Re: [Hackmeeting] il progetto di cui parlavo mesi fa

Delete this message

Reply to this message
Autore: ɣęƈƞą
Data:  
To: hackmeeting
Oggetto: Re: [Hackmeeting] il progetto di cui parlavo mesi fa
Grazie per le belle parole :) ma dal punto di vista tecnico ci sono un po'
di aspetti che dovrei guardarci. li ho tralasciati perchè lo scopo di
advocacy iniziare superava la precisione dell'analisi, ma ora che il
progetto continuam... scrivo qui una lista, se avete suggerimenti ;)

1) quanto è affidabile GeoIP ? non ho misure. per ora mi baso su MaxMin.
2) sicuramente devo ignorare GeoIP quando si ha a che fare con CDN, e far
riferimento all'azienda che sta dietro. Ad esempio, alcune volte per
raggiungere facebook in Irlanda sembra che si passi da Singapore perchè
alcune delle reti di facebook hanno quell'indirizzamento. ma c'è una lista
di CND da qualche parte ? con associata, magari, compagnia che la gestisce
e/o locazione fisica dei server ?
3) siccome una rete può essere ruotata sull'infrastruttura di chi la
possiede, e questa infrastruttura può essere un cavo sottomarino
intercettato dal GCHQ o qualcos'altro, non c'è modo di capire dove sta
fisicamente il link... e questo è un grave peccato.
4) per rendere più chiaro l'effetto positivo di AdBlock+, disconnect.me,
RequestPolicy, NoScript o simili, sarebbe utile facessi girare sia firefox
che chrome headless con quei plugin caricati, in modo da fare
visualizzazioni alternative.
5) i sistemi di protezione del punto 4 dovrei valutarli bene, perché
qualcuno mi dice che Ghostery ora fa a suo modo del tracking. in generale,
servirebbe fare un privacy assessment a quei tool e scrivere un piccolo
report. ne avete mai visti ?
6) sto usando phantomjs per crawlare le pagine, ma non posso salvare il
contenuto di html/js/css, e questo servirebbe per uno dei prossimi passi
del progetto (analizzare javascript e dargli una valutazione su quanto è
invasivo, per differenziare tra chi usa LocalStore e XMLHttpRequest e
canvas [1], o chi semplicemente mette un banner). o metto un piccolo proxy
come parte dello script ( https://github.com/vecna/trackmap ), o se
conoscete altre soluzioni...
7) ho dei problemi a seguire alcuni redirect con phantomjs, finché sono
302/301 HTTP è ok, quando ce ne sono altri, ad esempio un index.html che
controlla la dimensione dello schermo per mandarti sulla versione
mobile/desktop, quello non va.
8) la raccolta dei media è stato uno sforzo distribuito per il mondo, ma
prima del lancio è stato rilasciato questo leak
http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html
(sono un po' di .pdf di snowden sul tema crittografia, dategli una letta)
ed ho cambiato lo script in modo da analizzare l'articolo stesso:
https://netzpolitik.org/2015/31c3-trackography-you-never-read-alone/ ne è
risultato che gli script presenti nelle singole pagine sono di più di
quelli presenti in homepage, ma non ho un modo automatizzato per poter
trovare l'url di un articolo a partire dal media. ve ne viene in mente
qualcuno ? (si parla di 3500 news media, ed è in crescita: non si può fare
a mano)
9) non ho in mente alcun uso utile di dig/whois

[1] credo si scoprirebbero cose simpatiche, tipo:
http://rt.com/usa/175116-white-house-website-canvas-fingerprinting/