Este tipo de técnicas, como se explica en un trabajo de investigación disponible en el artículo "Request and Conquer: Exposing Cross-Origin Resource Size" y en la presentación que ha dado recientemente en OWASP AppSec EU, puede aplicarse a otras redes sociales como Twitter o Linkedin que permiten restringir contenido también en función de los parámetros de la persona que está visitando la red social. Vamos por partes para entender el robo de datos.
Comentarios
...si tienes facebook, claro.
#4 En algunos casos da igual que no lo tengas.
#7 Totalmente de acuerdo. Pero facebook es un coladero de datos. Solo pones el nombre de la persona, y ves fotos, datos... Un asco para la privacidad.
Y lo peor es que si te das de baja las fotos forman parte de Facebook. Un lujo de aplicación, vaya, donde todos cuentan lo maravillosa que es su vida, en un "Síndrome de la vida feliz".
#4 Y si tienes la edad correcta.
Voy a ser de los visitantes mas antiguos de su web con mis mas de 100 años de edad según facebook.
Eso si el noscript, o el privacy badger no bloquean la carga.
#11 Enhorabuena, con un poco de suerte pasas a Matusalén
#12 Hasta ahora la publicidad personalizada aún no me ha recomendado geriátricos o viajes del inserso.
#13 Jajajaja, tranquilo, no se hará esperar, ya verás. Dentro de poco te asaltan!!!
Yo no uso Facebook porque considero que Facebook es una herramienta de espionaje, ergo, si yo no uso Facebook no creo que una web pueda conocer mis datos de Facebook.
#3 Mediante sus "trackers" que se encuentran en casi cada página que visites,elaboran un perfil de "tus gustos,preferencias,intereses..." aunque no tengas cuenta en esa máquina de spam,vamos,que el día que te registrases,te tendrían la publicidad "adecuada para ti" preparada de antemano. (a no ser que uses un buen anti-trackers en cuyo caso olvida todo el ladrillo anterior )
#6 Yo uso el sistema operativo GNU/Linux Debian Stretch y en navegador Firefox versión beta con el about:config "tuneado" y con las cookies y el Javascript desactivado, aparte que uso la extensión NoScript.
#9 Porque eres un paranoico igual que yo. Normalmente uso un Palemoon configurado lo más parecido al estilo de mi navegador Tor. Yo sustituí NoScript por uMatrix en combinación con uBlock (este por si se cuela publicidad) No se porque,pero quiero saber que permito entrar y que no,me pasa hace tiempo.
Recordé justo al final lo que te quería decir al principio, (ooops) me había parecido observar en Tor,que la combinación NoScripts + Https Everywhere,permitía los trackers con SSL,me explico,mientras NoScripts aseguraba bloquear los trackers,Https Everywhere a la vez,aseguraba empaquetarlos de forma segura y ante la duda,preferí cambiar ese aspecto,NoScripts por uMatrix + uBlock.Nunca comprobé nada pero no me gustó que una extensión a pesar de NoScript,me dijera que en una página donde no debería estar Facebook (por ej.) a pesar del anti-trackers,me empaquetaba de forma "segura" ciertos trackers.
Yo ante la mínima duda...
No hace falta que me roben nada, ya se lo digo yo: taitantos, español, poco.
El artículo es técnico, pero vamos, que pueden saber todo eso sin mucho esfuerzo, está claro que las RRSS son incompatibles con la privacidad, pero no está de más saber a lo que nos exponemos cuando las usamos y no navegamos en "Modo incógnito" o similares.
#1 Depende de la red social que uses. Su usas FB o TW, vale, estás jodido, pero si usas Diáspora* o GNU Social tu privacidad está en tus manos.
... y añadiendo, dando me gusta a todo e instalando cualquier aplicación chorra
Todo este tipo de ataques no valen para casi nada si:
- El servidor no tiene ninguna vulnerabilidad. El problema es que eso es complicado.
- No se hacen con otro ataque conjunto, como inyección de código, como dice el propio artículo.
- El usuario usa bloqueadores de publicidad,o de scripts (automáticamente impiden dos cosas scripts maliciosas y anuncios con código malicioso). Si encima desactivamos flash mejor que mejor.
Salu2