Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 31
Cloudflare в самых неожиданных местах опять что-то ломает и мешается издевательски сложными капчами? Какой сюрприз.
Почему вы думаете, что это Cloudflare, а не блокировки провайдера?
Многие адреса CF в бане, если не повезет, и что-то нужное, типа капчи, отрезолвится в заблокированный IP, то увы, вы её не увидите. А заработать оно может само, как и сломалось — когда отрезолвится при следующей попытке в незаблокированный адрес, поскольку там CDN, а не один постоянный IP.
Многие адреса CF в бане, если не повезет, и что-то нужное, типа капчи, отрезолвится в заблокированный IP, то увы, вы её не увидите. А заработать оно может само, как и сломалось — когда отрезолвится при следующей попытке в незаблокированный адрес, поскольку там CDN, а не один постоянный IP.
Потому что я сам вижу эту страницу слишком часто. Там снизу написано, что это Cloudflare.
Да и с чего бы провайдеру показывать своим абонентам капчу.
Заголовок спойлера
Кстати, Shpankov, почему капча не заскринилась? Зарепорчено VB-58235 ещё в сентябре, уверен, что это часть того же бага.
Кстати, Shpankov, почему капча не заскринилась? Зарепорчено VB-58235 ещё в сентябре, уверен, что это часть того же бага.
Да и с чего бы провайдеру показывать своим абонентам капчу.
Я понял так, что main.js это скрипт Авито. И он не отдаётся, пока пользователь не пройдет капчу CF. Так сделал сам Авито (вероятно защита от ботов и т.п.). Браузер отправил запрос к капче CF, но обломался. потому что провайдер зарезал запрос. А без прохождения капчи браузеру не отдали main.js.
При следующей попытке (когда топикстартер непосредственно попытался открыть main.js) запрос прошёл.
Провайдер никакую капчу не показывает, провайдер (по приказу свыше) блокирует доступ к IP-адресам, которые уже не принадлежат «нехорошим» сайтам, а используются для чего-то полезного. С тем же успехом, это мог бы быть какой-то другой полезный IP-адрес, и даже не принадлежащий CF. Например, на одном популярном сайте в начале этого года несколько дней не грузились изображения, потому что IP-адрес, с которого они грузились, принадлежал Digital Ocean и ранее там сидело какое-то казино. В этом случае владелец IP-адреса виноват или всё же российские дебилы, вынуждающие провайдера вредить абонентам?
При следующей попытке (когда топикстартер непосредственно попытался открыть main.js) запрос прошёл.
Провайдер никакую капчу не показывает, провайдер (по приказу свыше) блокирует доступ к IP-адресам, которые уже не принадлежат «нехорошим» сайтам, а используются для чего-то полезного. С тем же успехом, это мог бы быть какой-то другой полезный IP-адрес, и даже не принадлежащий CF. Например, на одном популярном сайте в начале этого года несколько дней не грузились изображения, потому что IP-адрес, с которого они грузились, принадлежал Digital Ocean и ранее там сидело какое-то казино. В этом случае владелец IP-адреса виноват или всё же российские дебилы, вынуждающие провайдера вредить абонентам?
А, блокировки провайдера в смысле что CF заблокировал провайдера, а не РКН-стайл блокировки со стороны провайдера. Не так понял.
Моя изначальная претензия, скорее, к владельцам сайтов, что они их зачем-то пихают под CF, а потом пользователи страдают от унизительных капч. То есть, да, к Авито в том числе.
Моя изначальная претензия, скорее, к владельцам сайтов, что они их зачем-то пихают под CF, а потом пользователи страдают от унизительных капч. То есть, да, к Авито в том числе.
Не CF заблокировал провайдера, а провайдер заблокировал CF. Точнее, конекретный IP CF, откуда, по несчастливому совпадению, в этот момент отдавалась капча.
И первейший виновник тут — те, кто наполняет реестр заблокированных на территории РФ ресурсов.
И первейший виновник тут — те, кто наполняет реестр заблокированных на территории РФ ресурсов.
а потом пользователи страдают от унизительных капчВ данном случае, с большой вероятностью пользователь бы прошел капчу автоматически и незаметно для себя. Заметно это стало потому, что вместо капчи ему система блокировок, стоящая у провайдера, показала кукиш.
Зарепорчено VB-58235 ещё в сентябре
Подтверждён, ждёт очереди.
Хм. Я как-то на авито подал объявление 3 августа 1970 года один раз.
А можно ли обойти капчу?
получил доступ к синей бабочке
Что это значит?
Я вчера на reg.ru видел точно такую же картину. Причем попробовал с 5 разных компов.
Потому что для обхода блокировок вы используете прокси/впн/что-то-еще публичное и засратое. Cloudflare такое не любит и подсовывает вам каптчу (а скрипт этот сидит как раз на нем), вот и вся «Проблема».
Нужно либо пользоваться собственным впн, либо уметь такое вот решать.
Попробуйте через Оперовский впн поискать что-то в гугле — будет то же самое.
Нужно либо пользоваться собственным впн, либо уметь такое вот решать.
Попробуйте через Оперовский впн поискать что-то в гугле — будет то же самое.
Я отключал обход блокировок — та же фигня. Вы не представляете сколько комбинаций настроек можно перебрать за целую ночь
Отключить ее можно только пустив трафик напрямую. Возможно они еще и куки вам поставили, чтобы каптча осталась, не проверял этот момент.
Грубо говоря, Cloudflare считает вас зловредным трафиком и таким образом защищает владельца «сайта» от вас.
Причем, владелец каптчи не может сделать какую-то проверку на этот счет, это не он вам подсовывает такую страницу. В какой-то степени можно сказать, что вам как бы провайдер мешает загрузить скрипт. Технически это очень похоже.
В общем, поставьте на свой сайт Cloudflare и наслаждайтесь :)
Грубо говоря, Cloudflare считает вас зловредным трафиком и таким образом защищает владельца «сайта» от вас.
Причем, владелец каптчи не может сделать какую-то проверку на этот счет, это не он вам подсовывает такую страницу. В какой-то степени можно сказать, что вам как бы провайдер мешает загрузить скрипт. Технически это очень похоже.
В общем, поставьте на свой сайт Cloudflare и наслаждайтесь :)
Проблема в том, что можно было бы сделать на такой случай видную проверку на робота или что-то в этом роде. А не заставлять человека танцевать с бубном. Да, это камень в огород авито
Для отдачи статики мы в Авито используем CDN Cloudflare. Cloudflare работает не только как CDN — у них полноценный стек сервисов от L3 до L7. В том числе у них есть WAF, который на подозрительные запросы отдаёт страницу с капчей (как раз с hCaptcha).
Страница с капчей отдаётся к кодом ответа 403, и фаерволу в приниципе без разницы, какой тип ресурса вы запросили — HTML, JS, CSS или что-то ещё, в случае подозрительного запроса вам в любом случае прилетит HTML.
Почему ваш запрос посчитали подозрительным — всё просто, IP выходных нод TOR'а очень часто помечаются как подозрительные.
Подобные проблемы могут возникнуть на любом сайте, где статический контент отдаётся через CDN, а динамический — нет.
Нашего умысла защищать javascript от ботов и показывать им капчу тут нет, это чисто общая логика Cloudflare.
По поводу актуальности отдачи HTML на запрос JS и прочих ресурсов веб-страницы мы Cloudflare обратную связь передали.
Страница с капчей отдаётся к кодом ответа 403, и фаерволу в приниципе без разницы, какой тип ресурса вы запросили — HTML, JS, CSS или что-то ещё, в случае подозрительного запроса вам в любом случае прилетит HTML.
Почему ваш запрос посчитали подозрительным — всё просто, IP выходных нод TOR'а очень часто помечаются как подозрительные.
Подобные проблемы могут возникнуть на любом сайте, где статический контент отдаётся через CDN, а динамический — нет.
Нашего умысла защищать javascript от ботов и показывать им капчу тут нет, это чисто общая логика Cloudflare.
По поводу актуальности отдачи HTML на запрос JS и прочих ресурсов веб-страницы мы Cloudflare обратную связь передали.
Окей, но разве не стоит сделать какую-то проверку hCaptcha ДО загрузки JS, чтобы hCaptcha была пройдена и не стопорила загрузку JS, проходя ее на автомате?
Или (более сложное решение) грузить JS в неком пайпе и в случае требования ввести капчу — выводить проверку в фрейме
— На самом деле решений много, но почему-то всем было начхать
Также хочу заметить, что у Avito заблокированы почти все IP TOR-браузера
Поэтому могу утверждать, что заходил со своего статического IP-адреса
— На самом деле решений много, но почему-то всем было начхать
Также хочу заметить, что у Avito заблокированы почти все IP TOR-браузера
Поэтому могу утверждать, что заходил со своего статического IP-адреса
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Сказ о том, как hCaptcha сломала avito.ru