Слепок Браузера: альтернативный подход для борьбы с вредоносным трафиком

[Nunter]

Ну получили слепок а дальше что? Как на практике применить?

[Nunter]

Это понятно, а на практике как применять?
Для примера - бот кликнул по рекламе в ЯД, яндекс денег уже списал, а что там будет делать бот на сайте уже не имеет для меня как для рекламодателя значения. Если бы вашу идею (методы) внедрили на самом директе - тогда да, но это утопия, яндекс на это никогда не пойдет ;)

[MesDes]

Вроде не глупо написано и вопрос важный затронут, но на выходе пустота. Всё ради ссылки?

[grigoriy-melnikov]

В конце ссылка на телеграм канал - там ответы на все вопросы которые у вас возникают.

[Krypt]

То есть таки ради ссылки, ха.

[Didimus]

Ловите бота!

[Clickk]

На самом деле, очень грамотно написана эта статья и на те, что ссылается автор. Не вижу ничего плохого в ссылках.

[Kenya-West]

Хотите узнать, как я отреагировал на ваш комментарий? Заходите на мой Телеграм-анал!

[grigoriy-melnikov]

Признаю ошибку: Не косячит только тот, кто ничего не трогает.

[Nunter]

Ну получили слепок а дальше что? Как на практике применить?

[grigoriy-melnikov]

Базовая идея: если слепок есть в списке реальных браузеров, то это пользователь - иначе: бот. Практически: на каждый слепок можно накладывать или снимать индивидуальные ограничения в зависимости кто за слепком: пользователи, боты, или и те и те.

[Nunter]

Это понятно, а на практике как применять?
Для примера - бот кликнул по рекламе в ЯД, яндекс денег уже списал, а что там будет делать бот на сайте уже не имеет для меня как для рекламодателя значения. Если бы вашу идею (методы) внедрили на самом директе - тогда да, но это утопия, яндекс на это никогда не пойдет ;)

[grigoriy-melnikov]

Для Директа отдельный подход. Визиты ботов собираются в сегмент аудитории. На основании этого сегмента строится looke-like аудитория и для неё делается корректировка ставок в "-100%". Так же визитам ботов ограничивается доступ на сайт - что не позволяет делать конверсии и Директ на конверсиях бота не обучается. Работает очень хорошо - есть реальные кейсы.

[Nunter]

Ну... в том скудном выборе что нам дает ЯД имхо невозможно сделать какой то сегмент и ему что то показывать.. Есть конкретные примеры? или все на уровне идей?
PS секретов не надо выдавать, но тем не менее вопросов к вам больше чем ответов.

Спасибо

[grigoriy-melnikov]

Рабочие кейсы есть в телеграм канале и на самом моем сайте. Всё работает стабильно.

[Maxim_Q]

А если ботовод подствавит в строку User Agent реальное значение браузера от хрома, что тогда? Ваш скрипт покажет что он реальный пользователь? Какие еще параметры нужно анализировать чтобы отсеивать таких хитрых ботов?

[grigoriy-melnikov]

На значение Юзер Агент смотреть бессмысленно, так как его элементарно подменить. Анализ параметров - это устаревший метод, любые параметры легко подменяются. В основе построения слепка лежит математический аппарат, который выявляет факт подмены параметра и на основании этого строит слепок бот-програмы. Сами значения параметров роли не играют.

[Maxim_Q]

Что значит "В основе построения слепка лежит математический аппарат"?

По вашему описанию вообще ничего не понятно, можно подробнее пояснить как вы там и что считаете? А то все эти крутые слова просто как вилами по воде.

[Dolios]

Надо перейти в телегу и купить там платный вебинар, не иначе :)

[grigoriy-melnikov]

Тренинги это не мое) Там платного ничего нет)

[Maxim_Q]

У вас же доступ к вашему скрипту платный 999 руб в месяц, но правда есть еще бесплатный вариант но с урезанным функционалом.

[grigoriy-melnikov]

Бесплатный вариант урезан незначительно - весь центральный функционал всем доступен - всё можно посмотреть, пощупать абсолютно бесплатно.

[grigoriy-melnikov]

По вашему описанию вообще ничего не понятно, можно подробнее пояснить как вы там и что считаете? 

Как именно рассчитывается слепок - это тема для отдельной очень большой статьи. А тут вы можете посмотреть только результат работы этого "Математического аппарата".

[Maxim_Q]

Еще одна статья будет или нет? Покажете как вы отсеиваете ботов от реальных людей?

[grigoriy-melnikov]

Статей от меня будет много. Математический аппарат будет опубликован в ВАК - но без примеров исходного кода - идея будет передана. Возможно и здесь упрощенный вариант размещу.

[Maxim_Q]

Что такое ВАК? Для меня ВАК (Высшая Аттестационная Комиссия) – это орган государственного значения, работающий при Министерстве науки и образования Российской Федерации. Вы куда статью хотите писать?

[grigoriy-melnikov]

Не в саму комиссию, в ВАКовский журнал.

[Maxim_Q]

Чтобы вам не писать две статьи, пиши одинаковые в журнал и сюда на хабр. Когда кстати ждать статью, через сколько дней?

[grigoriy-melnikov]

Написание статьи в рецензируемый журнал растягивается на месяцы, а не на дни. У меня очень много работы, и не только статейной. В приоритете статьи по цифровой идентификации личности, уникальном ID устройства и кейсы. Идея мат аппарата будет опубликована не ранее чем через пол года.

[akakoychenko]

Занимательная статья, но слишком уж пафоса много
Решил копнуть глубже, ибо тема интересная

Прежде всего, проверим, а насколько вообще технология оправдывает обещания. Берем самый базовый код, который что-то вроде hello world для ботоводов, и видим, что слепок совпал со слепком Хрома, запущенным руками, и, слепок есть в списках настоящих браузеров

import time
import undetected_chromedriver as uc
driver = uc.Chrome()
driver.get('https://killbot.ru/snpsht.html')
time.sleep(10)
driver.save_screenshot('killbot.png')

Теперь посмотрим вглубь, а что ж там внутри, и почему автор так яростно отстраивает свой подход от фингерпринтов?

Видно, что собираются различные параметры и отправляются на сервер (большинство из которых, к слову, null)

Пример одной из порций данных:

{"availWidth":1440,"availHeight":804,"width":1440,"height":900,"colorDepth":30,"pixelDepth":30,"availLeft":0,"availTop":25,"orientation":{},"onchange":null,"isExtended":false}

Также видно, что проводятся манипуляции с шейдерами и графикой

if (a = c.getContext("webgl")) {
        const d = createProgram(a, vertexShaderSource, fragmentShaderSource);
        if (!d) {
            console.error("Failed to create program");
            return
        }
        const e = a.getAttribLocation(d, "a_position")
          , f = a.getUniformLocation(d, "u_resolution")
          , g = a.getUniformLocation(d, "u_time")
          , h = a.createBuffer();
        a.bindBuffer(a.ARRAY_BUFFER, h);

что 1-в-1 напоминает старый-добрый canvas fingerprint

Итого, что видно в итоге:

1. технология является прямой альтернативой старых-добрых проприетарных фингерпринтов со сверкой по проприетарной базе (см. fingerprint.com, ipqualityscore.com, iovation). Это не что-то инновационное, а просто +1 конкурирующий продукт.

2. очевидно, что и классические проблемы этих продуктов тут тоже будут, а именно
- такие решения очень плохо сопротивляются попыткам эмулировать айфоны (ибо, айфоны из коробки весьма неплохо защищены от фингерпринтинга, и выглядят для таких скриптов, как братья-близнецы; соответственно, стоит "попасть" в нужный кластер ботом, и тебя никогда не забанят, - никто добровольно не отсечет, скажем, всех пользователей iPhone 15 Pro то своего продукта)
- нестандартное железо/редкий планшет с Алика/еще какая-то нестандартность, - ты бот, и выбирай велосипеды. Да, как правило, для владельца бизнеса это "зачем нам эти неудачники?", но подход, правда, крайне аморальный

[grigoriy-melnikov]

Рассуждения выше сродни тому, что не попробовал, значит не вкусно. Или "я не шарю в трансформаторах, значит лампочка не загорится".

Килбот это сложная система. Килбот это не только слепки, но и сам подход - помимо слепков акцент на ПОДХОД.
Всё что написано выше - все мимо, без комментариев.

[Dolios]

Какие ваши доказательства?

[grigoriy-melnikov]

У меня запланирован цикл статей на харбре, включая кейсы - вы можете подождать и ознакомиться с ними. Если нет желания ждать, то регистрируйтесь на сайте и пробуйте.

[Dolios]

Я вам посылку принёс, но я вам её не отдам (с) :)