Хранилище dom что это

Как отключить новый вид Cookie называемым Dom Storage (Web storage)

С определенного времени в веб-браузерах появилась некая новая форма куков (Cookie). Это не совсем куки, но цели те же, а именно хранение данных. Называется этот метод «Dom Storage» (Web Storage). Под понятием Dom понимают «объектную модель документа». Этот новый тип хранения данных появился в Firefox, начиная со второй версии, и в Internet Explorer 8. Согласно различным источникам, Dom хранилища так же доступны в Safari 4+, Google Chrome 4+ и Opera 10.50+. Элементы такого хранилища могут хранить значительно больше информации, нежели обычные куки. С одной стороны это интересное нововведение, с другой стороны отсутствие единого стандарта и обширного тестирования пользователями на наличие проблем хранения и безопасности использования. Так что если для вас конфиденциальность на первом месте, то поддержку такого хранилища можно отключить следующими способами.

Как отключить Web storage (Dom storage) в Internet Explorer 8

Узнать подробнее о Dom Storage в IE8 вы можете в хэлпе Microsoft.

Как отключить Web storage (Dom storage) в Firefox 3 и выше

В Firefox так же можно отключить поддержку Dom Storage, для этого вам необходимо отредактировать конфигурационный файл следующим образом:

Вы так же можете использовать специальное расширение для FireFox, о котором шла речь в статье о флэш-куках. Кроме управления флэш куками, это расширение так же предусматривает отключение Dom Storage без необходимости редактировать файл конфигурации Firefox.

Более подробную информацию о DOM Storage в Firefox можно найти здесь.

☕ Хотите выразить благодарность автору? Поделитесь с друзьями!

Источник

sessionStorage и localStorage

В этой статье познакомимся с веб-хранилищами sessionStorage и localStorage, изучим методы JavaScript для работы, узнаем про их отличия друг от друга, и от файлов cookie, а также рассмотрим примеры использования в Google Tag Manager.

Самая большая проблема при использовании cookie в качестве локального хранилища заключается в том, что:

С появлением HTML5 мы получили доступ к более объемному веб-хранилищу (между 5 и 10 МБайт на каждый домен), которое сохраняет информацию между загрузками страницы и посещениями сайта (даже после выключения и включения компьютера). Кроме того, данные локального хранилища не отправляются на сервер при каждой загрузке страницы, в связи с чем ускоряется работа веб-приложения.

Существуют два основных типа веб-хранилища:

Оба типа являются свойствами глобального объекта браузера (window). К ним можно обращаться как window.sessionStorage (или sessionStorage) и window.localStorage (или localStorage) соответственно. В них можно хранить ТОЛЬКО СТРОКОВЫЕ ДАННЫЕ для ключей и их значений.

Разберем каждый из них подробнее.

sessionStorage (сессионное хранилище, хранилище сессии)

Объект sessionStorage используется гораздо реже, чем localStorage.

localStorage (локальное хранилище)

Каждый домен имеет доступ к своему хранилищу данных localStorage. Например, localStorage, используемый для, https://osipenkov.ru является отдельным от localStorage, используемым для https://coobiq.com. Субдомены (поддомены) и различные протоколы HTTP (HTTP и HTTPS) имеют независимые друг от друга хранилища данных. Например, localStorage https://gtm.osipenkov.ru используется полностью отдельно от https://osipenkov.ru. Точно так же localStorage https://osipenkov.ru используется отдельно от http://osipenkov.ru.

Некоторые браузеры блокируют localStorage в режиме инкогнито. localStorage работает даже с отключенными cookie.

Примечание: не храните в localStorage конфиденциальную информацию и личные данные пользователией, включая имя, фамилию, дату рождения, пароли, номера кредитных карт, номер телефона, e-mail и многое другое.

Что можно хранить и для чего использовать?

Хранение данных в локальном хранилище очень распространено. Классическим примером использования локального хранилища является веб-приложение типа Ежедневник, когда пользователь составляет список дел на день, и по мере выполнения удаляет их из списка. Для выполнения этой задачи не нужен сервер, подойдет localStorage. Кликнув по задаче из списка, которое человек уже сделал, она будет удаляться с локального хранилища и, следовательно, показываться пользователю больше не будет. Локальное хранилище часто используется для сохранения настроек пользователя на сайте (выбор темы оформления, вид отображения информации), чтобы при следующем заходе эти данные уже были применены к его профилю и повторно не вводились.

Посмотреть, что из себя представляют sessionStorage и localStorage, какие данные там хранятся у разных сайтов, можно в консоли разработчика на вкладе Application (для браузера Google Chrome).

Веб-хранилище (вкладка Application)

Либо использовать команды sessionStorage и localStorage на вкладке Console:

Команда sessionStorage или localStorage (вкладка Console)

Карточка пользователя по одному из чатов

sessionStorage vs localStorage vs cookies

Нагляднее всего продемонстрировать отличия между sessionStorage, localStorage и cookies с помощью таблицы:

Отличие cookies от sessionStorage и localStorage

Помимо этого, согласно правилам обработки персональных данных, установленных Генеральным регламентом ЕС о защите персональных данных (или GDPR — General Data Protection Regulation), владелец сайта должен получать разрешение от пользователей на использование файлов cookie. Для локального хранилища этого не требуется.

Как вы уже знаете, сейчас в части браузеров используется технология «умной защиты от слежения», которая предоставляет отчеты о заблокированных трекерах (в том числе и счетчиках веб-аналитики), тем самым препятствуется слежение за пользователями и показ им персонализированной рекламы с помощью файлов cookie. Хоть мы и можем устанавливать срок жизни куки, их время все равно зависит от настроек самих браузеров. Например, система интеллектуального отслеживания (Intelligent Tracking Prevention, ITP 2.2) Apple ограничивает в Safari использование основных файлов cookie (first-party) до 1 дня. В результате файлы cookie, установленные рекламными сервисами, например, Facebook, Google или Яндексом, для измерения трафика сайта и атрибуции рекламы, будут удалены через 24 часа. И если человек нажимает на рекламное объявление в пятницу, а затем решает отложить покупку в выходные, то в понедельник у нас уже не будет cookie, чтобы показать ему рекламу и напомнить о приобретении. Остается только надеется на то, что человек запомнил наш сайт и вернется сам.

Чтобы отслеживать пользователей больше этого времени, можно использовать localStorage. Но и тут разочарование относительно пользователей Safari. В последних обновлениях разработчики добавили ограничение в 7 дней, то есть срок жизни данных в локальном хранилище теперь ограничен. Когда пользователь просматривает сайт через Safari, счетчик становится равен 7 дням. В течение этого времени он должен повторно вернуться на сайт, чтобы мы смогли использовать информацию из локального хранилища. В противном случае данные по истечении этого времени будут удалены из localStorage.

Так или иначе, sessionStorage и localStorage активно используются разработчиками при разработке веб-приложений, а интернет-маркетологами как альтернатива файлам cookie. В блоге Симо Ахавы (Simo Ahava) есть статья, которая посвящена хранению Client ID в localStorage для Google Analytics.

Методы и свойства

Объекты хранилища sessionStorage и localStorage предоставляют одинаковые методы и свойства:

Запись данных в хранилище

Функция setItem(key, value) принимает ключ в качестве первого аргумента и значение в качестве второго аргумента. Как упоминалось ранее, все данные должны быть строками. Примеры установки:

Источник

Pool-party: новый тип атак на все браузеры от исследователей из Brave

Мы обнаружили, описали и сделали POC для нового типа уязвимости, в той или иной форме присутствующего во всех браузерах. Такой тип атак использует пулы‎ ограниченных общих ресурсов для создания сторонних каналов (aka side-channel). Трекеры могут использовать такие каналы для слежки за пользователями и обхода других мер защиты приватности в браузерах.

Опираясь на уже существующие исследования (например, XSLeaks и статью XSinator), которые изучали схожие вопросы, мы установили, что pool-party атаки мощнее, практичнее и распространённее, чем считалось раньше, и что все браузеры уязвимы.

Что ещё хуже, мы обнаружили, что подобные атаки могут отследить разные профили пользователей в браузерах на основе Gecko, включая Tor. Злоумышленники, атакующие такие браузеры, могут провязать действия в приватном режиме с действиями в обычных окнах, соотнося инкогнито-действия пользователя с его истинной‎ идентичностью.

Мы уже сделали фикс для этой проблемы, и в ближайшее время обновим наш браузер. Мы также работаем с представителями других браузеров для повсеместной починки этой беды. Ниже вы можете ознакомиться с результатами нашей работы, а ещё больше деталей доступно в препринте нашей статьи. В нём мы показываем практическую реализацию атаки на Webkit и Chromium-браузеры при помощи вебсокетов и на Gecko при помощи АПИ server-side events.

Бэкграунд: секционирование для приватности

Следуя требованиям пользователей и законодательства, браузеры усливают меры по защите конфиденциальности пользователей. Один из важных механизмов защиты конфиденциальности – это т.н. «секционирование»‎, при котором браузеры не позволяют трекерам следить за вами на разных сайтах, выдавая каждому сайту его собственный уникальный набор ресурсов (отдельное хранилище для кук, отдельный localStorage, отдельный кэш и т. д.).

Секционирование защищает пользователей от самых распространённых форм слежки, не позволяя скритам на одном сайте понять, что вы – тот же самый пользователь на другом сайте. Даже если и на site-a.example, и на site-b.example есть трекающий скрипт от tracker.example, секционирование не даст трекеру tracker.example понять, что один и тот же человек посетил оба сайта, и сделать межсайтовую провязку.

К сожалению, секционирование – это не универсальный рецепт от всех бед. Существует множество способов навредить конфиденциальности пользователя, от которых секционирование не спасёт, например: фингерпринтинг, синхронизация кук по идентификаторам пользователя, отслеживание IP и т.д. Тем не менее, секционирование – это полезный и важный инструмент защиты конфиденциальности в сети.

Источник

Как предупредить сбор персональных данных через браузер

Конфиденциальность в современных браузерах обеспечить пока еще сложно. Особые области памяти в скрытых папках и программах дают рекламщикам и администраторам сайтов возможность считывать ваше поведение в Сети несмотря на все предпринятые меры защиты. Куки В обычных куки веб-сайты хранят, к примеру, данные доступа или информацию, с помощью которой пользователь при следующем вызове страницы однозначно идентифицируется. [. ]

Конфиденциальность в современных браузерах обеспечить пока еще сложно. Особые области памяти в скрытых папках и программах дают рекламщикам и администраторам сайтов возможность считывать ваше поведение в Сети несмотря на все предпринятые меры защиты.

В обычных куки веб-сайты хранят, к примеру, данные доступа или информацию, с помощью которой пользователь при следующем вызове страницы однозначно идентифицируется. И если изначальной целью этого было обеспечение комфорта, то сейчас многие компании, в том числе и гигант Google, используют такие фрагменты данных для отображения целевой рекламы.

Искали ботинки в интернет-магазине? Существует большая вероятность, что в следующий раз вы будете видеть рекламу этого магазина, рассылаемую серверами Google, на всевозможных вебстраницах. Тот, кто готов отказаться от сомнительного комфорта, например, автоматического входа на определенные сайты, должен удалять куки — лучше всего одновременно с закрытием браузера.

Разоблачаем шпионов. В настройках браузера нередко можно вычислить отслеживающие куки и их «подателя» непосредственно по названию

В Google Chrome для этого зайдите в «Настройки» и нажмите там на кнопку «Показать дополнительные настройки». В раз деле «Личные данные» кликните по пункту «Настройкам контента» и выберите для файлов cookie опцию «Удалять локальные данные при закрытии браузера». В Mozilla Firefox из «Настроек» зайдите в «Приватность» и измените вариант «Firefox будет сохранять историю» на «Firefox не будет сохранять историю».

Если вы пользуетесь Internet Explorer или Edge корпорации Microsoft, в «Свойствах браузера» на вкладке «Общие» поставьте флажок рядом с опцией «Удалять журнал браузера при выходе». На устройствах на базе Android вы сможете настроить автоматическое удаление куки подобно настольным браузерам.

Система iOS, напротив, дает лишь возможность принципиально отказаться от сохранения куки. Для этого в меню настроек Safari выберите вариант «Блокировать cookies» и далее укажите «Блокировать всегда».

Как добраться до настроек

Пути к меню настроек программы зависят от браузера и операционной системы. Мы покажем самые быстрые способы.

Куки в Flash

Простого удаления куки, впрочем, недостаточно. У распространителей рекламы остается еще множество возможностей однозначно определить вас как пользователя. Помимо стандартных куки, избавиться от которых можно через интерфейс веб-браузера, существуют и другие, местонахождение которых отыскать гораздо труднее.

Коварны так называемые суперкуки: они остаются даже после удаления и переустановки браузера. Хранятся такие файлы, среди прочего, в Flash Player. Чтобы стереть данную информацию, необходимо зайти в справку на сайте. В открывшемся окне перетяните ползунок для «Глобальных параметров хранения» до конца влево. Кроме того, снимите оба флажка для опций под ползунком. Благодаря этому вы отнимете у сайтов возможность сохранять Flashкуки на вашем компьютере.

Защита от отслеживающих куки. Пользователи могут защитить себя от сохранения особых куки, снабдив файл конфигурации защитой от записи

Дополнительную защиту вы получите, если удалите Flash Player целиком. Поскольку большинство веб-страниц сегодня делают ставку на стандарт HTML 5, спокойно проведите эту процедуру. Тем самым вы также предотвратите хакерские атаки через крайне «дырявый» Flash Player.

Для удаления рекомендуем воспользоваться утилитой Flash Player Uninstaller. Мобильные системы поддерживают лишь Android Flash — и только особые браузеры. Все крупные разработчики, так же как и Apple в iOS, придерживаются стандарта HTML 5. Если вы не устанавливали специально веб-обозреватель для Flash, вам не придется выполнять какие-то особые действия на вашем смартфоне или планшете.

Скрытая память браузера

Сайты, наряду с совершенно обычными куки, могут заполнять особую область памяти в браузере, так называемое хранилище DOM Storage (Document Object Model).

В то время как стандартные куки записывают лишь несколько байтов, в DOM-куки может входить до 10 Мбайт информации. Несмотря на то, что к ним прибегают лишь некоторые владельцы сайтов, от этой информации систему также необходимо очистить.

Как правило, удалением куки через настройки браузера удаляются и куки DOM, однако лишь при полном удалении истории. Лучше всего полностью отключить этих пожирателей памяти. Для этого в Firefox через адресную строку зайдите в «about:config» и согласитесь с условиями окна предупреждения. Затем найдите строчку «dom.storage.enabled» и двойным щелчком установите значение на «false».

Скрытое хранение. Владельцы сайтов зачастую сохраняют информацию во Flash-куки, поскольку те очень сложно удалить. Для этого пользователю необходимо вызывать скрытое меню Flash

Для Internet Explorer и Edge перейдите в «Свойствах браузера» на вкладку «Дополнительно» и снимите флажок перед опцией «Включить хранилище DOM». В Chrome все настройки действуют как для стандартных, так и для DOM-куки.

Чтобы их заблокировать, в «Настройках» нажмите на «Показать дополнительные настройки» и выберите для «Настройки контента» вариант «Блокировать данные и файлы cookie сторонних сайтов». Если вы хотите удалить лишь куки DOM, используйте расширение Ghostery.

Безопасность за счет ваших данных

Еще глубже в системе укрепился совершенно особый вид суперкуки — HSTS-механизм (HTTP Strict Transport Security). Он должен, в первую очередь, защищать от хакеров. Совместимые с HSTS страницы создают перманентный файл куки на пользовательском ПК, который устанавливает, что впоследствии клиент с сервером сможет взаимодействовать исключительно через зашифрованное соединение.

Этот принцип не оставляет никаких шансов так называемым Downgrade-атакам, при которых клиенту лживо внушается, что сервер не обладает никакой технологии шифрования и поэтому доступ возможен только через небезопасное соединение. Однако, по словам известного информатора Эдварда Сноудена, HSTS-куки используются секретными службами для отслеживания. Таким образом, вам придется выбирать: больше безопасности или больше конфиденциальности?

Учтите, что атаки, от которых защищают HSTS-куки, относительно редки. При этом сегодня все чаще они используются для вынюхивания информации. У записи HSTS нет срока годности, и она остается при удалении куки браузера. Кроме того, даже режим приватности не защитит от слежки, во всяком случае в Chrome. Этот браузер передает значение куки даже в таком режиме.

Позиция Google — безопасность имеет большее значение, чем частная жизнь. Mozilla Firefox, а также IE и Edge от Microsoft, напротив, однозначно делают ставку на личную сферу. То же самое можно сказать и о мобильных браузерах. Как не допустить HSTS-куки в свою систему, зависит от браузера.

Предотвращаем хакерские атаки. Плагин NoScript блокирует на ненадежных сайтах все установленные плагины, а также JavaScript

Сложнее всего это сделать для Firefox, поскольку тут вам придется глубоко погружаться в структуру папок веб-обозревателя. Для этого введите в адресной строке «about: support» и в следующем окне нажмите на кнопку «Показать папку» рядом со строкой «Папка профиля». Здесь выберите файл «SiteSecurityServiceState.txt» и откройте его в Блокноте Windows.

С помощью комбинации «Ctrl+A+Del» удалите его содержимое целиком и сохраните файл клавишами «Ctrl+S». Для предотвращения последующей записи в этот файл, однако, необходимо дополнительно снабдить его соответствующей защитой. Для этого щелкните по файлу правой кнопкой мыши и выберите в контекстном меню пункт «Свойства».

В открывшемся окне поставьте флажок рядом с опцией «Только чтение». В Chrome этот процесс реализован гораздо проще. Здесь можно удалить отслеживающие куки для отдельных сайтов командой для адресной строки «chrome:// net-internals/#hsts».

Чтобы избавиться от всех HSTS-куки одним махом, необходимо стереть все данные браузера, а не только историю. Тот же принцип действия и для Internet Explorer 11 и Edge. В настройках удаления дополнительно активируйте «Данные веб-сайтов».

Где веб-сайты хранят конфиденциальную информацию о вас

> Куки
Компании сохраняют в локальном файле индивидуальные сведения о пользователях, например, данные доступа. Эти куки исчезают при удалении истории браузера

> Суперкуки
Суперкуки выживают при очистке стандартной истории браузера, и избавиться от них порой очень трудно

> DOM Storage
Это специальное хранилище в браузере, в котором администратор сайта, подобно куки, может сохранить файлы размером до 10 Мбайт. Удаление в некоторых браузерах может представлять трудности

Фото: компания-производитель

Источник

Поддержка HTML 5 DOM Storage

Необходимость

Пример

Простейший пример работы с localStorage, данные сохраняются и достаются из хранилища:

…
sessionStorage.someDataKeyName = ‘данные’;
…
var data = sessionStorage.someDataKeyName;
…

Обратите внимание, что создавать и получать доступ к данным в хранилищах DOM Storage можно не только через индексаторы типа sessionStorage[ ‘ someDataKeyName ‘ ], но и через псевдосвойства. Первая попытка записать данные в такое свойство создаст его экземпляр в хранилище.

Данные объекта window.localStorage могут быть доступны как для субдомена так и для родительского домена, скажем следующий пример при работе с доменом test.example.com сработает:

…
var someStorage = localStorage[‘элемент example.com’];
…

Однако, к другим субдоменам test.example.com доступа не имеет, следующий пример для контекста test.example.com неверный:
…
var someStorage = localStorage[‘элемент mail.example.com’];
…

Заключение

В этой статье я постарался рассмотреть относительно новый механизм DOM Storage, который является частью HTML 5 полностью поддерживается Internet Explorer 8. К сожалению, еще не все браузеры поддерживают DOM Storage, так например поддержка отсутствует у браузеров Chrome и Opera. Это в некоторой мере мешает распространению технологии, которая может стать очень полезной при разработке клиентских web-страниц с богатым функционалом.

DOM Storage помогает работать с данными на стороне клиента и приходит на смену механизму cookie, используемому для этих целей ранее. Снимая ограничения определенные механизмом cookie, DOM Storage предлагает не менее простой и эффективный способ хранения данных.

Источник