При отсутствии грязи работает в основном мембрана. И встает вопрос о продлении ее ресурса.
Предварительные служат 1,5 - 2 года. Без обильного слива мембрана 2,5 - 3. С обильным - больше 5. Но дополнительные кубометры стоят примерно как сама мембрана.
Это вы про стелс плагин называете "используется"? Как видно из количества незакрытых багов, подход с переопределением давно не работает и работать больше никогда не будет. Этот вектор атаки полностью блокирован.
версия с патченным хромиумом светится
Насколько я понимаю, js может увидеть только то, что показывает ему браузер. В нормальной ситуации браузер передает в js либо то, что ему отдает Win API (пример - размер экрана), либо то что сам посчитал (пример - юзерагент).
То есть при надевании чужого отпечатка js вроде бы не имеет инструментов для проверки того, что браузер подделал все.
Что же там светится?
за пару лет мало что изменилось
Может просто дискуссия между нападением и обороной ушла из публичного поля? Тех, кто способен патчить хромиум, их мало и далеко не все хотят делиться опытом. Чаще они хотят его продавать) Тем более ставки серьезно выросли после того, как школота со стелс плагином и прочими фейкбраузерами отвалилась.
На мой взгляд, ваша позиция теперь вполне близка к моей, которую вы изначально оспаривали → факты отличить от вымысла (иногда, часто, всегда) невозможно.
На этом свой порыв в вашем ликбезе считаю исчерпанным.
P.S.
формулы Ньютона повседневно используются в науке и технике
Для дальнейшего развития нейросети можно рекомендовать изучение фактов повседневного использования формул плоской земли в науке и технике.
Вот там я вижу, что наивный подход с переопределением - это подход давно минувших дней.
Довольно быстро до участников проекта дошло, что
скрыться от антиботов: переопределение toString()
→ очень глупо. Т.к. если атака держится на toString, то вместо нее будет использоваться custom версия, которая будет подгружаться в случайном месте в случайное время под случайным названием.
То есть поддерживать переопределение → очень трудозатратно.
В этом варианте js видит ровно то, что должен видеть. Никакого больше геморроя.
Вариант настолько успешен оказался, что авторам стало некогда и неинтересно поддерживать открытый проект)
Ну а школота, она продолжает трахаться с переопределением) Потому что денег на профессиональные инструменты не имеет.
И вот это
игра в кошки-мышки
относится не к переопределению. Это уже к тому, что еще можно включить в отпечаток. Запатчили хедлес, запатчили вебдрайвер? Но придумали идентифицировать по canvas. Запатчили канвас → стали смотреть набор шрифтов. Потом смайлики. Но не 100500 вариантов спрятать toString)))
, несколько за рамками темы, но стоит упомянуть, что
связи типа «каждое слово с каждым»
в переводе на человеческий означает, что правила языка, т.е. грамматика (и пунктуация), не используются в принципе.
50 лет долбления всем миром в грамматику не научили языку ни одну железяку. 100 лет обучения грамматике умеющих говорить на своем языке никому не помогли лучше владеть своим языком для коммуникации (а не для сдачи экзаменов на знание грамматики). Абсолютное незнание грамматики не мешает нейтивам с успехом пользоваться языком как средством коммуникации.
В результате отказа от правил языка железяка сразу заговорила на всех языках.
Ваш глубокий системный подход в домене js удивительно контрастирует с подходом к анализу защиты на основе идентификации пользователя.
проверки на эмуляцию параметров
Это же другое. Море народа парсит по учебникам 10-летней давности на curl и python. То есть для защиты от 95% фрода достаточно посмотреть маркеры реальности браузера. Если кто-то лезет неприкрыто селениумом или прочими playwright`ами, то никакие отпечатки не нужны, и так же уши торчат. Ну то есть это начальный уровень защиты, когда "здрасьте, я не браузер" или "а я уже не curl, я состоявшийся селениум".
Просто вы встретили в одном продукте обе технологии и почему-то смешали теплое с мягким.
сам процесс деобфускации
Это чистое искусство, да. Как собирать 5 кубиков рубика, жонглируя ими. Респект и уважуха!
Кто их так подделывает?
В смысле? Кому данные нужны, те и подделывают. Например, первый в гугле.
антидетект браузеры их подделывали
Они же не для этого вообще. Они трекинг предотвращают в парадигме честных меток. Отпечатки вообще из другой вселенной.
Зачем подделывать только screen
Я не настоящий сварщик и не знаю → при какой атаке на данные актуальны параметры экрана?
Как бы направление мысли вроде улавливаю, но пример (наверное) не актуальный.
Почему бы просто не отказаться от хедлес и не показать честно размер своего экрана? Может вам, как человеку искусства, принципиально обманывать антибота во всем, но практический смысл этих усилий мне недоступен.
Да, без хедлес дороже. Но в сравнении с затратами на загрузку графики это незначительные затраты. А загрузка графики это мастхев, без нее вменяемые юзеры не серфят, только боты.
самой CDP-сессии
Ну так на ней же свет клином не сошелся, есть и другие способы управления браузерами.
чтобы их эмуляция не была обнаружена
Вообще, от статьи такое впечатление, что вы выше этого.
Эмуляция должна быть необнаружима в принципе. А не в текущем варианте конкретного антибота. Завтра придет второй, третий, пятый, каждый день будете эмуляцию изобретать? Антиботы же не совсем дураки пишут, что, они не догадаются как их будут обманывать?
P.S.
"нагуливает" историю
Вы же понимаете, что 1) история - это один из десятков штрихов отпечатка и кардинально ситуацию не меняет и 2) нагулянная история, выбивающаяся из статистики на территории выбранного IP - тоже вполне себе маркер.
и за 10 минут сметают всё
Это идеальные клиенты маркетплейса.
Вы правда думаете, что магазины борются с покупателями, которые покупают без затрат времени и рекламных бюджетов?
Ещё можно подумать, что все данные, которые собирает акамай, нужны лишь для идентификации пользователя, а выводы об автоматизации делают алгоритмы искусственного интеллекта на основе поведенческих факторов(как вы перемещаете мышь, с какой скоростью нажимаете-отпускаете клавишу при наборе текста и тд...).
Всегда так было и вот опять?
Но на каких данных обучается ИИ, если антибот не способен отделить пользователя от бота?
Разметкой же не боты занимаются?
Если идентифицированный по отпечатку пользователь скачивает всю категорию товаров ежедневно на протяжении месяцев, то тут конечно нужен суперИИ, чтобы определить бота)
Или вся его работа строится на предположении о том, что по сайту бродят только настоящие люди?
Вот где в вашем реинженеринге это предположение?
***
К чему вся эта детективная история, если никаких выводов по существу не получено? Нельзя же считать результатом вывод о том, что антибот собирает отпечатки?)
Подделка отпечатков все равно делается без оглядки на то, как их тестируют те или иные антиботы. Только из принципиальной возможности скрыть обман.
Несправедливо, что всегда будет юзеры, которые страдают просто из-за того, что у них какой-то экзотический браузер, редкий монитор со странным разрешением, или нелогичная таймзона из-за того, что человек работает с этого компьютера с другой страной.
Пытаясь осознать вами сказанное, немало рад познакомиться с интересной точкой зрения)
Итак, судам и законодательным собраниям вы вроде бы отказываете в способности основывать свои решения на фактах. Из ваших неясных фраз можно понять, что то, что является для них фактами, на самом деле не более чем их собственные мнения. То есть они просто клоуны, основывающие свои судьбоносные решения на фантазмах, не понимающие своей интеллектуальной нищеты. При этом их позиция общественно признана и закреплена в законе, а ваша - ..
Итак, есть два сорта людей: 1) избранные представители рода человеческого, устанавливающие и совершающие закон, и 2) разнобокие ученые. Ни те, ни другие - факты не устанавливают!!! При этом и первые, и вторые - вполне себе обычные люди, типичные представители общества. То есть приходим к неутешительному заключению, что люди вообще (в вашем представлении) факты не устанавливают.
Поскольку вы утверждаете наличие истинных, нерушимых, неопровержимых, настоящих, окончательных фактов (броня!), то приходится признать, что факты устанавливают не люди.
prevent anyone in the United States from accessing or downloading the app on their phones
Да, "in turn could ", ну то есть не сразу, а по отдельному распоряжению после надлежащей подготовки и в случае, когда иначе угроза будет реализована в виде неприемлемого ущерба.
Откуда такие оптимистичные утверждения?
Ну в смысле слить его рабочий объем.
Спасибо вам большое, познавательно.
Когда на раёне пластиковые трубы и Водоканал работает,
остается почти без работы.
Да, такое тоже бывает.
При отсутствии грязи работает в основном мембрана. И встает вопрос о продлении ее ресурса.
Предварительные служат 1,5 - 2 года. Без обильного слива мембрана 2,5 - 3. С обильным - больше 5. Но дополнительные кубометры стоят примерно как сама мембрана.
Вот жук)))
Спасибо огромное!
Вообще да, но кажется и эта эпоха заканчивается. На мелкие сайты предлагается ставить профессиональные антиботы бесплатно.
Основная проблема осмоса - слив воды.
Мало слива - быстро забивается мембрана.
Много слива - мембрана служит очень долго (5 и более лет). Но дороже.
Расчитывал увидеть переделку на тему слива. Оказалось → детский сад.
Хотя если бак полностью заменяется хотя бы раз в день, то что там может жить?
Системы "бочка с песком".
Все стали умные, поэтому вместо "проблемы - с зубами и прочим " продают "ионы серебра" → от нечистой силы хорошо помогают)))
Это вы про стелс плагин называете "используется"? Как видно из количества незакрытых багов, подход с переопределением давно не работает и работать больше никогда не будет. Этот вектор атаки полностью блокирован.
Насколько я понимаю, js может увидеть только то, что показывает ему браузер. В нормальной ситуации браузер передает в js либо то, что ему отдает Win API (пример - размер экрана), либо то что сам посчитал (пример - юзерагент).
То есть при надевании чужого отпечатка js вроде бы не имеет инструментов для проверки того, что браузер подделал все.
Что же там светится?
Может просто дискуссия между нападением и обороной ушла из публичного поля? Тех, кто способен патчить хромиум, их мало и далеко не все хотят делиться опытом. Чаще они хотят его продавать) Тем более ставки серьезно выросли после того, как школота со стелс плагином и прочими фейкбраузерами отвалилась.
На мой взгляд, ваша позиция теперь вполне близка к моей, которую вы изначально оспаривали → факты отличить от вымысла (иногда, часто, всегда) невозможно.
На этом свой порыв в вашем ликбезе считаю исчерпанным.
P.S.
Для дальнейшего развития нейросети можно рекомендовать изучение фактов повседневного использования формул плоской земли в науке и технике.
Все же, начинать надо с ответственности ответственных. Без этого остатки государственности растворяются в болоте невежества.
Вот там я вижу, что наивный подход с переопределением - это подход давно минувших дней.
Довольно быстро до участников проекта дошло, что
→ очень глупо. Т.к. если атака держится на toString, то вместо нее будет использоваться custom версия, которая будет подгружаться в случайном месте в случайное время под случайным названием.
То есть поддерживать переопределение → очень трудозатратно.
И перешли к другому варианту:
В этом варианте js видит ровно то, что должен видеть. Никакого больше геморроя.
Вариант настолько успешен оказался, что авторам стало некогда и неинтересно поддерживать открытый проект)
Ну а школота, она продолжает трахаться с переопределением) Потому что денег на профессиональные инструменты не имеет.
И вот это
относится не к переопределению. Это уже к тому, что еще можно включить в отпечаток. Запатчили хедлес, запатчили вебдрайвер? Но придумали идентифицировать по canvas. Запатчили канвас → стали смотреть набор шрифтов. Потом смайлики. Но не 100500 вариантов спрятать toString)))
В чем разница? Там не написано вроде.
В любом случае, хедлес маркер бота. Хоть новый, хоть старый.
Применительно к
, несколько за рамками темы, но стоит упомянуть, что
в переводе на человеческий означает, что правила языка, т.е. грамматика (и пунктуация), не используются в принципе.
50 лет долбления всем миром в грамматику не научили языку ни одну железяку.
100 лет обучения грамматике умеющих говорить на своем языке никому не помогли лучше владеть своим языком для коммуникации (а не для сдачи экзаменов на знание грамматики).
Абсолютное незнание грамматики не мешает нейтивам с успехом пользоваться языком как средством коммуникации.
В результате отказа от правил языка железяка сразу заговорила на всех языках.
Совпадение?
Ваш глубокий системный подход в домене js удивительно контрастирует с подходом к анализу защиты на основе идентификации пользователя.
Это же другое. Море народа парсит по учебникам 10-летней давности на curl и python. То есть для защиты от 95% фрода достаточно посмотреть маркеры реальности браузера. Если кто-то лезет неприкрыто селениумом или прочими playwright`ами, то никакие отпечатки не нужны, и так же уши торчат. Ну то есть это начальный уровень защиты, когда "здрасьте, я не браузер" или "а я уже не curl, я состоявшийся селениум".
Просто вы встретили в одном продукте обе технологии и почему-то смешали теплое с мягким.
Это чистое искусство, да. Как собирать 5 кубиков рубика, жонглируя ими. Респект и уважуха!
В смысле? Кому данные нужны, те и подделывают. Например, первый в гугле.
Они же не для этого вообще. Они трекинг предотвращают в парадигме честных меток. Отпечатки вообще из другой вселенной.
Я не настоящий сварщик и не знаю → при какой атаке на данные актуальны параметры экрана?
Как бы направление мысли вроде улавливаю, но пример (наверное) не актуальный.
Почему бы просто не отказаться от хедлес и не показать честно размер своего экрана? Может вам, как человеку искусства, принципиально обманывать антибота во всем, но практический смысл этих усилий мне недоступен.
Да, без хедлес дороже. Но в сравнении с затратами на загрузку графики это незначительные затраты. А загрузка графики это мастхев, без нее вменяемые юзеры не серфят, только боты.
Ну так на ней же свет клином не сошелся, есть и другие способы управления браузерами.
Вообще, от статьи такое впечатление, что вы выше этого.
Эмуляция должна быть необнаружима в принципе. А не в текущем варианте конкретного антибота. Завтра придет второй, третий, пятый, каждый день будете эмуляцию изобретать? Антиботы же не совсем дураки пишут, что, они не догадаются как их будут обманывать?
P.S.
Вы же понимаете, что 1) история - это один из десятков штрихов отпечатка и кардинально ситуацию не меняет и 2) нагулянная история, выбивающаяся из статистики на территории выбранного IP - тоже вполне себе маркер.
Это идеальные клиенты маркетплейса.
Вы правда думаете, что магазины борются с покупателями, которые покупают без затрат времени и рекламных бюджетов?
Всегда так было и вот опять?
Разметкой же не боты занимаются?
Если идентифицированный по отпечатку пользователь скачивает всю категорию товаров ежедневно на протяжении месяцев, то тут конечно нужен суперИИ, чтобы определить бота)
Вот где в вашем реинженеринге это предположение?
***
К чему вся эта детективная история, если никаких выводов по существу не получено? Нельзя же считать результатом вывод о том, что антибот собирает отпечатки?)
Подделка отпечатков все равно делается без оглядки на то, как их тестируют те или иные антиботы. Только из принципиальной возможности скрыть обман.
Откуда вывод о том, что банятся редкие конфиги?
Пытаясь осознать вами сказанное, немало рад познакомиться с интересной точкой зрения)
Итак, судам и законодательным собраниям вы вроде бы отказываете в способности основывать свои решения на фактах. Из ваших неясных фраз можно понять, что то, что является для них фактами, на самом деле не более чем их собственные мнения. То есть они просто клоуны, основывающие свои судьбоносные решения на фантазмах, не понимающие своей интеллектуальной нищеты. При этом их позиция общественно признана и закреплена в законе, а ваша - ..
Далее вы утверждаете, что есть другого рода люди → разнобоко развитые ученые.
Ученые, оказывается, тоже не устанавливают факты. Нет, они предлагают теории.
«Летающие машины, весом тяжелее воздуха, невозможны!»(© лорд Кельвин) → в вашем понимании, это не пример установленого факта, а прорывное научное открытие.
Вы обошли молчанием упомянутую мной торговлю в России стволовыми клетками, из чего можно понять, что торговля неподтвержденными теориями у вас → обычное дело, не стоящее внимания.
Вообще, в науке, как следует из ваших рассуждений → нет фактов. В ней только научный поиск → предложение и опровержение прорывных открытий.
Опустим здесь ваше доверие темным силам теории тяготения. Это слишком личное, хотя и очень любопытно)
Итак, есть два сорта людей: 1) избранные представители рода человеческого, устанавливающие и совершающие закон, и 2) разнобокие ученые.
Ни те, ни другие - факты не устанавливают!!!
При этом и первые, и вторые - вполне себе обычные люди, типичные представители общества. То есть приходим к неутешительному заключению, что люди вообще (в вашем представлении) факты не устанавливают.
Поскольку вы утверждаете наличие истинных, нерушимых, неопровержимых, настоящих, окончательных фактов (броня!), то приходится признать, что факты устанавливают не люди.
Внимание → вопрос!
Откуда вы берете факты, на которые опираетесь?
Да, "in turn could ", ну то есть не сразу, а по отдельному распоряжению после надлежащей подготовки и в случае, когда иначе угроза будет реализована в виде неприемлемого ущерба.