в интернете никто не знает что ты собака
Отношения в Сети: как не влюбиться в мошенника
Чтобы найти парня или девушку, больше не нужно ходить на вечеринки и рассказывать там сальные анекдоты. Вместо этого достаточно поставить приложение для онлайн-знакомств. Но безопасно ли это?
Раньше, чтобы познакомиться с кем-нибудь, приходилось ходить в разные места вроде баров, клубов, мальчишников, девичников и дней рождения. Иногда даже в библиотеку. К тому же нужно было набраться смелости и приложить определенные усилия, чтобы просто найти кого-то интересного, подойти и представиться.
Сейчас же приложения и сайты знакомств существенно облегчают эту задачу. С их помощью можно найти партнера даже в другом городе или стране, стоит только захотеть.
Некоторые службы онлайн-знакомств даже подбирают наиболее подходящие лично вам варианты. Для этого они проверяют миллионы учетных записей, следуя ряду критериев, отсеивают неподходящих кандидатов и показывают пользователю потенциально интересные профили.
В Google можно найти множество игривых приветствий для онлайн-знакомств — бери и пользуйся, не нужно изобретать велосипед и придумывать первую фразу самому. Остается только выбрать привлекательных кандидатов из категории «Рядом со мной» и отправить им прикольное приветствие, скопированное из поисковой выдачи, — а вдруг получится!
В Интернете никто не знает, что на самом деле ты собака
Рассматриваете вы, допустим, профили на сайте знакомств и замечаете привлекательную женщину, которая вам нравится. Вы отправляете ей сообщение — и она отвечает! Вы ей нравитесь, она хочет узнать вас поближе!
Вот на этом моменте не стоит терять бдительность: за маской обаятельной девушки может скрываться мужчина — киберпреступник, которому нужны ваши деньги и личные данные.
В прошлом году российская полиция арестовала двух мужчин из Смоленска, которые притворялись молодыми девушками на сайте знакомств. Мошенники флиртовали с мужчинами из Москвы, а потом обманом и угрозами выманивали у них большие суммы денег. Так вымогатели «заработали» около миллиона рублей.
Поучительная история о давно известном факте: в интернетах многие люди — не те, кем кажутся https://t.co/7yo99GFaO7 pic.twitter.com/JFB1mIaJIW
Известны и другие способы обмана: например, сотрудники сайтов знакомств создавали поддельные учетные записи красивых женщин, чтобы сделать сайт более интересным для клиентов. Новички принимали этих ботов за реальных людей и платили деньги сервису, чтобы продолжить разговор с понравившейся девушкой.
Истинные масштабы проблемы никто не может себе представить, так как многие жертвы, особенно состоящие в браке, молчат о случившемся.
Впрочем, на сайтах знакомств обманывают не только мужчин, но и женщин. На самом деле кто угодно может стать жертвой обмана. Моника Витти, психолог британского университета Лестер, так объясняет ситуацию: «Жертва не обязательно должна быть «уязвимой». Пострадать может даже образованный человек с хорошей работой. Мошенники иногда используют очень сложные и продуманные методы обмана».
Витти специализируется на киберпсихологии, у нее большой опыт работы с жертвами интернет-ловеласов. Она объясняет, что пострадавшие часто испытывают двойной стресс: они винят сами себя, а подвергаются осуждению со стороны друзей и близких. Витти отмечает, что большинство жертв преступников другого рода могут рассчитывать на поддержку и понимание, но, когда речь идет об онлайн-мошенничестве, друзья и семья чаще всего винят жертву. «Их реакция примерно такая: «Разве можно быть таким наивным?» — говорит Витти.
В День святого Валентина…
14 февраля многие пользователи получили цифровые валентинки от знакомых, а также от неизвестных отправителей. Если вы не знаете, кто подал вам знак внимания, будьте осторожны: такая открытка может вести на фишинговый сайт или на ресурс с вредоносным программным обеспечением.
Конечно, надежное решение безопасности, такое как Kaspersky Internet Security, защитит вас от вирусов и вредоносных сайтов, но, к сожалению, не спасет от разочарования. Поэтому мы составили список наиболее распространенных методов обмана, который поможет вам не стать жертвой мошенников в День святого Валентина.
Мошенничество: общие интересы и/или знакомые
Незнакомец пишет вам в соцсетях и утверждает, что вы познакомились с ним на большой вечеринке (например, на корпоративе или на свадьбе) или что у вас общее хобби. Если вы часто размещаете посты о своей жизни в соцсетях, публикуете много фотографий и не изменили настройки приватности по умолчанию, киберпреступникам достаточно внимательно изучить ваш профиль, чтобы разработать очень убедительный способ знакомства.
Совет: Если с вами пытаются познакомиться таким образом, лучше с подобным человеком не связываться. Прекратите общение, удалите его из друзей (или не добавляйте его) и поменяйте настройки приватности, чтобы только ваши настоящие друзья могли видеть ваши личные посты и фото.
Пользы псто! Написали обо всем, что нужно знать о настройках приватности в Facebook: https://t.co/wPYU3lhr9r pic.twitter.com/n2h1DezHa7
Мошенничество: компромат и шантаж
Чувство стыда издавна помогает преступникам зарабатывать деньги. Этот тип обмана получил широкое распространение в Сети с появлением веб-камер и общедоступного Интернета. После некоторого периода активного ухаживания мошенник просит жертву связаться с ним по видеочату. Его веб-камера почему-то сломана, но он очень хочет увидеть вас. Во время видеозвонка с помощью лести и уговоров обманщик убеждает жертву раздеться и, возможно, совершить некоторые компрометирующие действия перед камерой. Ну а затем мошенник показывает свое истинное лицо и утверждает, что записывал происходящее на видео, грозится опубликовать ролик в соцсетях или отправить друзьям жертвы, если не получит выкуп. Если пострадавший подчиняется, вымогатель часто требует еще и еще.
Совет: Если интернет-поклонник или поклонница просят вас о чем-то подобном — отказывайтесь. Человек, которому вы нравитесь, может подождать, пока вы не узнаете друг друга получше и не встретитесь вживую.
Если еще не читали, почитайте: парень транслировал на YouTube картинку с чужих веб-камер https://t.co/MnWbayraRU pic.twitter.com/pGAH0chGAc
Мошенничество: фальшивые сайты знакомств
Помните утечку данных с сайта Ashley Madison? Интернет тогда многое узнал о том, как устроена внутренняя кухня сервисов для онлайн-знакомств. Многие из них обещают легкое и приятное знакомство, но на самом деле на подобных сайтах нет ничего, кроме таких же жертв, мошенников и ботов.
Совет: Не заполняйте анкеты на сайтах, если они ориентированы на сбор в основном финансовых данных, а не информации о вашей личности и предпочтениях. Также обращайте внимание на общий климат на сайте: если в вашем профиле практически нет никакой информации или фотографии, но с вами все равно активно знакомятся «девушки» и «парни», вполне возможно, что вы оказались на фишинговом сайте.
С момента взлома сайта знакомств для изменщиков прошел год. Вспоминаем, как это было: https://t.co/ilMtbxiI7v pic.twitter.com/lyIIq4tcPS
Другие признаки мошенничества
Грамматические и пунктуационные ошибки
Если собеседник представляется россиянином, но при этом не может мало-мальски грамотно формулировать свои мысли, стоит насторожиться. Не все люди в Сети выражают свои мысли столь же чистым языком, как Александр Пушкин, и нет ничего плохого в том, чтобы не говорить по-русски, но человек явно лжет. Мошенники часто ищут жертв в других странах, и Интернет им в этом помогает. Очень плохой русский язык — хороший сигнал, что что-то не так.
Копипаста
Если профиль выглядит слишком хорошо, это тоже тревожный признак. Часто мошенники просто копируют текст и фотографии из популярных профилей с других сайтов знакомств, просто чтобы не придумывать ничего самому. Погуглите: если найдете в Сети пользователя с такой же анкетой или фотографией, но другим именем, то вас, скорее всего, пытаются обмануть.
Странные ссылки
Люди часто публикуют ссылки на клипы любимых групп, фотоотчеты из путешествий или рассказы о своем хобби. Ну а мошенники зачастую прикрепляют к своим учетным записям ссылки на низкопробные сайты, продающие разные товары или тренинги вроде «Как быстро разбогатеть», или же на ресурсы с содержимым для взрослых.
Двойная порция
В самом начале влюбленности эмоции зашкаливают и так, но мошенники часто пытаются усилить этот эффект. Они не только сыплют комплиментами, но и раскрывают подробности своей личной жизни (выдуманные, конечно), в которых «никому раньше не признавались». Также они часто оказываются в сложных финансовых ситуациях и иногда просят одолжить денег, чтобы покрыть разнообразные расходы — от пополнить номер мобильного до купить билет до дома. Часто деньги нужны СРОЧНО. В общем, как только речь заходит о деньгах, лучше побыстрее закончить общение с такими собеседниками.
Безопасные свидания
В общем, онлайн-знакомства — это всего лишь еще одна сторона Интернета. Похожие угрозы таятся и в других уголках Мировой сети. Однако не стоит избегать сайтов знакомств, соцсетей или онлайн-магазинов только потому, что некоторые из них могут быть опасными. Лучше знать о возможных опасностях и уметь их избегать.
Тотальная слежка в интернете — как за тобой следят и как положить этому конец
Содержание статьи
В 1993 году журнал «Нью-Йоркер» напечатал знаменитую карикатуру про пса за компьютером. «В интернете никто не знает, что ты собака», — сообщала подпись. Спустя двадцать с лишним лет дела обстоят с точностью до наоборот. В сегодняшнем интернете любая собака знает, кто ты такой, — и порой даже лучше, чем ты сам.
Интернет плохо совместим с тайнами, и тайна частной жизни — не исключение. О каждом клике, сделанном в браузере, по определению должны знать две стороны: клиент и сервер. Это в лучшем случае. На самом деле где двое, там и трое, а то и, если взять в качестве примера сайт «Хакера», все двадцать восемь.
На примере
Чтобы убедиться в этом, достаточно включить встроенные в Chrome или Firefox инструменты разработчика. Согласно им, при загрузке главной страницы xakep.ru браузер совершает 170 запросов. Больше половины этих запросов не имеют ни малейшего отношения к документам, которые расположены на серверах «Хакера». Вместо этого они ведут к 27 различным доменам, принадлежащим нескольким иностранным компаниям. Именно эти запросы съедают 90% времени при загрузке сайта.
Что это за домены? Рекламные сети, несколько систем веб-аналитики, социальные сети, платежный сервис, облако Amazon и пара маркетинговых виджетов. Похожий набор, и зачастую даже более обширный, имеется на любом коммерческом сайте. Побочный эффект этого заключается в том, что твои визиты на xakep.ru — никакой не секрет. О них знаем не только мы (это само собой), но и обладатели этих 27 доменов.
Многие из них не просто знают. Они наблюдают за тобой с самым пристальным интересом. Видишь баннер? Он загружен с сервера Doubleclick, крупной рекламной сети, которая принадлежит Google. С его помощью Гугл узнал, что ты побывал на xakep.ru. Если бы баннера не было, он нашел бы другой способ. Те же данные можно извлечь с помощью трекера Google Analytics или через AdSense, по обращению к шрифтам с Google Fonts или к jQuery на CDN Google. Хоть какая-то зацепка найдется на значительной доле страниц в интернете.
Анализ истории перемещений пользователя по интернету помогает Google с неплохой точностью определить его интересы, пол, возраст, достаток, семейное положение и даже состояние здоровья. Это нужно для того, чтобы точнее подбирать рекламу. Даже незначительное увеличение точности таргетинга в масштабах Google — это миллиарды долларов, но возможны и другие применения. Согласно документам, которые опубликовал Эдвард Сноуден, американские и британские спецслужбы перехватывали трекеры Google для идентификации подозреваемых.
За тобой следят — это факт, с которым нужно смириться. Лучше сосредоточиться на других вопросах. Как они это делают? Можно ли скрыться от слежки? И стоит ли?
Найти и перепрятать
Для того чтобы следить за человеком, нужно уметь его идентифицировать. Самый простой и хорошо изученный способ идентификации — это cookie. Проблема заключается в том, что он уязвимее всего для атак со стороны поборников privacy. О них знают и пользователи, и даже политики. В Евросоюзе, к примеру, действует закон, вынуждающий сайты предупреждать пользователей о вреде кук. Толку ноль, но сам факт настораживает.
Другая проблема связана с тем, что некоторые браузеры по умолчанию блокируют cookie, установленные третьей стороной — например, сервисом веб-аналитики или рекламной сетью. Такое ограничение можно обойти, прогнав пользователя через цепочку редиректов на сервер третьей стороны и обратно, но это, во-первых, не очень удобно, а во-вторых, вряд ли кого-то спасет в долгосрочной перспективе. Рано или поздно потребуется более надежный метод идентификации.
В браузере куда больше мест, где можно спрятать идентификационную информацию, чем планировали разработчики. Нужна лишь некоторая изобретательность. Например, через свойство DOM window.name другим страницам можно передать до двух мегабайт данных, причем в отличие от кук, доступных лишь скриптам с того же домена, данные в window.name доступны и из других доменов. Заменить куки на window.name мешает лишь эфемерность этого свойства. Оно не сохраняет значение после завершения сессии.
Несколько лет назад в моду вошло хранение идентификационной информации при помощи так называемых Local Shared Objects (LSO), которые предоставляет Flash. В пользу LSO играли два фактора. Во-первых, в отличие от кук, пользователь не мог их удалить средствами браузера. Во-вторых, если куки в каждом браузере свои, то LSO, как и сам Flash, один для всех браузеров на компьютере. За счет этого можно идентифицировать пользователя, попеременно работающего в разных браузерах.
Может сложиться впечатление, что LSO придумали специально для слежки, но это не так. На самом деле разработчики Adobe просто не осознавали, что они делают. Когда до них дошло, что LSO можно использовать в качестве бессмертной вездесущей куки, они поспешили исправить оплошность и добавили программный интерфейс, удаляющий LSO. Современные браузеры вызывают его при очистке кук. Это несколько уменьшило полезность LSO, но трекеры по-прежнему применяют эту технологию.
У LSO есть несколько альтернатив. В первую очередь речь идет о HTML5 Local Storage — хранилище данных, которое встроено во все современные браузеры. Оно также очищается одновременно с куками и, в отличие от LSO, не может служить для слежки за пользователями в других браузерах. Тем не менее исследователи отмечают, что HTML5 Local Storage используется рядом крупных сайтов для резервного хранения идентификационной информации.
Более экзотический вариант — браузерные базы данных IndexedDB и Web SQL Database. Их в той или иной степени поддерживают последние версии Firefox, Chrome и Internet Explorer. Первые случаи практического использования IndexedDB в качестве запасного варианта на случай утраты обычных кук и LSO были замечены в 2014 году на китайских сайтах weibo.com и sina.com.cn.
В 2011 году сервис аналитики Kissmetrics предпринял попытку спрятать идентификатор пользователя еще глубже — в сам запрос HTTP. Для хранения идентификатора приспособили поля Etag и Last-Modified, предназначенные для проверки актуальности закешированной версии документа. Обычно при отправке документа клиенту сервер помещает в поле Etag его хеш, а в поле Last-Modified — дату последнего обновления. Когда документ потребуется снова, браузер сообщит серверу значение Etag или Last-Modified его закешированной версии. Если они совпадают с известными серверу, тот не станет отправлять данные снова, а вернет статус 304: «документ не изменился».
Бросается в глаза, насколько этот процесс похож на обмен куками. Разница лишь в реакции сервера, но как раз ее-то поменять проще всего. Если в Etag поместить идентификатор пользователя, он будет храниться у клиента до тех пор, пока цела страница в кеше браузера. Там он переживет удаление кук и даже отключение JavaScript. Чтобы полностью избавиться от него, пользователю придется очистить кеш и обнулить историю посещений. Etag и Last-Modified можно использовать для восстановления идентификатора, когда и куки, и данные из LSO или HTML5 Local Storage утрачены.
Кеш и история посещений — это вообще находка для шпиона, и не только из-за Etag. Начнем с того, что идентификатор можно не просто прилагать к закешированному файлу, но и вставлять в него. В этом случае, пока жив кеш, сохранится и идентификатор пользователя. Более хитрый метод использует постоянные редиректы по статусу 301. Сервер выдает этот статус при изменении адреса документа. Браузер запоминает новый адрес и в будущем переходит по нему, минуя старый. Этот механизм применяют для сохранения идентификаторов пользователя.
Вот как это делают: в документ встраивают запрос к невидимой картинке, iframe или скрипту. Если в запросе отсутствует параметр с идентификатором, сервер возвращает постоянный редирект на тот же URL, но уже с идентификатором. Браузер запоминает адрес с идентификатором и в следующий раз вызывает его. Этот метод интересен тем, что с его помощью можно обмениваться идентификатором между доменами, ведь кеш-то общий.
Родственный метод основан на использовании кеша HTTP Strict Transport Security (HSTS). Согласно стандарту HSTS, сервер может с помощью специального поля в запросе рекомендовать браузеру устанавливать для определенных документов защищенное соединение. Браузер сохраняет эти рекомендации в кеше HSTS. При необходимости в них можно зашифровать идентификатор пользователя. Для этого следует встроить в страницу несколько невидимых изображений, при запросе к которым браузер возвращает рекомендацию HSTS. Каждая такая рекомендация рассматривается как один бит идентификатора.
Усы, лапы и хвост — вот мои документы!
В последнее время набирает популярность другой подход к решению этой проблемы — так называемый фингерпринтинг (от английского слова fingerprint — отпечаток пальца). Фингерпринтинг идентифицирует пользователя не по специальным меткам, сохраненным на его системе, а по уникальным особенностям его браузера, системы и устройства.
Поскольку фингерпринтинг не требует хранения данных на клиенте, его очень трудно заметить и почти невозможно избежать. Если куки действуют лишь в рамках одного домена, уникальные особенности остаются неизменными при посещении различных сайтов. Это значительно упрощает слежку за передвижениями пользователя по интернету. Хуже того, в отличие от кук уникальные особенности нельзя отключить. Усилия пользователя приведут максимум к замене одного набора признаков другим, еще более узнаваемым.
Простейшие методы фингерпринтинга используют в качестве уникальных характеристик IP-адрес, версию браузера и системы, системный язык, разрешение экрана, часовой пояс, показания часов с точностью до миллисекунды и список стандартных шрифтов, установленных на компьютере. При помощи Flash этот список можно дополнить сведениями о подключенных к устройству мыши, клавиатуре, микрофоне, камере и поддержке мультитача.
Незначительные изменения некоторых признаков не мешают опознавать уже знакомого пользователя. Он может воспользоваться другим браузером, переехать в другой часовой пояс или поменять разрешение, но, если не сделать все это одновременно, вероятность идентификации останется высокой.
Существуют и более замысловатые способы фингерпринтинга. Компания AddThis экспериментировала с идентификацией пользователя по особенностям отображения шрифтов. Для этого создается невидимый пользователю canvas, на котором выводится надпись. Хеш последовательности данных о цвете каждого пикселя canvas и становится идентификатором. На то, как именно будет выглядеть надпись, влияет операционная система, установленные шрифты, графическая карта, версия графических драйверов, настройки сглаживания, тип и версия браузера, а также особенности самого дисплея. Тонких отличий предостаточно (PDF), но на них трудно повлиять — идеальное сочетание для трекинга.
К слову, виджеты AddThis, год назад незаметно проводившие фингерпринтинг каждого посетителя, теперь стоят и на сайте xakep.ru. Но можешь быть спокоен: когда эту компанию поймали за руку, она прекратила эксперимент. Сейчас никакого фингерпринтинга. По крайней мере, заметного.
Еще один метод фингерпринтинга анализирует историю посещений. Исследователи показали, что информация о посещении 500 сайтов из заранее определенного набора позволяет точно идентифицировать около 70% пользователей, причем в том случае, если в истории присутствуют социальные сети, речь может идти не просто об идентификации, но и о деанонимизации.
Чтобы определить, посещал ли пользователь тот или иной сайт, есть свои хитрости. Например, можно попытаться загрузить документ с нужного сайта. По скорости отзыва будет понятно, есть он в кеше или нет. Можно воспользоваться тем фактом, что ссылки на посещенные сайты отображаются другим цветом. Чтобы выяснить цвет, сгодится все тот же canvas. Есть, впрочем, вариант любопытнее: ссылки нетрудно замаскировать под капчу. Тогда пользователь сам выдаст все нужные сведения. Этот способ особенно полезен, когда JavaScript отключен.
Как замаскировать ссылки под капчу? За счет различного оформления посещенных и непосещенных ссылок. Исследователи из университета Карнеги — Меллон, которые в 2011 году предложили эту методику извлечения истории, перечисляют несколько возможностей. Во-первых, можно сделать каждую ссылку отдельным словом и при помощи CSS скрыть посещенные ссылки. Теперь нужно попросить пользователя ввести текст, который он видит. По пропущенным словам легко определить, на каких сайтах он уже был. Другой вариант капчи представляет собой изображение шахматной доски, на которой расставлены пешки.
Каждая пешка — это опять-таки ссылка, и просмотренные ссылки сделаны невидимыми. Пользователь должен кликнуть каждую пешку. Пешки, на которые он не кликнул, соответствуют ссылкам, ведущим на посещенные сайты.
Шапочка из фольги своими руками
Даже беглого перечисления методов трекинга достаточно для того, чтобы уловить общие мотивы. Во-первых, Flash. Его исчезновение избавит сразу и от LSO, и от утечки сведений об устройстве, которая упрощает фингерпринтинг. Лучше обойтись без Flash — в 2015 году это просто.
Чтобы предотвратить хранение идентификатора в HTML5 Local Storage и иже с ним, нужно либо избавляться от JavaScript, либо запрещать куки. И то и другое — совсем не безболезненный процесс. Отсутствие кук и JavaScript не только делает невозможным использование современных веб-приложений. Нередко оно ломает совсем безобидные сайты. Страдания неизбежны, и дальше будет только хуже.
Бороться с методами, которые используют кеш? Это гиблое дело. От Etag и Last-Modified еще можно спрятаться за прокси, переписывающим HTTP-запросы, но и только. От кеша редиректов нет спасения. От кеша HSTS тоже, и это, к слову, правильно — его отсутствие делает браузер уязвимым для атак типа MITM. Частое удаление кеша — это, кажется, единственный выход, но и он далек от идеала.
С фингерпринтингом дело обстоит еще веселее. Борьба с трекерами делает тебя уязвимее для фингерпринтинга. Удалил Flash? Что ж, теперь ты белая ворона. Вас таких меньше процента, и более уникального признака не придумать. С тем же успехом можно прятаться на улице города при помощи накладной бороды, темных очков и большой шляпы. Это не маскировка, а эффективный способ привлечения внимания к своей персоне. Еще Tor поставь, и будет комплект!
Рассчитывать на полную победу над трекерами вряд ли стоит, но создать иллюзию незаметности все же можно. Для начала оговорим выбор браузера. Эппловский Safari отпадает сразу. Он уникален тем, что не выключает куки, локальные хранилища данных и кеш даже в режиме инкогнито. Chrome — хороший браузер, но настоящему параноику следует держаться от него подальше. В Google никогда не скрывали, что собирают и анализируют информацию о пользователях. Остается Firefox. Он не лишен порочных связей с Google и даже пингует его при установке, но какой у нас выбор?
Блокировщик трекеров Firefox заимствует черный список у Disconnect — популярного средства блокировки трекеров, которое существует в виде браузерного аддона и приложения для всех популярных платформ. Очевидный недостаток Disconnect в том, что лучше всего он знает трекеры, которые популярны за границей. Мусор из России течет через него, как сквозь решето.
С популярной альтернативой Disconnect — аддоном Ghostery — тоже не все просто. Он эффективно удаляет трекеры, а затем продает информацию о своих пользователях тем самым рекламщикам, которые их ставят. В теории от продажи своих данных можно отказаться, но на практике — какого параноика убедят эти отговорки? Либо приложения, торгующие данными, либо борьба со слежкой — нужно выбрать что-то одно.
Неплохой репутацией пользуется блокировщик рекламы и трекеров uBlock Origin. Он позволяет подписаться на множество черных списков различного происхождения и назначения, в том числе для блокировки рекламы, трекеров, кнопок социальных сетей и вредоносного кода. Им можно заменить и Adblock Plus, и Ghostery.
С помощью аддона RequestPolicy Continued можно закрутить гайки еще сильнее. Он запрещает любые запросы к другим доменам, если пользователь заранее не внес их в белый список. Аддон Self-Destructing Cookies уничтожает куки и содержимое локальных хранилищ после завершения сессии. Наконец, старый добрый NoScript блокирует исполнение JavaScript, Flash и Java и включает только по просьбе пользователя.
Завершив выполнение рекомендаций, перечисленных в прошлом абзаце, стоит задуматься о жизни. Каким будет следующий шаг? Тебя все равно найдут, поэтому лучше не медлить. Беги в тайгу, подальше от NoScript и Flash. Firefox и аддоны — это полумеры и самообман. Против интернета помогут топор и кусачки, против фингерпринтинга — наждачная бумага. Удачи!