crypt of decay - всё, что имеет смысл... [entries|archive|friends|userinfo]
ketmar

[ userinfo | ljr userinfo ]
[ archive | journal archive ]

всё, что имеет смысл... [Jul. 18th, 2021|05:47 am]
Previous Entry Add to Memories Tell A Friend Next Entry
Linkmeow!

Comments:
[User Picture]
From:[info]steinkrauz
Date:July 19th, 2021 - 09:19 pm
(Link)
Клайдфейр это сторонний сайт, на нем понято зачем.
На защищаемом сайте наличие жс от дудоса никак не поможет

Ну вот рекапча да, требует. Но она не единственный вариант, в принципе и самому написать капчу не так сложно.

Впрочем, если уеб-анашки не могут без жабоскрипта даже формочку запостить, то чо уж о тонкостях рассуждать
[User Picture]
From:[info]ketmar
Date:July 19th, 2021 - 10:03 pm
(Link)
>Клайдфейр это сторонний сайт, на нем понято зачем.
тоже совершенно непонятно, кстати: обходится элементарным использованием безголового браузера. просто «антидудос» делают точно такие же дегенераты, как и всё остальное.
[User Picture]
From:[info]steinkrauz
Date:July 20th, 2021 - 06:36 am
(Link)
Ну хз, крайний раз когда я это смотрел, headless прекрасно им детектился.
[User Picture]
From:[info]ketmar
Date:July 20th, 2021 - 06:43 am
(Link)
вот скажи мне: если я, значит, открываю говносайт, мне ничего делать не надо, говносайт просто «прошёл проверку» — то каким образом точно ту же самую проверку не пройдёт софтина, которая точно такой же браузер, только финальный этап: «покажем хуету в окошке» отсутствует? хоть ты усрись, но от «настоящего браузера» ты её никак не отличишь. потому что нечего отличать.

дегенератов со всякими там хуетронами и говнениумами мы, понятно, тут не рассматриваем.
[User Picture]
From:[info]ketmar
Date:July 20th, 2021 - 06:46 am
(Link)
p.s.: да, простой программкой на XULRunner отлично обходится. делал как-то ради интереса скрапер, надо было.
[User Picture]
From:[info]steinkrauz
Date:July 20th, 2021 - 07:06 am
(Link)
XULRunner? Это сколько лет назад было?

Хедлесы надёжно резать стали году в 18 или в 19
[User Picture]
From:[info]ketmar
Date:July 20th, 2021 - 07:21 am
(Link)
>XULRunner? Это сколько лет назад было?
а с чего ты решил, что зулранер куда-то делся? вообще-то UXP его отлично поддерживает.

и я тебя ещё раз спрошу: поясни мне технологию этого процесса. раз «надёжно» — то она есть, и отличить безголову от головы несложно. мне интересно знать, как. потому что libastral всё ещё требует для сборки libastral, а других методов я представить не могу.
[User Picture]
From:[info]mattekudasai
Date:July 20th, 2021 - 08:53 am
(Link)
Вот новая версия тулзы (проклятое веб приложение лол) от EFF
https://coveryourtracks.eff.org/

Там же и описаны методы фингерпринтинга.
Думаю, подобное несложно воспроизвести со стороны клаудфлары. Если фингерпринт не достаточно уникален (а ванильные настройки будут точно слишком паленые, если не явно говорящие что это хэдлесс), держи капчу.

Или идите пердольтесть с рандомизацией данных локалей, экрана, плагинов, webgl. Хз даже, все ли можно сфейковать.

И как защита от дурака, или от steinkrauz решившего просто посмотреть, не потратив слишком много времени, вполне катит. Думаю, наебать все равно можно, но надо изощряться. Да и вообще, как я выше писал, слишком много трафика из ip/подсети - ану 10% запросов попробуйте капчу. Масово не могут пройти - ну держите капчу 100%.
[User Picture]
From:[info]ketmar
Date:July 20th, 2021 - 09:03 am
(Link)
вообще-то капчу показывают если фингерпринт уникален, это достаточно очевидно.

и я всё ещё не понимаю, что может «говорить, что это хэдлесс». мне так никто и не сказал, каким методом собираются определять, что на результат рендера смотрит хуманс глазами, а не /dev/null ничем. а я очень хочу узнать об этой технологии, потому что это реальный прорыв, и я таки побегу её продавать, после чего стану очень-очень богатым, а с вами нихера не поделюсь.
[User Picture]
From:[info]mattekudasai
Date:July 20th, 2021 - 09:25 am
(Link)
Ну значит и на недостаточную и избыточную уникальность.
И время от времени капчу при избыточном или подозрительном трафике.

Ты сейчас троллируешь, заказывая 100% гарантированный метод определения одного и того же браузера, работающего в разных режимах. Ясно что без каких-то косяков со стороны самого браузера, простого и гарантрованного метода нету, а есть некоторый набор эвристик.

[User Picture]
From:[info]mattekudasai
Date:July 20th, 2021 - 09:28 am
(Link)
... делающий процедуру не невозможной, но достаточно сложной, полностью пресекающий школотронские попытки уронить Вакабу и усложнить жизнь Макаке. Люди с достаточной мотивациией и ресурсами, наверное, смогут запустить эффективную на короткое время атаку. Только вот зачем?
[User Picture]
From:[info]ketmar
Date:July 20th, 2021 - 05:43 pm
(Link)
но меня же уверают, что есть охуенно надёжный метод отличать безголовые браузеры. вот я и пытаюсь его выяснить. или хотя бы какой-то метод. но мне про него не рассказывают, только продолжают утверждать, что он есть. как-то это очень напоминает боженькиных проповедников.
[User Picture]
From:[info]steinkrauz
Date:July 20th, 2021 - 10:03 am
(Link)
Насколько я пони маю, они ловят отличия движка жс в хедлесе по сравнению с обычным браузером.

[User Picture]
From:[info]ketmar
Date:July 20th, 2021 - 05:44 pm
(Link)
(бьётся головой об стол) что?! ЧТО?!! стэйн, дорогой, ты сейчас такую хуйню сказал, что потом перечитаешь — и тебе будет стыдно.
[User Picture]
From:[info]mattekudasai
Date:July 20th, 2021 - 08:22 am
(Link)
Я хедлесс не пробовал, но щупал предшественника - PhantomJs. Делали жуткий хак, потому что заказчику надо было слать вьюшку с таблицами и графиками "один в один как на сайте" быстро и девешево на послезавтра - ну и закостылили рендеринг через фантом по быстрому.

Еще пробовали поиграться и грабать с кой-каких сайтов кой-какие данные, которые они очень не хотели давать грабить автоматически. По опыту скажу что безголовым дыдосить будет слишком дорого обходиться, если надо положить что-то спрятанное за дыдос протекшеном - слишком много машин надо запустить. Это если предположить что тот же Клаудфлэр, обманутый роботом не сдетектит слишком много трафика из подсети, и не въебет живительную капчу.

Ты тут тоже предложил в слишком общих фразах, дорогой :)
[User Picture]
From:[info]ketmar
Date:July 20th, 2021 - 08:45 am
(Link)
>слишком много машин надо запустить
ты просто не знаешь, где и как арендовать ботнет по умереным ценам. что совершенно не проблема для того, у кого есть желание, тащемта. как и решение капчи «тыща за цент» (или сколько там оно сейчас стоит — думаю, ещё на порядок дешевле). прото нахуй никому не нужны неуловимые джо. чистейшей воды карго-культ.
From:(Anonymous)
Date:July 21st, 2021 - 12:18 am
(Link)
Скорее всего, им это говно просто достается в комплект к хостингу.
[User Picture]
From:[info]tzirechnoy
Date:July 30th, 2021 - 08:01 am
(Link)
Ну, когда ддос делают такие жэ (если не те жэ самые) дегенераты -- то это вполне работает.

(Безголовый сайт там и не нужэн, этот code snippet на js можно и в голове вычислить, не то что простенький калькулятор накорябать)
[User Picture]
From:[info]ketmar
Date:July 30th, 2021 - 08:03 am
(Link)
можно. но проще пнуть безголову, там вообще думать не надо.