Comments 56
Это всё от глупости, а не от злого умысла. Что, впрочем, не менее веская причина не пользоваться такими расширениями.
Глупостью это бы было, если бы расширение и правда помогало обойти блокировку. Но ведь кроме шпионажа за пользователем оно не делает вообще ничего!
The chance that higher life forms might have emerged in this way is comparable to the chance that a tornado sweeping through a junkyard might assemble a Boeing 747 from the materials therein.
— Фред Хойл
1. Уровень кода из расширения не состыкуется с глупостью. Код расширения написан сильными в разработке ребятами и скорей всего одной группой людей (возможно и одним человеком). Стиль написания кода и его логика выдержана от начала до конца.
2. И последним гвоздем является явная отправка данных о пользователе. Ты либо отсылаешь данные либо нет, третьего не дано.
The chance that higher life forms might have emerged in this way is comparable to the chance that a tornado sweeping through a junkyard might assemble a Boeing 747 from the materials therein.У вас есть более удачная альтернатива эволюции?
Не совсем верно.
Данная цитата не противоречит теории эволюции.
Цитата критикует одну из теорий возникновения живой материи на Земле. Из чего-то же должна была начаться эволюция.
А этих теорий на самом деле очень много:
— живая материя занесена из космоса космическим телом;
— существовала всегда;
— возникла на ровном месте из неживой материи и т.п.
Вот данная цитата относится к последнему, приведенному, варианту.
В комментарии цитата приведена как красивая, на мой взгляд, аналогия. Конечно же, я не возьму на себя ответственности дать ответ по тому, о чем еще нет ответа в научном мире.
Данная цитата не противоречит теории эволюции.
Цитата критикует одну из теорий возникновения живой материи на Земле. Из чего-то же должна была начаться эволюция.
А этих теорий на самом деле очень много:
— живая материя занесена из космоса космическим телом;
— существовала всегда;
— возникла на ровном месте из неживой материи и т.п.
Вот данная цитата относится к последнему, приведенному, варианту.
В комментарии цитата приведена как красивая, на мой взгляд, аналогия. Конечно же, я не возьму на себя ответственности дать ответ по тому, о чем еще нет ответа в научном мире.
Не соглашусь с вами хотя бы по той причине, что в цитате идет речь о «higher life forms» — т.е. о воронах, ежиках и других мелких птичках. О происхождении простейших форм жизни приведенная цитата не говорит ни слова.
Отличное замечание.
Чуть погуглил, действительно есть, как минимум, 2 трактовки данной цитаты:
— в одном случае ее используют против эволюции.
— в другом случае она используется именно для обоснования появления «первой живой клетки»;
К сожалению, не знаю в каком контексте изначально было данное высказывание.
Ко мне оно попало (на курсах философии) во втором виде.
Чуть погуглил, действительно есть, как минимум, 2 трактовки данной цитаты:
— в одном случае ее используют против эволюции.
— в другом случае она используется именно для обоснования появления «первой живой клетки»;
Один из вариантов трактовки
То есть — никаких шансов, даже теоретических, для самозарождения жизни на Земле нет и не может быть в принципе. Никаких.
Как объяснил ситуацию сам Фред Хойл: «Представьте себе, что на огромной свалке в беспорядке разбросаны все части от авиалайнера «Боинг-747», разобранного, что называется, до болта и гайки. Тут случается пройтись по свалке страшной силы смерчу-урагану. Каковы шансы того, что после подобного смерча на свалке будет стоять полностью собранный «Боинг», готовый отправиться в полет?»
Впрочем, Фред Хойл объяснил и то, каким образом жизнь все же появиться могла. Вариантов было предложено два:
1) либо она является изначальным свойством материи типа гравитации или магнетизма, а потом заносится на разные планеты;
2) либо она зародилась в других местах Вселенной, обладающих другими изначальными условиями и на первичных этапах была значительно проще, нежели та, которую мы имеем удовольствие наблюдать, и оказалась занесена на Землю извне в уже достаточно развитом виде.
Источник
К сожалению, не знаю в каком контексте изначально было данное высказывание.
Ко мне оно попало (на курсах философии) во втором виде.
Каковы шансы того, что после подобного смерча на свалке будет стоять полностью собранный «Боинг», готовый отправиться в полет?… если это будет одновременно происходить на 5×1030 свалок каждые 20 минут в течении нескольких миллионов лет? :) Ненавистники эволюции все же такие смешные.
Эволюция не работает по такому принципу! Нет ни какой свалки — есть последовательный процесс усовершенствования под давлением внешней среды.
Начинаем с фосволипидов — один конец которых гидрофильный другой гидрофобный — самоорганизующиеся мембраны и глобулы — получаем обосоленный внутренний мирок протоорганизма. У древних он вообще мог быть из глицерина например…
Продолжаем образованием клапанов в этой мембране пропускающие только определённые соединения для формирования самой оболочки.
Далее самый сложный этап — начало питания я о нём уже вряд ли могу поведать.
Я к тому что эволюция это не ветер на свалке…
Начинаем с фосволипидов — один конец которых гидрофильный другой гидрофобный — самоорганизующиеся мембраны и глобулы — получаем обосоленный внутренний мирок протоорганизма. У древних он вообще мог быть из глицерина например…
Продолжаем образованием клапанов в этой мембране пропускающие только определённые соединения для формирования самой оболочки.
Далее самый сложный этап — начало питания я о нём уже вряд ли могу поведать.
Я к тому что эволюция это не ветер на свалке…
Кто хочет — пусть ставит, кто не хочет — пусть не ставит, незачем панику создавать.
И создавали эти расширения наверно по приципу —
Лично я вообще с торрентов качаю видеоконтент, ложу его в локальный plex media server, и смотрю на apple tv3 с телеком в 51 диагональ
И создавали эти расширения наверно по приципу —
… а… вот смотри Вась, есть вот такая фича, давай её добавим — пусть будет, на всякий случай...
Лично я вообще с торрентов качаю видеоконтент, ложу его в локальный plex media server, и смотрю на apple tv3 с телеком в 51 диагональ
51 диагональ! Красиво жить не запретишь!
Да, я как ни крутил, как по углам не расставлял — больше 12 диагоналей в квартиру не помещается… Что я делаю не так?
А в чем смысл минусов?
Самовыражение не в моде?
Самовыражение не в моде?
На данном ресурсе и в том виде в котором вы это делаете — моветон
Нет, просто люди выражают свое мнение.
Комментарий написан с MacBook Air 2015, подключенном с помощью DisplayPort к монитору Apple Led Cinema на клавиатуре Apple Keyboard, с Apple Magic Mouse в руках. В процессе написания я пил из хрустального бокала, изготовленного лучшими мастерами Российской Империи в 1856 году, и купленного мной в прошлом году на аукционе Сотбис, у представителя древнейшего российского рода, вино из винограда выращенного на южных французских склонах в самый засушливый и неурожайный год восемнадцатого столетия, что придало ему легкий терпкий привкус и замечательный аромат, который как нельзя лучше гармонирует со свежей кубинской сигарой, доставленной мне вчера специальным рейсом аэрофлота.
Комментарий написан с MacBook Air 2015, подключенном с помощью DisplayPort к монитору Apple Led Cinema на клавиатуре Apple Keyboard, с Apple Magic Mouse в руках. В процессе написания я пил из хрустального бокала, изготовленного лучшими мастерами Российской Империи в 1856 году, и купленного мной в прошлом году на аукционе Сотбис, у представителя древнейшего российского рода, вино из винограда выращенного на южных французских склонах в самый засушливый и неурожайный год восемнадцатого столетия, что придало ему легкий терпкий привкус и замечательный аромат, который как нельзя лучше гармонирует со свежей кубинской сигарой, доставленной мне вчера специальным рейсом аэрофлота.
И это я еще молчу про «ложу»
никогда не понимал как можно своими руками хоронить свой проект. Либо есть версия, что у них там жареным запахло, вот и решили собрать кучу инфы.
В любом случае больше к вам не приду
В любом случае больше к вам не приду
Что-то много желающих стало поставить свой плагин к браузеру.
Некие s3.archiveshare.net через друзей в фейсбуке, распространяет разные провокационно-популярные статьи (на волне Российско-Украинского конфликта) при этом, отображая поверх части страницы предложение установить плагин.
Не анализировал в деталях, может кому-то будет интересно. Могу (персонально) дать зловредную ссылку для анализа.
Некие s3.archiveshare.net через друзей в фейсбуке, распространяет разные провокационно-популярные статьи (на волне Российско-Украинского конфликта) при этом, отображая поверх части страницы предложение установить плагин.
Не анализировал в деталях, может кому-то будет интересно. Могу (персонально) дать зловредную ссылку для анализа.
Вся суть статьи в двух предложениях:
При входе на сайт Kinogo начал возникать баннер
Выводы делайте сами
Достаточно откровенный манифест. Прямым текстом написано, что следить будут.
Так, а заявленная функция там вообще есть? Блокировки обходятся или нет?
Сказать, что нет функционала для обхода блокировок — нельзя, но и сказать, что есть мегафункция для обхода блокировок — тоже нельзя.
Поэтому скажу как есть.
Есть функция которая слушает все запросы и если среди запросов есть запрос страницы с нужным доменом, то он редиректится на kinogo.co.
Список «нужных» доменов и на что редиректить, пока забит гвоздями в коде.
Хотя тоже намечалось довольно узкое место. Скорей всего они планировали его получать список динамически. И тот код, который написан сейчас + динамическое получение настроек, позволяет в перспективе делать замены вида:
Т.е. хорошего кода для обхода блокировок нет (кроме редиректа). Нет проверки доступности зеркал, нет корректного редиректа (т.е. редиректа только определенного списка сайтов, хотя бы по маске).
Зато есть хороший код, который отправляет данные о посещениях, вставляет скрипты, и в перспективе небольшими изменениями способен делать редирект любого сайта на свои домены.
Последний пункт, кстати, в интернете начинает набирать популярность. Всякие создатели коротких ссылок, расширения вида
archiveshare.net (указан в комментариях выше) и т.п.
Поэтому скажу как есть.
Есть функция которая слушает все запросы и если среди запросов есть запрос страницы с нужным доменом, то он редиректится на kinogo.co.
код, отвечающий за редирект
webReq.onBeforeRequest.addListener(function (details) {
var reqReturn = null;
try {
if(details.type === "main_frame" && details.url) {
var parsedUrl = URI.parse(details.url);
var host = parsedUrl.host_without_www;
var replaceRegexp = KinogoMirror.test(host);
if (KinogoMirror.mirror && replaceRegexp) {
var kinogoMirror = KinogoMirror.mirror.replace(/^https?:\/\//i, '');
if (host !== kinogoMirror) {
var newUrl = details.url.replace(replaceRegexp, '$1$2' + kinogoMirror);
reqReturn = {redirectUrl: newUrl};
}
}
}
} catch (ex) {}
return reqReturn;
}, {urls: ['<all_urls>']}, ['blocking']);
Список «нужных» доменов и на что редиректить, пока забит гвоздями в коде.
Хотя тоже намечалось довольно узкое место. Скорей всего они планировали его получать список динамически. И тот код, который написан сейчас + динамическое получение настроек, позволяет в перспективе делать замены вида:
habrahabr.ru => my_habrahabr.ru
Т.е. хорошего кода для обхода блокировок нет (кроме редиректа). Нет проверки доступности зеркал, нет корректного редиректа (т.е. редиректа только определенного списка сайтов, хотя бы по маске).
Зато есть хороший код, который отправляет данные о посещениях, вставляет скрипты, и в перспективе небольшими изменениями способен делать редирект любого сайта на свои домены.
Последний пункт, кстати, в интернете начинает набирать популярность. Всякие создатели коротких ссылок, расширения вида
archiveshare.net (указан в комментариях выше) и т.п.
Так это считай что нет обхода, этот ихний новый домен прикроют так же как и старый.
Да, так и есть.
Поэтому и сделал предположение, что они должны будут получать списки доменов с веб-сервера, если конечно вообще планируют обходить блокировки.
А это в свою очередь откроет проблему редиректа всего что угодно на все что угодно;
Поэтому и сделал предположение, что они должны будут получать списки доменов с веб-сервера, если конечно вообще планируют обходить блокировки.
А это в свою очередь откроет проблему редиректа всего что угодно на все что угодно;
Боже, откуда такие выводы? Откройте расширение для фокса и убедитесь сами что там реализован механизм получения зеркал через киного домен. Для хрома нет надобности вшивать этот функционал т.к. расширение находится в магазине и список зеркал легко изменить в ручную.
Если в случае блокировки домена kinogo.net, плагин переводит автоматически все ГЕТ запросы на свой рабочий домен (в данном случае хардкор kinogo.co), то чем это не обход блокировки? В случае блокировки зеркального домена kinogo.co — плагин обновляется через гугл стор и снова обходит любую блокировку, а в случае с фаерфоксом — без обновления подкачивает новое зеркало.
Если в случае блокировки домена kinogo.net, плагин переводит автоматически все ГЕТ запросы на свой рабочий домен (в данном случае хардкор kinogo.co), то чем это не обход блокировки? В случае блокировки зеркального домена kinogo.co — плагин обновляется через гугл стор и снова обходит любую блокировку, а в случае с фаерфоксом — без обновления подкачивает новое зеркало.
В текущей реализации плагин определяет что вы зашли на kinogo.net и переводит ваш запрос на вшитое в коде зеркало в зоне co. Если это не обход блокировки, тогда что же обход?
Признаюсь, я тот, кто зачем-то поставил расширение, не особо задумавшись даже зачем, хотя частенько за это ругал других людей.
Сегодня обнаружил левую сессию в vk с неизвестного адреса и посланное от моего имени кому-то сообщение. Вряд ли совпадение, так очевидно расширение не просто бесполезное, а уже вполне себе вредоносное.
Сегодня обнаружил левую сессию в vk с неизвестного адреса и посланное от моего имени кому-то сообщение. Вряд ли совпадение, так очевидно расширение не просто бесполезное, а уже вполне себе вредоносное.
Ваш ник даже немного коррелирует с событием. Надеюсь, всё хорошо, и важные данные не успели утечь.
Полный бред. Расширение не содержит в себе не капли вредоносного кода. Это подтверждено как основным постом так и в целом если полистать его код. Если вашим аккаунтом пользуется кто то еще — это ваше дело, при чем тут расширение? У расширения даже нет такой возможности это сделать, полистайте исходники. Это физически не возможно без его апдейта.
Боюсь, что вас просто не услышат.
К сожалению, у вас подозрительный код. А в этой ситуации любым заявлениям типа «Сегодня обнаружил левую сессию в vk с неизвестного адреса» будут верить на слово. Хотя и есть простое логическое правило «После того не означает в следствии того». Люди все равно часто думают эмоциями и убеждениями, а не фактами.
К сожалению, у вас подозрительный код. А в этой ситуации любым заявлениям типа «Сегодня обнаружил левую сессию в vk с неизвестного адреса» будут верить на слово. Хотя и есть простое логическое правило «После того не означает в следствии того». Люди все равно часто думают эмоциями и убеждениями, а не фактами.
«Расширение не содержит в себе не капли вредоносного кода.»
Наверное также могут ответить авторы сего поделия. А что, вреда оно само действительно не наносит.
Извиняюсь за сравнение с такими вещами, но напрашивается само собой.
Ну вы же правда понимаете разницу софта и расширения? Я понимаю что в мире существуют потенциально вредоносные расширения, я этого не отрицаю и возможно часть из них действительно заточено под описанные вами действия. Но такие действия как вы описали нельзя сделать без использования API браузера, а оно не доступно при подгрузки скрипта удаленно. Соответственно если при разборе расширения этого функционала не увидели, значит он и не сможет там появится без обновления плагина и тп.
Поэтому я и написал вам что вы ошибаетесь. В текущей реализации, данный плагин этого сделать не может. Его придется очень сильно модифицировать что бы он смог выполнять описанные действия.
Поэтому я и написал вам что вы ошибаетесь. В текущей реализации, данный плагин этого сделать не может. Его придется очень сильно модифицировать что бы он смог выполнять описанные действия.
К сожалению, довольно далек от разработки и JS, что невозможно, куки скажем перехватить и переслать? Могу ошибаться, но вроде как вполне возможно.
Я не пытаюсь доказать что вы злодеи, мне опыта не хватит всё равно, мне просто любопытно, насколько может скомпрометировать безопасность установка расширения выполняющего произвольный JS-код.
Я не пытаюсь доказать что вы злодеи, мне опыта не хватит всё равно, мне просто любопытно, насколько может скомпрометировать безопасность установка расширения выполняющего произвольный JS-код.
Можно про «физически невозможно» подробнее?
Данное утверждение из статьи
Данное утверждение из статьи
А данная функция добавляет к url реферера для страницы и вставляет скрипт на страницу по полученному url.является ложью?
Этого не достаточно что бы произвести описанные действия, даже если подгруженный код будет вредоносным. Возможностями жабаскрипта вы не сможете не заметно отправлять какие либо сообщения и тп, ВК не даст вам сабмитить форму если вы не находитесь непосредственно на странице кому вы хотите написать + не открыли с ним чат. Покраней мере мне такие возможности не известны. Нажать кнопку — теоретически возможно, но отправить сообщение левому человеку — нет. Темболее что значит «левая сессия ВК» и тп — остается загадкой.
Возможностями жабаскрипта вы не сможете не заметно отправлять какие либо сообщения и тп, ВК не даст вам сабмитить форму если вы не находитесь непосредственно на странице кому вы хотите написать + не открыли с ним чат.Да неужели? Значит, к сабмиту формы надо добавить предварительное открытие чата, вот и вся сложность…
Ну что за сказки? Скрипт грузится с домена отличного от ВК, по политике безопасности он не сможет засабмить форму чата, максимум что — кликнуть сам по кнопке. Для того что бы кликнуть — надо находится на странице нужной где чат уже открыт с нужным человеком. Дальше надо самому заполнить форму и нажать на кнопку. Что бы находится на нужной странице — её должен открыть пользователь. Если открывать самому, отслеживать ципочту набирать текст и тп — даже в таком случае таб браузера закрыть не получится. Все будет очевидно для владельца страницы ВК. Поэтому давайте вы прежде чем умничать — пойдете попробуете.
Какая разница, откуда загружен скрипт, если выполняется он со страницы ВК? Будучи включенным на страницу тэгом
Конечно, тут сайту могла бы помочь CSP (Content security policy) — но ВК не использует эту технику.
script, он может делать все, что хочет.Конечно, тут сайту могла бы помочь CSP (Content security policy) — но ВК не использует эту технику.
Как это какая разница? Если вы хотите засабмитить форму с отправкой личного сообщения другому пользователю — вы должны сделать post запрос на домен ВК с подключеного скрипта. Если он подключился с другого домена — ВК отбросит данные. Это тоже самое что б вы сейчас с локальной машины будучи залогиненым в ВК попробовали отправить на их домен пост данные на отправку сообщения. Это не получится сделать, максимум что подключенным скриптом вы сможете нажать на кнопку, как я уже писал об этом выше.
Возможностями жабаскрипта можно легко получить cookies для определенного ресурса, с которыми можно уже поразвлекаться вручную. Зачем — уже вопрос другой, может кому-то заняться нечем было.
Однажды сам, имея доступ к шлюзу интернета учебного заведения, поигрался с анализатором трафика и получил кукисы на тот же vk, который тогда ещё был без https, затем от имени пользователя отправил ему же сообщение что сидеть на работе в контакте не есть хорошо.
vk логирует доступ, соответственно под «левой сессией» подразумевал неизвестный мне адрес в этом логе.
Однажды сам, имея доступ к шлюзу интернета учебного заведения, поигрался с анализатором трафика и получил кукисы на тот же vk, который тогда ещё был без https, затем от имени пользователя отправил ему же сообщение что сидеть на работе в контакте не есть хорошо.
vk логирует доступ, соответственно под «левой сессией» подразумевал неизвестный мне адрес в этом логе.
Лучший обход блокировок рунета, физически поменять домен проживания )
Sign up to leave a comment.
Браузерное расширение от сайта Kinogo