Pytanie:
Czy przycisk „Akceptuj plik cookie” w witrynie może być złośliwy?
0_o
2018-10-16 17:02:13 UTC
view on stackexchange narkive permalink

Nie pamiętam, kiedy ten przycisk „zaakceptuj / anuluj plik cookie” zaczął być używany w witrynach internetowych. Dlaczego nalegają, aby użytkownicy kliknęli ten przycisk?

Czy może to zaszkodzić komputerowi użytkownika lub zebrać jakiekolwiek prywatne i wrażliwe dane? Ich powodem jest głównie „Lepsze przeglądanie witryny”.

Czy można to wykorzystać jako sztuczkę do ewentualnego włamania? Również moja wiedza na temat plików cookie i hakowania witryn internetowych nie jest wystarczająca.

Dokładnie tak samo, jak każdy inny przycisk, jak przycisk „Zaloguj się” lub „Zobacz zdjęcia kotów”.
@immibis Nie sądzę.Na przykład.czy kliknąłbyś przycisk „Zaloguj się” w witrynie, której nie ufasz?
Dokładnie tak samo, jak każdy inny przycisk, ** ale z wyjątkową właściwością, że jest o wiele bardziej prawdopodobne, że zostanie kliknięty przez użytkownika bez dalszej refleksji **.
Możliwy duplikat [Czy formularze zgody na pliki cookie w UE są bezpieczne?] (Https://security.stackexchange.com/questions/192943/are-eu-cookie-consent-forms-safe)
RODO zostało wdrożone 25 maja 2018 r., A więc prawie dokładnie wtedy, gdy zaczęło się powiadamianie o plikach cookie / wyrażanie zgody.
@caw Nie wiem jak Ty, ale klikam linki bez większego namysłu przez cały czas.
@immibis Pod tym względem możemy być inni.Jednak te powiadomienia o plikach cookie nauczyły Cię klikać niemal automatycznie i natychmiast, gdy na stronie znajduje się coś, co przypomina takie powiadomienie.Co mogło spowodować takie kliknięcie, że samo odwiedzenie tej strony nie mogło?Cóż, głównie przechodzenie na pełny ekran i otwieranie wyskakujących okienek.To prawda, że ryzyko i wpływ nie są zbyt duże, a po prostu kliknięcie takiego przycisku nie kończy gry.To byłaby poważna luka w przeglądarkach.
Zadając to pytanie brakuje Ci kluczowego pomysłu na bezpieczeństwo.Każda możliwa luka - _ zostanie_ wykorzystana.Jeśli witryna może zaprojektować przycisk, w którym kliknięcie jest podatne na atak, to jest to śmieszne.Mogli po prostu poprosić Cię o kliknięcie _dowolnego_ przycisku, aby utworzyć tę samą lukę - co mają wspólnego słowa wokół przycisku z przyciskiem?Co więcej, dowolny kod uruchamiany po kliknięciu przycisku może działać po prostu przed kliknięciem przycisku!Jeśli _ dowolna_ witryna internetowa będzie mogła pobrać Twoje dane osobowe, wówczas zostaną one _ natychmiast_ utracone.
Wszystkie przeglądarki są zaprojektowane do hermetyzowania witryn internetowych, tak aby nie zakłócały się nawzajem i nie mogły uzyskać dostępu do komputera, na którym działa.Jedyne, czego witryny mogą dotykać, to pliki w samej witrynie (w celu pobrania zdjęć, kodu itp.) Oraz publiczne pliki (pliki CSS itp.), Które mają inne witryny.Jeśli miałeś jakiekolwiek podejrzenie, że strona internetowa może zrobić więcej niż to, nie powinieneś nawet otwierać przeglądarki, aby zadać to pytanie w pierwszej kolejności - bez korzystania z jednorazowego komputera.
Z tego samego powodu, jeśli ktoś powie: „Zostałem zhakowany przez samo kliknięcie tego linku w moim e-mailu” - wtedy nie mówi prawdy lub może otrzymać ponad 10 000 $, zgłaszając błąd do Google (jest to bardzo mało prawdopodobne).Musieli w jakiś sposób wpisać swoje hasło w polu gdzieś na stronie internetowej.Klikanie nigdy nie jest niebezpieczne, tak jak pobieranie plików z Internetu nigdy nie jest niebezpieczne (i tylko ich uruchamianie jest niebezpieczne).
Użyj [UBlock Origin] (https://addons.mozilla.org/en-us/firefox/addon/ublock-origin), a będziesz mieć mniej zmartwień o śledzenie plików cookie.Ponadto ustaw przeglądarkę tak, aby usuwała pliki cookie po zamknięciu.
„Lepsze wrażenia” = „reklamy kierowane” = „próbujemy odebrać * Twoje * pieniądze”.Uważam ciasteczka za złe właśnie z tego powodu;kiedy to wszystko stało się problemem w UE, odpowiedź brzmiała, teraz musisz kliknąć ten przycisk, aby zaakceptować pliki cookie do korzystania z tej witryny.Co jeśli chcę korzystać z serwisu * bez * akceptowania plików cookie?Moja przeglądarka (Firefox) miała kiedyś opcję usuwania wszystkich plików cookie przy wyjściu, ale została ona usunięta;teraz co tydzień uruchamiam krótki skrypt, który usuwa bazę danych plików cookie.Działa jak marzenie.
@Jennifer, dziękuje za uwagę, że Firefox usunął tę opcję!
„Ich powodem jest głównie„ Dla lepszych wrażeń podczas przeglądania strony internetowej ”.„ Właściwie to dlatego, że jeśli tego nie zrobią, zostaną zablokowani przez RODO.
Pięć odpowiedzi:
A. Hersean
2018-10-16 17:22:23 UTC
view on stackexchange narkive permalink

Z technicznego punktu widzenia przeglądarki nie muszą zadawać użytkownikowi pytania, aby używać plików cookie. Ponadto nie są technicznie związani odpowiedzią udzieloną przez użytkownika.

Z prawnego punktu widzenia to inna sprawa. W Unii Europejskiej strony internetowe są obecnie zobowiązane zapytać użytkownika o zgodę przed użyciem śledzących plików cookie lub innych sposobów gromadzenia danych osobowych użytkownika. Nie muszą jednak prosić użytkownika o zgodę na stosowanie plików cookies niezbędnych do świadczenia ich usług (np. Sesyjnych). Tak więc, jeśli strony internetowe proszą o zezwolenie na pliki cookie, ma to na celu legalne zbieranie danych osobowych o użytkowniku. Te dane można uznać za prywatne lub wrażliwe, w zależności od uznania użytkowników.

Sformułowanie „Dla lepszych wrażeń podczas przeglądania” zwykle oznacza „W zlecić nam dostarczenie ukierunkowanej reklamy, która przyniesie nam więcej pieniędzy na tworzenie lepszych treści ”. lub „Abyśmy mogli zapewnić Ci ukierunkowaną reklamę, dzięki czemu będziesz mieć (teoretycznie) mniej nieistotnych reklam”.

Złośliwa witryna może nie wywiązywać się ze swoich zobowiązań prawnych. Mogli zapytać o zgodę i nie honorować odpowiedzi, albo zrezygnować z zadawania pytania w pierwszej kolejności.

Więcej informacji na temat prawa: RODO na Wikipedii

Musimy więc ufać, a jeśli nadal nie akceptujemy, mogą robić, co chcą.Przy okazji dziękuję za odpowiedź.
@AidenStewart Jeśli jest to problem, powinieneś przyjrzeć się ustawieniom bezpieczeństwa przeglądarki i dodatkom blokującym pliki cookie stron trzecich, szczególnie znane narzędzia śledzące.
„Sformułowanie„ Dla lepszych wrażeń podczas przeglądania ”zwykle oznacza [lepsze reklamy]„ cóż, może to być również uzasadnione, lepsze doświadczenie.W ciasteczkach można po prostu zachować różne małe rzeczy.Na przykład, jeśli wejdziesz na stronę pogodową i wprowadzisz swoje lokalizacje, można je zapisać, a następnie pobrać z pliku cookie, więc nawet jeśli nie masz konta, Twoje najczęstsze lokalizacje zostaną zachowane.Inne ustawienia i dane mogą również zostać zachowane, aby użytkownik wykonywał mniej pracy, dzięki czemu uzyskują lepsze wrażenia.To prawda, że często jest używany do celów reklamowych, ale nie jest to jedyne zastosowanie w przypadku plików cookie.
@vlaz Dlatego używam słowa „zwykle”, co oznacza „przez większość czasu”.Oznacza to, że czasami pliki cookie są używane do innych celów.Mógłbym rozszerzyć swoją odpowiedź, jeśli uważasz, że byłby to wartościowy dodatek.
Zwróć uwagę, że pytania dotyczące plików cookie zaczęły się od Dyrektywy UE z maja 2011 r., A nie od RODO, czyli od maja 2018 r. Pierwsza dotyczy plików cookie, druga dotyczy wszystkich danych (np. Przekazywania informacji o Twoim zakupie stronie trzeciej, która będziezbudować profil o Tobie ... nawet jeśli pliki cookie nie są używane).
@ Ángel Masz rację.Jednak, o ile wiem, zgodność z RODO oznacza zgodność z poprzednią dyrektywą UE w sprawie plików cookie (i innymi przepisami krajowymi).Zatem prawem, na które należy zwrócić uwagę nowicjusza w tej kwestii, jest RODO.
@A.Hersean Chciałem tylko to wyjaśnić.Poza tym fragmentem na końcu podoba mi się twoja odpowiedź i poparłem ją.
@ Ángel O ile nie wystąpiło pewne opóźnienie we wdrażaniu dyrektywy z maja 2011 r. (Osobiście nie znam jej, więc nie mogę mówić o jej treści), podejrzewam, że miała ona znacznie bardziej ograniczony zakres.Podczas gdy wiele stron internetowych wspomniało o plikach cookie w stopkach lub regulaminie świadczenia usług w latach 2011-2018, na pewno nie obserwowałem nieprzyjemnych banerów z prośbą o zgodę, o których mowa w tym pytaniu przed wdrożeniem RODO.
@vlaz Myślę, że nie masz racji, ponieważ nie potrzebują pozwolenia, jeśli potrzebują pliku cookie, aby zapewnić Ci usługę.O ile wiem, prawo jest tak sformułowane, że nie potrzebują pozwolenia na wszystko, co w rzeczywistości leży w interesie użytkownika.Jeśli proszą o pozwolenie, automatycznie oznacza to, że chcą robić rzeczy, na które sąd niekoniecznie by się zgodził, a jest to wymagane w celu poprawy komfortu użytkowania (co jest częścią usługi).
Wymagania dotyczące plików cookie pochodzą z przepisów dotyczących prywatności i komunikacji elektronicznej (PECR), a nie z RODO.PECR został zaktualizowany po wejściu w życie RODO, ale jest oddzielny.https://en.wikipedia.org/wiki/Privacy_and_Electronic_Communications_Directive_2002
@ Ángel Dyrektywa z 2011 roku nie dotyczy tylko plików cookie.Dotyczy ** dowolnej ** formy śledzenia, a nie tylko rozwiązań opartych na plikach cookie.Cytując z [europa.eu] (http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_2) jest napisane: * musisz zapytać użytkowników, czy zgadzają się na większość plików cookie ** i podobnych technologii** (np. sygnalizatory WWW, pliki cookie Flash itp.), zanim witryna zacznie ich używać. *
@IllusiveBrian przybił to![NoScript] (https://noscript.net) ** wtyczka do przeglądarki Firefox **, a także [Adblock Plus] (https://adblockplus.org) to najlepsze rozwiązania, kropka.Czasami trzeba „uczyć” NoScript, aby zezwolił na JavaScript na niektórych stronach internetowych (zwłaszcza na początku);ale to jeden z powodów, dla których jest to tak doskonałe rozwiązanie zabezpieczające.
Chociaż technicznie wymóg może pochodzić z 2011 r., Wydaje się, że RODO podniosło świadomość większości firm na temat ich wymagań z powodu ich nakładania się.Dlatego wszystkie te podpowiedzi zaczęły się właśnie w tym roku.
Dodam tylko, że „Dla lepszej jakości przeglądania” może również odnosić się do włączenia niektórych funkcji aplikacji.Na przykład sklep może użyć Twojej (przybliżonej) bieżącej lokalizacji, aby pokazać, czy produkt, którego szukasz, jest dostępny w Twoim lokalnym sklepie stacjonarnym.To nie tylko reklamy.
Myślę, że prawdziwy problem polega na tym, że użytkownicy automatycznie klikają przyciski potwierdzenia w dowolnej witrynie, na którą trafiają, ponieważ przycisk znajduje się praktycznie w każdej witrynie, a kliknięcie stało się naturalnym i oczekiwanym zachowaniem.
Dmitry Grigoryev
2018-10-16 18:52:30 UTC
view on stackexchange narkive permalink

Złośliwa witryna może wyrządzić Ci krzywdę bez konieczności klikania czegokolwiek. Jednak fakt, że użytkownik kliknął element strony, upraszcza zadanie: na przykład większość przeglądarek automatycznie blokowałaby niechciane wyskakujące okienka (które mogą np. Nakłaniać użytkowników do zainstalowania złośliwego oprogramowania), ale zezwalają na wyskakujące okienko w odpowiedzi na kliknięcie.

I tak, moim zdaniem, standardowy przycisk, który użytkownicy są uczeni klikać w kółko bez namysłu, zwiększa ryzyko.

`` I tak, moim zdaniem, standardowy przycisk, który użytkownicy są uczeni klikać w kółko bez namysłu, zwiększa ryzyko. '' Podobnie jak program antywirusowy oznaczający wiele fałszywych alarmów, które użytkownik jest zmuszony ignorować lub, powiedzmy,, UAC wciąż Cię wkurza z powodu podwyższonych uprawnień, więc użytkownicy po prostu przyznają je wszystkim.
Dlatego nie klikam przycisku * albo *, chyba że ufam witrynie.
Któregoś dnia natknąłem się na stronę internetową, na której był przycisk włączający powiadomienia push w formacie, którego można oczekiwać, aby znaleźć przycisk zgody na pliki cookie.Oczywiście, że to kliknąłem.Kondycjonowanie działa.
@Will To jednak nie włączałoby powiadomień push.Pytają w swoim własnym formacie, więc mogą pytać wielokrotnie.Jeśli pokazali prawdziwe okno dialogowe (wyświetlane przez przeglądarkę, witryna nie może go edytować), nie mogli ponownie poprosić o pozwolenie, jeśli je odrzucisz.Dlatego kliknięcie przycisku „fałszywy” powinno po prostu pokazać okno dialogowe przeglądarki z pytaniem o pozwolenie.
schroeder
2018-10-16 17:18:41 UTC
view on stackexchange narkive permalink

W związku z niedawnymi przepisami dotyczącymi prywatności danych witryny internetowe proszą użytkowników o wyraźną zgodę na gromadzenie ich informacji z plików cookie.

Pliki cookie nie szkodzą komputerom. Możliwe, że dane zebrane z plików cookie mogą być wykorzystywane w sposób, w jaki użytkownicy nie lubią (przychodzi na myśl Cambridge Analytica). Osoby zainteresowane bardziej prywatnym i anonimowym przeglądaniem chciałyby odrzucić pliki cookie (ale i tak robią to za pomocą wtyczek do przeglądarek).

Czy złośliwa witryna może używać przycisku w witrynie, aby robić złośliwe rzeczy ? Tak. Dotyczy to jednak każdego linku w dowolnej witrynie, więc ten przycisk nie zwiększa ryzyka.

Jeśli więc codziennie przeglądamy setki witryn internetowych, jak możemy być pewni, że nasze pliki cookie są bezpieczne?Ponieważ w zasadzie dajemy im dostęp do naszych informacji.
Nie przechowujesz plików cookie w bezpiecznym miejscu.Zezwalasz na ich użycie lub nie.Pliki cookie służą witrynom do przechowywania danych w przeglądarce internetowej użytkownika w sposób, który będzie trwać po ponownym uruchomieniu i na stronach internetowych, które korzystają z tych samych usług śledzenia (takich jak dostawca reklam lub przyciski „Lubię to” na Facebooku).
Po prostu rozwinąć się dalej, gdyby ktoś chciał złośliwie korzystać z plików cookie.Mogą to zrobić za pomocą javascript podczas ładowania strony lub nawet początkowej odpowiedzi http, którą otrzymujesz z ich serwera, zanim cokolwiek zostanie załadowane w przeglądarce.Nie ma potrzeby, aby użytkownik cokolwiek klikał.
@AidenStewart Plik cookie może być dostępny tylko z tej samej domeny / strony internetowej, więc nie musisz nic robić, aby „zapewnić im bezpieczeństwo”.Evil.com nie może pobrać Twojego pliku cookie z witryny Example.com
„Ale dotyczy to każdego linku w dowolnej witrynie” nie, nie jest.kliknięcie dowolnego innego łącza jest opcjonalne, ponieważ kliknąłbym go tylko wtedy, gdy obiecuje coś, co mnie interesuje, to znaczy, jeśli chcę zaangażować się w rzeczywistą witrynę internetową, po tym, jak przekonam się, że jest to strona, której mogę zaufać(ponieważ oferuje coś, co mnie interesuje).pytanie o plik cookie pojawia się „przed” rozpoczęciem interakcji z treścią, często zasłaniając część witryny, a czasem nawet ją blokując.co oznacza, że muszę go nacisnąć, zanim będę miał szansę spojrzeć na rzeczywistą witrynę i zdecydować, czy chcę jej zaufać.
@eMBee to też nie jest uniwersalna prawda.Wiele witryn działa bez klikania przycisku cookie, a złośliwe witryny mogą tworzyć klikalne obszary bez widocznego łącza lub przycisku
a ponieważ każda inna witryna ma teraz taką podpowiedź, nabieram nawyku naciskania tego przycisku bez większego zastanowienia, tylko po to, aby zniknąć pytanie.w przypadku jakiegokolwiek innego łącza ten zwyczaj nie ma zastosowania, a każdy taki związek byłby rozpatrywany po dokładniejszej analizie.
@eMBee klikanie linków bez zastanowienia jest konsekwentnym ryzykiem, które nie zmienia się w tym scenariuszu, niezależnie od nowych celów
witryny mogą tworzyć klikalne obszary, ale nie zamierzam ich klikać, chyba że mam do tego bardzo dobry powód.ale normalnie nie.przycisk cookie dodaje obszar, który teraz klikam domyślnie bez zastanowienia.żadne inne kliknięcie w jakiejkolwiek witrynie nie jest takie.
allo
2018-10-18 14:20:16 UTC
view on stackexchange narkive permalink

Tak, ale nie bardziej niż jakikolwiek inny przycisk lub link.

Głównym problemem jest przechwytywanie kliknięć. Ktoś, kto dokładnie wie, gdzie klikniesz, może spróbować przesunąć inny cel kliknięcia na tę pozycję w momencie klikania, więc możesz na przykład kliknąć „usuń moje konto” w innej witrynie otwartej w ramce iframe.

Ponadto kliknięcia czasami odblokowują więcej uprawnień, np wszystkie nowoczesne przeglądarki nie zezwalają na wyskakujące okienka, z wyjątkiem tego, że kliknąłeś coś, aby otworzyć wyskakujące okienko. Czasami witryny prowadzą do kliknięcia czegoś, aby otworzyć nowe okienko / kartę.

Oczywiście dotyczy to każdego przycisku w witrynie, więc przycisk „akceptuj plik cookie” nie jest gorszy niż przycisk „kliknij tutaj, aby wejść do witryny internetowej”.

Goufalite
2018-10-17 11:40:33 UTC
view on stackexchange narkive permalink

Szkodliwe jak co? Uzurpacja tożsamości?

Jakiś czas temu na Facebooku osie czasu kilku znajomych pokazywały sugestywne linki do filmów z fałszywą miniaturą youtube. Po kliknięciu pojawiło się wyskakujące okienko z pytaniem, czy użytkownik jest człowiekiem, klikając pojedynczy przycisk .

Kliknięcie przycisku po cichu polubił lub udostępnił treść w Facebook (ponieważ wciąż byłeś zalogowany), który opublikował to na Twojej osi czasu.

Jak inni mówią: możesz ukryć wszystko za każdym linkiem, a jedyną rzeczą, która pozwala Ci kliknąć, jest zaufanie.

  • Kiedy dotrzesz do tego rodzaju witryny, sprawdź reklamy (reklamy osadzone wszędzie lub eksplodujący licznik bloków reklam). Jeśli jest ich zbyt wiele, zostaw”.
  • Szybko wyszukaj w Google informacje podane w tytule linku zamiast go klikać. Możesz znaleźć bezpieczniejszy film z YouTube.
  • Naprawdę chcesz to zobaczyć? Kliknij prawym przyciskiem myszy i otwórz w prywatnym oknie.
  • Naucz się wykrywać przynętę na kliknięcia i powiedz znajomym, aby nie wpadli w tę pułapkę.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...