CPPA: CypherPunk, Privacidad y Anonimato

Server: irc.autistici.org
Canal: #cppa
Puerto: 6667
Puerto SSL (opcional): 9999
Certificado SSL (opcional): http://autistici.org/en/ca
Hidden service: wi7qkxyrdpu5cmvr.onion
Webchat: http://irc.lc/autistici/cppa/cppa_@@@

Eriol

mas claro el agua, mediavida qiere sacar aun mas pasta todavia con nosotros

Krakken

Y contra este supuesto espionaje sirve de algo el privacy badger?

1 respuesta
Pr177781

#1232 en teoría debería detectarlo automaticamente, pero hay que tener en cuenta que Privacy Badger está todavía muy verde y puede no pillar muchas cosas. Si notas la redirección aún teniendo Privacy Badger o quieres asegurarte al "100%", puedes meter los dominios atacantes en las listas negras de uBlock y/o NoScript.

Pero esto no debería ser opt-out, si no opt-in. El 99,9% de la gente no sabe lo que está pasando (me incluyo hasta hace unos días) y, aunque lo supieran, no sabrían cómo combatirlo.

Espero que media-vida esté sacando beneficios decentes de todo esto porque si no, están vendiendo su dignidad demasiado barata.

¿Tanto cuesta hacer un script como el de Digidip pero que no envíe información a terceros? ¿No sería más rentable eliminar intermediarios? ¿No sería más eficiente modificar los links una sola vez cuando se postean en vez de tener que cargar el script cada vez que se carga la página?

Tanto desde el punto de vista ético como el comercial y el técnico, Digidip es una de las peores elecciones que se pueden hacer. Tarde o temprano les va a explotar en la cara y, cuando ya sea demasiado tarde, se preguntarán qué ha podido salir mal y por qué nadie les avisó.

Por lo pronto los servidores donde está alojada la página de Digidip, que pertenecen a Hetzner Online, ya fueron hackeados en 2013 comprometiendo la información privada y confidencial de todos sus clientes. Y, por si fuera poco, censuraron un medio de comunicación por informar sobre manifestaciones y un blog de un activista anti-spam (valla, no me lo experava).

https://en.wikipedia.org/wiki/Hetzner#Incidents

Pero merece la pena vender tu alma a cambio de unos centimillos, ¿verdad, admins?

#1228, #1226, #1225, no huyáis, cobardes.

1 1 respuesta
sacnoth

#1233 Ninguno de ellos (ni yo, si sirve de algo) nos llevamos nada. Si hay problemas con Digidip coméntalo en el subforo de Mediavida y a ver qué decisión toman.

1 respuesta
Pr177781

#1234 entonces no venden nuestra información, la regalan. Me quedo mucho más tranquilo xD

Ya sé que los moderadores no se llevan nada, por eso he puesto "admins". Pero es que la excusa de que todo se invierte en la página es absurda. Con un script bastante sencillito se pueden modificar los enlaces para incluir la información de afiliado, no hace falta Digidip para nada, y seguro que sacarían más beneficios al eliminar uno de los intermediarios.

"El problema es con digidip? hace algo más de un mes que cambiamos de servicio (antes usabamos skimlinks) y hasta ahora nadie se había quejado"

http://www.mediavida.com/foro/mediavida/redireccion-desde-mediavida-otra-pagina-532257#5

Y mientras tanto, media-vida sigue sin SSL. Y el colmo es que la redirección de Digidip también se hace sin cifrado, tócate los cojones.

Están dejando muy claro cuáles son sus prioridades.

cabron

Macho al final me obligas a perder el tiempo respondiéndote (considero que es perder el tiempo discutir con una persona que no tiene ni puta idea de lo que habla, pero que insiste en dárselas de entendido, y no para de decir gilipolleces) por que confundes a la gente con las tonterías que dices.

Te lo voy a poner más claro. Esto es lo que se envía a digidip para hacer la redirección:


GET /visit?url=https%3A%2F%2Fsupport.wuala.com%2Frelease-notes%2F&ppref=http%3A%2F%2Fwww.mediavida.com%2Fforo%2Foff-topic HTTP/1.1
Host: mediavida.digidip.net
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.90 Safari/537.36
Referer: http://www.mediavida.com/foro/off-topic/cppa-cypherpunk-privacidad-anonimato-504993/41
Accept-Encoding: gzip, deflate, sdch
Accept-Language: es-ES,es;q=0.8

Ya está, no se envía absolutamente nada más, ni javascript, ni canvas oculto, ni tracking cookies, ni id único, ni pollas, solo eso, y no hay absolutamente nada que te pueda identificar de forma única cuando se hace la redirección a digidip.

El resto son pajas mentales de una persona que no tiene ni puta idea de lo que habla y mezcla cosas que va leyendo por ahí sin ser capaz de juntarlas con coherencia (como hace siempre y como ha hecho en otras discusiones) y que cuando le enseñas su error va cambiando de tema, o dice no si yo lo que quería decir era otra cosa distinta.

Haznos un favor a todos y deja de confundir a la gente lanzándoles advertencias sobre temas de los que no tienes ni idea.

2 1 respuesta
HeXaN

RPV: el grado de informática son sólo cuatro años. Go for it.

1 respuesta
Pr177781

#1236 he puesto el enlace al Javascript de Digidip en el otro post, todavía estoy esperando a que me digas qué hace exactamente y si me puedes garantizar que siempre va a ser el mismo. La petición que has puesto contiene exactamente lo que dije que se compartía con Digidip, estás confirmando lo que dije. La ID única está ahí, no me la he inventado, busca mejor.

X-digidip-subid:"080075t3bav"

Que uses un tono arrogante y prepotente no te da la razón.

1 respuesta
cabron

#1238

El tono te lo buscas tú por insistir en querer tener razón en algo que no tienes ni idea, aquí nadie sabe todo, y cuando alguien no sabe algo o pregunta, o acepta que le corrijan, y tu no haces ni lo uno ni lo otro, insistes en que tienes razón y no haces nada más que comentar gilipolleces.

Un servidor, el que sea, digidip o el todopoderoso google, solo puede procesar los datos que le lleguen en la petición http, no sé que palabra no entiendes de esa puta frase por que es algo muy sencillo. Te lo voy a poner en negrita y mayúsculas a ver si así lo pillas:

UN SERVIDOR SOLO PUEDE PROCESAR AQUELLOS DATOS QUE LE LLEGUEN EN LA PETICIÓN HTTP

¿hay algún id que te identifique de forma única en la petición http? NO

Pues ya está, pero como no tienes ni idea, empiezas a meterte en que si el código javascript, y encima tienes pelotas a decir que lo que he posteado te da la razón.

2 1 respuesta
Pr177781

#1239 una pista, el ID único está en la respuesta del servidor, no en la petición ;)

¿Para qué sirve? Dímelo tú.

cabron

Vamos a pinchar en el mismo enlace varias veces y a ver que respuesta se recibe:


HTTP/1.1 302 Moved Temporarily
Date: Sun, 26 Apr 2015 11:31:57 GMT
Server: Apache
X-digidip-program: 0
X-digidip-subid: 060075t48gu
Location: https://support.wuala.com/release-notes/
Content-Length: 0
Content-Type: text/html; charset=UTF-8
X-Pad: avoid browser bug
Connection: keep-alive


HTTP/1.1 302 Moved Temporarily
Date: Sun, 26 Apr 2015 11:32:29 GMT
Server: Apache
X-digidip-program: 0
X-digidip-subid: 030075uj8d4
Location: https://support.wuala.com/release-notes/
Content-Length: 0
Content-Type: text/html; charset=UTF-8
X-Pad: avoid browser bug
Connection: keep-alive


HTTP/1.1 302 Moved Temporarily
Date: Sun, 26 Apr 2015 11:33:48 GMT
Server: Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/1.0.0-fips DAV/2
X-digidip-program: 0
X-digidip-subid: 040075u7h1d
Location: https://support.wuala.com/release-notes/
Content-Length: 0
Content-Type: text/html; charset=UTF-8
Connection: keep-alive

En resumen, cada vez es distinto:

X-digidip-subid: 060075t48gu
X-digidip-subid: 030075uj8d4
X-digidip-subid: 040075u7h1d

Desde el mismo ordenador y el mismo navegador y la misma sesión, no veas tú que pedazo de 'ID ÚNICO' que cada vez es distinto...

Hay algo sí que te tengo que reconocer, tu capacidad para hacer el ridículo y seguir insistiendo, es admirable.

1 2 respuestas
1 comentario moderado
Pr177781

#1241 pero qué simple eres xD

¿Cuántas combinaciones pueden salir de una ID alfanumérica de 11 carácteres? Creo que se pueden permitir dar una ID única a cada click, de hecho ese es su negocio, el seguimiento de clicks.

El proceso es simple, el servidor recibe toda la información de la petición GET (click), la agrupa y la guarda asignándole esa ID única. El servidor devuelve la ID al navegador, ¿para qué? Ni idea.

Si te fijas el nombre es "subid", probablemente la ID superior agrupe todos los clicks de un mismo usuario.

Pero seguro que soy un ignorante y esto es imposible, ninguna empresa de tracking trabaja con este método. Creo que lo voy a patentar a ver si me hago rico xD

1 respuesta
cabron

#1243

El proceso es más simple todavía de lo que comentas:

Hay un unicornio mágico que tiene la capacidad de recibir todo el tráfico de Internet esté encriptado o no, y mediante un antiguo ritual Celta los admins de esta web consiguieron crear un enlace psíquico con él que les permite compartir toda tu información con empresas de publicidad y con varios espíritus judíos que venden tu información en el inframundo.

No hay forma de escapar, huid insensatos.

PD: Te explicaría que es ese tipo de campos en una petición http y para que se pueden usar, pero como eres un ignorante que en lugar de aprender distorsionas cualquier cosa para intentar argumentar tus teorías estúpidas (primero es un id único, ahora es un campo mágico que agrupa tus clicks) ni me voy a molestar, búscalo tú si te apetece.

3 respuestas
nerkaid

#1244 Déjalo por que es perder el tiempo, es como la vez 64738298464682 que failea por falta de conocimientos y siempre se va por los cerros de Úbeda antes que reconocerlo.

3
urrako

Yo no tengo ni idea pero me parece una discusión interesante por más que las formas os estén faltando a ambos. Lo único que me sobran son los comentarios sarcásticos aportando 0 al debate, pero bueno...

7
Kenji-

Lo peor de engancharse a una conversación ya iniciada, es que entiendes toda la mierda que se están diciendo y no poder meter baza a ninguno de los 2 bandos.

Pr177781

#1244 espera, que recuerdo haber visto una cabecera similar en algún sitio... ¡Ah, sí! En la mal llamada "super cookie" de Verizon y AT&T. No sabía que estas empresas tuvieran unicornios.

https://www.techdirt.com/articles/20150115/07074929705/remember-that-undeletable-super-cookie-verizon-claimed-wouldnt-be-abused-yeah-well-funny-story.shtml

También te pueden interesar estos enlaces:

https://www.networkadvertising.org/understanding-online-advertising/how-does-it-work
https://www.fastcodesign.com/3026774/infographic-of-the-day/how-internet-ads-work
https://en.wikipedia.org/wiki/Device_fingerprint
https://wiki.mozilla.org/Fingerprinting
https://panopticlick.eff.org/
https://amiunique.org/
http://noc.to/
https://www.bestvpn.com/blog/8159/browsers-fingerprint-reduce/?nabe=6600234480173056
http://www.pcworld.com/article/192648/browser_fingerprints.html

Por si acaso intentas irte por las ramas:

"Basic web browser configuration information has long been collected by web analytics services in an effort to accurately measure real human web traffic and discount various forms of click fraud. With the assistance of client-side scripting languages, collection of much more esoteric parameters is possible. Assimilation of such information into a single string comprises a device fingerprint. In 2010, EFF measured at least 18.1 bits of entropy possible from browser fingerprinting, but that was before the advancements of canvas fingerprinting, which claims to add another 5.7 bits."

Camarada

Hace tiempo que no me paso y veo 62 mensaje y hablando de MV
¿Resumen de que ha pasado?

1 respuesta
Pr177781

#1249 que los admins de media-vida han tenido la brillante idea de instalar un tracker que modifica links normales en links de afiliados, y aquí la peña dice que no pasa nada porque "son solo peticiones GET". Han llegado a decir joyitas como esta:

"Una petición http de tipo get (que es la que se produce cuando pinchas en un enlace) solo puede llevar aquellos parámetros que vayan en la url, no es posible enviar datos 'ocultos', para eso se tendría que hacer un petición post."

Pero luego soy yo el ignorante xD

Según los 3 o 4 iluminados, no pasa nada, porque el tracker solo hace una petición GET y no ejecuta ningún Javascript raro ni utiliza cookies. Pues bueno, vamos a hacer la prueba en Panopticlick con Javascript y las cookies desactivados en un navegador normal (Firefox).

"Within our dataset of several million visitors, only one in 1,055,273 browsers have the same fingerprint as yours.

Currently, we estimate that your browser has a fingerprint that conveys 20.01 bits of identifying information.
"

¿Y qué dice amiunique.org?

"Are you unique?
Yes! (You can be tracked!)

48.86 % of observed browsers are , as yours.

2.12 % of observed browsers are , as yours.

19.30 % of observed browsers run , as yours.

7.13 % of observed browsers run , as yours.

0.85 % of observed browsers have set ""as their primary language, as yours.

However, your full fingerprint is unique among the 71861 collected so far.
"

¿Y en Chromium con todo desactivado menos las imágenes?

"Within our dataset of several million visitors, only one in 405,878 browsers have the same fingerprint as yours.

Currently, we estimate that your browser has a fingerprint that conveys 18.63 bits of identifying information.
"

"Are you unique?
Almost! (You can most certainly be tracked.)
33.11 % of observed browsers are , as yours.

1.94 % of observed browsers are , as yours.

19.30 % of observed browsers run , as yours.

7.13 % of observed browsers run , as yours.

59.70 % of observed browsers have set ""as their primary language, as yours.

But only 2 browsers out of the 71864 observed browsers (0.00 %) have exactly the same fingerprint as yours.
"

Vaya, pues va a ser que Digidip sí que puede identificar a todos y cada uno de los usuarios de media-vida. Y eso sin contar el Javascript chungo que se ejecuta cada vez que cargas cualquier página de media-vida ni la cabecera X-digidip-subid, que no sabemos qué hacen.

(No faltan datos en los textos de amiunique.org, los he borrado yo)

3 1 respuesta
Camarada

#1250 Joder gracias por la explicación.

La verdad es que no sabía nada de la movida esta.

1 respuesta
User044

#1237 Que querias decir con eso?

Jok3r

Puede que el chaval no tenga conocimientos suficientes y haya metido la pata muchas veces, pero yo no valoro al usuario, valoro el mensaje, y creo que dudar de la fiabilidad del tratamiento de datos personales en cuanto a privacidad de empresas de esta naturaleza con o sin conocimientos es un acto de sentido común, y ya no por ser un conspiranoico, el historial que tienen la gran mayoría de ellas a la hora de vulnerar sistemáticamente la privacidad del usuario no cabe en vuestra casa a base de dinas A4 en forma de denuncias.

Y muchas de ellas no se descubrieron hasta pasados unos años, si no llega a ser por verdaderos especialistas que les da por investigar de forma altruista (y no tanto) con algo más que el inspector del firefox y bastantes más conocimientos y tiempo que vosotros 2 juntos.

Con esto quiero decir que hay que ser muy osado para afirmar algo categóricamente por saber un poco como funcionan los protocolos de seguridad o por saber usar un poco el inspector de firefox xDDDD.

Parece que algunos oís Https y es el santo grial de la legalidad y la opacidad, cuando es un protocolo que hace aguas desde hace ya tiempo, le hice una auditoria de seguridad (no anunciada) a mi socio y se le bajaron los humos también con el https cuando le puse su contraseña de paypal en la cara, aunque este caso poco tiene que ver con el tema que comentáis.

#1256

1 2 respuestas
Pr177781

#1251 lo jodido es que teniendo tu fingerprint y la cabecera X-digidip-subid podrían llegar a vincular compras en páginas externas con tu usuario de media-vida si has llegado a través de un enlace modificado por Digidip. Yo, personalmente, creo que ya pueden hacerlo (sin condicional).

Creo que con los datos aportados por el Panopticlick de la EFF y el análisis de amiunique.org hay suficientes pruebas que respaldan mis afirmaciones, además de todas las fuentes y referencias que he puesto en mis últimos posts ( #1248, por ejemplo), por mucho que le duela al de "con una petición GET solo pueden acceder a los parámetros de la URL, herr derp post" ( #1224) o "los fingerprints son campos mágicos que solo existen en tu imaginación, hurr durr" ( #1244).

Luego ya podemos discutir lo relacionado con la seguridad, ya que el script está alojado en los servidores de Digidip pueden modificarlo cuando les apetezca sin que el usuario se dé cuenta. Y, aparte, también está el hackeo de los servidores donde está alojado Digidip que sufrieron en 2013 y comprometió los datos privados y confidenciales de todos sus clientes. Teniendo en cuenta que además parece que no les caen muy bien los activistas anti-spam, pues la poca confianza que se pudiera tener en ellos debería desaparecer al instante.

Por si todo esto fuera poco, la redirección se hace sin ningún tipo de protección, ni siquiera SSL, abriendo así la posibilidad de un ataque MITM bastante fácil de realizar para alguien con unos conocimientos y recursos mínimos.

Pero vamos a poner fotos de tíos con sombreros de papel de aluminio y a brindar en honor de nuestra propia ignorancia, que es mucho más fácil.

#1253 dime dónde he metido la pata "muchas veces". Prácticamente todo lo que afirmo lo respaldo con fuentes y datos que lo confirman, como en este caso.

cabron

Deja de quotearme pesado, no te voy a responder más a ninguna de las imbecilidades que sueltas

1 3 respuestas
Pr177781

#1255 puedes bloquearme si te apetece, pero eso no hará que desaparezca el hecho de que soy el único que ha aportado fuentes y datos.

#1253 https no es el santo grial, pero es infinitamente mejor que el texto plano.

#1253 "Without the private key for the Lavabit SSL certificate, the agency was screwed"

http://robertheaton.com/2014/03/27/how-does-https-actually-work/

Videal

#1255

El tono te lo buscas tú por insistir en querer tener razón en algo que no tienes ni idea, aquí nadie sabe todo, y cuando alguien no sabe algo o pregunta, o acepta que le corrijan, y tu no haces ni lo uno ni lo otro, insistes en que tienes razón y no haces nada más que comentar gilipolleces.

El que no acepta que lo corrijan eres tu. Que en el GET mediavida no envíe información del usuario no quiere decir que digidip pueda estar trackeando a todos los usuarios. A ti en la respuesta te pueden enviar cualquier id random pero tu no sabes lo que hace digidip, y eso es lo preocupante. Porque aquí el no está diciendo que sea mediavida quien aplica el canvas, super-cookies, o lo que sea. Lo que dice es que digidip puede estar aplicando cualquiera de esas cosas con los usuarios de mediavida, independientemente de si es o no es la intención de mediavida.

Y bajar esos humos que parece que aquí solo valen las opiniones de algunos...

9 1 respuesta
blood10

#1257
lo mas triste de todo es que los que estan mentiendo mierda son moderadores, meten la mano al fuego sin saber de verdad como funciona el script, lo mas gracioso? es que a ninguno de ellos no le toca ni una parte del pastel.. sigue dando manitas one, es lo que te queda XD

4
Beavis

Llevábamos cosa de un mes con digidip y después de recibir bastantes quejas por su funcionamiento hemos vuelto a skimlinks, que es el servicio que usábamos anteriormente. Quien quiera hacer opt out tiene los enlaces en nuestra política de cookies http://www.mediavida.com/cookies.php

3 3 respuestas
Pr177781

#1259 no me gustan los "opt-out" pero... it's something.

¡Gracias!