена ссылка. Специалисты из Стенфорда предлагают отключить :visited для внешних ссылок, на которые не был совершён переход с текущего домена. Получится следующее: если я пойду в MSN Search и поищу там какой-то продукт, посещу десяток-другой сайтов из выдачи, потом пойду в Google и поищу тот же самый продукт, ни один из посещённых мною сайтов не будет показан как :visited. Ведь я посещал его с MSN, то есть с другого домена. В общем, предложение мне их кажется слишком ограничивающим уже привычный пользователям функционал. И это притом, что уже во всех современных браузерах кроме Оперы есть режим «безопасного просмотра», в котором история не сохраняется вообще (см. мой блогпост). То есть проблема вроде как решена. Зачем нужны какие-то петиции, к которым призывает автор startpanic.com — непонятно. Но призывает он, насколько я понял, ограничить применение :visited к ссылкам в пределах текущего домена, что вовсе неприемлимо!

P.S. Более того, мне кажется, что вся проблема эта надумана. То, что я пользуюсь facebook’ом, flickr’ом и другими популярными сервисами, можно определить и без использования этой «уязвимости». А на сайт интернет-банкинга я пойду в максимально безопасном режиме максимально безопасного браузера, и ещё удостоверюсь, что соединение зашифровано действительным сертификатом. Соответственно, в таком случае понять, какой банк я использую, будет невозможно даже путём использования этой уязвимости. Вот такое отношение к безопасности и нужно пропагандировать, а не странные петиции разработчикам писать :)
Популярное