В современных браузерах - да. Однако некоторый процент юзеров пользуются старыми смартфонами, в которых ничего не обновлено и старые браузеры пропускают mixed content по умолчанию.
Во первых браузер не станет его загружать по http если страница на https.
Станет, если браузер работает на смартфоне примерно 7-летней давности, который по какой-то причине больше не обновляют. Mixed content раньше не считался угрозой, запросы по http не блокировались и не редиректились на https.
Во вторых, кто вставит в запрос X-Forwarded-For, впн чтоли?
VPN и HTTP-прокси это разные вещи. X-Forwarded-For это изначальная фишка HTTP-прокси, которая раньше обычно на прокси была включена но потом ее стали выключать в пылу борьбы за приватность.
Короче говоря, пятый пункт в моем списке это такие отголоски прошлого, которые эксплуатировались во весь рост лет 6-8 назад, но к текущему времени встречаются очень и очень редко.
Это теперь они (браузеры) умеют либо блокировать mixed content, либо апгрейдить запрос с http на https. Это не всегда так было. То есть это всё к вопросу о том, что какой-то процент юзеров до сих пор работает на каком-то диком старье, например носит в кармане смартфон 7-летней давности и ему ОК.
Любой сайт может определить использование VPN или прокси по косвенным признакам:
берем IP адрес клиента. Дальше несколько вариантов на выбор:
если клиент заказывает такси или еду в Москве а по GeoIP у него Германия, значит скорее всего у него VPN или прокси. Ну или клиент из Германии заказывает такси для кого-то в России, да?
по IP определяем AS и ее принадлежность. Если повезет, то по базе сразу понимаем, что IP принадлежит хостингу а вовсе не оператору связи. Значит VPN или прокси. Или сотрудник хостинга заказывает такси с рабочего места в корпоративной сети, такое может быть.
делаем реверс DNS для этого IP и смотрим на результат. В случае VPN на какой-нибудь виртуалке получаем чаще всего имя виртуалки у хостера. Значит VPN или прокси.
по IP определяем часовой пояс той местности, котоую определили по базе GeoIP. С помощью скрипта в коде веб-страницы определяем часовой пояс устройства. Существенная разница указывает на VPN или прокси. Ну или клиент так сильно забил на синхронизацию времени, что у него показывается 11 утра вместо 11 вечера а ему все равно.
вставляем в код страницы невидимый пиксель, доступный только по HTTP (без шифрования трафика, <img src="http://наш_пиксель?идентификатор_клиента" width=1 heigth=1>). Если от клиента приезжает запрос пикселя с заголовком X-Forwarded-For, значит это прокси, он еще и реальный IP клиента спалит таким образом. Но это сейчас очень редко срабатывает.
Письма тоже может читать - это у них называется Email routing. При включении этой опции для домена все письма идут на сервер CF и уже с него туда, куда настроено.
Это так называемый "Рембрантовский свет" (или Рембрандтовский треугольник) - способ постановки освещения при портретной съемке для достижения драматизма и загадочности. Этому учат на весьма базовых курсах фотографии, да и самоучителей полно. Нейросети тут ни при чем. Я так своих коллег снимал лет 30 назад еще на пленку - все сразу стали загадочными брутальными героями. Судя по реакции на эту фотку, драматизм и загадочность таки достигнуты.
Казалось бы, вот он — триумф троичного подхода. Но в 1965 году производство «Сетуни» было остановлено. Почему?
Потому что в 1960 появились первые микросхемы, выполненные по планарной технологии, а в 1965 уже был озвучен Закон Мура. Даже один единственный ферритовый сердечник по размеру больше, чем кристалл микрухи, которая одна реализует сразу целый логический блок, например двоичный сумматор.
Что надо разместить на сайте если сам сайт ничего не собирает, не хранит и не передает, не использует куки, но на его страницах поставлен внешний счетчик (например Яндекс Метрика), который как раз занимается всеми этими вот куками и всё такое? И, что еще интереснее, что если там не отечественная Яндекс Метрика а трансграниная Гугло Аналитика?
Национальный месстенджер выбрал стратегию "безопасность через неясность". В этом случае неважно то, как именно была "сделана неясность" - через base64 от хэша контента или через какой-то большой идентификатор (например UUID), закодированный в base64. И так и так никакой безопасности на самом деле нет.
Это для фанатов фильма Bugonia (2025) на самом деле. Было интересно набрать на калькуляторе секретный код из фильма и посмотреть, нет ли там какой-нибудь пасхалки.
Они не только юзают CF, который блокируется потому что он CF, но и оставили там включенным ECH, которая отдельно блокируется сама по себе. Это что бы наверняка :-)
Точнее, вопросы точно появятся у 0,6% россиян, которые полностью и правильно поняли русский текст на тестах PISA 2018 по чтению.
Что было не так с этим русским текстом? Хотелось бы понять, почему 99.4% россиян его не полностью понимают или понимают неправильно. Я не шпион, мне просто интересно.
В современных браузерах - да. Однако некоторый процент юзеров пользуются старыми смартфонами, в которых ничего не обновлено и старые браузеры пропускают mixed content по умолчанию.
Станет, если браузер работает на смартфоне примерно 7-летней давности, который по какой-то причине больше не обновляют. Mixed content раньше не считался угрозой, запросы по http не блокировались и не редиректились на https.
VPN и HTTP-прокси это разные вещи. X-Forwarded-For это изначальная фишка HTTP-прокси, которая раньше обычно на прокси была включена но потом ее стали выключать в пылу борьбы за приватность.
Короче говоря, пятый пункт в моем списке это такие отголоски прошлого, которые эксплуатировались во весь рост лет 6-8 назад, но к текущему времени встречаются очень и очень редко.
Это теперь они (браузеры) умеют либо блокировать mixed content, либо апгрейдить запрос с http на https. Это не всегда так было. То есть это всё к вопросу о том, что какой-то процент юзеров до сих пор работает на каком-то диком старье, например носит в кармане смартфон 7-летней давности и ему ОК.
Я в код страницы https://evilsite.com/index.php вставляю тег <img src="http://evilsite.com/pixel.gif?user_id=456789">.
evildomain.com не находится в HSTS Static Preload List (это важно).
Для браузера это обычная страница с картинкой-хотлинком. Браузер запрашивает http://evilsite.com/pixel.gif?user_id=456789 и получает в ответ 200 OK, content-type: image/gif. Если запрос GET http://evilsite.com/pixel.gif?user_id=456789 прошел через HTTP-прокси то с некоторой вероятностью тот добавит в ответ X-Forwarded-For и демаскирует IP клиента.
Любой сайт может определить использование VPN или прокси по косвенным признакам:
берем IP адрес клиента. Дальше несколько вариантов на выбор:
если клиент заказывает такси или еду в Москве а по GeoIP у него Германия, значит скорее всего у него VPN или прокси. Ну или клиент из Германии заказывает такси для кого-то в России, да?
по IP определяем AS и ее принадлежность. Если повезет, то по базе сразу понимаем, что IP принадлежит хостингу а вовсе не оператору связи. Значит VPN или прокси. Или сотрудник хостинга заказывает такси с рабочего места в корпоративной сети, такое может быть.
делаем реверс DNS для этого IP и смотрим на результат. В случае VPN на какой-нибудь виртуалке получаем чаще всего имя виртуалки у хостера. Значит VPN или прокси.
по IP определяем часовой пояс той местности, котоую определили по базе GeoIP. С помощью скрипта в коде веб-страницы определяем часовой пояс устройства. Существенная разница указывает на VPN или прокси. Ну или клиент так сильно забил на синхронизацию времени, что у него показывается 11 утра вместо 11 вечера а ему все равно.
вставляем в код страницы невидимый пиксель, доступный только по HTTP (без шифрования трафика, <img src="http://наш_пиксель?идентификатор_клиента" width=1 heigth=1>). Если от клиента приезжает запрос пикселя с заголовком X-Forwarded-For, значит это прокси, он еще и реальный IP клиента спалит таким образом. Но это сейчас очень редко срабатывает.
В названиях мест выдачи бывают приписки в скобках.
Настоящие экскурсии на эти ваши "режимные объекты", которые якобы запрещено фотографировать, выглядят примерно так:
Экскурсия по дата-центру «Медведково-2»
Mail ru внутри NORD-4
Какой-то No name ДЦ
4 ЦОД за 1 день
NORD 4
Viikinmäki
LDC
Билайн
Мегафон
OST, NORD
Мегафон
Скай-Трейд
Ростелеком
IXcellerate
Письма тоже может читать - это у них называется Email routing. При включении этой опции для домена все письма идут на сервер CF и уже с него туда, куда настроено.
Этот второй телефон надо будет покупать без предустановленного российского софта. А то мало ли что.
Он прибежит первым если с миссией что-то пойдет не так, и скажет, что всегда предупреждал, но его не слушали.
Это так называемый "Рембрантовский свет" (или Рембрандтовский треугольник) - способ постановки освещения при портретной съемке для достижения драматизма и загадочности. Этому учат на весьма базовых курсах фотографии, да и самоучителей полно. Нейросети тут ни при чем. Я так своих коллег снимал лет 30 назад еще на пленку - все сразу стали загадочными брутальными героями. Судя по реакции на эту фотку, драматизм и загадочность таки достигнуты.
Потому что в 1960 появились первые микросхемы, выполненные по планарной технологии, а в 1965 уже был озвучен Закон Мура. Даже один единственный ферритовый сердечник по размеру больше, чем кристалл микрухи, которая одна реализует сразу целый логический блок, например двоичный сумматор.
Это вообще как?
Словосочетание "плановая экономика" заиграло новыми красками.
Что надо разместить на сайте если сам сайт ничего не собирает, не хранит и не передает, не использует куки, но на его страницах поставлен внешний счетчик (например Яндекс Метрика), который как раз занимается всеми этими вот куками и всё такое? И, что еще интереснее, что если там не отечественная Яндекс Метрика а трансграниная Гугло Аналитика?
Национальный месстенджер выбрал стратегию "безопасность через неясность". В этом случае неважно то, как именно была "сделана неясность" - через base64 от хэша контента или через какой-то большой идентификатор (например UUID), закодированный в base64. И так и так никакой безопасности на самом деле нет.
Это для фанатов фильма Bugonia (2025) на самом деле. Было интересно набрать на калькуляторе секретный код из фильма и посмотреть, нет ли там какой-нибудь пасхалки.
Они не только юзают CF, который блокируется потому что он CF, но и оставили там включенным ECH, которая отдельно блокируется сама по себе. Это что бы наверняка :-)
Нет, не может. EMEI известен провайдеру и товарищу майору, что прямо противоречит целям шифрования.
Что было не так с этим русским текстом? Хотелось бы понять, почему 99.4% россиян его не полностью понимают или понимают неправильно. Я не шпион, мне просто интересно.