?

Log in

No account? Create an account
Ющук Евгений Леонидович

Июнь 2018

Вс Пн Вт Ср Чт Пт Сб
     12
3456789
10111213141516
17181920212223
24252627282930

Конкурентная разведка (Competitive Intelligence)

Теги блога "Конкурентная разведка"

Разработано LiveJournal.com
Ющук Евгений Леонидович

Практический пример. Как поисковики могут шпионить за пользователями.

Для тех, у кого есть иллюзии об анонимности в Интернете, приведу маленький пример.

 

Чистим на нашем компьютере Куки (cookies) в Мозилле и убеждаемся, что они почищены

 


 

 

Заходим на страницу Яндекса и снова смотрим Куки. Яндекс присвоил нам идентификатор.

 


 

Откроем куку в папке yandex.ru и выделим ее содержимое

 


 

Я специально увеличу надпись. Посмотрите дату, до которой годна кука, записанная на компьютере пользователя  сегодня, 19.09.2007г.

 


 

Нажмем «Удалить все cookies» и вновь очистим Куки

 


 

Снова зайдем на страницу Яндекса. Кука снова есть, но ее идентификационный номер изменился.

 


 

Теперь не будем чистить Куки, а просто перезагрузим страницу Яндекса. Номер Куки прежний.

 


 

Таким образом, Яндекс в состоянии отследить все перемещения пользователя, который однажды вошел на его страницу. Все его входы на сайты, в почтовые ящики, переходы по ссылкам. Вы можете логиниться на сайтах и блогах или не логиниться, но о том, что это все равно Вы, Яндексу может быть известно.

 

А вот что получается, когда просто заходишь на страницу Гугла.

 


 

Видно, что отличие от Яндекса – лишь в дате. Вместо 2011 года срок окончания действия Куки 2009 год.


Очистку куков и другой личной информации в браузере Mozilla Firefox 2.0.x можно сделать, пройдя по цепочке: Инструменты - Настройки - Приватность - Личные Данные - Настроить. И после настройки поставьте галочки "При закрытии Firefox всегда удалять мои личные данные". правда после этого вам придется везде логиниться заново, но в Мозилле есть менеджер паролей. Поставьте его под мастер-пароль и проблема во многом решится. Только не ставьте в таком случае в настройках галочку на удаление паролей. А лучше воспользуйтесь сторонним менеджером паролей.

Справедливости ради надо отментить, что обычно сайт может видеть только те куки, которые имеют к нему отношение. То есть, поисковик не видит куки, записанные другими сайтами. Но он видит, что вы в нем искали и на какие ресурсы из найденных перешли. А в тот момент, когда вы залогинились в почтовый ящик на сайте этого поисковика, он во многих случаях может и идентифицировать вас. Если у вас несколько разных аккаунтов, это также может быть известно поисковику.

Вспоминается инцидент, виденный мною на форуме одного крупного поисковика. Один из его сотрудников высокого ранга вступил в спор с пользователем. Пользователь был неправ, но вел себя агрессивно, оскорблял собеседника. И тогда функционер поискового сервиса написал примерно такой текст (это не цитата, но очень близко к сказанному): "Вы, Фамилия Имя Отчество, телефон такой-то, проживающий по адресу такому-то, скачивавший такого-то числа такой-тореферат, а такого-то числа такой-то, пользующийся нелицензионной копией Windows серийный номер такой-то, у меня к вам больше нет вопросов!".
Я не думаю, что эта информация могла быть получена исключительно за счет куков, мне неизвестно также, в какой степени она сответствовала действительности, однако очень быстро сотрудник Яндекса этот текст из Интернета убрал, а его собеседник после этого прекратил спор полностью. В комментариях на моем блоге было обсуждение, которое, возможно, дополнительно объясняет этот инцидент.

 

 


Подписаться на Telegram канал yushchuk

Comments

ну да, и что ???

Стандартный прием организации серверной пользовательской сессии. Иначе не один сложный интерфейс не реализовать, т.к. каждый запрос будет восприниматься сайтом как первый. Если подождете полчаса и зайдете повторно он вам подкинет другую куку, т.к. серверная сессия, с таким ид-ом померла.
Кука по умолчанию отсылается только тем сайтам, которые входят в домен, которые ей соответствует. Так что все перемещения отследить не в состоянии, а только по "своим" сайтам.
Так что никакого шпионажа ...

Re: ну да, и что ???

Ну, во-первых, никто не спорит с тем, что куки придуманы не для того, чтобы вредить людям. Однако, как Вы сказали "Ну да, и что?".

Как фраза: Если подождете полчаса и зайдете повторно он вам подкинет другую куку, т.к. серверная сессия, с таким ид-ом померла.
стыкуется с годностью куки в течение нескольких лет?

а в отношении "своих доменов" - да, конечно это так. Я сделал в связи с этим доплнение:
Справедливости ради надо отментить, что обычно сайт может видеть только те куки, которые имеют к нему отношение. То есть, поисковик не видит куки, записанные другими сайтами. Но он видит, что вы в нем искали и на какие ресурсы из найденных перешли. А в тот момент, когда вы залогинились в почтовый ящик на сайте этого поисковика, он во многих случаях может и идентифицировать вас. Если у вас несколько разных аккаунтов, это также может быть известно поисковику.

Вспоминается инцидент, виденный мною на форуме одного крупного поисковика. Один из его сотрудников высокого ранга вступил в спор с пользователем. Пользователь был неправ, но вел себя агрессивно, оскорблял собеседника. И тогда функционер поискового сервиса написал примерно такой текст (это не цитата, но очень близко к сказанному): "Вы, Фамилия Имя Отчество, телефон такой-то, проживающий по адресу такому-то, скачивавший такого-то числа такой-тореферат, а такого-то числа такой-то, пользующийся нелицензионной копией Windows серийный номер такой-то, у меня к вам больше нет вопросов!".




Re: ну да, и что ???

нормально стыкуется - кука должна жить заведомо дольше чем любая пользовательская сессия. У меня вот окна неделями не закрываются и тот же ЖЖ висит залогиненым как раз на основании подобной куки.

Что поисковик, то почтовая система принадлежит одному поставщику, поэтому сам термин "шпионит" не корректен. То, что работу пользователя в одном сервисе системы можно сопоставить с работой пользователя в другом сервисе системы - вполне нормально хотя бы потому, что у них общий движок и соответственно общие базовые механизмы.

Вы же не возмущаетесь, что содержимое ваших писем, хранящихся на сервере может служить основанием для анализа структуры накопленного пользовательского сообщества с целью, например, выявления их профессиональной ориентации и определения стратегии дальнейшего развития ???

Да, из сопоставления поисковой активности пользователя, содержимого его почты и оставленных им при регистрации данных можно узнать много интересного. Но это не есть результат каких-то специальных усилий и какой-то специальной "шпионской" активности. Это обратная сторона интеграции различных сервисов в одном флаконе. Пользуйтесь одной почтовой системой и другим поисковиком и вы будете от этого защищены.

Re: ну да, и что ???

Что поисковик, то почтовая система принадлежит одному поставщику, поэтому сам термин "шпионит" не корректен. То, что работу пользователя в одном сервисе системы можно сопоставить с работой пользователя в другом сервисе системы - вполне нормально хотя бы потому, что у них общий движок и соответственно общие базовые механизмы.
А, я кажется понял: Вам показалось, что я обвинил поисковик в шпионаже. Давайте обратимся к моему тексту. "Может шпионить" и "шпионит" - не совсем одно и то же, правда?
Не будем тут вспоминать просочившиеся в прессу сведения о том, как один большой американский поисковик помог посадить в тюрьму мужика на основании его запросов. Не будем потому, что дело это было общественно полезное: bs;br жену убил, а в поисковике интересовался, как это лучше делать. Давайте остановимся на том, что поисковик МОЖЕТ шпионить, но не делает этого (с Ваших слов). Так, письма пользователей иногда почитывает, но исключительно их блага для и их пользы ради (тоже с Ваших слов, сказанных в следующем абзаце).

Вы же не возмущаетесь, что содержимое ваших писем, хранящихся на сервере может служить основанием для анализа структуры накопленного пользовательского сообщества с целью, например, выявления их профессиональной ориентации и определения стратегии дальнейшего развития ???
Нет конечно. Я просто имею в виду такую возможность. мне предоставили бесплатный сервис и я понимаю, что бесплатные сервисы должны требовать от меня жертв. Иду на них добровольно. Чего тут возмущаться. Но о письмах Вы очень своевременно напомнили.

Да, из сопоставления поисковой активности пользователя, содержимого его почты и оставленных им при регистрации данных можно узнать много интересного. Но это не есть результат каких-то специальных усилий и какой-то специальной "шпионской" активности. Это обратная сторона интеграции различных сервисов в одном флаконе. Пользуйтесь одной почтовой системой и другим поисковиком и вы будете от этого защищены.
Хочу напомнить, что этот блог - тематический. Он предназначен для людей, занимающихся конкурентной разведкой. Этим специалистам бывает недостаточно воспользоваться предложенной Вами рекомендацией. Им все же иногда лучше лищшний раз куки почистить. А чтобы понимать для чего - не абстрактно понимать, а своими глазами увидеть и запомнить - для этого статья и появилась.
Хотя Ваш вывод в этом абзаце в целом совпадает с моим, как я пония: Если не принимать специальных мер, то приватность может пострадать, т.к. у поисковых машин и их сотрудников есть все инструменты для этого.

Кстати? показательно, что этот материал нашел у них вполне практический отклик. Более приемлемый, на мой взгляд, чем рекомендация не пользоваться почтой http://it2b-forum.ru/index.php?showtopic=3630&view=findpost&p=33197

Re: ну да, и что ???

>Вы очень своевременно напомнили
ну держите тогда еще идею: скрипт в почтовом веб клиенте замеряющий скорость набора тех или иных слов. Затем смотрим корреляцию по тем пользователям для которых известна профессиональная принадлежность. В результате получаем возможность вычислять профессиональную принадлежность тех, кто о себе не заявил. В свое время с приятелем много таких штук придумали, но времени и заказчика на подобное как-то не случилось.

Re: ну да, и что ???

Спасибо :)
Действительно интересно. Это, к сожалению, не по моей специальности, но очень интересно на самом деле. Я дам ссылку сюда профильным специалистам. Если их тоже заинтересует и если у Вас будет время, то может быть, будете полезны друг другу в профессиональном плане.

С уважением,
Евгений Ющук

Re: ну да, и что ???

>Им все же иногда лучше лищшний раз куки почистить.
Удаление кукис, никак не повысит вашу безопасность, всё что вы этим добьётесь так это то, что при следующем визите на данный сайт нужно будет ещё раз вводить логин и пароль, после чего система вас узнает без всяких плюшек, и может спокойно следить за вами дальше.. Что касается сугубо личной информации, то она действительно чаще всего доступна из содержимого почтового ящика... так что для надёжности не оставляйте ни одного письма на сервере, по крайней мере это защитит вас, если ваш e-mail взломают...

Re: ну да, и что ???

Не соглашусь.
Чистя куки каждый раз (при каждом поиске) пользователь разрывает связь между тем, куда он ходил и что искал и тем, куда логинился (у меня ведь в системе может быть множество логинов и ящиков с персональной информацией) Если куков нет при каждом новом сеансе, то нет и связи между всеми этими логинами. А для специалиста конкурентной разведки это важно. Иногда жизненно важно - без преувеличений.
Да, конечно, логиниться придется заново каждый раз и это не очень удобно. Но, во-первых, когда ников несколько, это все равно неизбежно. Во-вторых, менеджер паролей снимает проблему технического неудобства, если она есть.
А если еще и IP динамический или через анонимайзер, то идентифицировать человека крайне затруднительно.

Edited at 2007-11-09 06:56 (UTC)

Re: ну да, и что ???

;-) начнём с того, что для того чтобы перелогиниться на сайте нужно выйти из текущей авторизации, что автоматически очищает куки данного сайта...

>А если еще и IP динамический или через анонимайзер, то идентифицировать человека крайне затруднительно.

а зачем почтовой службе идентифицировать Вас по IP, когда ей технически проще сделать это по Вашим письмам, особенно если они носят личный характер...

Re: ну да, и что ???

;-) начнём с того, что для того чтобы перелогиниться на сайте нужно выйти из текущей авторизации, что автоматически очищает куки данного сайта...
Если это автоматически очищает куки сайта, то как тогда Вы объясните, что срок действия куки yandexuid от 2007 года - январь 2011 года? Причем эта кука, если ее не удалить, сохраняется и не меняется при следующих посещениях Яндекса, независимо от того, логинились мы или нет.

О почтовой службе Вы полностью правы. Но я говорю немного не об этом. Я говорю о том, что есть принципиальная возможность сделать привязку определенных поисковых запросов к человеку, даже если в момент поиска он не логинился, а залогинился позже и в несколько ящиков по очереди.

Edited at 2007-11-10 17:45 (UTC)

Re: ну да, и что ???

>Если это автоматически очищает куки сайтаЁ то как тогда Вы объясните, что срок действия куки yandexuid - январь 2011 года?

эта дата задаётся от балды, просто заведомо намного больше текущей, я и большие даты бывает выставляю, в этом нет ничего страшного и опасного.

>Я говорю о том, что есть принципиальная возможность сделать привязку определенных поисковых запросов к человеку, даже если в момент поиска он не логинился

Вот честно скажу, я как веб-разработчик вашей логики не понимаю... кукис нужны, чтобы сохранять авторизацию на сайте(кстати иногда срок их действия задаётся в настройках учётной записи), поэтому если кукис не удалены и не пусты, то человеку и не надо будет логиниться, при заходе на сайт будет автологин... а при шелчке на ссылке выход(не путать с закрытием браузера), кукис будут очищены, иначе это будет брешь в системе безопасности

P.S. Ну не там Вы угрозу ищите, не там честное слово... Инфа сохраняющаяся в кукис открыта, поэтому стоит известному сайту разместить подозрительное поле в кукис об этом сразу поползут слухи и новости...

P.P.S. Я конечно плохо себе представляю что такое конкурентная разведка, но если Вам нужна повышенная безопасность, то объясните мне нафига Вы вообще пользуетесь бесплатными службами??? Это же принципиально неразумно в Вашей ситуации, я думаю что Вы вполне можете себе позволить арендовать домен на подставное лицо и поднять на нём и почту, и всё что Вам ещё нужно... там затрат-то около 2000р. в год!

Re: ну да, и что ???

>Вот честно скажу, я как веб-разработчик вашей логики не понимаю... кукис нужны, чтобы сохранять авторизацию на сайте(кстати иногда срок их действия задаётся в настройках учётной записи), поэтому если кукис не удалены и не пусты, то человеку и не надо будет логиниться, при заходе на сайт будет автологин... а при шелчке на ссылке выход(не путать с закрытием браузера), кукис будут очищены, иначе это будет брешь в системе безопасности<

Мы с Вами говорим о разных вещах. Вы объясняете, зачем нужны куки. С этим никто не спорит. Я говорю о том, что не все вещи в мире используются только для того, для чего их создавали. Например, пот в организме тоже очень полезен - он охлаждает организм и позволяет выводить вредные вещества. Однако пото-жировые следы могут быть использованы и не по назначению - для идентификации человека.
Примерно то же самое - и с кукой поисковой машины. Тем более, что прецеденты есть.

Вот и все, собственно. Специалисты конкурентой разведки меня отлично поняли. А вебмастера и админы, связанные с поисковиками, упирают на полезность куков при их использовании по назначению. Одно другому нисколько, на мой взгляд, не противоречит.

Что касается использования бесплатных сервисов и альтернативы в виде анонимной регистрации. Тут могу уверенно сказать - нужны и те, и другие. Причем бесплатные сервисы нужны значительно чаще и в бОльших объемах, чем платные, пусть и анонимные. И тут всего лишь надо разорвать техническую возможность связать воедино отдельные элементы мозаими. Тем более, что сделать это очень легко. Именно техническую. Потому что мысль "кто будет так глубоко копать - это никому не надо" иногда не срабатывает. Если поставят, скажем, полмиллиона долларов за поимку человека, то вполне могут и начать копаться. И историю поиска поднимут, и идентификацию попытаются провести. И если оставить техническую возможность такой идентификации, то при определенных обстоятельствах она произойдет. А ситуации, когда эту сумму поставят, вполне реальны, хотя и нечасто. И те, кого закажут таким образом, не сочтут, что подобная уникальность компенсирует им проблемы. Дело в том, что мы работаем, хотя и не нарушая закона, но эффективно. А эффективность в интересах одной стороны другой часто воспринимается как ущерб.
Учитывая такие потенциальные риски, а также принимая во внимание, что стереть куку можно "на автомате" и это не составляет никаких проблем, я не вижу причин не стирать куку. А дальше каждый сам решит, что ему важнее - пользоваться благами автоматической регистрации или иметь уверенность, что его не поймают из-за элементарной зацепки даже за большие деньги.

>Инфа сохраняющаяся в кукис открыта, поэтому стоит известному сайту разместить подозрительное поле в кукис об этом сразу поползут слухи и новости...<

И об открытой инфе о куках. Вы правы. И слухи о том, что куки позволяют отслеживать пользователя и идентифицировать его, если связать историю поиска с логином, есть. Они первоначально появились в стиле "Гугл - Большой Брат". А после того, как пользователи Гугла и Яху пострадали в реале, это уже и слухами перестало быть. Подавляющему большинству пользователей это безразлично - ну и ладно. А тем, кому это небезразлично, надо быть информированными. ИМХО.



Edited at 2007-11-12 04:43 (UTC)

Re: ну да, и что ???

>иметь уверенность, что его не поймают из-за элементарной зацепки даже за большие деньги.
ну это уже самообман, я же говорю не того Вы боитесь, есть способы гораздо эффективнее, чем кукис, для идентификации человека в интернете...
А cookies можно вообще отключить, раз они Вам не нужны! логично не так ли? ещё лучше пользоваться браузерами, которые их вообще не поддерживают, тогда Вы уж точно будете в "безопасности" ;)

Re: ну да, и что ???

>...не того Вы боитесь, есть способы гораздо эффективнее, чем кукис, для идентификации человека в интернете...<
Конкретизируйте, пожалуйста, эту мысль.

>А cookies можно вообще отключить, раз они Вам не нужны! логично не так ли? ещё лучше пользоваться браузерами, которые их вообще не поддерживают<
Вы же наверное знаете, что очень многие сайты Вас просто не пустят, если куки не включены. Не так ли?

Я правильно Вас понял, что Вы признаете, что куки дают возможность привязать поиск человека к его логину? Думаю. что Вы и не станете этого отрицать, поскольку именно так и работает "история поиска" в тех же Гугле и Яндексе. Или я что-то путаю? Если путаю, то расскажите, что именно.

А если Вы согласитесь конкретизировать, что Вы имели в виду под "способами, эффективными для идентификации человека в интернете", было бы очень любезно с Вашей стороны.
Например, когда человек выходит в эфир вечером из автомобиля, припаркованного в густонаселенном районе с телефона, приобретенного у постороннего лица, в котором установлена симка, оформленная на постороннего человека. По каким-то своим причинам (например, в силу не очень высокой компьютерной грамотности) этот человек не воспользовался операционной системой и даже браузером, который грузится с флэшки, а вышел в эфир с установленной на ноутбуке обычной операционной системой и из-под браузера... ну, к примеру, Mozilla Firefox с установленными на нем плагинами AdBlock и NoScript. По окончании сеанса он стер логи операционной системы и куки браузера, а также временные файлы, кэш и все остальное, что стирает, например, программа Internet Window Washer. И он сделал несколько таких выходов, меняя районы.

Итак, расскажите, пожалуйста, как он при этих условиях может быть идентифицирован. Я совершенно не шучу и никакой подковырки в этом вопросе нет, поверьте. Вполне частая ситуация. Расскажите, пожалуйста, Ваш алгоритм действий. Средствами Интернета. То есть, без группы захвата в тот двор или на ту площадку, откуда ведется работа и без привлечения ГИБДД и перекрытия всех дорог в микрорайоне.

Edited at 2007-11-16 10:43 (UTC)

Re: ну да, и что ???

> Вы же наверное знаете, что очень многие сайты Вас просто не пустят, если куки не включены. не так ли?
А Вы уверены, что Вам стоит их посещать???

>Конкретизируйте, пожалуйста, эту мысль.
допустим Вы заходите на сайт-партнер того же гугла с включенным javascript или даже просто щелкаете по ссылкам, не проверяя каждую из них... или даже проще как в вышеописанной ситуации, хотя Вы даже не уточнили что человек делал в этом "эфире", но это не суть важно, когда браузер был таким как указан. А именно Firefox, который является партнером Google и по умолчанию сливает всё, что может о Вас выяснить на Google Analytics(это можно запретить, но мало кто знает как...). Т.е. Google будет в случае надобности(т.к. такие объёмы инфы они вряд ли долго хранят, но раз уж Вас разыскивают...) обладать кучей информации и о компьютере, с которого был осуществлен доступ в инет и о том каким способом...
Также не останется без внимания Ваш IP-адрес, и не надо мне рассказывать про цепочки прокси-серверов, они обеспечат Вам анонимность лишь в том случае, когда Вы сами написали анонимный прокси и незаметно залили его на чужой сайт...

Касаемо идентификации самого человека, тут всё зависит от того, что он делал в сети, естественно если всё ограничилось просмотром прогноза погоды на завтра, то его никто не идентифицирует...

Re: ну да, и что ???

Кстати, да, возможность обмена информацией между браузером и Гуглом в принципе реальна.
Мне кажется, что если Google-Analytics отключен вместе со скриптами (их AdBlock или AdBlock Plus запрещают), то Google-Analytics не очень поможет тем, кто пытается провести идентификацию Я не прав?

Про цепочки прокси я с вами согласен. Прежде всего потому, что они неизвестно кем и для каких целей созданы. Тем более, что эти цепочки работают крайне медленно.

Однако в ситуации, которую я описал, по-моему IP ничего не дает противнику. Он видит город, оператора сотовой связи - и все. Причем у GPRS один IP на всех транслируется. Несколько тысяч людей одновременно с одним IP шарят по Сети.

А если это еще и через анонимайзер запускается, то возникает еще один барьер. Для его преодоления требуется время, а иногда его вообще невозможно преодолеть, т.к. требуется оформление документов для обращения за рубеж по всем правилам, а это не так просто.

Вот и получается, что если не залогиниться с одной и той же кукой в какой-то из ящиков, то привязки вроде как и нет.

В связи с тем, что Вы вопрос, практически упущенный мною из виду затронули - о возможной связи браузера с Гуглом (точнее, о возможной передаче ему данных о пользователе), я спрошу: Вы не в курсе, сам по себе браузер отдает Гуглу какой-либо свой идентификатор или нет? Если да, то какой? И может ли помочь в таком случае, например, переустановка браузера перед каждым сеансом?
Насколько я знаю, при переходе из закладок в Мозилле передача есть. А если переход не из закладок, а, например, путем ввода адреса в адресную строку?

И еще один вопрос, если можно: версия Мозиллы, которая работает с флэшки, в контексте нашей беседы лучше той, что установлена на компьютере или нет?

Edited at 2007-11-16 11:45 (UTC)

Re: ну да, и что ???

>Однако в ситуации, которую я описал, по-моему IP ничего не дает противнику. Он видит город, оператора содовой связи - и все. Причем у GPRS один IP на всех транслируется. Несколько тысяч людей одновременно с одним IP шарят по Сети.

Вы не описали, что человек делает в сети и чем ему в данном случае навредят кукис. Да и вообще мне не нравится Ваша постановка вопроса, т.к. из неё следует, что самое ужасное - это то, что какая-то система может гипотетически узнать, что у Вас в ней 2 аккаунта, да пусть знает, жалко что-ли? другой вопрос, что ни один из этих аккаунтов не должен содержать реальной личной информации... А вместо указания на это слабое место, Вы высасываете проблему из пальца...

>В связи с тем, что Вы вопрос, практически упущенный мною из виду затронули - о возможной связи браузера с Гуглом (точнее, о возможной передаче ему данных о пользователе)

Что значит возможной? она вполне реальна, лично проверял! ;) и не только в Firefox...

> Вы не в курсе, сам по себе браузер отдает Гуглу какой-либо свой идентификатор или нет? Если да, то какой? И может ли помочь в таком случае, например, переустановка браузера перед каждым сеансом?...
1) да
2) IP-адрес и HTTP-Agent
3) НЕТ
4) да, при вводе в адресную строку эта строка(точнее отправляемые HTTP-заголовки) тоже передаётся на Google-Analytics

Re: ну да, и что ???

>Вы не описали, что человек делает в сети и чем ему в данном случае навредят кукис. Да и вообще мне не нравится Ваша постановка вопроса, т.к. из неё следует, что самое ужасное - это то, что какая-то система может гипотетически узнать, что у Вас в ней 2 аккаунта, да пусть знает, жалко что-ли? другой вопрос, что ни один из этих аккаунтов не должен содержать реальной личной информации... А вместо указания на это слабое место, Вы высасываете проблему из пальца...<

Наверное, лучше мне пояснить, чтобы не оставалось недомолвок.
Прежде всего, ощущение, будто куки - самое страшное - обманчиво. Просто мы имеем дело с постом на блоге на узкую тему. Это не монография и даже не масштабный труд на тему "Что подстерегает нас в Сети". Если мы с Вами это не будем одинаково понимать, то может получиться (и, наверное, получается) разговор вроде:
- Не ешьте мясо из бомбажных банок, потому что можно отравиться и умереть.
- Что за чушь вы несете! Попасть под машингу можно и без бомбажных банок, особенно если не смотреть по сторонам или выпрыгивать на нее из кустов. А мясо можно вообще не есть. И вообще ничего не есть из банок - тогда точно не отравитесь :)

Давайте примем за аксиому, что нам категорически не надо, чтобы система связала даже один аккаунт с поисковыми запросами, которые мы в ней делаем. Просто по определению. Считайте это паранойей, если хотите :) Хотя это и не высосано из пальца, но если Вам комфортнее так считать - пожалуйста. Это не вопрос.

И что человек делает в Сети. Например, так: зашел на Яндекс (или на Гугл, или Рамблер, Яху - несущественно). Сделал поисковые запросы. Потом перешел по нескольким ссылкам из (копипейст из текстового файла или ввод вручную). Выключил компьютер. Некоторое время спустя вновь вышел в Интернет, залогинился в почтовый ящик в той системе, в которой находится. Почитал письма. Скопировал содержимое некоторых из них в вордовский файл на флэшку. Разлогинился. Выключил компьютер. На следующий день повторил то же, но поисковые запросы были другими и ящиков почтовых было два. Снова вышел. Потом повторил этот цикл еще несколько раз.
Всё.

При этом не должно быть связи между поисковыми запросами каждого из дней и любым из почтовых ящиков. В том смысле, что не должно быть установлено, что это один и тот же компьютер был в эфире.

За информацию спасибо. На самом деле полезно.


Edited at 2007-11-16 13:25 (UTC)

Re: ну да, и что ???

>Давайте примем за аксиому, что нам категорически не надо, чтобы система связала даже один аккаунт с поисковыми запросами, которые мы в ней делаем. Просто по определению. Считайте это паранойей, если хотите :) <
Это не паранойя, но к плюшкам отношения не имеет, зачем вообще в таком случае проводить авторизацию?

>При этом не должно быть связи между поисковыми запросами каждого из дней и любым из почтовых ящиков. В том смысле, что не должно быть установлено, что это один и тот же компьютер был в эфире.<
Всё просто - осуществляйте поиск через nigma.ru, а почтовый сервер используйте не совмещенный ни с какими поисковыми машинами. В качестве браузера используйте Lynx, либо Links с отключенным js.

Re: ну да, и что ???

Про авторизацию. Да, наверное лучше пользоваться, ящиком на каком-нибудь отдельном сервере, а не в тех поисковиках, где ищешь. Хотя, опять же, проще сбросить все куки, не задумываясь о них, чем контролировать, где ты был за последние полгода. Хотя бывает, что хочешь-не-хочешь, а приходится логинниться там, где не ты сделал ящик. И тут уж выбирать не получится

А вот Нигма, к сожалению, нам не очень подходит. Язык запросов у всех поисковиков все же разный, а Нигма, кажется, еще не научилась полноценно конвертировать запросы, особенно длинные. Да и как она их сконвертирует, когда в Яндексе есть например, оператор поиска в пределах предложения или скобки, а в Гугле нет. Когда Гугл ограничен всего 32 словами, а у Яндекса можно их поставить значительно больше.

Комментарий специалиста.

Один весьма известный специалист, который в конкурентной разведке специализируется на IT, дал свой комментарий, прочитав нашу с Вами беседу. Я его приведу полностью. Он сам не хочет обозначать себя. У нас так бывает, не обращайте внимание. Просто блоггеров среди специалистов конкурентной разведки не так много. Они в основном читающие.
Возможно, то, что он сказал, обогатит Вас какими-то новыми мыслями или натолкнет на новую идею.
Далее идет цитата без искажений:
******************
Добрый день, Евгений.

По-моему, Ваш собеседник не очень владеет темой и фантазирует. Тот же Крис Касперски, когда писал - был кокнкретен.
Я бы попросил у него предоставить сугубо конкретные логи, из которых видно, что браузер при каждом обращении что-то сливает в Гугл. По-моему, тут имеет место путаница с антифишинговыми системами, встроенными в браузеры, которые если включены в динамическом режиме, при каждом обращении к новому сайту сначалf лезут (в FF2 опция в Security - "Check by asking Google about each site I visit"). Лично у меня стоит другая опция - скачать список плохих сайтов при загрузке (но можно и ее отключить вообще) и никаких лишних запросов (тем же SmartSniffer) я не видел.

И вы же правильно сказали - есть же специальный браузер для работы с флэшки, в котором все отключено (не помню названия).
Зачем еще усложнять?

Edited at 2007-11-16 20:02 (UTC)

Re: ну да, и что ???

>И еще один вопрос, если можно: версия Мозиллы, которая работает с флэшки, в контексте нашей беседы лучше той, что установлена на компьютере или нет?

Нет, в контексте нашей беседы лучше будет версия Firefox, собранная лично из исходников, из которых естественно предварительно надо убрать кое-что ;-)