Как браузер помогает товарищу майору

[ Версия для печати ]
Добавить в Facebook Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
Страницы: (7) [1] 2 3 ... Последняя »  К последнему непрочитанному [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
VampirBFW
18.04.2019 - 14:00
Статус: Offline


Поварствующий радиоуправляемый сисадмин

Регистрация: 20.02.10
Сообщений: 7940
219
В тему про "Нелегальный офис в госучреждениях"

Знаете, когда я почти нечаянно обнаружил, читая прекрасную книгу Дмитрия Кетова «Внутреннее устройство Linux» (и это не реклама), что каждый скачанный нами файл из Интернета с легкой руки браузера оставляет в расширенных атрибутах файла (в inode файла, не в самом файле) как минимум полную ссылку на то откуда он был скачан, я пришел в легкое возбуждение и хотел тут же броситься спасать мир. Позже, немного изучив этот вопрос, почитав «коммиты» и «комменты», говорившие, что этой возможности, встроенной в ядро GNU/Linux, как минимум уже около 10 лет, что ею пользуется не только браузеры, но и, к примеру, популярная утилита wget (curl нет), и что эта вещь считается чуть ли не нормой в Linux (и, как выяснилось позже, в MacOS), то я немного подуспокоился. Одно не давало мне покоя: поиск ключевого слова getfattr в google по сайту «Хабра»: site:https://habr.com getfattr, равно как и по ЛОРУ: site:https://linux.org.ru getfattr ничего толком не дал. «Значит» — подумал я — «эта тема еще особенно не обсуждалась». — Что же, тогда пришло время ее обсудить, но для начала пришлось немного по-исследовать. И вот что я обнаружил:

Как браузер помогает товарищу майору
 
[^]
Yap
[x]



Продам слона

Регистрация: 10.12.04
Сообщений: 1488
 
[^]
VampirBFW
18.04.2019 - 14:00
Статус: Offline


Поварствующий радиоуправляемый сисадмин

Регистрация: 20.02.10
Сообщений: 7940
Да, каждый скачанный файл с помощью любого Chromium-совместимого браузера (проверено в lxc-контейнере на Chrome, Chromium, Yandex и последней Opera) записывает в расширенных атрибутах файла, спрятанных в недрах файловой системы, вот такой вывод:

i@ars:~$ getfattr -d logo.png
# file: logo.png
user.xdg.origin.url="https://habr.com/images/logo.png"
user.xdg.referrer.url="https://habr.com/images/logo.png"

При этом все они честно ничего не пишут, если вы скачиваете файл в режиме «инкогнито» / «private browsing»

Знали ли вы об этом? Если да, то хорошо. Если нет, то теперь будете знать. Что касается Firefox и Palemoon — эти парни честно игнорируют эту помощь товарищу майору. Весь букет программ для просмотра Интернет-страниц я не проверял, но думаю, все, что основано на Chromium делает это, остальные скорее нет.

Теперь о MacOS и Windows. В «макоси» данная функция также работает в Chrome:

iMac-Igor:~ [censored]$ xattr -l habr_logo.png
com.apple.metadata:kMDItemWhereFroms:
00000000 62 70 6C 69 73 74 30 30 A2 01 02 5F 10 20 68 74 |bplist00..._. ht|
00000010 74 70 73 3A 2F 2F 68 61 62 72 2E 63 6F 6D 2F 69 |tps://habr.com/i|
00000020 6D 61 67 65 73 2F 6C 6F 67 6F 2E 70 6E 67 5F 10 |mages/logo.png_.|
00000030 20 68 74 74 70 73 3A 2F 2F 68 61 62 72 2E 63 6F | https://habr.co|
00000040 6D 2F 69 6D 61 67 65 73 2F 6C 6F 67 6F 2E 70 6E |m/images/logo.pn|
00000050 67 08 0B 2E 00 00 00 00 00 00 01 01 00 00 00 00 |g...............|
00000060 00 00 00 03 00 00 00 00 00 00 00 00 00 00 00 00 |................|
00000070 00 00 00 51 |...Q|
00000074
com.apple.quarantine: 0001;5c8a21e7;Google Chrome;26D6C537-E6B0-4715-9E77-656FF1C5B7A9

… работает она и в Safari. В FF не проверял, но полагаю, что прекраснодушный Firefox для MacOS также лишен этой «привилегии», как и в Linux.

Утверждается, что это фича используется для определения файла «скаченного из Интернет» и именно по наличию этого атрибута в «макоси» выскакивает предупреждение об опасности запуска и т.п. Хм… Странно… Но здесь мы плавно перейдем к Windows.

«Венда» вещь безусловно бездарная и следящая за всеми с неприкрытым цинизмом. (чего только стоят неотключаемые обновления в W10! ). В ней, в NTFS также спрятаны лазейки для записывания чего угодно в расширенные атрибуты файлов. Называются они streams и могут все то же самое. Говорят, что в эти припрятанные файловой системой «потоки» периодически любят что-нибудь да записывать вирусы, поскольку все остальные программы их используют редко. Не могу ничего сказать, я Windows последние 10 лет не пользуюсь. И все же. При первом приближении в Win10 я не обнаружил подобной «мелочи», а именно того факта, чтобы в расширенный атрибуты NTFS Google Chrome писал ссылки подобно тому, как он делает это в Linux и MacOS. Оговорюсь: это при первом приближении, поскольку утверждается, что у streams есть как-бы несколько слоев и не все они прямо доступны.

Вот так, если кратко, обстоит дело с тем, как устроены не только браузеры, но и файловые системы при предельно кратком рассмотрении.

Я еще буду править эту статью. Но заранее прошу отказаться от комментариев в виде: «Ну и что, мне нечего скрывать». В общем, нам всем, как-правило, тоже. Но наиболее рьяным «намнечегоскрывать», если таковые найдутся, я могу посоветовать включить встроенную камеру и микрофон, и дать публичную ссылку здесь, в комментариях, чтобы и мы все могли в этом убедиться. Шутка конечно.

Вот такие шуточки.

UPD*
Итак. Что выясняется, благодаря вашим многочисленным комментам и дополнительному изучению материала:

Во всех трех операционных системах: Linux, MacOS и Windows браузеры, в первую очередь Chrome и Chromium-based, пишут путь на источник скачанных файлов на уровне файловой системы.

В Linux'e браузеры на базе Google Chrome пишут полную ссылку на исходное местоположение файла в поля: user.xdg.origin.url и user.xdg.referrer.url
Делается это с использованием фичи ядра Linux, которая появилась в нем еще аж с 2002 года в виде расширенных атрибутов файла под общим названием xattr[Wikipedia], которые доступны почти во всех популярных FS: ext2, ext3, ext4, Squashfs, ReiserFS, XFS, Btrfs, ZFS. Опциями ядра или флагами монтирования поддержку расширенных атрибутов можно отключить, но она используется при контейнеризации (атрибуты для namespaces), SELinux-ом и используется «Иксами» в тех или иных случаях с легкой руки freedesktop.org (например, для определения MIME type файла) [ссылка].

Используются эти поля и некоторыми программами. Как, например, указанными выше в статье браузерами Chrome, Chromium, Yandex, Opera, в некоторых случаях Firefox'ом и консольной утилитой wget, а также, судя по Википедии: curl, Beagle, OpenStack Swift, Dropbox, KDE. По утверждениям в комментариях wget последней версии 1.20.1 не пишет уже (у меня 1.19 — пишет, также не пишет у меня и curl, а судя по wiki — должен). По-видимому, среди разработчиков периодически проходит дискуссия включать или не включать подобную фичу в очередной релиз ). В Firefox для Linux, как я проверял, ничего не сохраняется, а вот для MacOS и Windows, как проверили другие — да. Не исключено, что это как-то связано с политикой самих ОС от Apple и Microsoft.

Вообще, ограничений по созданию и управлению полями расширенных атрибутов в Linux нет. Вы сами можете создавать и записывать в расширенные атрибуты информацию, какую хотите. На уровне ядра ограничения такие: 255 байт для имени и до 64KB для значения поля. У некоторых файловых систем они такие (XFS and ReiserFS), у других они меньше (ext2/3/4 и btrfs).

Похожая ситуация в MacOS и Windows с их FS HFS+ и NTFS. С той лишь разницей, что подобные атрибуты по-разному называются, прячутся и показываются. В Ubuntu 18.10 вы не увидите их в дефолтном файловом менеджере Nautilus как и в консоли, пока не установите пакет attr, включающий утилиты просмотра и установки attr-атрибутов (getfattr и setfattr соотвественно). На Маке увидеть можно либо в Finder по cmd+I, либо при помощи встроенной xattr. В Windows, говорят, в свойствах файла виден лишь флаг наличия спрятанной ссылки у файла (руки не дошли проверить где), либо через powershell или программу streams:

victoriously:
Здесь некто советует помимо powershell использовать программу streams. Субъективно удобнее.

streams [-s] [-d] <файл или каталог>


В комментариях много вариантов ухода от записи информации или удаления ссылок на файлы для той или иной операционной системы. Например, для Linux мне понравилась простая идея монтировать в папку, куда будут загружаться файлы браузером в другой файловой системе — без флага записи расширенных атрибутов по-умолчанию. Например, в ReiserFS --> оригинал коммента

Идея с отключением атрибутов вообще на этапе монтирования в /etc/fstab
mount -o nouser_xattr

во-первых, не отменят уже имеющиеся поля, но главное, как мне кажется, чревата нарушением работы ряда служб (SELinux, LXC). (--> полный комментарий)

Наиболее простым способом является чистка командой/скриптом в консоли или в powershell:

Linux:
setfattr -hx user.xdg.origin.url имя_файла

оригинал комментария

MacOS:
xattr -c -r ~/Downloads

оригинал комментария

Windows:
get-childitem «D:\Downloads\» | unblock-file

оригинал комментария

Общий итог:
Появившаяся достаточно давно (в Linux c 2002 года) возможность приписывать к файлу любые поля и заполнять их значениями, начала реализовываться в виде записывания полного пути на источник скачивания довольно недавно. Где-то после 2015-2016 гг. Так, например, у меня на Маке остались файлы с 2015 года, скачанные из Сети и (версия 10.6.8) и никаких ссылок мною обнаружено не было. Кто-то из комментаторов проверял на предыдущих версиях Debian (8-рка) и тоже ничего не обнаружил. ссылка на коммент.

Когда это появилось в Windows — нет сил выяснять, но судя по этому комментарию, функцию «принесли» не только в W10 и W7, но даже в W_XP ;)

Повторю простую мысль: Странно не то, что это есть, странно, что это появилось тихо и везде почти незаметно. Именно поэтому, в последней версии утилиты для скачивания файлов в Linux wget бывшую там фунцию сохранения ссылки убрали:

* Changes in Wget 1.20.1

** --xattr is no longer default since it introduces privacy issues.


ссылка на коммент

Ибо, как мне кажется, такие вопросы должны контролировать и решать мы — пользователи.

Уф.

UPDATE 2
В Chromium под Linux сохранение user.xdg.origin.url и user.xdg.referrer.url в xattrs более производится не будет.
chromium-review.googlesource.com/c/chromium/src/+/1407441

Пруф

Итак, в любом файле который вы качаете из интернета есть путь, откуда вы его скачали. Вот такие вот дела ребята.

Это сообщение отредактировал VampirBFW - 18.04.2019 - 14:01
 
[^]
flybord32
18.04.2019 - 14:05
33
Статус: Offline


Шутник

Регистрация: 15.01.19
Сообщений: 85
насрать
 
[^]
batareia8822
18.04.2019 - 14:08
37
Статус: Offline


Юморист

Регистрация: 11.12.17
Сообщений: 490
А если кратко, то о чем?
 
[^]
kiryasp
18.04.2019 - 14:08
12
Статус: Offline


Ярила

Регистрация: 16.11.12
Сообщений: 1830
Познавательно! Пошёл искать следы! :)
 
[^]
VampirBFW
18.04.2019 - 14:10
74
Статус: Offline


Поварствующий радиоуправляемый сисадмин

Регистрация: 20.02.10
Сообщений: 7940
Цитата (batareia8822 @ 18.04.2019 - 14:08)
А если кратко, то о чем?

А если кратко, то у вас берут ВАШ компьютер, и оттуда узнаю когда вы и что скачали, используя это как улики против вас.
 
[^]
anikifya
18.04.2019 - 14:10
69
Статус: Offline


Ярила

Регистрация: 20.04.10
Сообщений: 3015
Зачем вы сопротивляетесь, мистер Андерсон. Все равно теперь то мы вас найдем deal.gif


Это сообщение отредактировал anikifya - 18.04.2019 - 14:13
 
[^]
batareia8822
18.04.2019 - 14:11
6
Статус: Offline


Юморист

Регистрация: 11.12.17
Сообщений: 490
Цитата (VampirBFW @ 18.04.2019 - 14:10)
Цитата (batareia8822 @ 18.04.2019 - 14:08)
А если кратко, то о чем?

А если кратко, то у вас берут ВАШ компьютер, и оттуда узнаю когда вы и что скачали, используя это как улики против вас.

Вот теперь все ясно и понятно, спасибо, учтем.
 
[^]
Всепропало
18.04.2019 - 14:11
1
Статус: Offline


Балагур

Регистрация: 25.07.16
Сообщений: 885
Ну в принципе похуй, а в торе, по крайней мере с моими настройками вообще нельзя скачать файл, максимум скриншот сделать. На теле файронион так и скриншоты не разрешает делать gigi.gif
 
[^]
cobakalist
18.04.2019 - 14:12
11
Статус: Offline


Arbeit macht frei

Регистрация: 29.01.18
Сообщений: 1069
Если начнут искать, то значит судьба предрешена
Тем кто просто ползает по инету, можно ставить какой-нить Линукс Минт с пакетом софта и не париться.

Это сообщение отредактировал cobakalist - 18.04.2019 - 14:14
 
[^]
VampirBFW
18.04.2019 - 14:12
4
Статус: Offline


Поварствующий радиоуправляемый сисадмин

Регистрация: 20.02.10
Сообщений: 7940
Цитата (Всепропало @ 18.04.2019 - 14:11)
Ну в принципе похуй, а в торе, по крайней мере с моими настройками вообще нельзя скачать файл, максимум скриншот сделать. На теле файронион так и скриншоты не разрешает делать gigi.gif

Ага, правда тор то построен на базе хромиума, потому не был бы я так уверен.
 
[^]
skami
18.04.2019 - 14:12
3
Статус: Offline


Шото как-то такое

Регистрация: 11.04.08
Сообщений: 1313
Цитата
(чего только стоят неотключаемые обновления в W10! )

По поводу обнов в десятке. Тут вот, что выяснили. Даже если отключить их, есть:
Цитата
в 1809 появился такой подлый файлик upfc.exe (в процессах виден как Updateability From SCM) который с заданой периодичностью восстанавливает службы и целые ветки реестра для того что бы Windows переодически проверяла наличие обновлений. Тоесть проще говоря в 1809 даже если вы отключите проверку обновлений upfc всё равно включит их опять. Причём, это касается не только системы обновления, но и Cortana, Store, разрешение OneDrive коннекта в Cloud

Поэтому найдя его и заменив на какую нить пустышку. Можно все же обнов избежать.
 
[^]
schweps2
18.04.2019 - 14:12
33
Статус: Offline


Тру ЯПовец - 45см

Регистрация: 3.07.13
Сообщений: 290
Цитата (batareia8822 @ 18.04.2019 - 14:08)
А если кратко, то о чем?

Мамка твоя легко может узнать, откуда ты порнуху скачал. rulez.gif
 
[^]
Периндоприл
18.04.2019 - 14:14
-6
Статус: Offline


Ярила

Регистрация: 4.11.18
Сообщений: 1377
Вообще ничо не понял - потому похуй. ))))
 
[^]
batareia8822
18.04.2019 - 14:14
7
Статус: Offline


Юморист

Регистрация: 11.12.17
Сообщений: 490
Цитата (schweps2 @ 18.04.2019 - 14:12)
Цитата (batareia8822 @ 18.04.2019 - 14:08)
А если кратко, то о чем?

Мамка твоя легко может узнать, откуда ты порнуху скачал. rulez.gif

Зачем ее качать, открыл да смотри))
 
[^]
xeknxf
18.04.2019 - 14:15
16
Статус: Offline


Ярила

Регистрация: 22.03.17
Сообщений: 1217
Я человек пожилой, мало что вкурил. Но за труды - зелень

Размещено через приложение ЯПлакалъ
 
[^]
Drauti
18.04.2019 - 14:15
23
Статус: Offline


Блудливый Пёся.

Регистрация: 21.09.17
Сообщений: 2540
у кого Амиго, тем похуй сий пост. Мы в танке!
 
[^]
Djdfy
18.04.2019 - 14:15
20
Статус: Offline


Шутник

Регистрация: 24.07.13
Сообщений: 65
Ничего не понял, но на всякий случай подрочил. ))
 
[^]
batareia8822
18.04.2019 - 14:15
2
Статус: Offline


Юморист

Регистрация: 11.12.17
Сообщений: 490
Все, смотрим сериалы.
 
[^]
Kutf
18.04.2019 - 14:16
11
Статус: Offline


bl

Регистрация: 9.02.10
Сообщений: 731
VampirBFW
А как на это посмотреть, если работать, например с диска?
Все мы прекрасно знаем, что современные (да хоть 98 винь) ОСи можно записать на диск (сиди, Ром) /флешку/vhs-касету и загружать комп именно с диска. Понятно, что хард все равно участвует в этой содомии. НО! На сам диск, т.к. в самой оси, говна не останется. Оно останется на харде, верно?
И тут связать одно с другим так просто не получится как мне кажется.

Добавим к паранойи щепотку прокси и работы из под виртуалки. Как итог - мы получим достаточно запутанную поебень, которая жутко лагает и тормозит, зато позволяет нам чуточку откровеннее писать гадости про действующую власть!
 
[^]
veles158
18.04.2019 - 14:16
5
Статус: Offline


Приколист

Регистрация: 2.09.14
Сообщений: 207
Пойду мастерить

Как браузер помогает товарищу майору
 
[^]
ppsascha
18.04.2019 - 14:17
8
Статус: Offline


Пятая коломна

Регистрация: 5.05.14
Сообщений: 1805
То, что хром шпионит, известно с момента выхода хрома.
 
[^]
Drauti
18.04.2019 - 14:17
4
Статус: Offline


Блудливый Пёся.

Регистрация: 21.09.17
Сообщений: 2540
VampirBFW
Цитата
А если кратко, то у вас берут ВАШ компьютер, и оттуда узнаю когда вы и что скачали, используя это как улики против вас.

А если сожрать винчестер?
 
[^]
Kutf
18.04.2019 - 14:19
8
Статус: Offline


bl

Регистрация: 9.02.10
Сообщений: 731
Цитата (Drauti @ 18.04.2019 - 14:17)
VampirBFW
Цитата
А если кратко, то у вас берут ВАШ компьютер, и оттуда узнаю когда вы и что скачали, используя это как улики против вас.

А если сожрать винчестер?

И монитор. Ведь информация на нем отображается dont.gif
 
[^]
bi11ion
18.04.2019 - 14:21
16
Статус: Offline


Шутник

Регистрация: 31.08.16
Сообщений: 75
Цитата (VampirBFW @ 18.04.2019 - 14:12)
Цитата (Всепропало @ 18.04.2019 - 14:11)
Ну в принципе похуй, а в торе, по крайней мере с моими настройками вообще нельзя скачать файл, максимум скриншот сделать. На теле файронион так и скриншоты не разрешает делать  gigi.gif

Ага, правда тор то построен на базе хромиума, потому не был бы я так уверен.

вроде же на лисе ТОР построен... могу ошибаться



Среди прочих источников финансирования — исследования и образовательные программы, корпоративные спонсоры, частные и венчурные фонды, дружественные проекты (Mozilla, выпускающая браузер Firefox, на основе которого сделан браузер Tor; поисковик DuckDuckGo, стоящий по умолчанию в браузере Tor и т.д.

Это сообщение отредактировал bi11ion - 18.04.2019 - 14:22
 
[^]
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 34494
0 Пользователей:
Страницы: (7) [1] 2 3 ... Последняя » [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы








Наверх