Как стать автором
Обновить

Куки Facebook действуют даже после выхода с сайта

Время на прочтение 2 мин
Количество просмотров 6.9K
Среди последних нововведений на Facebook — публикация статуса в социальной сети о посещённых страницах, даже если пользователь не нажимал кнопку Like. Таким образом, информация о его действиях может становиться публичной без его ведома и, возможно, без его желания. Некоторых известных людей пугает такая возможность, так что они рекомендуют разлогиниваться с Facebook, прежде чем посещать другие сайты.

Но оказывается, проблема гораздо глубже. Дело в том, что некоторые куки Facebook живут даже после выхода с сайта, так что Facebook может следить за действиями пользователя и обновлять его статусы.

Специалист по безопасности Ник Кубрилович (Nik Cubrilovic) показывает, какие куки устанавливаются при авторизации на сайте facebook.com.

Cookie:
datr=tdnZTOt21HOTpRkRzS-6tjKP;
lu=ggIZeheqTLbjoZ5Wgg;
openid_p=101045999;
c_user=500011111;
sct=1316000000;
xs=2%3A99105e8977f92ec58696cf73dd4a32f7;
act=1311234574586%2F0


И какие удаляются при разлогинивании.

Set-Cookie:
_e_fUJO_0=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly
c_user=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly
fl=1; path=/; domain=.facebook.com; httponly
L=2; path=/; domain=.facebook.com; httponly
locale=en_US; expires=Sun, 02-Oct-2011 07:52:33 GMT; path=/; domain=.facebook.com
lu=ggIZeheqTLbjoZ5Wgg; expires=Tue, 24-Sep-2013 07:52:33 GMT; path=/; domain=.facebook.com; httponly
s=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly
sct=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly
W=1316000000; path=/; domain=.facebook.com
xs=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly


Как можно видеть, удаляются не все куки, которые были установлены, а некоторым кукам (locale и lu) просто присваивается новый expiry date, плюс при выходе с сайта устанавливаются ещё три новых куки (W, fl, L).

В результате, даже после разлогинивания на сайте Facebook куки отправляют информацию, в том числе идентификационные данные. Вот пример запроса как logged out user.

Cookie:
datr=tdnZTOt21HOTpRkRzS-6tjKP;
openid_p=101045999;
act=1311234574586%2F0;
L=2;
locale=en_US;
lu=ggIZeheqTLbjoZ5Wgg;
lsd=IkRq1;
reg_fb_gate=http%3A%2F%2Fwww.facebook.com%2Findex.php%3Flh%3Dbf0ed2e54fbcad0baaaaa32f88152%26eu%3DJhvyCGewZ3n_VN7xw1BvUw;
reg_fb_ref=http%3A%2F%2Fwww.facebook.com%2Findex.php%3Flh%3Dbf0ed2e54fbcad0b1aaaaa152%26eu%3DJhvyCGewZ3n_VN7xw1BvUw


То есть в любое время, когда пользователь посещает страницу с кнопкой Like или любой другой кнопкой Facebook — информация об этом поступает в Facebook.

Таким образом, надёжный способ избежать «слежки» — полностью удалить куки facebook.com и больше не заходить на сайт, как вариант — настроить соответствующие фильтры в AdBlock или аналогичных программах.
Теги:
Хабы:
+1
Комментарии 12
Комментарии Комментарии 12

Публикации

Истории

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн