Монетизировать конечно тяжеловато будет, конвертеров в сети хватает, но это не повод опускать руки. Создать продукт это по моим оценкам 10% работы. Реальной работой будет поиск пользователя. Удачи с этим (без сарказма)
Поскольку статья очень сильно по теме которой я занимаюсь - позволю себе высказаться.
Во первых - не упомянули hsts pinning, по сравнению с ним все остальные техники трекинга - беззубые котята.
Во вторых, зная о существовании hsts pinning-а И зная как он реализован в хроме/хромиуме, вот это утверждение:
Шизофренией будет сказать, что все это придумано злодеями.
уже звучит не настолько уверенно. Гуглеры хранят hsts записи по хэшу от домена - то есть в принципе информации о том какие именно домены и что именно они положили в hsts хранилище - не достать если заранее не знать домен.
Далее про шизофрению - общался с типуганчиком который делал денег на подслушивающем софте. В общем кухня там следующая - мобильный софт (точнее модуль монетизации) который слушает микрофон на определенных частотах (звуковых) А в торговых центрах крутят всякие музыку/зазывалки/объявления и вот там тоже на определенных частотах пробрасывается инфа, немного, буквально байты, что то вроде id. Так вот, благодаря этому мобильное приложение подслушивающее - может этот id распознать и скинуть агрегатору. А тот уже собирает статистику и определяет потоки трафика. Свучит фантастически но тут надо понимать - это модуль монетиации, они сами мобильный софт не пишут. Это уже разрабы тащат это говно в свои поделия что бы хоть как то отбиться. Да, звучит как ОБС агентство, я сам в эту тему глубоко не погружался но в принципе выглядит как рабочая схема. Помножить на человеческую глупость и жадность - на выходе вполне может быть ощутимый выхлоп.
Далее, вы смешивание два вида различных техник в одну кучу. Фингерпринтинг - это способ определить модель - браузера, железа, операционки. С точки зрения этих техник два разных пользователя на одинаковом железе/софте будут неотличимы. И отдельно идут техники трекинга, это именно то что позволяет навесить на пользователя ярлычок и опознать его в дальнейшем.
Далее, говоря о таких вещах странно не упомянуть антидетект браузеры и мультиаккаунтинг- это именно те сборки которые позволяют обойти все эти шпионские приблуды черезчур активного бизнеса (и не только)
Далее, evercookie устарели, там половина того что они используют уже в браузерах выпилено, supercookie используют только favicons (их Вы тоже не упомянули а стоило бы)
Ну и напоследок - есть как минимум две техники обхода - сбрасывать к **ам все и не позволять сайтам сохранять в разных укромных местах id пользователя (как делает brave с favicons) либо дать пользователю возможность вести сессии (мультиаккаутнтинг) и в нужный момент переключаться между ними, как делает большинство коммерческих антидетект браузеров (и да, firefox тут вас не спасет, какое бы славное прошлое у него ни было - надо уже найти в себе силенки и посмотреть правде в глаза)
Ну и совсем напоследок похвастаюсь своей сборкой хромиума по этой теме, Ultimatum - мы здесь всерьез и надолго ) https://habr.com/ru/articles/868604/
PPS это не поливание, это конструктивная критика. О безопасности в сети говорить надо и говорить много, уровень осведомленности к сожалению падает, так что за статью и приложенные усилия - отдельное спасибо!
Исходя из того что они сами пишут - больше похоже на то что делает ungoogled chromium. Но там надо сорцы смотреть, я пока этого не делал. Но скорее всего загляну в плане fingerprinting- а
Нет, контейнеры из firefox это немного на другом уровне. Но в принципе похоже. Я ничего не изобрел, все давно придумано. Просто впилил возможности антидетект браузера в хромиум.
Да, редирект - это был мой косяк, я этот баг исправил. Кроме того выложил сборку под убунту и написал статейку как использовать Помогатор https://habr.com/ru/articles/868604/ Возможно Вам будет интересно.
Я когда в коде хромиума ai код увидел - сперва подумал что меня глючит. Первый кандидат на выкидывание, практически на 100% уверен что он и подсматривает и постукивает.
Какой интересный вектор. Признаюсь, как то мимо меня проходило, погуглил, да, там прикольно. Как минимум нужно выносить поведение дебаггера в настройки, с возможностью указывать политики для разных доменов и возможно еще что то вылезет. Результат не обещаю, но как минимум в тему пошел погружаться, я отпишусь так или иначе когда свое мнение по вопросу выработаю.
Убунта была, я даже выкладывал какие то сборки, потом ноут прилег и как то отложилось. Да, наверно эти выходные потрачу на реанимацию и возобновлю сборки под никсы. На днях будет анонс, я уже сделал sockets api доступным для всех расширений, смотрю там есть пачка api для web apps с которыми можно сделать тоже самое, постараюсь у этому времени уже с линуксом выйти.
Детект имеет два вектора - определить модель браузера и трекнуть пользователя. С трекингом моя сборка справляется. А модель я прятать пока не собираюсь, хотя планы и есть.
Я скорость точно себе в приоритет не ставлю, моя основная цель - упростить код и снизить порог вхождения. Возможно за счет выкидывания лишних сущностей в какой то момент времени оно станет меньше есть памяти, но вот к ускорению я не думаю что подберусь в ближайшее время.
Тут уже упоминали https://thorium.rocks/ выглядит как будто там заморочились с оптимизациями. Что касается того что хром быстрее хромиума - а чего вы ожидали :) У меня на маке бинарь хромиума весит 533Mb а бинарь хрома 1.8Gb, я не думаю что разница только в нескучных обоях. Оптимизации это конкурентное преимущество, я не думаю что гугль будет прям все выкладывать в открытый доступ.
Мой сценарий включает еще третью опцию - потихоньку выкидывать лишнее и тем самым уменьшать объем кода на котором возможны конфликты. А это уже несколько векторов - весь энтерпрайз, та часть логики которую можно подхватить в js и которая сейчас сидит в с++ (например многое из сетевых запросов, не сам сетевой стек а обвязка вокруг него) и различные рудименты - например если убрать favicon cache и положить его в http cache - не думаю что будет какая либо просадка в производительности но при этом часть логики уйдет.
Это очень большие задумки, я понемногу их думаю но пока рановато за них браться - силенки не те, надо наращивать мышечную массу.
У тебя
отнимают"замораживают" ВСЕ деньги зарабатываемые на территории страны гражданином которой ты являешься - и это относительно безболезненно?Крайне недооцененный комментарий. Я бы еще добавил - не для всех.
https://gonzazoid.com на днях еще 132 версия будет, с фиксами по diskCache api
Привет, Руслан! It works if you work it!
Монетизировать конечно тяжеловато будет, конвертеров в сети хватает, но это не повод опускать руки. Создать продукт это по моим оценкам 10% работы. Реальной работой будет поиск пользователя. Удачи с этим (без сарказма)
Если вы контролируете http кеш - все эти техники буксуют. Js все таки дает на порядок больше возможностей. Но знать об этом надо, согласен.
Ну оно только для расширений, но вообще да - совсем не безобидная возможность.
Поскольку статья очень сильно по теме которой я занимаюсь - позволю себе высказаться.
Во первых - не упомянули hsts pinning, по сравнению с ним все остальные техники трекинга - беззубые котята.
Во вторых, зная о существовании hsts pinning-а И зная как он реализован в хроме/хромиуме, вот это утверждение:
уже звучит не настолько уверенно. Гуглеры хранят hsts записи по хэшу от домена - то есть в принципе информации о том какие именно домены и что именно они положили в hsts хранилище - не достать если заранее не знать домен.
Далее про шизофрению - общался с типуганчиком который делал денег на подслушивающем софте. В общем кухня там следующая - мобильный софт (точнее модуль монетизации) который слушает микрофон на определенных частотах (звуковых) А в торговых центрах крутят всякие музыку/зазывалки/объявления и вот там тоже на определенных частотах пробрасывается инфа, немного, буквально байты, что то вроде id. Так вот, благодаря этому мобильное приложение подслушивающее - может этот id распознать и скинуть агрегатору. А тот уже собирает статистику и определяет потоки трафика. Свучит фантастически но тут надо понимать - это модуль монетиации, они сами мобильный софт не пишут. Это уже разрабы тащат это говно в свои поделия что бы хоть как то отбиться. Да, звучит как ОБС агентство, я сам в эту тему глубоко не погружался но в принципе выглядит как рабочая схема. Помножить на человеческую глупость и жадность - на выходе вполне может быть ощутимый выхлоп.
Далее, вы смешивание два вида различных техник в одну кучу. Фингерпринтинг - это способ определить модель - браузера, железа, операционки. С точки зрения этих техник два разных пользователя на одинаковом железе/софте будут неотличимы. И отдельно идут техники трекинга, это именно то что позволяет навесить на пользователя ярлычок и опознать его в дальнейшем.
Далее, говоря о таких вещах странно не упомянуть антидетект браузеры и мультиаккаунтинг- это именно те сборки которые позволяют обойти все эти шпионские приблуды черезчур активного бизнеса (и не только)
Далее, evercookie устарели, там половина того что они используют уже в браузерах выпилено, supercookie используют только favicons (их Вы тоже не упомянули а стоило бы)
Далее, мест куда можно писать немного больше, есть как минимум еще https://developer.mozilla.org/en-US/docs/Web/API/CacheStorage и он отличается от http кеша.
Ну и напоследок - есть как минимум две техники обхода - сбрасывать к **ам все и не позволять сайтам сохранять в разных укромных местах id пользователя (как делает brave с favicons) либо дать пользователю возможность вести сессии (мультиаккаутнтинг) и в нужный момент переключаться между ними, как делает большинство коммерческих антидетект браузеров (и да, firefox тут вас не спасет, какое бы славное прошлое у него ни было - надо уже найти в себе силенки и посмотреть правде в глаза)
Ну и совсем напоследок похвастаюсь своей сборкой хромиума по этой теме, Ultimatum - мы здесь всерьез и надолго ) https://habr.com/ru/articles/868604/
PPS это не поливание, это конструктивная критика. О безопасности в сети говорить надо и говорить много, уровень осведомленности к сожалению падает, так что за статью и приложенные усилия - отдельное спасибо!
Исходя из того что они сами пишут - больше похоже на то что делает ungoogled chromium. Но там надо сорцы смотреть, я пока этого не делал. Но скорее всего загляну в плане fingerprinting- а
Нет, контейнеры из firefox это немного на другом уровне. Но в принципе похоже. Я ничего не изобрел, все давно придумано. Просто впилил возможности антидетект браузера в хромиум.
Да, редирект - это был мой косяк, я этот баг исправил. Кроме того выложил сборку под убунту и написал статейку как использовать Помогатор https://habr.com/ru/articles/868604/ Возможно Вам будет интересно.
Я когда в коде хромиума ai код увидел - сперва подумал что меня глючит. Первый кандидат на выкидывание, практически на 100% уверен что он и подсматривает и постукивает.
выложил:
https://news.ycombinator.com/item?id=42469660
https://www.reddit.com/user/gonzazoid/comments/1higkqz/ultimatum_debut/
Если у кого кармы хватит на репост - буду благодарен, r/openSource решили что это промотинг и поставили на ревью.
Ссори за долгое молчание, выложил .deb и .rpm в бложике.
Выложил у себя в бложике, можно качать.
Какой интересный вектор. Признаюсь, как то мимо меня проходило, погуглил, да, там прикольно. Как минимум нужно выносить поведение дебаггера в настройки, с возможностью указывать политики для разных доменов и возможно еще что то вылезет. Результат не обещаю, но как минимум в тему пошел погружаться, я отпишусь так или иначе когда свое мнение по вопросу выработаю.
Убунта была, я даже выкладывал какие то сборки, потом ноут прилег и как то отложилось. Да, наверно эти выходные потрачу на реанимацию и возобновлю сборки под никсы. На днях будет анонс, я уже сделал sockets api доступным для всех расширений, смотрю там есть пачка api для web apps с которыми можно сделать тоже самое, постараюсь у этому времени уже с линуксом выйти.
Детект имеет два вектора - определить модель браузера и трекнуть пользователя. С трекингом моя сборка справляется. А модель я прятать пока не собираюсь, хотя планы и есть.
Эммм.. А смысл? Я написал все что есть, если этого в списке нет - значит этого нет, вроде как понятно :)
не думаю что будет большая разница, у меня флаги сборки плюс минус те же, за исключением раста - я без него собираю. https://github.com/ungoogled-software/ungoogled-chromium-windows/blob/master/flags.windows.gn
Я скорость точно себе в приоритет не ставлю, моя основная цель - упростить код и снизить порог вхождения. Возможно за счет выкидывания лишних сущностей в какой то момент времени оно станет меньше есть памяти, но вот к ускорению я не думаю что подберусь в ближайшее время.
Тут уже упоминали https://thorium.rocks/ выглядит как будто там заморочились с оптимизациями. Что касается того что хром быстрее хромиума - а чего вы ожидали :) У меня на маке бинарь хромиума весит 533Mb а бинарь хрома 1.8Gb, я не думаю что разница только в нескучных обоях. Оптимизации это конкурентное преимущество, я не думаю что гугль будет прям все выкладывать в открытый доступ.
Мой сценарий включает еще третью опцию - потихоньку выкидывать лишнее и тем самым уменьшать объем кода на котором возможны конфликты. А это уже несколько векторов - весь энтерпрайз, та часть логики которую можно подхватить в js и которая сейчас сидит в с++ (например многое из сетевых запросов, не сам сетевой стек а обвязка вокруг него) и различные рудименты - например если убрать favicon cache и положить его в http cache - не думаю что будет какая либо просадка в производительности но при этом часть логики уйдет.
Это очень большие задумки, я понемногу их думаю но пока рановато за них браться - силенки не те, надо наращивать мышечную массу.