Обход Cloudflare. Часть I

[CrazyHackGUT]

Первая мысль, когда я увидел патчинг v8 в Хромиуме: "а не проще было изначально пропатчить нужные объекты в рантайме"?

[mrlolthe1st]

Это гораздо сложнее. Особенно, если уметь динамически от запуска к запуску что-то менять. Да, можно вытянуть из envrionment нужные значения, но тогда патч хромиума разрастается и становится огромным, мэйнтейнить это для новых версий становится неудобно и времязатратно. Поэтому был выбран путь минимальных правок в код хромиума.

[ky0]

Потом владелец сайта включает Interactive Challenge - и плохо становится не только любителям попарсить, а вообще всем.

[poige]

Ну тут само собой напрашивается цитата из, так сказать, материала — «И, кажется, в 2025 году уже можно привыкнуть к». Её, кстати, можно логически развить и до: «в 2025 году уже можно привыкнуть к тому, что описано в любом уголовном кодексе».

Вообще, конечно, все эти оправдания — из категории относительной морали и выпадения до первобытного «права сильного». Только вот тем же людям обычно не нравится, когда это происходит в адрес их самих — забавно, не правда ли? :)

[mrlolthe1st]

Я, кстати, соглашусь с @vikarti: в аутсорсе стоимость 1к turnstile'ов всего 100 рублей. Кажется, это достаточно дешево. Но, я всё же постараюсь к концу третьей статьи сделать что-то (точнее показать), что будет съедать еще меньше денег (разумеется, с аналитикой).

[vikarti]

Включая владельца из-за того что людей ходит меньше - сайт то не уникальный. При этом если людям реально хочется скрейпить - в ход идет и аутсорс сервисы проверки капчи (ну и автоматизация через "ИИ").

Правда можно и это обойти - например задействовав аттестацию клиентских устройств - внезапно у Apple оно уже есть - https://httptoolkit.com/blog/apple-private-access-tokens-attestation/ и гугл пытается аналогичную штуку продвинуть. Такую штуку разве через атаку на инфраструктуру ломать (ну или камеры и прочее)

[KivApple]

Есть ботофермы из реальных устройств. Там все аттестации будут пройдены.

Ещё есть сервисы, где юзерам платят копеечку за выполнение простых заданий типа открыть какую-то страницу. Или даже просто установить и запустить специальное приложение.

Вопрос цены атаки.

[winkyBrain]

Годно! Нравятся темы, в которых лезут глубоко в js) на ютубе есть серия видео Программные клики - Защита и нападение - вот там на таком же уровне проблема рассматривается, советую

[anzay911]

Всё же уже придумано. В Firefox есть privacy.resistFingerprinting. Расширение CanvasBlocker есть как для Firefox, так и для хромовых (вроде разные). User-Agent Switcher так же. Адблокеры режут трекеры.

[mrlolthe1st]

Разве что мозиллой пользуется примерно 2.5% пользователей, и часть JS функционала (по крайней мере, по моему опыту использования) реализована там кривовасто. Если тебе не сложно, можешь прийти в личку/на почту с подробностями? Я попробую это протестировать и напишу свою резолюцию либо сюда в комментарии, либо в следующую статью.

[Alex-Freeman]

Последний раз, пару месяцев назад, когда я смотрел хромные расширения, то ни одно нормально не работало, включая  CanvasBlocker, например, часть меняет отпечаток, но он фиксированный, запускаешь на нескольких VM отпечаток изменился но на один и тот же или меняют отпечаток от запроса к запросу и тд. А вот для мурзилы  CanvasBlocker работает нормально (кстати это два разных  CanvasBlocker с разными авторами).

Но как правильно заметил автор, FF пользуется небольшое количество людей и это уже паттерн для системы.

Кстати наличие Адблокера это тоже паттерн, который в совокупности с остальными данными дает возможность достаточно точно идентифицировать машину.

[mrlolthe1st]

Я тоже видел эти расширения. Главная их проблема в том, что они написаны на коленке и очень легко палятся.

[KivApple]

Canvas Blocker поломает кучу легитимных сайтов включая практически все браузерки.

[mrlolthe1st]

Я про Canvas Blocker не вкурсе, скорее говорил об https://chromewebstore.google.com/detail/canvas-fingerprint-defend/lanfdkkpgfjfdikkncbnojekcppdebfp
Оно ничего не ломает, но палится тривиально (см код)