Дискуссия будет очень полезна для тех, кто прочитает эту статью. Чтобы не тратить время, понять что инструмент не рабочий и автор не может даже внятно и конкретно на вопрос ответить. Посылает на страницы FAQ и статьи в научном журнале который он напишет через полгода :)
Вы не ответили на вопрос о том, что он не детектит бота, который использует Chrome. Во-вторых, он детектит обычного пользователя как бота. Также я имел в виду, что используется canvas fingerprint. Далее я использовал fingerprint, имея в виду обычный способ идентификации браузера. Окей, я просто отвечу за вас. Скрипт использует:
1. Все свойства: window.screen. 2. Все свойства объекта window, которые имеют тип number или boolean. 3. Все свойства объекта window.navigator, которые имеют тип number или boolean. 4. Измеряются размеры изображения и его параметры, полученного рендерингом с WebGL. В коде есть canvas. Привет, canvas fingerprint! :) 5. Shadow DOM. Информация о полях и границах создаваемых элементов с определёнными шрифтами.
В общем, это все основные параметры, которые я вижу при реверсе скрипта.
Поэтому вывод: автор лукавит, когда говорит, что не использует fingerprint браузера.
Успех работы такого метода зависит от полноты базы. У автора её нет, так как не составляет труда обойти его детектор через Puppeteer.
Надеюсь, я сэкономил кому-то кучу времени.
Возможно, я немного был не прав с производительностью. Судя по всему, скрипт можно скопировать на свой сервер. Можно его запускать с задержкой, чтобы не блокировать загрузку страницы.
В указанной статье один добрый человек ответил на вопросы, которые меня интересовали. Если вкратце, то Григорий использует Canvas Fingerprint. Использование Chrome через Node.js с Puppeteer и указанием User-Agent успешно обходит его Killbot и определяется как доверенный браузер. Но Opera на моем iPhone 14 определяется как бот даже без инкогнито :)
Григорий, не сочтите за вредность. Я всего лишь пытаюсь уберечь людей от возможных проблем:
Метод не точный. Ужасная практика перенаправлять неверно определённых пользователей на заглушку. Это приведёт к негативному отношению к бренду и потере части клиентов.
Как владельцу сайта, мне нужно максимально доверять вашему скрипту. Если ваш сайт взломают, мой тоже может быть скомпрометирован. Мне нужно быть уверенным в том, что вы добросовестный человек и обеспечиваете надлежащую безопасность своего скрипта. Ваши уклончивые ответы вообще не вызывают доверия.
Подключение внешнего скрипта влияет на загрузку страницы. Я очень долго оптимизировал сайт для достижения 99 баллов в LightSpeed. Но при подключении Метрики и Аналитики этот показатель снижается до 92-95. С вашим скриптом браузеру пользователя придётся делать ещё один DNS-запрос и HTTP-запрос, что увеличивает время отклика сайта.
Я вижу решение в том, чтобы сделать метод определения бота максимально прозрачным. Увеличить его точность, например, с помощью доступа к базам, которые могут определять номер телефона по Fingerprint, и делать ставку в рекламных кабинетах на эту аудиторию. Также нужно пополнять данные о ботах, обучая нейронную сеть определять их по действиям пользователя на сайте и с учётом их Fingerprint. Следует предусмотреть возможность отправки всех этих данных вам через API или подключить API Яндекс.Метрики к вашему сервису.
Также у меня вопрос: если я отправляю целевое событие со стороны сервера и считаю коммерцию только по заказам с определённым статусом, решает ли это проблему с ботами без каких-либо ухищрений и скриптов?
Мне кажется подход: «это работает волшебным образом и я Вам не скажу каким, купи и пользуйся»(обобщение) не должен присутствовать на хабре. Для меня это сообщество как раз и ценно тем что можно найти подробный и квалифицированный ответ. А не сплошная вода и сокрытие того что вы все также используете fingerprint. А ответы: "В основе построения слепка лежит математический аппарат"(прямая цитата), «7 генерируемых характеристик»(прямая цитата) абсурдны. У Вас априори не может быть больше данных чем позволяет получить браузер пользователя. Это и есть fingerprint. Можно лишь иметь дополнительно обученную нейронную сеть, выявляющую ботов по этим входным данным. Вы обобщаете каждый ответ на вопрос, прикрываясь магическим способом и невидимыми параметрами. Создавая мнимое впечатление компетентности. Никакой конкретики нет ни в Ваших статьях, ни в Вашем телеграм чате :)
Пару месяцев назад я не получил ответа от автора на свой вопрос в его Telegram-канале: «Встройте мой скрипт на сайт, и будет счастье». Скрин. Возможно, это связано с определением номера через cookies, только наоборот: если номера нет, значит, это бот.
Григорий, я интересуюсь этим вопросом исключительно потому, что каждому, кто задумывается о безопасности сайта, хочется минимизировать количество сторонних скриптов. Также важен вопрос скорости загрузки.
Дискуссия будет очень полезна для тех, кто прочитает эту статью. Чтобы не тратить время, понять что инструмент не рабочий и автор не может даже внятно и конкретно на вопрос ответить. Посылает на страницы FAQ и статьи в научном журнале который он напишет через полгода :)
Вы не ответили на вопрос о том, что он не детектит бота, который использует Chrome. Во-вторых, он детектит обычного пользователя как бота. Также я имел в виду, что используется canvas fingerprint. Далее я использовал fingerprint, имея в виду обычный способ идентификации браузера. Окей, я просто отвечу за вас. Скрипт использует:
1. Все свойства: window.screen.
2. Все свойства объекта window, которые имеют тип number или boolean.
3. Все свойства объекта window.navigator, которые имеют тип number или boolean.
4. Измеряются размеры изображения и его параметры, полученного рендерингом с WebGL. В коде есть canvas. Привет, canvas fingerprint! :)
5. Shadow DOM. Информация о полях и границах создаваемых элементов с определёнными шрифтами.
В общем, это все основные параметры, которые я вижу при реверсе скрипта.
Поэтому вывод: автор лукавит, когда говорит, что не использует fingerprint браузера.
Успех работы такого метода зависит от полноты базы. У автора её нет, так как не составляет труда обойти его детектор через Puppeteer.
Надеюсь, я сэкономил кому-то кучу времени.
Возможно, я немного был не прав с производительностью. Судя по всему, скрипт можно скопировать на свой сервер. Можно его запускать с задержкой, чтобы не блокировать загрузку страницы.
В указанной статье один добрый человек ответил на вопросы, которые меня интересовали. Если вкратце, то Григорий использует Canvas Fingerprint. Использование Chrome через Node.js с Puppeteer и указанием User-Agent успешно обходит его Killbot и определяется как доверенный браузер. Но Opera на моем iPhone 14 определяется как бот даже без инкогнито :)
Григорий, не сочтите за вредность. Я всего лишь пытаюсь уберечь людей от возможных проблем:
Метод не точный. Ужасная практика перенаправлять неверно определённых пользователей на заглушку. Это приведёт к негативному отношению к бренду и потере части клиентов.
Как владельцу сайта, мне нужно максимально доверять вашему скрипту. Если ваш сайт взломают, мой тоже может быть скомпрометирован. Мне нужно быть уверенным в том, что вы добросовестный человек и обеспечиваете надлежащую безопасность своего скрипта. Ваши уклончивые ответы вообще не вызывают доверия.
Подключение внешнего скрипта влияет на загрузку страницы. Я очень долго оптимизировал сайт для достижения 99 баллов в LightSpeed. Но при подключении Метрики и Аналитики этот показатель снижается до 92-95. С вашим скриптом браузеру пользователя придётся делать ещё один DNS-запрос и HTTP-запрос, что увеличивает время отклика сайта.
Я вижу решение в том, чтобы сделать метод определения бота максимально прозрачным. Увеличить его точность, например, с помощью доступа к базам, которые могут определять номер телефона по Fingerprint, и делать ставку в рекламных кабинетах на эту аудиторию. Также нужно пополнять данные о ботах, обучая нейронную сеть определять их по действиям пользователя на сайте и с учётом их Fingerprint. Следует предусмотреть возможность отправки всех этих данных вам через API или подключить API Яндекс.Метрики к вашему сервису.
Также у меня вопрос: если я отправляю целевое событие со стороны сервера и считаю коммерцию только по заказам с определённым статусом, решает ли это проблему с ботами без каких-либо ухищрений и скриптов?
Мне кажется подход: «это работает волшебным образом и я Вам не скажу каким, купи и пользуйся»(обобщение) не должен присутствовать на хабре. Для меня это сообщество как раз и ценно тем что можно найти подробный и квалифицированный ответ. А не сплошная вода и сокрытие того что вы все также используете fingerprint. А ответы: "В основе построения слепка лежит математический аппарат"(прямая цитата), «7 генерируемых характеристик»(прямая цитата) абсурдны. У Вас априори не может быть больше данных чем позволяет получить браузер пользователя. Это и есть fingerprint. Можно лишь иметь дополнительно обученную нейронную сеть, выявляющую ботов по этим входным данным. Вы обобщаете каждый ответ на вопрос, прикрываясь магическим способом и невидимыми параметрами. Создавая мнимое впечатление компетентности. Никакой конкретики нет ни в Ваших статьях, ни в Вашем телеграм чате :)
Пару месяцев назад я не получил ответа от автора на свой вопрос в его Telegram-канале: «Встройте мой скрипт на сайт, и будет счастье». Скрин. Возможно, это связано с определением номера через cookies, только наоборот: если номера нет, значит, это бот.
Григорий, я интересуюсь этим вопросом исключительно потому, что каждому, кто задумывается о безопасности сайта, хочется минимизировать количество сторонних скриптов. Также важен вопрос скорости загрузки.