Комментарии 41
Поэтому необходимо использовать блокировщики, например, uMatrix, который по-умолчанию блокирует все 3rd-party скрипты. Или uBlock Origin.
По дополнениям рекомендую ознакомиться с такими материалами:
- Это ж сам сайт сканирует, а не 3rd-party.
- Сейчас многие загружают js c 3rd-party cdn.
- Без js современной сайт скорее всего не будет работать
- Во имя privacy вы рекомендуете устанавливать в браузер плагины, которые будут иметь доступ ко всему контенту всех посещаемых вами сайтов?
Какие вы собственно предлагаете альтернативы? Не пользоваться блокировщиками рекламы?Блокировщики бывают разные, я пользуюсь теми, которые не имеют доступа к контенту — это блокировка контента в браузере и подмена адресов, когда все запросы к рекламным сетям идут в 0.0.0.0
Но ведь браузер тоже имеет доступ ко всему контенту. Что делать если в нём закладка?Просто не пользуйтесь Google Chrome :)
Или вы надеетесь, что закладка в плагине нейтрализует закладку в браузере?
- По выводу из консоли видно, что идёт GET запрос https://127.0.0.1: порт. Для uMatrix это будет выглядеть как запрос не на ebay.com, а на 127.0.0.1, поэтому он отнесёт его к 3rd-party и заблокирует. В качестве примера скриншот uMatrix из ЛК Ростелекома, история про который приведена в первом комментарии.
- Значит эти скрипты будут блокироваться, если блокировщик так настроен. Потребуется добавлять исключения. Это всего лишь вопрос удобства пользования.
- Верно.
- Я нигде не говорил про приватность.
umatrix блокирует обращения к third party. Нестандартные порты на машине пользователя будут таковыми.
… Интересно, а как они сканируют? Тупо http запросами или добрые браузеростроители дали возможность браузеру подключаться к любому tcp?
Это ж сам сайт сканирует, а не 3rd-party.uMatrix в свою очередь способен блокировать и XHR-запросы к сторонним ресурсам.
Сейчас многие загружают js c 3rd-party cdn.Ну так добавьте их в исключения.
А это на уровне браузера не решается до сих пор? Кажется, доступ к localhost или к локальной сети страницей, загруженной извне – очевидный сценарий, требующий явного разрешения, так же, как доступ к геолокации, камере, микрофону и т.п.
Сайт eBay сканирует сетевые порты ПК у Windows-пользователей на наличие программ удаленного доступа… На самой площадке пояснили, что это делается для безопасности пользователей.Ну в общем как всегда- ''Воюйте за мир, е@итесь за девственность.''
Вот что-то не читал ни одной записи от пользователей на-eBay о том что они хотели что-то купить, а сайт залупился- ''Валите на фиг, не нужны мне ваши деньги, возможно ваш компьютер взломан'' А стандартная отмазка а ля ''мы вам черенок в задницу воткнули что бы вас никто не поимел'' выглядит смешно.
''Валите на фиг, не нужны мне ваши деньги, возможно ваш компьютер взломан''
Таких тоже надо как-то детектить. И в итоге люди со специфическими вкусами (блокировщики, linux, VPN, нестандартное ПО) будут часто ловить подобные вещи и завалят саппорт Ebay вопросами «что за фигня, ничего оплатить не могу».
Это вызовет куда больший отток клиентов, чем взломы.
Занимался разбором этого скрипта ещё года два назад. Это одна из лучших систем по снятию отпечатка системы. Используются хитрые приемы как обойти некоторые системы подмены отпечатков.
Причем это сторонее решение а не что то сделанное ебеем, так как встречал это скрипт на разных типах бизнеса, но все рисковые.
Лец ми спик фром май харт ин инглиш © В. МуткоНа месте eBay-я я (как очень давний пользователь — Member since: Jan 23, 2001 — и продавец), я бы промолчал, чем давать такие дурацкие оправдания. Уж кому-кому, но не eBay-ю говорить о «customer's security» и прочем BS! Каждый, кто когда-либо продавал digital certificates & codes (типа Xbox Gold pass etc.) прекрасно знает, как eBay «заботится» о своих пользователях — старичках и старушках, компьютеры которых сломали уродские script kiddies… А всего-то, что нужно сделать, так это подтверждение сделки через SMS или phone call. eBay-ю об этом пишут уже лет… надцать — но «воз и поныне там»…
eBay дырявый, как решето, а количество «угнанных» эккаунтов и воровства на eBay просто превосходит все разумные пределы. Но они (то-бишь eBay) поступили «просто» — переложили все риски на продавцов и покупателей. Т.е. если с «угнанного» эккаунта произошла покупка (либо цифрового товара, либо реального на dropshot), то старичок, у которого украли эккаунт, позвонит в банк или кредитную компани, и деньги ему вернут. Но, как вы думаете, за чей счет? Да-да, как правило — за счет честного продавца! И, кстати, криминальных схем вокруг eBay-я — в самом настоящем смысле криминальных — крутится очень много.
С безопасностью на этой площадке дела обстоят действительно не самым лучшим образом. Выкручиваются как могут.
На клиентской стороне лучше пользоваться uBlock/uMatrix + HTTPS Everywhere + UserAgent switcher + TPRB (ThirdPartyRequestBlocker) + Decentraleyes + Containerise + Tampermonkey
А такие запросы под блокировку cross-domain не попадают? Помнится, где-то читал, что там целую историю с подменой dns проделывают, чтобы такой скрипт мог стучаться в localhost..
Вдобавок оказалось, что сканирование портов скриптом check.js не происходит, если пользователь при посещении сайта eBay использует ПК на Linux.Догадываюсь, это из-за различий в реализации сетевого протокола под Windows и Linux.
Под Windows при попытке стучать на закрытый порт после получения RST-пакета система пытается ещё несколько раз отправить пакет, и только через 1000 милисекунд «сдаётся» и генерирует ошибку о невозможности подключения. Под Linux такой проблемы нет, и ошибка всплывает практически сразу (в моих замерах ~4.8мс).
В итоге, под Linux трюк с замером времени подключения не сработает — там мы или не подключимся и практически сразу получим ошибку сокета, или подключимся и получим ошибку CORS через такое же мизерное время.
Под Windows — если мы не подключимся, то получим ошибку через секунду или дольше, а если подключимся — то значительно быстрее.
Полагаю, именно на этом и основана методика определения открытого порта.
Сайт eBay сканирует сетевые порты ПК у Windows-пользователей на наличие программ удаленного доступа