Возможно, но это уже должно было доказывать министерство, раскрыв детали ТЗ. Если оно почему-то считает, что сделанное — 1% от задачи, то пусть раскроет остальные 99%, потому что 100 собравшихся на хакатон программистов эти 99% не увидели, а увидели простенький Интернет-магазин. В этом весь смысл.
Просто пишите сразу три письма: в полицию, прокуратуру и следственный комитет. В каждом письме указывайте, что направили копии в два других ведомства. Один полицейский — забьёт, полицейский и следователь или полицейский и прокурор — договорятся, а если их будет трое и они будут знать друг о друге, то дилемма заключенного будет играть за вас.
Не работает: бот, как правило, находится на заражённом компьютере или телефоне, то есть, на чьём-то персональном компьютере или телефоне, и может использовать весь накопленный трек браузера.
Ну то есть, опять же, в вырожденных простеньких случаях срабатывает, да. Пока за вас не взялись всерьёз.
Я лично не понимаю, что тут может быть некомфортного. В частности, клиент наверняка должен насторожиться, если ему предлагают подписать NDA ещё до того, как расскажут про техническое решение :-)
Индустрия должна быть прозрачной, и в этом должен быть вклад каждого без исключения игрока.
«Потенциальная», но на практике в моём практически 10-летнем опыте такого не было, а по мере распространения IPv6 эта проблема вообще уйдёт в прошлое.
Компаний, способных эффективно блокировать любых ботов с самого первого запроса, на рынке не существует, поскольку такое решение теоретически построить невозможно. В маркетинговых материалах написать можно, а вот сделать — нет, что легко демонстрируется.
Ну а блокировать некоторых ботов за один запрос, конечно, можно, мы это делаем и многие другие делают. Но это работает только против простеньких злоумышленников, продвинутые легко обойдут такую «защиту».
Из приведённого поста, честно говоря, вероятность никак нельзя оценить как «высокую». Хотя задокументировать принцип формирования S-box'ов, конечно же, не мешало бы.
1)
a) User-Agent у значительного числа пользователей эквивалентен актуальной на текущую дату версии Chrome. Если бот использует такой же браузер (или делает вид), вы его пропустите.
b) Более того, вы фактически даёте возможность боту генерировать тикеты на вашей стороне путём перебора User-Agent'ов, что приведёт либо к тому, что у вас кончится память под тикеты, либо к тому, что вы заблокируете все новые тикеты с IP-адреса, то есть, фактически, весь IP-адрес.
2) Анализ на основе поведения невозможно делать на основе одного запроса, нужна история, собственно, поведения. При этом, если вы пытаетесь банить с точностью менее чем IP-адрес, то бот может начать имитировать толпу пользователей, каждый из которых отправляет свой самый первый запрос к сайту, что тоже приведёт либо к исчерпанию у вас памяти, либо к блокированию IP-адреса целиком.
«Первый запрос от бота» возможно отрезать, если бот непохож на браузер. Это не «продвинутость», это как раз простейший вариант фильтрации, который есть примерно у всех. Но на браузерных ботов он в общем случае не работает.
P.S. "даже если этот бот headless chrome" — это странное заявление, Headless Chrome отнюдь не самый плохой случай :-)
Блокирование точнее, чем IP-адрес — это миф. Оно возможно в простых случаях (грубо говоря, когда бот не использует браузер), но в общем случае оно не работает и, наоборот, снижает время реакции на атаку.
На практике в IPv4, не говоря уже об IPv6, блокирование на уровни точности «IP-адрес» к проблемам пользователей приводит только в вырожденных единичных случаях, которые полезнее и правильнее решать по мере их возникновения.
Понятно, что абсолютно все проблемы TLS 1.3 решить не смог, но это достаточно полный snapshot исследований по состоянию на сейчас. Последующие работы, такие, как QUIC, ESNI, DoH, MASQUE, могут использовать TLS 1.3 как фундамент.
Отлично, но это ни о чём не говорит. Если в Интернете есть какой-то маршрут, это отнюдь не значит, что он единственный. Просто он по какой-то причине для оператора связи самый дешёвый. Регулировать это (если есть желание) намного надёжнее и эффективнее, соответственно, экономическими, а не административными рычагами.
Просто постарайтесь нигде не использовать цветовое кодирование. Дальтонизм — не единственная причина его избегать. Цветопередача у различных дисплеев может отличаться как небо и земля.
Поправил в тексте, чтобы читалось однозначно.
Ну то есть, опять же, в вырожденных простеньких случаях срабатывает, да. Пока за вас не взялись всерьёз.
Индустрия должна быть прозрачной, и в этом должен быть вклад каждого без исключения игрока.
Компаний, способных эффективно блокировать любых ботов с самого первого запроса, на рынке не существует, поскольку такое решение теоретически построить невозможно. В маркетинговых материалах написать можно, а вот сделать — нет, что легко демонстрируется.
Ну а блокировать некоторых ботов за один запрос, конечно, можно, мы это делаем и многие другие делают. Но это работает только против простеньких злоумышленников, продвинутые легко обойдут такую «защиту».
a) User-Agent у значительного числа пользователей эквивалентен актуальной на текущую дату версии Chrome. Если бот использует такой же браузер (или делает вид), вы его пропустите.
b) Более того, вы фактически даёте возможность боту генерировать тикеты на вашей стороне путём перебора User-Agent'ов, что приведёт либо к тому, что у вас кончится память под тикеты, либо к тому, что вы заблокируете все новые тикеты с IP-адреса, то есть, фактически, весь IP-адрес.
2) Анализ на основе поведения невозможно делать на основе одного запроса, нужна история, собственно, поведения. При этом, если вы пытаетесь банить с точностью менее чем IP-адрес, то бот может начать имитировать толпу пользователей, каждый из которых отправляет свой самый первый запрос к сайту, что тоже приведёт либо к исчерпанию у вас памяти, либо к блокированию IP-адреса целиком.
«Первый запрос от бота» возможно отрезать, если бот непохож на браузер. Это не «продвинутость», это как раз простейший вариант фильтрации, который есть примерно у всех. Но на браузерных ботов он в общем случае не работает.
P.S. "даже если этот бот headless chrome" — это странное заявление, Headless Chrome отнюдь не самый плохой случай :-)
На практике в IPv4, не говоря уже об IPv6, блокирование на уровни точности «IP-адрес» к проблемам пользователей приводит только в вырожденных единичных случаях, которые полезнее и правильнее решать по мере их возникновения.
Понятно, что абсолютно все проблемы TLS 1.3 решить не смог, но это достаточно полный snapshot исследований по состоянию на сейчас. Последующие работы, такие, как QUIC, ESNI, DoH, MASQUE, могут использовать TLS 1.3 как фундамент.
Но уж точно не по признаку текущего местонахождения, правда?
(Это не говоря уже иных проблемах, связанных с этой базой и этим методом)