Dunque come promessovi ieri vediamo  come configurare il nostro “volpacchiotto”

( con THOR già installato)

1)     Apriamo la “volpe” e accediamo al menù strumenti , selezioniamo OPZIONI,spostiamoci in CONTENUTI, e togliamo il segno di spunta alla voce JAVASCRIPT

2)     Rimanendo nella finestra OPZIONI di Firefox , spostiamoci nella scheda PRIVACY , togliamo il segno di spunta alla voce ACCETTA i COOKIE dai SITI e clicchiamo su OK . Ora nella barra degli indirizzi del browser digitiamo: about:config e premiamo INVIO.

3)     Verrà caricato il registro di configurazione di Firefox. Digitiamo REFERER nel campo di testo FILTRO e clicchiamo due volte sull’unica voce che viene mostrata. Nella finestra che si apre , digitiamo: il numero 0 (zero) nel campo di testo e clicchiamo sul pulsante OK

4)     Assicuriamoci che l’icona di THOR accanto all’orologio di windows sia di colore verde e clicchiamo sulla voce di colore rosso TOR DISABLED in basso a destra nella finestra principale di Firefox . La voce cambia dicitura e colore: diventa TOR ENABLED e verde.

5)     Per avere la sicurezza che la connessione Internet sia sottola protezione di THOR, colleghiamoci al sito : http:/torcheck.xenobite.eu sempre su Firefox .Se tutto è ok , viene mostrata la dicitura  YOUR IP IS IDENTIFIED TO BE A TOR –EXIT

6)     Sempre nella stessa pagina Web , clicchiamo sul pulsante START in basso a sinistra . Partirà un breve test che verificherà la corretta configurazione di Firefox .Se tutte le voci indicate saranno evidenziate in verde , possiamo navigare in piena sicurezza.

ALTRE ALTERNATIVE UTILI

FAKE NAME GENERATOR.

http://www.fakenamegenerator.com/

Permette di generare un’identità falsa da utilizzare nei moduli di registrazione dei siti Internet che lo richiedono. Fornisce infatti , nome cognome ,indirizzo di casa,e-mail usa e getta e numero di telefono di pura invenzione

PALARY BROWSER O ANONYMOUSE

http://ajaxian.com/archives/palary-ajax-browser-within-a-browser

http://anonymouse.org/

Utilizzando questi due servizi è possibile navigare su un sito Internet in forma del tutto anonima senza configurare il vostro browser e senza installare nulla nel vostro computer .

BUGMENOT EMAIL e GUERRILLA MAIL

http://www.guerrillamail.com/

http://www.bugmenot.com/

Se dobbiamo registrarci su un sito Internet ma vogliamo comunque proteggere la nostra privacy possiamo utilizzare  le e-mail temporanee , o usa e getta, che vengono creata al momento senza fornire nessun dato personale. Permettono anche di ricevere e di rispondere.

BUGMENOT

Un utile servizio on-line che mette a disposizione un lungo elenco di dati d’identificazione ( nome utente –password ) per la registrazione ai molti dei più famosi siti Internet che la richiedono.

IO NE SCONSIGLIO L’USO non tanto perché non funzioni……ma ho dei seri dubbi che tali dati sia solo il frutto di qualche “volontario” che abbia ceduto i suoi dati di accesso a chiunque . E’ pur vero che la media dei successi è piuttosto bassa ( il più delle volte le password non funzionano) ma a volte…………….

Ma a questo punto ha senso parlare della nostra privacy quando noi non rispettiamo quella altrui ?

Unless you’ve configured your browser with privacy plug-ins, your browser passes the address of the current page to each target link you click in a header known as HTTP_REFERER. “Referer” is spelled incorrectly by convention. It was spelled incorrectly during early designs of the HTTP protocol.

One can easily change their own browser to squelch the transmission of the referer, however visitors on a web site may not take the same precautions. What if you have a very personal blog that has a mix of some personal items that you only want a handful of friends to see along with some fun links to other sites?

Anyone viewing your site might click on a link transmitting your private blog page to the site ( where it might be made public. )

Please try this: click the link below. You should see a reference to this blog page.

ttp://www.mailsend-online.com/wp/referring_page.php

Here’s the PHP code for the page:

referring_page.php

<html><head>
<!-- By Jim Lawless
     This code is in the public domain
-->
<title>Referring Page Check</title></head>
<body>
<P>
Your referring link is:
<?php
   echo "<a href=\"", $_SERVER['HTTP_REFERER'],"\">",$_SERVER['HTTP_REFERER'],"</a>";
?>
<p>
</body></html>

So, if you have a couple dozen people reading your blog, chances are that one of them will click on a link that exposes your blog URL to the outside. Of course, this can be protected by using a login system, but there’s another way that might be just as effective that does not require a client to log in to your system.

Normally, a browser issues an HTTP GET command to retrieve a web page. Any time you type a URL into an address bar or click an anchored link, your browser issues a GET to retrieve the given page.

When forms are filled out, the browser often uses the HTTP POST command ( if specified in the form’s METHOD attribute. ) Fields often are sent in name/value pairs during a POST.

Fields can also be sent during a GET request, but they appear on the URL line itself. Such a line might look like:

http://some.url?parm1=this&parm2=that&parm3=other

These URL’s with the parameters are passed in their entirety in the HTTP_REFERER header during a GET. They also often show up in web server logs. However, fields presented during a POST are not carried in the referer.

If we create a page that only displays the private content if a POST was issued and if a special field contains a certain value, any links that the client clicks on will carry only the URL itself without parameters.

If anyone tries to copy that link into a browser’s address bar or if they are clicking it from some sort of referring-page list, they will run into two problems.

1. They’re issuing the request using a GET
2. They will have no idea what the special field is supposed to contain

Please consider the following sample PHP documents: ( the first two are actually pure HTML documents… )

refer1.php

<html><head>
<!-- By Jim Lawless
     This code is in the public domain
-->
<title>Referer test 1</title></head>
<body>
Show referring page:
 <a href="referring_page.php">
 referring_page.php</a>
<p>
Go to lead-in page:
 <a href="refer2.php">
 refer2.php</a>
<p>
</body></html>

refer2.php

<html><head>
<!-- By Jim Lawless
     This code is in the public domain
-->
<title>Referer test 2</title></head>
<body  onload="doit()">
<noscript>
You must enable JavaScript to see this site.
</noscript>
<form ID="myform" NAME="myform"
  ACTION="refer3.php" METHOD="POST">

<input TYPE="hidden" NAME="mycode" VALUE="1234">
</form>

<script TYPE="text/javascript">
   function doit() {
      document.getElementById("myform").submit();
   }
</script>
</body></html>

refer3.php

<html><head>
<!-- By Jim Lawless
     This code is in the public domain
-->
<title>Page 3</title></head>
<body>
<?php
   if(strcmp($_POST["mycode"],"1234")==0) {
?>
<h2>Hey, you can see the good stuff!</h2>
<p>
Try going here:<br />
<a href="referring_page.php">referring_page.php</a>

<?php
   } else {
?>
<h2>Nothing to see here.  Move along.</h2>
<?php
   }
?>
</body></html>

Let’s try out this code. Please click on this link. It should open in a new window, so please adjust your popup-blocking software accordingly.

http://www.mailsend-online.com/wp/refer1.php

Click on the referring_page.php link.

You should see that you had originated from the refer1.php page. Click the link on this page to go back there.

You just backtracked to a calling page by using a referer!

Now, click the refer2.php link.

When you do this, you might note that the URL in your browser’s address bar quickly changes from refer2.php to refer3.php.

If you look at the code in refer2.php, you’ll see that it contains a small JavaScript function that triggers when the onLoad event occurs. This function forces the HTML form on the page to be invoked via a call to submit(). The HTTP method defined in the form is POST. Data will be POSTed to the target refer3.php page.

Once in refer3.php, you’ll note that you can see the message “Hey, you can see the good stuff!”

Examination of the source code to refer3.php shows that we look for a POSTed field called mycode that must have a value of “1234″ or the page will render differently.

Try clicking on the referring_page.php link. You’ll see the reference to refer3.php. Click it.

Now, you should see the message “Nothing to see here. Move along.” Because you issued a GET when you clicked the link, no POST operation occurred. Note the PHP else block toward the bottom of the refer3.php script. This is the block of HTML that is rendered if the page is visited without going through a POST with the special code.

This technique will allow one to display a different page to most casual visitors who happen upon a URL ( including search-engine robots and spiders ) and will allow special visitors who know the URL to a lead-in page ( refer2.php, in our case ) to see special content.

Please note that this hack is just for fun. Although you could use it to supplement a real security system, sensitive data should be handled much more thoroughly than by using the technique above. Security through obscurity isn’t secure.

The technique above might be useful if you’d like to keep stuff out of most prying eyes and search-engines that backtrack through the referer, but it isn’t foolproof. All someone has to do is leak the lead-in page address and then everyone could get in.

Save to del.icio.us
Digg it
Save to Reddit
Share on Facebook
Share on Twitter
More bookmarks

Unless otherwise noted, all code and text entries are Copyright © 2009 by James K. Lawless

I love how addictive yawning is. You see one person doing it and you cant help yourself!

I was checking through this blogs statistics today and came across one of my photographs featuring on a blog called Tones and Notes. It doesn’t have any information on there as to why they choose seemly random images to include, but I like that my image was included!

Its always nice to be featured in new places

Oh…. James has just informed me that they have a blog for their squat boxing meetings. You can check it out here: Keep Fit Comrade

I am also currently listening to House Nation UK with my friend Jeff Barker DJing… I cant say that I am into house music in the slightest, but its actually quite good background music while I think about what to write on here, plus of course, Jeff now gets a mention! Great…. haha just what he always wanted….

Sandie has found some amazingly cute kitchen ware that I completely side tracked while looking through the Next catalog. I bought an apple mug, and some rainbow stacking cups which I am yet to get home, but I hadn’t seen these:

I would love to have the bread bin and the mugs for my kitchen! We will see….

I got my Hello Kitty cake mould through the post the other day and completely forgot to write about it! It is so cute I cant wait to bake a cake in it!!!

Now I am going to be even more geeky and check out the VGR forums – talking about everything gaming. It used to be exclusively Xbox 360 but now all platforms are included! Check it out!

Acest concurs este destinat atit bloggerilor cit si non-bloggerilor, adica administratorii de site-uri. Regulamentul Oficial il gasiti aici.  Dar pina acolo vedeti cateva despre acest concurs.

Premiile puse in joc sunt:

• Primul Loc – 500 euro.

• Al doilea, al treilea loc – cite 100 euro.

Pentru desemnarea locurilor 2, 3 va fi desfasurata o tragere la sorti. Avind ca premii cite 100 euro.

Ce trebuie sa faci ?

Embedeaza unul din bannerele astea .

Apoi trimite un e-mail la marketing at wuwu.ro cu adresa unde ai embedad bannerul.

Cine castiga cei 500 ?

Cati mai multi vizitatori unici trimisi cu atat mai multe sanse de a lua banii.  Clasamentul intermediar cit si cel final vor fi trimise pe e-mailul tau direct din Google Analytics – periodic.  Wuie Buna!

Setting a new URL using location.href will change the HTTP_REFERER on Firefox/Opera/Safari, but NOT on IE

Here is the hack to fix this (quoted from here):

/* location.href FIX for MSIE */
//http://blogs.msdn.com/ie/archive/2008/10/30/hot-off-the-press-codefocus-on-ie8.aspx#9028128
function setHref(url) {
    var isIE = (navigator.appName.indexOf("Microsoft")!=-1) ? true : false;

    if (!isIE) {
        //Standards based browsers
        parent.location.href = url; // Set target: self. / parent. / top.
    } else {
        var lha = document.getElementById(‘_lha’);
            if(!lha){
                lha = document.createElement(‘a’);
                lha.id = ‘_lha’;
                lha.target = ‘_parent’;  // Set target: for IE
                document.body.appendChild(lha);
            }
            lha.href = url;
            lha.click();
    }
}

Bei WordPress gehostete Blogs beanspruchen, in der Statistik keine eigenen Hits auf den eigenen Blog zu zählen:

Ist dies wirklich so?

Wie gut, dass es die Firefox Erweiterung “RefControl” gibt, mit der man den Referer durch eine beliebige URL ersetzen kann. Ich habe meinen Wunschreferer festgelegt als:

http://wordpress.counts.your.own.referer.org/

Wird dieser gefakte Referer in der Blogstatistik auftauchen ? Hier sind alle erfassten Seiten aufgeführt, von denen Besucher den Weg durch einen Link auf diesen Blog laut WordPress gefunden haben (Statistik für Referer):

Na gut, wenn ich nicht eingeloggt bin, wie soll die Statistik da wissen, dass es gerade ich bin, der angesurft kommt, denke ich mir. Hm.  “We don’t count your own visits to your blog” gilt also nur für eingeloggte, da identifizierbare Blogbenutzer. Die Vorführsession auf des Kumpels Computer zählt. Warum auch nicht?

Gerade für kleine Blogs gilt daher also wohl noch immer: Je überschaubarer die Besucherzahlen, desto ungenauer sind die Statistiken…

The referer data of TechCrunch certainly shows the potential of Twitter to generate traffic; http://tr.im/osw5

In your controller use this to go back to the previous page:

$this->redirect($this->referer());

Im Beitrag “What a Pixel and Cookie Can Reveal” auf ClickZ.com führt Brian Massey eine Menge Informationen auf, die theoretisch aus einem Trackingpixel-Aufruf ermittelt werden können – neben der hauptsächlichen Info, dass eine E-Mail gerendert wurde. Aus der IP-Adresse beispielsweise können interessante Geo-Informationen (z. B. Land, Region, Ort) abgeleitet werden. Und anhand weiterer Infos lassen sich Angaben über die Häufigkeit in der Nutzung der verschiedenen E-Mail-Clients bzw. Webmailer machen.

Gerade Letzteres ist spannend zu wissen (vgl. die beiden Studien aus dem vorangegangenen Beitrag) – oder wäre es nicht etwa zielführend in konkreten Zahlen belegen zu können, welcher Anteil Ihrer Subscriber tatsächlich Outlook 2007 nutzt, dessen restriktive Rendering-Möglichkeiten Sie vielleicht ohne Grund bis dato als kleinsten gemeinsamen Nenner für die Newsletter-Gestaltung heranziehen? Im folgenden kurz und knapp ein Ansatz, wie die Infos zur E-Mail-Client-Popularität in Ihrem Verteiler technisch zu einem gewissen Grad ermittelbar wären. (Im Test – B2C-Verteiler, n=1020 Öffnungen – konnten bislang rund 30% der registrierten Öffnungen konkreten E-Mail-Clients zugeordnet werden.)

Nebenbei: Wenn Sie Ihren eigenen E-Mail-Verteiler ebenfalls kurz im Hinblick auf die Anteile der (identifizierbaren) Clients/Webmailer untersuchen möchten, wenden Sie sich gerne an mich – siehe Kontaktmöglichkeiten rechts in der Sidebar.

Umgebungsvariablen: Referer & User Agent

Nach dem Aufruf einer Webseite (oder in unserem Fall: eines Trackingpixels) stellt der Server in der Variable HTTP_REFERER die URL einer verweisende Webseite, von der aus der Aufruf erfolge zur Verfügung (siehe “Referrer” auf Wikipedia). Die zweite wichtige Variable HTTP_USER_AGENT enthält analog in der Regel die Headerinformationen des Client-Programms (Browser, E-Mail-Programm, …), das auf einen Netzwerkdienst – wie z. B. eine Internetseite – zugreift (“User Agent“).[1]

Der Trackingpixel

Der Trackingpixel ist – vereinfacht gesagt – ein kleines Programm, das im ersten Schritt in der Datenbank für ein bestimmtes Mailing und einen bestimmten User beim Aufruf einen Eintrag macht (= die registrierte Öffnung) und im zweiten Schritt eine transparente/unsichtbare 1×1 Pixel große Grafik zurückliefert. Der Programmcode kann angereichert werden um die Speicherung der beiden Variablen HTTP_REFERER und HTTP_USER_AGENT, um so hinterher zusätzlich aggregiert die Verbreitung der genutzten E-Mail-Clients analysieren zu können.

Trackingpixel in PHP (exemplarisch)

Ein konkretes Praxis-Beispiel in PHP für einen Öffnungspixel, der die beiden für die Client-Identifizierung relevanten Variablen speichert:

<?php
// Datenbankverbindung herstellen (PEAR)
include("DB.php");
$dsn = "...VERBINDUNGSDATEN...";
$db = DB::connect($dsn);
// Speichern und Verbindung schließen
$agent = getenv ("HTTP_USER_AGENT");
$referer = getenv ("HTTP_REFERER");
$sql = "INSERT INTO openings VALUES ('$agent','$referer');
$res = $db->query($sql);
$db->disconnect();
// Webbug[2] erzeugen und darstellen
Header( "Content-type: image/gif");
$img = imagecreate(1,1);
$transparent_blue = ImageColorAllocate($img, 0x2c,0x6D,0xAF);
ImageColorTransparent($img,$transparent_blue);
ImageFilledRectangle($img, 0, 0, 1, 1, $transparent_blue);
ImageGif($img);
ImageDestroy($img);
exit();
?>


Die Auswertung

Die verschiedenen E-Mail-Clients lassen sich identifizieren, indem in der Datenbank aggregiert die gespeicherten Variablen hinsichtlich des Vorkommens bestimmter Zeichenketten untersucht werden.

	REFERER	USER_AGENT
gmx.de	“gmxattachments.net” || “service.gmx.net”
web.de
Yahoo! Mail	mail.yahoo.com
AOL Mail	webmail.aol.com
Googlemail	mail.google.com
Arcor Mail	leer	leer [3]
T-Online Beta
Windows Live	mail.live.com
Freenet	freenet.de
Bluewin.ch	bluewin.ch
Strato	communicator.strato.de
sms.at	sms.at
mail.ru	win.mail.ru
oleco.de	mail.oleco.de
telekom.at	webmail.aon.at
Thunderbird 1		Thunderbird/1
Thunderbird 2		Thunderbird/2
Thunderbird 3		Thunderbird/3
Outlook 2007		MSOffice 12
Windows Live Mail	leer!	Outlook-Express/7
Outlook Express, 2002, 2003, Vista Mail	leer!	“MSIE” && “MSOffice 12” && “Outlook Express/7” [5]
T-Online Desktop		T-Online eMail 3[4]
AOL 5		AOL 5.[4]
AOL 7		AOL 7.[4]
AOL 8		AOL 8.[4]
AOL 9		AOL 9.[4]
iPod		iPod;[4]
iPod Touch		iPod Touch OS[4]
iPhone 2.0		iPhone; U; CPU iPhone OS 2_0[4]
iPhone 2.1		iPhone; U; CPU iPhone OS 2_1[4]
iPhone 2.2		iPhone; U; CPU iPhone OS 2_2[4]
Lotus Notes 5		Lotus-Notes/5
Lotus Notes 6		Lotus-Notes/6
Entourage		“Macintosh;” && “Safari/” && “Firefox/“
Apple Mail 1	leer!	“Macintosh; U; Intel Mac OS X 10_3″ && “Safari/”[5]
Apple Mail 2	leer!	“Macintosh; U; Intel Mac OS X 10_4″ && “Safari/”[5]
Apple Mail 3	leer!	“Macintosh; U; Intel Mac OS X 10_5″ && “Safari/”[5]
i.Scribe

Resumee

Ich werde versuchen, die offenen Punkte in Kürze (= Fragezeichen sowie Einträge mit roter Fußnote) noch sukzessive zu prüfen bzw. nachzuliefern. Hinweise / Ergänzungen / ggf. Korrekturen / eigene Erfahrungen sind an dieser Stelle natürlich sehr willkommen.

Beispiel: Marktanteile der E-Mail-Clients auf Basis des Test-Ergebnis (n=1.020 Öffnungen, B2C)

Sie sehen: Eine ganze Reihe wichtiger Clients (Outlook 2003, Outlook 2002, Entourage, Apple Mail, …) sind durch die hier vorgestellte Methode zwar (noch) nicht erfasst. Aber viele wichtige Clients und Webmailer sollten sich anhand der aufgeführten Zeichenketten in den entsprechenden Variablen dagegen eindeutig identifizieren lassen. Im Ergebnis erhält man somit bereits wichtige Informationen, ein “hübsches Tortendiagramm” und endlich Gewissheit, ob z. B. ein genaues Augenmerk auf die Darstellung in Outlook 2007 im eigenen Fall wirklich wichtig ist oder nicht…

UPDATE I, 24.3.09:

Durch die Kommentare im Campaign Monitor Blog sind nun auch die Anteile von Outlook 2003 plus 2002 , Apple Mail 2, Apple Mail 3 und Entourage abschätzbar. Die Ergebnisse hierfür sind allerdings sehr ungenau/inflationär, da letztendlich alle Öffnungen ohne Referrer hier eingehen. Anbieter hinter SSL-Verbindungen oder web.de liefern per se keinen Referrer, sodass die Öffnungen hieraus theoretisch alle mit einfließen.

UPDATE I, 30.3.09:

Einige Webmailer / Clients hinzugefügt.

Fußnoten

[1] Weitere nützliche Links zum Thema User-Agent (UA):

• User Agent Database: sehr Umfassende UA-Datenbank
• Zytrax.com: Liste von Browser ID Strings
• User-Agents.de: Datenbank
• Agentarius.net: Community zur UA-Klassifizierung
• UserAgentString.com: Analyse eines UA-Strings
• JoergKruseWeb.de: allgem. Infos zu Browserkennungen

[2] Quelle: http://www.dynamicdrive.com

[3] Beim Abruf einer E-Mail aus dem Arcor Kontrollzentrum sind die Variablen für den User-Agent und den Referer beide leer; zudem enthält die IP des Hosts (Variable: REMOTE_ADDR ) “151.189.8.” und die E-Mail-Adresse “arcor“.

[4] Vorsicht: diese Angaben bedürfen noch genauerer Prüfung!

[5] UPDATE: Im Campaign Monitor Blog stellt David Greiner freundlicherweise genauere technischen Details zur Erhebung bereit und schafft somit Transparenz. Ferner lassen sich hierdurch nun weitere Clients mehr oder weniger eindeutig identifizieren.

Many websites have issues with security etc.
This is one of the very basic methods against different things, such as bots and all.

This isn’t really a tutorial. Yet a walkthrough.

This was originally made and posted by me . But over at CoderProfile

PHP is a very handy server sided scripting language. One of, if not the best if you ask me. Easily working with Databases etc.

So lets start,

I have commented the code, rather than doing massive paragraphs explain what each thing does! If you have any questions those, please feel free to comment this! You will need a basic knowledge and understanding of PHP!

<?php
$ip = $_SERVER['REMOTE_ADDR']; //Get there ip address.
$agent = $_SERVER['HTTP_USER_AGENT']; //Get there user agent, Firefox etc, and some other info about it.
$ref = $_SERVER['HTTP_REFERER']; // Referer, how they got to your website, who linked them, where they clicked that                                        //link.
$date = date("H:i dS F"); //Get the date and time.
$file = "log.htm"; //Where the log will be saved.
?>

Well, these being the basic declarations of Variables, ready to be used later on in the script!

Next, to actually create the log file. We need to open it, and print any information that we gathered, into it!

<?php
$open = fopen($file, "a+"); //open the file, (log.htm).
fwrite($open, "<b>IP Address:</b> " .$ip . "<br/>"); //print / write the ip address.
fwrite($open, "<b>Referer:</b>". $ref . "<br/>"); //print / write the referer.
fwrite($open, "<b>UserAgent:</b>". $agent. "<br/>"); //print / write thier useragent.
fwrite($open, "<b>Date & Time:</b>". $date. "<br/>"); //print / write the date and time they viewed the log.
fclose($open); // you must ALWAYS close the opened file once you have finished.
?>

There is only really a couple more things to do,
One being adding all that together. Making the hole php script.

<?php
$ip = $_SERVER['REMOTE_ADDR']; //Get there ip address.
$agent = $_SERVER['HTTP_USER_AGENT']; //Get there user agent, Firefox etc, and some other info about it.
$ref = $_SERVER['HTTP_REFERER']; // Referer, how they got to your website, who linked them, where they clicked that                                        //link.
$date = date("H:i dS F"); //Get the date and time.
$file = "log.htm"; //Where the log will be saved.
$open = fopen($file, "a+"); //open the file, (log.htm).
fwrite($open, "<b>IP Address:</b> " .$ip . "<br/>"); //print / write the ip address.
fwrite($open, "<b>Referer:</b>". $ref . "<br/>"); //print / write the referer.
fwrite($open, "<b>UserAgent:</b>". $agent. "<br/>"); //print / write thier useragent.
fwrite($open, "<b>Date & Time:</b>". $date. "<br/>"); //print / write the date and time they viewed the log.
fclose($open); // you must ALWAYS close the opened file once you have finished.
?>

You are now done, save that as log.php.
Now in your index file, and any other file on your website add,

<?php
include('log.php');
?>

That will now include the log file into your page .

Hope this helped anyone!

Le problème des traces laissées sur Internet est en général très peu compris par beaucoup d’internautes. On ne compte plus les soi-disant utilitaires de protection de la confidentialité souvent gratuits, parfois payants et qui se limitent en général à supprimer certaines traces en local sur l’ordinateur personnel. Inutile de dire que tout cela est à la limite de la fausse représentation.

En mettant de côté, pour le moment, les traces locales, il serait peut-être utile de dresser un aperçu général de cette question importante pour la préservation de la vie privée.

La meilleure façon d’aborder le problème est de suivre les traces laissées à partir du moment où une adresse web, un URL, est saisie dans le champ d’adresse du navigateur…

Un URL (Uniform Ressource Locator) doit être associé à une adresse IP et la première étape (non locale) d’une connexion à un site est la requête DNS permettant de traduite l’URL en adresse IP: cette traduction est assurée par un serveur DNS, en général celui du FAI, qui, on s’en doute un peu, peut conserver dans ses journaux la trace de cette requête. Il est bien connu d’ailleurs que les principaux FAI conservent ces traces mais il est difficile de savoir pour combien de temps, quel protection ils assurent à ces informations et l’usage qu’ils en font.

Une fois cette adresse IP associée à l’URL, la connexion peut alors s’enclencher via le protocole TCP pour accéder au site mais cette connexion n’est jamais directe contrairement à ce que les apparences pourraient le laisser croire. La connexion passe par une série d’intermédiaires incluant les serveurs et routeurs du FAI mais ne s’y limitant jamais. Il est possible d’avoir un aperçu (pas toujours exact) avec un utilitaire de “Trace Route” qui montre à qui en doute que le chemin le plus direct vers un site n’est pas celui qu’on croît…

Est-ce nécessaire de préciser que ces intermédiaires peuvent tous journaliser cette connexion?

Admettons maintenant que la connexion entre le PC et le site est établie: en général tous les échanges entre ceux-ci sont EN CLAIR, c’est-à-dire, lisibles par n’importe quel intermédiaire sur la “route de connexion“…  Le chiffrement d’une connexion ne se produit en général qu’avec le protocole HTTPS par exemple lors d’un paiement en ligne, connexion chiffrée sur 128 bits… Ou encore lors de l’utilisation des protocoles POP3S et SMTP TLS pour les connexion de courriel chiffrées telles que celles avec Gmail.  Tout le reste est non-chiffré: en clair.

Enfin, le site web sur lequel le PC est connecté peut lui aussi conserver des traces de cette connexion et peut récupérer des informations de configurations normales mais aussi d’autres informations telle que le “referer” et parfois beaucoup plus en utilisant des ActiveX (sur IE) ou du javascript pour obtenir des informations plus intrusives…

Prises indépendamment les unes des autres, ces informations laissées en traces ne sont pas nécessairement des atteintes à la vie privée mais permettent le “Data Mining” c’est-à-dire, le recoupage d’information qui à la limite permettent de monter un profil identifié et associé à telle ou telles adresse IP (la vôtre) et en dernière analyse à une personne bien précise: l’internaute “X”.

De plus il est bon de savoir qu’un site web même supprimé laisse encore des traces (dont les vôtres possiblement) car Internet ne perd pas la mémoire: le Wayback Machine est là pour en témoigner. (http://www.archive.org/web/web.php).

Même votre PC a la mémoire longue. La plupart des Internautes savent qu’il est possible de supprimer l’historique web du navigateur, les témoins (cookies) et autre “Most Recent Used“.
Ce qu’ils savent moins c’est que des traces difficilement supprimables restent présentes notamment dans les fichiers Index.dat par exemple. De plus la suppression simple, l’effacement de fichiers ne fait que les supprimer logiquement au niveau des index du système d’exploitation: physiquement, ces fichiers restent présents ET récupérables pour longtemps sur le disque du PC. Les secteurs occupés par ces fichiers effacés redeviennent disponible à l’écriture lors de leur suppression logique mais la réécriture de ces secteurs n’est ni garantie ni complète et certains fichiers  “effacés” restent présents, longtemps et sont récupérables et lisibles.

Il y a quelques années la BBC avait enquêtée sur des disques usagés vendus sur eBay et avait trouvé sur plus de 50% d’entre eux des informations de nature confidentielles se rapportant à leur ancien propriétaire…

Ceci étant dit, il est préférable que les internautes soient avertis de ces caractéristiques d’Internet et prennent les mesures nécessaires pour protéger leur identité et leur vie privée.

S’il existe des gadgets techno permettant de prévenir ou de supprimer certaines des traces laissées derrières eux par les internautes, il est bon  de rappeler qu’il n’y a aucun gadget qui remplace une conduite prudente et préventive de leur part. Le “Safe-Hex” ne concerne pas seulement la “sécurité” mais aussi la confidentialité…

La citation célèbre de Bruce Schneier: “Security is not a product, it’s a process” s’applique ici aussi.

Les questions de confidentialité, d’identité et d’authentification sont sans doute en voie de devenir aussi importants dans les années à venir que les questions de “sécurité” l’étaient jusqu’à présent. à ce propos je voudrait souligner que le problème de vol d’identité n’est pas une exclusivité d’Internet mais se produit dans la majorité des cas hors d’Internet. Je mentionne ce dernier point car il est à la mode d’accuser Internet de tous les maux alors que ces maux relèvent de comportements non-exclusifs à Internet.

Si l’internaute à tête de linotte, l’interNUT existe, on trouve aussi son opposé symétrique: l’internaute parano ou “paranaute” et aucun d’entre eux n’a le moindre commencement de l’idée de ce qu’est la pratique du “Safe-Hex“.

Source: Le blogue de l’édito
Address : <http://blogues.cyberpresse.ca/edito/?p=982#respond>
Le Mercredi 24 Décembre 2008 | Mise en ligne à 10h54
Votre empreinte gênante sur le Web

Ce commentaire a été soumis au Blogue de l’Édito et reproduit ici pour le bénéfice de mes lecteurs. Ces questions seront abordées avec plus de détails ultérieurement. Merci.

Alle schimpfen über Google Analytics: der Datenschutz sei dort nicht gewährleistet. Mag sein, dass das formal korrekt ist, aber es geht deutlich schlimmer. Eben schwappte mir hier als Referer ein Link auf StatCounter.com ins Log – mit gültiger Session-ID. Ein Klick genügte und schon bekam ich deutlich detailliertere Daten über die Besucher einer fremden Website, als mir Google für meine eigene je liefern würde.

Der Bildausschnitt is so gewählt, dass man hoffentlich keine Details über einzelne Nutzer erkennt, und aus der Titelzeile habe ich den Hinweis auf den betreffenden Nutzer des Statistik-Tools entfernt. Er wird sich schon gemeint fühlen, wenn er das hier liest. (Refcontrol hilft, ist aber letztlich ein Workaround um eine kaputte Web-Anwendung.)

Ich gebe erst mal weiter Google Analytics den Vorzug. Wichtiger als die formale Einhaltung von zuweilen arg hohlen Datenschutzritualen finde ich nämlich den tatsächlichen Umgang mit den Daten. Bei Google hat man sich was gedacht und die Architektur bietet Ansatzpunkte für mehr Selbstbestimmung der einzelnen Website-Nutzer und weniger Missbrauchs- und Unfallgefahr durch Website-Betreiber. Das kann ich von StatCounter.com nicht behaupten.

I promised myself that if I ever Googled anything and didn’t get a response, I’d put up a post about it so that other people won’t have the same problem!

So here it is:  When Facebook links to some web site, they pass along an indicator that tells you how the person who clicked the link got to the profile that the link is on (this is called the referrer, or referer if you like misspelling things in protocol specifications).  For example, if they clicked on your profile in their “news feed,” the code passed along would be nf.

You would think that since Facebook is providing this seemingly useful service, they would tell you what each of the various codes are.  I couldn’t find a listing anywhere, and I find it very odd that that’s the case! Every now and then a new code comes in and I try to sleuth it out but a lot of the time, I can’t tell.  Anyway, this post is my place to put information about what I discover on this topic.

Here’s the list of codes I know about:

• nf = “News Feed”
• hiq = “Manual Query”
• ts = “Friend Search”
• mf = “Mutual Friend’s News Feed”

Links that don’t track referrers:

• “In a Relationship With”
• “People you May Know”
• “Friends” tab
• “Inbox” (I would think they would do this one)
• “Photos”

If you know of any other codes or you know of any “official” information about this, I’d be glad to hear it.  I think I had seen one other code but I can’t find it now in my site history of referrers.

Eigentlich wollte ich darüber bloggen, dass ich gerade gefühlte hundert mal am Tag eine Kinder-Hörspiel-CD namens “Connie backt Pizza” hören muß und daß es im Intro-Lied dort heißt “Connie – mit der Schleife im Haar”, was ich aber auch nach widerholtem angestrengtem hinhören einfach nicht anders hören kann als “Connie – mit der Scheiße im Haar”. Frauke geht es genauso, die behauptet sogar das sei Absicht.

Als ersten Schritt zu so einem weltbewegenden Blogposting braucht es natürlich eine gründliche Recherche! Also hab ich einfach mal nach “Connie mit der Scheiße im Haar” gegoogelt (Das war der Punkt wo ich mir genüßlich die Augen des Webmasters bei der Durchsicht der Refererstatistiken vorgestellt habe) … und siehe da, ich bin nicht alleine. Es geht auch anderen so. Und die können das alles auch noch viel schöner in Worte fassen, als ich es je könnte. Also lass ich es und verlinke einfach.

Dieses Blog ist mit der Suchanfrage “wie löst man eine denkblockade auf” bei Google auf Platz 1. Das kann so bleiben. Danke auch an den anonymen Suchmaschinenbenutzer, der mich via Referer darauf aufmerksam gemacht hat.

Ansonsten drehen sich hier die meisten Suchmaschinenreferer um “Dagmar Metzger” in allen möglichen Varianten und um “WoW Suchtberatung“. Bei letzterem kriege ich langsam ein schlechtes Gewissen. Da kommen womöglich Leute mit einem echten Problem hier her und fühlen sich verarscht. Das sollte nicht so bleiben. Vielleicht kennt ja jemand Seiten, die da wirklich kompetent sind? Über Google findet man da nämlich tatsächlich auf den ersten Blick nur so Schrott wie meinen.

Ansonsten hier noch eine Runde des allseits beliebten Referer-Quiz-Spiels mit Suchanfragen aus der letzten Zeit, die bei mir aufschlugen:

“wer hat eine gamecard zu verschenken” … nein, grad nicht, danke. Aber vielleicht könnte man da weiterhelfen, wenn man die Süchtigen an die Gamecardsucher vermittelt?

“playmobil figuren weltkrieg” … machen die jetzt auch Kriegsspielzeug? Dabei heißt es doch hier:

“Tabu ist Kriegsspielzeug und jede Form von Ge­walt und Brutalität. Das Playmobil-Uni­versum ist eine heile Welt, in der jede Fi­gur mit einem Lächeln geboren wird. “

“marxist analysis of contemporary capital” … hm… hier eigentlich nicht wirklich. Dafür ist doch eher keimform.de zuständig.

“benni ist blöd” … Nein! Bin ich nicht!

“gewinner wow dreijähriges noch nicht ve” … Das hätte ich ja jetzt schon gerne gewusst, wie das weiterging.

Some time ago when I posted I Love CSRF (XSRF) fazed invited me to do a presentation on CSRF attack and protection… but since then haven’t heard from it… Anyway I wrote down my presentation and since haven’t been asked to do it recently I thought I’ll write it on my blog…

What will I trim out from my presentation? The CSRF attack methods and leave only the defense methods…

Expiring Cookies/Sessions

If you are using cookies to keep your users logged in on your website then you should give your cookies a faster expiration date, than to keep them living until the browser is closed. Let’s put up as an example the following cookie has been set up

—
setCookie(“auth”, md5(md5($password)), time()+600);
—

This would keep the cookie available for 10 minutes, after which it would expire. But that is not enough, you should put the cookie setting line in every page of your website, so that on every page accessing the cookie will get another 10 minutes of life. Kinda rudimentary but what else can you do if you use cookies?

Expiring sessions are sometimes not controllable by you, only if you host your own website; else not much you can do…

Referer Check

Most of the time you will count on the referer to check if the request came from the desired page, a simple implementation would be the following

—
if($_SERVER["HTTP_REFERER"]!=”http://mywebsite.com/desired.php”) {
    //possible csrf
}
—

As with other variables not controllable by the website, there can be people who deactivate the
referer field so that is not passed to the websites they visit.

Tokens

This may seem one of the favorite weapons against CSRF, and of course it is as easy to implement as the ones before mentioned. Firstly let’s assume that on login the token has been set the following way

—
$_SESSION["token"]=rand();
—

This would be useful when we generate a form

—
<form name=”form” action=”processing.php” method=”post”>
<input type=”hidden” name=”token” value=”<?php md5($_SESSION["token"]); ?>”>
<…>
</form>
—

And now the first thing that we should do on the processing.php page, is to check the token

—
$token = $_POST["token"];

if($token!=md5($_SESSION["token"])) {
    //now this is csrf
    die(“….CSRF!”);
}
—

What next?

You only have to choose a way to protect against CSRF… I would recommend mixing the last to, and set some kind of flags to it… it the referer isn’t ok set a possible CSRF flag; and if the token doesn’t match than flag it as CSRF… But what do I know I only wrote it for a presentation…

*UPDATE*

Server Side Protection

Found this after I finished the article; so if you want some server side CSRF protection check this out -> http://0×000000.com/index.php?i=484

Spēli nosauksim par BlackHaltPrivacy. Citi nosaukumi, protams, uzklausāmi.

Kas ir privacy?

privacy
Internet and TCP/IP Network Security. Securing Protocols and Applications. (By Uday O. Pabrai, Vijay K. Gurbani). – McGraw-Hill – 1996 – 351 p.
(NS:350)
privātums
LZA Terminoloģijas komisijas informācijas tehnoloģijas un telekomunikācijas apakškomisija
(IT&T)
приватность

Fiziskas personas vai organizācijas tiesības kontrolēt vai noteikt, kādu informāciju par to drīkst uzkrāt un saglabāt un kam šo informāciju ir atļauts izmantot.

Lielā terminu vārdnīca – termini.lv

Pasargā sevi ar Mozilla Firefox. Sāksim no sākuma. Level 1.

Sākam:

1. Jāuzinstalē spraudnis Web Developer :: Firefox Add-ons;
2. Izmantojot Web Developer, jāatslēdz REFERER (HTTP_REFERER). Pasākumu dēvē par dereferer;
3. Jāatslēdz ārējie external cookies (ārējās sīkdatnes);
4. Jāatslēdz Java.

Paskaidrojumi:

1. Spraudnis, kas vairāk domāts mājaslapu (vietņu) izstrādātājiem, ar savu funkcionalitāti spēj pasargāt (Privacy) arī parastu lietotāju. Ar Web Developer tu vari arī pretoties dažādu mājaslapu (vietņu) izstrādātāju iegribām.

2. REFERER norāda tavu gaitu pa mājaslapām (vietnēm). REFERER parāda, no kuras mājaslapas vai e-pasta vēstules, vai cita dokumenta tu esi uzklikšķinājis uz kādu vietni (piemēram, šo). REFERER parāda, no kuras lapas tu `nāc`. Mājaslapu (vietņu) uzturētāji šo informāciju labrāt uzkrāj (logo, ieraksta žurnālā) un vēlāk analizē. Es, piemēram, arī ievācu jebkuru REFERER informāciju un to analizēju (sporta pēc).
Piemērs no šī bloka (People clicked links from these pages to get to your blog):

Ja tu, piemēram, Googlē ierakstīsi kādu meklēšanas frāzi un uzklikšķināsi uz rezultātos atrasto vietni, tad vietnes īpašnieks smuki redzēs, ko tieši tu meklēji, kad nokļuvi viņa vietnē.
Piemērs no šī bloka (These are terms people used to find your blog):

Nevienam nav jāzina, no kuras lapas tu ieradies šajā lapā! Nevienam nav jāzina, ko tieši tu ierakstīji Google meklēšanas lodziņā!

Daži mīnusi. Dažās mājaslapās ar nepareizi nokonfigurētu hotlinking varētu nerādīties bildes. Tev `ļoti vajadzīgām lapām`, kas ir 1%, REFERER var ieslēgt uz brīdi, ja tās nespēj citādāk darboties. Ja kāda forša lapa nedarbojas un iet šķērsām bez REFERER, tad tu vari ieslēgt REFERER, bet nu skaties pats.
Dažās mājaslapās, lai lejupielādētu kādu datni (failu) jābūt ieslēgtam REFERER. Te REFERER var ieslēgt tikai uz to brīdi.
Vēl viens mīnuss: Ja tu pārāk bieži pārlādē, apskati, vazājies pa lapām vienas vietnes ietvaros, tad veidojās efekts `tas ir tas tur, no tās tur IP adreses, kam manos log failos neuzrādās REFERER`. Ko te darīt, apskatīsim citreiz.

Mīnuss šīm te dereferer pasākumam ir arī vietņu uzturētājiem, arī man, jo es vairs neredzēšu dažādu interesantu informāciju par tevi, bet es daudz neuztraucos, jo tik un tā to (dereferer) nedarīs 99% lietotāju.
Nē, ir viens pluss arī uzturētājiem. Mazāki log faili
Atslēdzam:

3. Vairumā mājaslapu ir dažādi ārēji skaitītāji vai citi objekti, kas ievāc informāciju par tevi. Ja ir uzstādīts, ka tiek liegti external cookies, tad tev ir lielāka drošība, ka par tevi zinās mazāk.
Piemēram, tu vari apmeklēt http://www.microsoft.com/ un ar Web Developer apskatīties kādu informāciju microsoft.com saglabā sīkdatnē (cookie) ar nosaukumu WT_FPC (aiz id vērtības parādās tava IP adrese).

Te es sliecu uz to, ka cookies jāatslēdz vispār, bet pirmajā līmenī tas būtu par šerpu.

Atslēdzam:

4. Tā ir tāda samērā bīstama programmatūras parādība, ko tev noteikti būtu jāatslēdz, jo tu viņu neizmantosi tik un tā biežāk kā 1%, ja vispār izmantosi. Ja vari, tad atinstalē vispār nost Java. Neko gudrāku par Java un Java applet un tml. neuzrakstīšu, jo vienmēr to esmu atslēdzis. Pārlūkprogrammā tādu ekstru točna nevajag. Visas ekstras, kuras tu ne pārāk pārzini, tiek uzskatītas par maģiskām. Maģiju atslēdzam!
Atslēdzam:

Ā, ar Web Developer jebko, ko esi atslēdzis jebkurā laikā vari atkal ieslēgt. Papildinājumi un ieteikumi `Level 1` un `Level 2` ir laipni lūgti. Tīklā neredzams tu kļūsti pamazām Parasti gan drošībnieki dara pretēji – visu atslēdz un tad vajadzīgo pamazām pieslēdz.

Tests: Your IP address and browser info. Cits tests: Pods.lv whois

Lai pārāk neieietu sviestā, šodienai pietiks.

If you want to make some money on your spare time by doing something simple like clicking ads, then you’ve come to the right place!

Right now, Bux.to has a contest and 10 lucky winners will get 100 referers!

Sign up on bux.to and adbux, (bux.to is the best ptc ((Pay To click) site ever! Seriously, I prefer bux.to more than adbux, because bux.to has alot more ads.. therefor, more money

Links:
http://bux.to/?r=Someone00
http://adbux.org/?r=Someone00
(Please let me be your referer or whatever it’s called..I am ‘Someone00′. It should already be my name in the referal box.. If you dont let me be your referer then someone will buy you anyway..)

Signing up wont be a problem for you I hope! And afterwards just click on the ads under ‘Surf Ads’ for Bux.to, or ‘Incentives > Browse ads’ for Adbux, though you SHOULD go for bux.to

These sites really works (See their proof of payments..), the min payout is 10$, for both sites.. so as soon as you get that you’ll be able to cashout, and get your money after some time

So.. yeah, good luck getting some extra money!

Secção do Post: Humor.

Não é que não tivesse mais coisas a fazer ou postar. Mas isto de ser ”a Deusa” tem das suas coisas …e quando fui ver as stats do blog (que ao que parece amanhã faz um mês e está cada vez mais concorrido)…  achei as seguintes palavras como “referer” : second life é uma seita?

Pois bem…que o SL é muita coisa para muitos, já todos ouvimos dizer. Mas uma seita??

Coloco (novamente) a questão aos vossos comentários. E aproveitando também o “fecho” duma votação no blog do clube Tagus , aproveitem para comentar os resultados:

À questão “Ever tried SL”… as  respostas foram:

 - Off course and love it!- ————– 34 (89%)

-  Yes, but already quitted… ———– 4 (10%)

-  What is SL? Maybe I’ll try it… ——– 0 (0%)

-  Never did, never wilI!! ————— 0 (0%)

nota..eu sei que a conta está mal mas o que é que querem..fiz copy past

Ou seja, todos experimentámos… mas 10% desistiram. Claro que apesar da votação decorrer há meses,  o nº de votos não é representativo. Mas a mim preocupa-me que entre esses 4 pessoas/avies estejam amigos. Bons amigos (nalguns casos tenho quase a certeza que sim…).

Se for o vosso caso, ou se alguma vez pensaram desistir… digam as razões que puderem. E aproveitem-se para se despedir dos vossos amigos… que decerto gostavam de “ler” umas últimas palavras vossas

ps. Quanto à questão do título… pois o tópico não é Humor. Mas se ajudarem nos referer e procurarem num motor de busca essa expressão…pois decerto acham um ou outro blog que nos dá vontade de chorar… a rir