Pages:
Author

Topic: [ru] Браузерное расширение BPIP - page 2. (Read 1449 times)

legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
Или ты действительно настолько наивен, что профит компания, которая стоит за Брейв (рекламная контора), прям трясется над твоей приватностью?

Ну если говорить честно, то Мозилла тоже не святошами разрабатывается из швейцарских храмов. Здесь стоит задаться вопросов как они получают бабки на житье бытье и разработку.

По поводу ВПН - спасибо за вот эту ссылку https://browserleaks.com/

Я помню через Фаерфокс подключался через один ВПН, и там он сразу меняет язык браузера и так далее на тот, к стране которого ты подключился. Иначе по тем же java скриптам можно и время твоего компьютера посмотреть, и язык, и тайм зону и догадаться что странно, айпи японский а время то белгородское  Grin
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io

А по поводу "авторитетнейший", так что, тебе подгорает, или как?


Не не подгарает, но ты сам в своем посте перед этим в качестве аргументации заявил - "у меня тут авторитет" - подтер потом правда за собой.

Зы. По поводу дауна, ты там случайно  на гитхабе дальше своего знаменитого "Hello World" на питоне еще не продвинулся?

Зы..зы И не забудь Ратимову 20 меритов отсыпать , когда он для тебя "не-дауна" переведет то, что ты сам не в состоянии понять.
Да, у меня есть кака-никакая репутация, что явно никогда не помешает, так это всегда проверять мои слова, о всем, Линуксе, Монеро, приватности и пр.

По Питону пока нет времени (дошел до классов и написания тестов), приятно что следишь.

Ратимов, не Ратимов, мне пох кому 20 меритов отдать за перевод материала.

З.Ы. А вот ссылок ты упорно не видишь и не комментишь!  Cheesy

Если вы видите эти ссылки, значит вы не xenon131:



Вот тут можно все посмотреть о чем пишет TheFuzzStone

https://www.youtube.com/watch?v=trkUyrYObVQ
https://www.youtube.com/watch?v=8gXXQhKAFN0
А вот есть норм чувак, open source-щик, который красиво разобрал Brave по полочкам, и который явно больше ресёрча слелал чем xenon131:

https://www.youtube.com/watch?v=8qeG5vJhCMs

Но все равно, он этого не увидит, и спрыгнет на Ратимова, мерит, Мозиллу, Иисуса, Элвиса, только не по теме.
legendary
Activity: 2072
Merit: 4265
✿♥‿♥✿
Вот тут можно все посмотреть о чем пишет TheFuzzStone

https://www.youtube.com/watch?v=trkUyrYObVQ
https://www.youtube.com/watch?v=8gXXQhKAFN0
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
Ты мне по брейву что нибудь дай, а не  пукай.
Ты даун, или слепой? Пройдись по пунктам от 1 до 4 и почитай о любимом Brave.

Авторитетнейший даже не понимает что там написано и пытается спорить.. Крейзи.
Не, ну точно даун. Мне как будто нечего делать, а генерить контент для форума.
Предложил заработать Мерита за честный труд, чтобы другие знали, что такое Brave, а ты подумал что мне этот перевод надо... (рука-лицо)
А по поводу "авторитетнейший", так что, тебе подгорает, или как?

Бегло просмотрел - кому-то не поправилась  их модель монетизации и идет размусоливание этой темы.
Это вот эта ссылка: https://news.ycombinator.com/item?id=18734999

А вот инфу по другим ссылкам, ты как то не комментишь, как будто слепнешь и не видишь. Давай еще раз, вот чем является твой любимый говно-Brave:


Пусть дует, для блондинок наверное старается.
Оуу, вот и приехали! Я заказной, от Firefox, на Brave гоню. Талант, вы, сэр.

Могу взяться, я недавно переводил как раз материальчик по Brave, если не понравится качество моего перевода, тему удалю, тогда пусть другой кто-то сделает. Smiley
Переводи. Я видел пару твоих переводов, норм.
legendary
Activity: 3108
Merit: 1359
А это ваапще полный писец.  Авторитетнейший даже не понимает что там написано и пытается спорить.. Крейзи.
Он, вроде бы, просто попросил сделать тему с переводом, нет? С чего ты взял, что не понимает?
Телепатия, наверно, не иначе. Grin
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
Не раздувай щеки, в мозиле ты делаешь тоже самое, тыкаешь нужные галочки.
Я там копался лично, ручками своими любимыми, при этом, гуглил инфу об каждой непонятной мне включаемой/отключаемой опции:


И ты хочешь сказать, что то, что ты тыкнул 5 галочок (а может и меньше) через UI-йку в говно-Brave, сделало тебя приватным?
Да, теперь я тебе верю -- в токен ты не вложился, ты просто наивный.


А раз ты наивный (плюс не умеешь пользоваться Гуглом), дарю инфу, без регистрации и смс:

1. Во-первых, погугли об их автоматических говно-Brave обновлениях, и куда они стучаться (пссс, это серваки Амазона, только никому не говори, это приватностЪ), и что эти обновления ты НЕ отключишь через настройки браузера, вот здесь народ за житуху трёт, там же и ответ одного из разрабов:

"Мы не планируем добавлять в UI возможность отключать обновления..." -- ну и да, как всегда, пугают "риском", под который попадут все пользователи, которые хотят это отключить. А они пиздатые, за вас все уже продумали. Ну, в общем, как ты сказал выше -- "все открыто", верно?

Когда ты сказал о "правильной настройке", без сарказма, я подумал что ты запустил WireShark, посмотрел куда этот блядский Brave стучится и добавил правила для своего фаерволла, чтобы эта мразь "сидела локально и молчала". Но я чуть не угадаль.

2. Прошлогодний проёб со стороны Brave: https://www.bleepingcomputer.com/news/security/facebook-twitter-trackers-whitelisted-by-brave-browser/. Пиздуны они. Откуда знаю? Потому что у меня все известные трекеры блочатся уже годами, включая трекеры от ФБ, Твиттера и той хуйни, что в их списке. И, о мистика! -- У меня все работает как надо.

3. Еще здесь кое что есть: https://spyware.neocities.org/articles/brave.html

4. Тут тоже кое что интересное: https://news.ycombinator.com/item?id=18734999

Кстати, я не говорю что все идеально в Firefox сразу после установки, но, имхо, лучше чем в говно-Brave. Я когда им пользовался, тестил, ну хуле, форк Хромиум с говно-токеном, не более.

Тому, кто качественно переведет с инглиша эту инфу о Brave, и красиво оформит отдельной темой, с меня 20 меритов.

EDIT.
Зы. Наш авторитетный  пошел гуглить.  Grin
Пост для тебя наивного и криворукого писал.
Надеюсь тебе стыдно, за то, что ты не дружишь с поисковиками, и за то, что отнял у меня время.


Насчет гугла не сомневайся. Я проверил и компромата не нашел.
Чувак, я уже выше увидел твою "правильную настройку", пожалуйста, не надо.

Но если ты что ты что-то знаешь, то будь добр ткни носом
Инфа выше, читай.

может и я откажусь от брейва.
Честно, мне похуй. Ты, должен заботиться о своей приватности, а не я.

Пока все твои слова выглядят как сотрясение воздуха.
А ты показался дурачком в этой ситуации (со своей "правильной настройкой, и верой что "там все открыто"). А я когда то думал, что ты более прошаренный в этом вопросе.

Зы. Наш авторитетный  пошел гуглить.  Grin
А теперь не выё, а иди кури инфу.
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
Ой, а ну ка расскажи нам здесь, как правильно ты его настроил?  Smiley
Там все прозрачно
Ага, понял, вот и конец твоей "правильной настройке", которая основана на доверии к компании Brave и её партнерам рекламодателям, а также кликбейт-контенту контенту в стиле  -- "Брейв приватен!"

Все настройки обеспечивающие приватность включены.
Ну так и скажи: "Натыкал галочек и все вдруг стало приватно:  Cool privacy mode ON."

Если говоришь то подкрепи, чтобы я и другие знали в чем именно гавно заключается.
Почему бы не проверить мои слова? Тебе Гугл лень заюзать?

И по второй части... так, получается ты не знаешь в чем он говняный, а все равно продолжаешь говорить что "там все открыто, норм браузер".
copper member
Activity: 1554
Merit: 489
Stop the war!
По нынешним временам, написать собственный браузер может любой студент за неделю или его преподаватель за один день. Только вот кто из этих песателей аудировал код хромиума и электрона на возможные закладки от правильных пацанов?
Попробовал только что на сайте https://browserleaks.com/ связку VPN + tor браузер, в принципе неплохо получилось. Даже близко ничего похожего на себя не нашел  Grin
Зато VPN + обычный браузер, когда ему разрешил гео API, выдал практически полный домашний адрес, только номера квартиры не хватает.
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
Понятно, я так и понял что это был просто пук
Разбираешься в пуках? Ты действительно хочешь срачь начинать?
Или ты действительно настолько наивен, что профит компания, которая стоит за Брейв (рекламная контора), прям трясется над твоей приватностью?
Или ты наивный, или вложился в их говно-токен.

Brave нормальный браузер
А для меня говно, которое ничего не имеет общего с приватностью.

и при правильной настройке вполне можно пользоваться.
Ой, а ну ка расскажи нам здесь, как правильно ты его настроил?  Smiley

legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io

~
P.S. Brave - говно.

Чем Brave не угодил? Сказать говно  это легче всего, надо бы  обосновать.
Надо бы? Кому?  Smiley
Еще бы сказал: "ты обязан обосновать".  Cheesy

Если бы тема шла о чем то более сложном, понимаю, мало инфы, надо делиться (я только за). А когда речь идет о том, чтобы чуток погуглить... сорри, я за других Гугл юзать не буду.

EDIT.
Хотите чтобы я за кого то гуглил, пожалуйста -- типните мне пару баксов в Лайтнинге https://tippin.me/@thefuzzstone, а я за вас Гугл буду юзать.  Smiley
member
Activity: 140
Merit: 33
Я, пожалуй, откажусь.
Поздно отказыватся. Ты теперь не анонимус. Твои фоточки с бинанса - нам известны
Какой ты анонимус - если ты KYC прошел на дырявом Бинансе?

Я сам против цензуры, но смысла использовать тяжёлый тор, чтобы попелосить "эту страну" не вижу.
Шутишь чтоли? Тут полфорума ФСБшников. К одному юзеру уже приезжали пативены, а ты говоришь что не надо тяжелый тор использовать

Отедляться надо, свою UA-локаль создавать надо, недоступную для гебистов

sr. member
Activity: 1573
Merit: 358

Если использовать любой ВПН (даже самопальный) это уже само по себе опасно.
Нет, нужно просто быть осторожным и понимать что ты делаешь.

То же касается и тора.
Да, то есть -- нужно просто быть осторожным и понимать что ты делаешь.


Я как раз и написал о том, что через впн и тор делать можно, а что не нужно, не ограничиваясь абстрактными и надменными фразами наподобие "нужно просто быть осторожным и понимать что ты делаешь" Smiley


Эти технологии придуманы прежде всего для проведения атак
И кого ты в onion хочешь атаковать? Может быть свой банк? Или какую нибудь бухгалтерскую контору? Или свой ЖКХ?  Cheesy
Первая часть относилось к впн. А вот следующее к тору:

и для анонимного получения незаконного контента
И все, больше ни для чего?
В onion нет цензуры, а значит есть все, от незаконного (оружие, наркотики, и пр.), и до всяких политических форумов, и других сообществ, где людям приватность просто необходима, чтобы не подвергать риску свою жизнь -- почему это не упоминается? А, да, ведь политикам пиздунам популистам так прикольней шугать быдло: "В Tor одни педофилы! Запретить!!11!!!1"

Я не зря использовал слово "незаконный". Ибо так и есть. Тут правда есть одна небольшая грань: форум российских экстремистов не запрещён где-нибудь в Индии, и для него достаточно индусского или китайского впн провайдера - ну будет знать Раджа из Дели, что Вася из Новосибирска кухонный революционер, думаю, это можно пережить. А вот другой запрещённый во всех цивилизованных странах контент уже требуют тора. Так что не надо лить за тор и боязнь за жизнь, это смешно. Я сам против цензуры, но смысла использовать тяжёлый тор, чтобы попелосить "эту страну" не вижу.
member
Activity: 140
Merit: 33
прям куча всего интересного, типа cookies (кросс-платформенная слежка в подарок!  Cheesy), Flash, Silverlight, Canvas, шрифты + утечка DNS и пр.
Короче я придумал
Я завел себе второй комп. Купил симкарту оформленную на бомжа + USB модем
И оттуда пользуюсь палевным расширениями от сачмуна

Теперь можете беспалевно заниматься промошеном своих свистелок и перделок.
Эй сачмун теперь можешь обмазываться не свежим говном и драчить без упреков
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
Давайте позовем Фузстоуна, он вам расскажет про анонимность
Ага, мне ссылку на эту тему в Телегу кинули...
Форум тухнет, уже не знают какие костыли придумать, чтобы народу было интересно здесь время проводить.

Да и что здесь рассказывать, Balthazar прав:

Абсолютно любое расширение так может, а не только это. Всякие адблоки и ютуб даунлодеры - та же фигня, все крутится в привилегированном контексте, в режиме бога относительно объектов страниц во вкладках и всего кода на них.

кто-то потом будет копаться в твоих ЛС
Юзай и другим советуй, и не бойся, что тебя читают -- https://gnupg.org/

Здесь Balthazar тоже прав:

А с вшитыми блокировщиками рекламы браузера та же история?
Речь о расширениях. Встроенная функциональность браузера, разумеется, может видеть все что хочет, но это же браузер.. Если к браузеру нет доверия, тогда просто надо пользоваться другим браузером.
P.S. Brave - говно. Хочется приватности? Юзайте Firefox и крутите гайки: https://tgraph.io/Reliz-Firefox-71-osnovnye-novshestva--paru-rekomendacij-po-ego-nastrojke-i-brauzernym-rasshireniyam-12-13

Если использовать VPN, допустим Mullvad VPN, и опустошить всю переписку, использование данного расширения опасно?
Использование данного расширения просто бессмысленно.

Понятно, что при разрыве VPN соединения можно сверкнуть своим реальным IP, не уж то, как пишет корнер, и реальный IP можно засветить?
Не знаю что там пишет корнер, но на Линуксе Kill Switch делается за две минуты, и ничем не надо "сверкать".  Smiley

Если использовать любой ВПН (даже самопальный) это уже само по себе опасно.
Нет, нужно просто быть осторожным и понимать что ты делаешь.

То же касается и тора.
Да, то есть -- нужно просто быть осторожным и понимать что ты делаешь.

Эти технологии придуманы прежде всего для проведения атак
И кого ты в onion хочешь атаковать? Может быть свой банк? Или какую нибудь бухгалтерскую контору? Или свой ЖКХ?  Cheesy

и для анонимного получения незаконного контента
И все, больше ни для чего?
В onion нет цензуры, а значит есть все, от незаконного (оружие, наркотики, и пр.), и до всяких политических форумов, и других сообществ, где людям приватность просто необходима, чтобы не подвергать риску свою жизнь -- почему это не упоминается? А, да, ведь политикам пиздунам популистам так прикольней шугать быдло: "В Tor одни педофилы! Запретить!!11!!!1"

Допустим, вычислили, что я использую VPN и вычисленный IP не реальный, вычислили время моей машины, разрешение экрана и т.д. Как это вообще может отразиться на моей идентификации, если таких машин миллионы в сети?
По уникальности твоего браузера, а там прям куча всего интересного, типа cookies (кросс-платформенная слежка в подарок!  Cheesy), Flash, Silverlight, Canvas, шрифты + утечка DNS и пр.

Тестить свой браузер на уникальность здесь: https://browserleaks.com/

А теперь смотри как все просто. Ты говоришь о "миллионах машин" в сети... Подумай, а сколько с тех миллионов установили это расширение BPIP (или как оно там, сорри, мне лень посмотреть шапку темы)? Пусть будет 1000 (что является очень раздутым кол-вом пользователей), ок, дальше. Беремся за твой VPN и тайминг атаку (припустим твой VPN-провайдер не ведет логи) -- анализируем твою активность на форуме (она открытая для всех), именно активность-постинг. К этому всему имеем куки (которые ты вряд ли чистишь вручную или каким то софтом), разрешение экрана, шрифты, версию системы, user agent и пр. интересные вещи, которые лично тебя отличают от других машин (уникальный отпечаток).

Что делаем имея все на руках? Ждемс твоей активности (а параллельно ты еще точно где то залогинен, а может и DNS течет, что вообще было бы отлично для твоей поимки), и как только видим твою активность -- общаемся с твоим VPN-провайдером, который сдаст тебя (понятно, что здесь надо предварительное общение, предоставление материалов твоего дела и т.д.).

То что VPN-провайдер не ведет логи, это не значит, что при поступлении запроса от служб (и предоставления "пруфов") они не будут сотрудничать. Как раз и наоборот, будут сотрудничать как миленькие.

Тот же ProtonMail (-VPN) сотрудничает при запросе служб, когда какой то очередной альтернативно-одарённый даун юзает ProtonMail чтобы "минировать" вокзалы и пр.

И это только один из возможных векторов атак.

Пусть каждый решит сам для себя -- становиться ли действительно уникальным в сети, благодаря этому расширению, чтобы взамен получить какие то значки над профилями.

Я, пожалуй, откажусь.


З.Ы. Я только проснулся, так что в этом посте могут быть ошибки, сорри. Данный пост ни к чему не призывает. Думайте своей головой.
member
Activity: 140
Merit: 33
1) BPIP тормозной и медленный. Информация обновляется медленно. В Loycev все быстрее и там самые актуальные логи

2) Создатель расширения BPIP - анонимус. Устанавливать непонятное расширение от анонимуса - экстрим на любителя. Да еще с такой сомнительной репутацией на форуме

3) JAVA тоже дырывая - все через Яву может утечь.

Красивые иконки в обмен на конфиденциальность. Уж увольте. Я итак знаю по памяти кто в DT, а кто не в DT

Плюс ты сачмун Ратимову не угодил. Отсутствует расширение на Opera. Сдался ему тормозной Фаерфокс или глючый Хром.
legendary
Activity: 3654
Merit: 8909
https://bpip.org
Доказано технически. Я включил сканер портов и обнаружил что расширение подозрительно куда-то передает трафик. Сервера логгируют и складывают в картотеку ваши метаданные. Корчое всю инфу об отпечатке браузера расширение передает сразу на сервера.

Расширение подключается только к bpip.org. Вот что отправляется и получается на обычной странице со всеми включенными функциями:

Loading...
Edited 2020-11-30 to fix a broken image

Содержание POST-запроса:

Code:
{"instance_id":null,"items":["36044","64507","99165","366233","917790","2033515","2664833"]}

(номера пользователей для получения информации о статусе/DT).

Заголовки запроса - такие же, как если бы вы посетили bpip.org, стандартный запрос «fetch» из браузера, с «origin» указывающим на расширение:

Loading...
Edited 2020-11-30 to fix a broken image

Если вы не используете дополнительные функции, ничего не отправляется и не принимается, и расширение показывает только значок «(i)» со ссылкой на BPIP.
member
Activity: 140
Merit: 33
Где найти это расширение?

Firefox и его деривативы, такие как Tor Browser, включая десктопные и Android версии: https://addons.mozilla.org/en-US/firefox/addon/bpip-extension/

Chrome и его деривативы/совместимые браузеры: https://chrome.google.com/webstore/detail/ecpfdlfjiabpdnlhmkmannofnmpdakkj
Ссылки на bitcointalk вместо информации об авторе расширения достовляют. Расширение от анонимуса

Доказано технически. Я включил сканер портов и обнаружил что расширение подозрительно куда-то передает трафик. Сервера логгируют и складывают в картотеку ваши метаданные. Короче всю инфу об отпечатке браузера расширение передает сразу на сервера.
legendary
Activity: 3654
Merit: 8909
https://bpip.org
Где гарантий что он и в будущем не будет обфусцирован?

Google и Mozilla не позволяют обфусцированного кода в расширениях.

Загрузка чего бы то ни было в свой браузер, а не только этого расширения - строго на свой страх и риск. Если есть основания беспокоиться о приватности, то подобные расширения можно использовать в отдельном браузере с залогиненным альт аккаунтом. И комбинировать с расширением вроде ZenMate.

Альт аккаунт не нужен. Расширение может работать без логина.

Могу но не буду?
А вдруг когда нибудь захочется?
Очень сильное искушение.

Это просто факт, так работают разрешения. Если расширение может добавить HTML на страницу, оно также может читать HTML. Но это расширение не читает ваши ЛС, и вы можете проверить это в исходном коде.

Аддон, загруженный с сайта хрома или лисы, будет автоматически обновляться на новые версии. Это не очень хорошо для безопасности приватных данных конечно.

В Мозиле это можно отключить. Про Chrome не знаю.

Но мой браузер сказал что это ошибка  Grin

Если вы используете Chrome, не обращайте внимания на эту ошибку. Это настройка для Firefox.
hero member
Activity: 1232
Merit: 858
1. Обращение к сайту BPIP идет тут https://github.com/3s3s/bpip/blob/master/js/background.js#L116
Без этого обращения ничего работать не будет, расширение будет бесполезно.
2. Чтобы расширение не обновлялось, его надо упаковать и подписать на сайте мозиллы/хрома с опцией "буду распространять на собственном сайте".
Для мозиллы страница регистрации тут https://addons.mozilla.org/en-US/developers/
Для хрома тут https://chrome.google.com/webstore/developer/dashboard

Но я думаю, что если автора попросить, то он сам переподпишет и выложит куда-нибудь локальную версию своего расширения.

Но в любом случае будет риск, что изначально в расширение встроена функция отправки того что вы набираете в полях ввода. Ведь не обязательно включать это только после установки при обновлении.
sr. member
Activity: 1932
Merit: 349
1. Обращение к сайту BPIP идет тут https://github.com/3s3s/bpip/blob/master/js/background.js#L116
Без этого обращения ничего работать не будет, расширение будет бесполезно.
2. Чтобы расширение не обновлялось, его надо упаковать и подписать на сайте мозиллы/хрома с опцией "буду распространять на собственном сайте".
Для мозиллы страница регистрации тут https://addons.mozilla.org/en-US/developers/
Для хрома тут https://chrome.google.com/webstore/developer/dashboard

Но я думаю, что если автора попросить, то он сам переподпишет и выложит куда-нибудь локальную версию своего расширения.

а если я скачал с гитхаба и установил распакованное то как оно будет обновляться?
в манифесте есть  
Code:
  "browser_specific_settings": {
        "gecko": {
            "id": "{87c4d097-3748-4fea-b234-29aff57a5843}",
            "strict_min_version": "57.0"
        }
Но мой браузер сказал что это ошибка  Grin


Всё короче упирается в обращение к сайту BPIP и недоверию у некоторых к нему...
Что туда отправляется всегда можно посмотреть в коде... и даже поправить если есть желание.

Cачмуну - ноль доверия.
Свое очко открывать всем в обмен на красивые значки - такое себе дело

Надо будет - в Лойсе посмотрю кто там в DT, а кто не в DT. Лойс чаще обновляется - а значит и данные там более актуальные. А bpipe устаревшие данные довольно долго висят. Там я видел одного чела давно из DT выперли, а он в Bpipe отображался что он до сих пор в DT

SUCHMOON - СКАМ. СБОР ДАННЫХ НЕ ПРОЙДЕТ

Чего ты истиришь как вРотимов? Он тебя укусил?
А тут смотри лосев сам мерит даёт в этой теме  Shocked https://bitcointalksearch.org/topic/m.53827039
Pages:
Jump to: