Je ping atribut použitelný pro spyware?

Tak tentokrát jsem postupem Mozilla Teamu zklamán až rozladěn. Kdyby hned na začátku nebylo napsáno, že se to týká Mozilly, tak bych ihned předpokládal, že tuto funkci přidal M$ do IE.
Funkce to možná užitečná být může, nicméně se tak moc nabízí ke zneužívání, že její zavedení nepovažuji za rozumné.

ono ta moznost existuje, okrem toho to nezaviedli "potichu" - inac by sme o tom nevedeli... ;-)

1. You are talking about a feature just added to a development tree, not something in a released version of Firefox.
2. This feature can already be disabled (if you happen to be running a development version) using the 'browser.send_pings' preference.
3. They didn't "quietly enable" a feature, they did it in front of everyone interested. There are plenty of bugs in bugzilla talking about the implementation of this feature. If you are running a development version of Firefox and can't be bothered to keep up with what is going on in the development community, that's your problem.

jake se nabizi ke zneuzivani? pokud autor webu chce o prokliku informovat, tak si cestu vzdy najde a nezabranite tomu. navic v tom nevidim nic spatneho, je to ciste vec aplikace jako takove. na beznych aplikacich to tak stejne funguje, ale asi hromadne to pouzit zatim moc nepujde, nez ta funkcnost bude mit majoritni zastoupeni.

Heh... ale pokud to správně chápu, tak pingat bude váš prohlížeč nebo ne? Pokud je to implementace v prohlížeči, tak to akorát vede k možnosti vytěžovat linky a podobně.

No, mě se to moc nelíbí :( Navíc to je nějaký custom atribut, který neodpovídá xhtml ani html specifikaci. Opravdu chování jak od Microsoftu :(

PS: nijak jsem to pečlivě nezkoumal, takže jestli jsem mimo mísu, opravte mě

No, tak čtu že to navrhla whatwg a z textu jsem pochopil, že by to mělo jít vypnout... No uvidíme

Spravny chovani by bylo bejt "melo by to jit zapnout", t.j. defaultne vypnuty...

Informace "potichu zavedl do Firefoxu novou funkci" je ponekud zavadejici, me o pripravovane implementaci maily chodi uz par tydnu.

Umoznuje ping neco, co by neslo delat (a dela se) uz davno? Dotez kdyz si to dela kazdy po svem to clovek tezko selektivne vypnul. Kdyz se to zacne (nekdy) resit jednotne, mas mozmost to v prohlizeci vypnout na jednom miste. Dle me neni ping o nic vetsi murou nez zapnuty JavaScript a pokud to zprehledni kod na webu, proc ne.

Podle bugzilly vypnuti uz vyresene je jako pref("browser.send_pings", false);

Pokud to jde vypnout, tak jsem naprosto spokojen :)

no google to ma uz ted .... na hrefech ma neco jako Onclick=ping("target-url")

a nekde ve skriptu ma neco ve stylu:

function ping(x) {
var img=new Image();
img.src="http://tracking.google.com/ping?url="+x;
}

Funguje to ... prechod na cilovy web to nezpomaluje a je to pomerne spolehlive ... a vypnout to nejde (jinak nez vypnutim JS nebo pridanim par filtrovacich pravidel do proxy :o)

Chtěl bych zde uvést na pravou míru, že atribut ping není ani tak výmysl Mozilly samotné, jakož sdružení WHATWG. Dále, jak je v článku uvedeno, stejného efektu (notifikace určité URL) lze dosáhnout i jinou, dnes dostupnou, technikou a také se využívá, především v reklamě a různých hit-counter službách. Jestliže se tedy někdo snaží zpochybnit smysl tohoto atributu, poukazujíc na bezpečnost a ochranu osobních dat, zřejmě nemá o těchto možnostech tušení a měl by se nejprve v oboru vzdělat.

Ad paranoia: Znáš TOR? http://tor.eff.org/

No - po te nove vyhlasce ho snad bude pouzivat vic lidi. Mimochodem - pocet tor routeru zatim neni na bezpecny provoz dost vysoky. 'And remember that this is development code—it's not a good idea to rely on the current Tor network if you really need strong anonymity.'

O kliknutí na link z normální stránky vyhledávání se nechá Google (jo, přesně ten Google, který každý denně používáte) notifikovat zcela standardně už několik let. A nikomu to nevadí a nikdy nevadilo. Tak proč vyvolávat trapnou aféru??

Presneji receno Google to dela jen u urciteho procenta uzivatelou (statisticky vzorek). Yahoo to dela pokud vim skoro u vseho. Taky nechapu, proc to nekomu vadi, kdyz nekdo provozuje stranku, tak at si klidne uzivatele trackuje, at si treba i skenuje pohyb jejich mysi pres javascript a AJAX (ne ze by to k necemu bylo).

> Přestože už bylo dříve možno podobnou funkci napsat > v JavaScriptu, tato nová „vlastnost” umožňuje > informovat neomezené a nekontrolovatelné množství > serverů o každém kliknutí a bez prozkoumání kódu > na to uživatel nemůže přijít. Jenze v pripade pouziti Javascriptu to taky uzivatel pozna jen po prozkoumani zdrojoveho kodu. Reseni pres a href="javascript:..." je totiz jen to nejprimitivnejsi, kdyz se pouzije event attacher, tak to uzivatel nepozna.

OMG jsme zjevne ve stredoveku, takze opravuju formatovani: > Přestože už bylo dříve možno podobnou funkci napsat > v JavaScriptu, tato nová „vlastnost” umožňuje > informovat neomezené a nekontrolovatelné množství > serverů o každém kliknutí a bez prozkoumání kódu > na to uživatel nemůže přijít. Jenze v pripade pouziti Javascriptu to taky uzivatel pozna jen po prozkoumani zdrojoveho kodu. Reseni pres a href="javascript:..." je totiz jen to nejprimitivnejsi, kdyz se pouzije event attacher, tak to uzivatel nepozna.

Takze si to dame jeste jednou:

> Přestože už bylo dříve možno podobnou funkci napsat
> v JavaScriptu, tato nová „vlastnost” umožňuje
> informovat neomezené a nekontrolovatelné množství
> serverů o každém kliknutí a bez prozkoumání kódu
> na to uživatel nemůže přijít.

Jenze v pripade pouziti Javascriptu to taky uzivatel pozna jen po prozkoumani zdrojoveho kodu. Reseni pres a href="javascript:..." je totiz jen to nejprimitivnejsi, kdyz se pouzije event attacher, tak to uzivatel nepozna.

Autor stránky už dnes má možnost sledovat kam uživatel kliklnul. Nikdo jiný to nemohl dělat doteď a nebude moci dělat ani s touto vlastností. Bezpečnostní situace uživatelů se tak nijak nezmění. Celá ta debilní otázka na závěr je jen stupidní snahou vyvolat flame u podobně neznalých lidí. Vivat živěroot!

A vas prispevek ma jakou informacni hodnotu?

Ta otazka IMHO smysl ma - jak je videt z diskuse, ktera se rozvinula (a neni to flame, je to vecna diskuse).

1. Pokud si takovou funkci drtivá většina lidí nemůže vypnout, dá se na výstup jakž takž spolehnout.
2. Pokud je implicitně zapnuto a vypnutí možné, jsou výsledky zatíženy jistou mírou chyb.
3. Pokud je implicitně vypnuto (jak tu kdosi navrhoval), celá věc ztrácí smysl.

Mimochodem proč by vlastně mělo tak strašně vadit, že se např. vyhledávač chce dozvědět, které výsledky uživatele zajímají a které ne?

Dlužno ještě podotknout, že v rámci vnitřních odkazů a odkazů na spřízněné servery se podobná věc dá ralizovat (a nejspíš taky běžně používá v reklamě) na serverech a tedy zcela bez možnosti odhalení/ovlivnění uživatelem:-)