Редактор «Гиктаймс»
794,3
рейтинг
26 сентября 2011 в 13:14

Куки Facebook действуют даже после выхода с сайта

Среди последних нововведений на Facebook — публикация статуса в социальной сети о посещённых страницах, даже если пользователь не нажимал кнопку Like. Таким образом, информация о его действиях может становиться публичной без его ведома и, возможно, без его желания. Некоторых известных людей пугает такая возможность, так что они рекомендуют разлогиниваться с Facebook, прежде чем посещать другие сайты.

Но оказывается, проблема гораздо глубже. Дело в том, что некоторые куки Facebook живут даже после выхода с сайта, так что Facebook может следить за действиями пользователя и обновлять его статусы.

Специалист по безопасности Ник Кубрилович (Nik Cubrilovic) показывает, какие куки устанавливаются при авторизации на сайте facebook.com.

Cookie:
datr=tdnZTOt21HOTpRkRzS-6tjKP;
lu=ggIZeheqTLbjoZ5Wgg;
openid_p=101045999;
c_user=500011111;
sct=1316000000;
xs=2%3A99105e8977f92ec58696cf73dd4a32f7;
act=1311234574586%2F0


И какие удаляются при разлогинивании.

Set-Cookie:
_e_fUJO_0=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly
c_user=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly
fl=1; path=/; domain=.facebook.com; httponly
L=2; path=/; domain=.facebook.com; httponly
locale=en_US; expires=Sun, 02-Oct-2011 07:52:33 GMT; path=/; domain=.facebook.com
lu=ggIZeheqTLbjoZ5Wgg; expires=Tue, 24-Sep-2013 07:52:33 GMT; path=/; domain=.facebook.com; httponly
s=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly
sct=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly
W=1316000000; path=/; domain=.facebook.com
xs=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly


Как можно видеть, удаляются не все куки, которые были установлены, а некоторым кукам (locale и lu) просто присваивается новый expiry date, плюс при выходе с сайта устанавливаются ещё три новых куки (W, fl, L).

В результате, даже после разлогинивания на сайте Facebook куки отправляют информацию, в том числе идентификационные данные. Вот пример запроса как logged out user.

Cookie:
datr=tdnZTOt21HOTpRkRzS-6tjKP;
openid_p=101045999;
act=1311234574586%2F0;
L=2;
locale=en_US;
lu=ggIZeheqTLbjoZ5Wgg;
lsd=IkRq1;
reg_fb_gate=http%3A%2F%2Fwww.facebook.com%2Findex.php%3Flh%3Dbf0ed2e54fbcad0baaaaa32f88152%26eu%3DJhvyCGewZ3n_VN7xw1BvUw;
reg_fb_ref=http%3A%2F%2Fwww.facebook.com%2Findex.php%3Flh%3Dbf0ed2e54fbcad0b1aaaaa152%26eu%3DJhvyCGewZ3n_VN7xw1BvUw


То есть в любое время, когда пользователь посещает страницу с кнопкой Like или любой другой кнопкой Facebook — информация об этом поступает в Facebook.

Таким образом, надёжный способ избежать «слежки» — полностью удалить куки facebook.com и больше не заходить на сайт, как вариант — настроить соответствующие фильтры в AdBlock или аналогичных программах.
Анатолий Ализар @alizar
карма
682,6
рейтинг 794,3
Редактор «Гиктаймс»
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (12)

  • +27
    Ничего страшного, пусть все мои друзья знают, какое порно я предпочитаю.
    • +13
      а гугловский "+1" еще и советовать потом будет что посмотреть.
  • +2
    Можно попробовать наваять userscript с кнопкой выхода с любого сайта. При запуске будет тупо тереть все куки, которые сайт поставил. Универсальный logout.
    • +1
    • +1
      Можно обойти:)
      Например есть сайт aaa.com и у них же есть bbb.com, сайт aaa.com выполняет редирект на bbb.com, bbb.com аутентифицирует вас по своим кукам, редиректит обратно на aaa.com с каким-то хешем, по которому можно будет аутентифицироваться на aaa.com, таким образом очистка всех кук на aaa.com не приведет к разлогиниванию.
      • 0
        Забыл:
        Так по-моему на vkontakte.ru и vk.com делается
      • 0
        И хэш надо где-то передать. Ну допустим это будет POST запрос, основной сайт посмотрит на хэш (а лучше там обратимое шифрование применять) и поймет, что это тот самый пользователь. И дальше видимо надо опять же ставить куки :). И потом уже по ним проверять.
        Да и не редиректить же каждого у кого не стоят куки через тот домен?
        В общем думаю извернуться можно, но для большинства случаев — хватит просто прибивать все куки от основного сайта.
        • 0
          Да, способ, конечно, извращенный, но на практике применяется, и действительно для 99.9% случаев достаточно очистки кук.
  • 0
    Ответ один — disconnect.me/
  • 0
    такие статьи всё больше и больше пугают людей, а каков реальный выход остаться «не прослушиваемым» в большой паутине? пароноидальное трение кук при выходе с каждого сайта не выход?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.