Как стать автором
Обновить

Комментарии 41

Читал статью, испытывал какое-то дежа вю, где-то это я уже видел. И точно, у Ростелекома :)

Поэтому необходимо использовать блокировщики, например, uMatrix, который по-умолчанию блокирует все 3rd-party скрипты. Или uBlock Origin.


По дополнениям рекомендую ознакомиться с такими материалами:


  1. Это ж сам сайт сканирует, а не 3rd-party.
  2. Сейчас многие загружают js c 3rd-party cdn.
  3. Без js современной сайт скорее всего не будет работать
  4. Во имя privacy вы рекомендуете устанавливать в браузер плагины, которые будут иметь доступ ко всему контенту всех посещаемых вами сайтов?
НЛО прилетело и опубликовало эту надпись здесь
Какие вы собственно предлагаете альтернативы? Не пользоваться блокировщиками рекламы?
Блокировщики бывают разные, я пользуюсь теми, которые не имеют доступа к контенту — это блокировка контента в браузере и подмена адресов, когда все запросы к рекламным сетям идут в 0.0.0.0
Но ведь браузер тоже имеет доступ ко всему контенту. Что делать если в нём закладка?
Просто не пользуйтесь Google Chrome :)
Или вы надеетесь, что закладка в плагине нейтрализует закладку в браузере?
НЛО прилетело и опубликовало эту надпись здесь

С чего вы решили, что я безоговорочно доверяю браузеру?
Вы проверяете исходный код расширений перед установкой и каждым обновлением?

  1. По выводу из консоли видно, что идёт GET запрос https://127.0.0.1: порт. Для uMatrix это будет выглядеть как запрос не на ebay.com, а на 127.0.0.1, поэтому он отнесёт его к 3rd-party и заблокирует. В качестве примера скриншот uMatrix из ЛК Ростелекома, история про который приведена в первом комментарии.
  2. Значит эти скрипты будут блокироваться, если блокировщик так настроен. Потребуется добавлять исключения. Это всего лишь вопрос удобства пользования.
  3. Верно.
  4. Я нигде не говорил про приватность.

Понял, спасибо. Придётся добавлять очень много исключений.

umatrix блокирует обращения к third party. Нестандартные порты на машине пользователя будут таковыми.


… Интересно, а как они сканируют? Тупо http запросами или добрые браузеростроители дали возможность браузеру подключаться к любому tcp?

Тупо http запросами или добрые браузеростроители дали возможность браузеру подключаться к любому tcp?

Вероятно, коды ошибок отличаются, если порт закрыт и если подключиться удалось, но был нарушен протокол HTTP.
Это ж сам сайт сканирует, а не 3rd-party.
uMatrix в свою очередь способен блокировать и XHR-запросы к сторонним ресурсам.
Сейчас многие загружают js c 3rd-party cdn.
Ну так добавьте их в исключения.

А это на уровне браузера не решается до сих пор? Кажется, доступ к localhost или к локальной сети страницей, загруженной извне – очевидный сценарий, требующий явного разрешения, так же, как доступ к геолокации, камере, микрофону и т.п.

Почему бы? Более того, связь с локалхостом очень часто используется для связи сайтом с локально установленным сервисом, и это вполне legit use, нет разве?

Так и микрофон с камерой зачастую используются легально. Просто на это явно разрешение давать надо.

Только не надо считать что это злой Большой Брат следит за пользователями во имя мирового сионизма. У ибэя большие проблемы с кардингом пейпал («вбивом») и самая старая схема — это брутфорс ПК с открытым RDP + тот же брутфорс Пейпал. Если найти аккаунт ПП и РДП в одном регионе — можно купить товар за чужой счёт имея просто банальную комбинацию пароля и логина (а это в наше время и защитой то назвать несерьёзно — большинство паролей есть в словарях).

поддерживаю.
Вот был бы у меня магазин, где ежедневно кардят не 1 тысячу товара, стал бы я делать подобное? — Однозначно ДА, и это было бы вершиной айсберга.

Сайт eBay сканирует сетевые порты ПК у Windows-пользователей на наличие программ удаленного доступа… На самой площадке пояснили, что это делается для безопасности пользователей.
Ну в общем как всегда- ''Воюйте за мир, е@итесь за девственность.''
Вот что-то не читал ни одной записи от пользователей на-eBay о том что они хотели что-то купить, а сайт залупился- ''Валите на фиг, не нужны мне ваши деньги, возможно ваш компьютер взломан'' А стандартная отмазка а ля ''мы вам черенок в задницу воткнули что бы вас никто не поимел'' выглядит смешно.
''Валите на фиг, не нужны мне ваши деньги, возможно ваш компьютер взломан''

Таких тоже надо как-то детектить. И в итоге люди со специфическими вкусами (блокировщики, linux, VPN, нестандартное ПО) будут часто ловить подобные вещи и завалят саппорт Ebay вопросами «что за фигня, ничего оплатить не могу».
Это вызовет куда больший отток клиентов, чем взломы.

Занимался разбором этого скрипта ещё года два назад. Это одна из лучших систем по снятию отпечатка системы. Используются хитрые приемы как обойти некоторые системы подмены отпечатков.
Причем это сторонее решение а не что то сделанное ебеем, так как встречал это скрипт на разных типах бизнеса, но все рисковые.

То есть даже Linken Sphere и прочие Antidetect обходит?
Linken Sphere — это вообще мусор, там даже оригинальный адрес пользователя, скрытого за прокси можно было получить, может все еще и можно, не интересовался больше.
Другие антидетекты не проверял на утечку айпи, но они все сплошные дыры…
Лец ми спик фром май харт ин инглиш © В. Мутко
На месте eBay-я я (как очень давний пользователь — Member since: Jan 23, 2001 — и продавец), я бы промолчал, чем давать такие дурацкие оправдания. Уж кому-кому, но не eBay-ю говорить о «customer's security» и прочем BS! Каждый, кто когда-либо продавал digital certificates & codes (типа Xbox Gold pass etc.) прекрасно знает, как eBay «заботится» о своих пользователях — старичках и старушках, компьютеры которых сломали уродские script kiddies… А всего-то, что нужно сделать, так это подтверждение сделки через SMS или phone call. eBay-ю об этом пишут уже лет… надцать — но «воз и поныне там»…
3D secure слишком «дорого» для Америки, во всех смыслах. Даже банки не спешат, что там о магазинах говорить
Да ну, на самом деле сделать надежную верификацию покупки достаточно дешево (для такой компании, как eBay). Тут проблема в другом — в отношении менеджмента компании к программному обеспечению вообще (достаточно взглянуть на их допотопный UI, а также «новомодный», от которого все плюются), и к security в частности.
eBay дырявый, как решето, а количество «угнанных» эккаунтов и воровства на eBay просто превосходит все разумные пределы. Но они (то-бишь eBay) поступили «просто» — переложили все риски на продавцов и покупателей. Т.е. если с «угнанного» эккаунта произошла покупка (либо цифрового товара, либо реального на dropshot), то старичок, у которого украли эккаунт, позвонит в банк или кредитную компани, и деньги ему вернут. Но, как вы думаете, за чей счет? Да-да, как правило — за счет честного продавца! И, кстати, криминальных схем вокруг eBay-я — в самом настоящем смысле криминальных — крутится очень много.

Интересно почему Линукс они не сканируют

Потому что наличие линукса уже даёт сильное отличие в отпечатке и сканирование портов не так уж много даст по сравнению с этим.
Сбербанк-онлайн такой же хренью занимается, причём в моём случае пытался ещё и проверить наличие локального SSH, HTTP-сервера, SMB и порта веб-консоли I2Pd. Linux, Vivaldi со стандартным юзерагентом.
image
Видимо ebay предполагает, что клиенты ebay, сидящие на Linux, более подкованы технически чем пользователи Windows.
С безопасностью на этой площадке дела обстоят действительно не самым лучшим образом. Выкручиваются как могут.
На клиентской стороне лучше пользоваться uBlock/uMatrix + HTTPS Everywhere + UserAgent switcher + TPRB (ThirdPartyRequestBlocker) + Decentraleyes + Containerise + Tampermonkey
«На клиентской стороне лучше пользоваться uBlock/uMatrix + HTTPS Everywhere..» тогда разумнее вообще не использовать ebay & paypal. С учётом в основном китайского ассортимента с наценкой — потеря не велика.
За китайским ассортиментом с наценкой ходить лучше не на ebay. К счастью на ebay не только китайчатина имеется.
Для одного сайта нужно было как-то сделать несколько учётных записей, которые выглядели бы по-разному. Использовал прокси сразных стран + user-agent switcher. В итоге IP, DNS, юзер-агенты разные, судя по ipleak.net. Но хотелось бы ещё как-то изменить информацию о характеристиках экрана, это как-то можно сделать?
Виртуальные машины, подключение по rdp, использование телевизора в качестве монитора, режим разработчика в браузере и эмуляция ipad через него. Может помочь просто изменение размера окна. Ну и Tor Browser ещё маскирует размер экрана.
виртуальные машины, rdp, дополнительные мониторы, tor — слишком дорого и/или тормознуто в условиях, когда тебе нужно сопльзовать десятки аккаунтов. А вот режим разработчика да, меняет экран, спасибо.
Вот оказывается для чего нужны honeypot-ы. Раньше об этом как-то не догадывался.
Вывод: после взлома компьютера нужно подменять user agent, и проверки на открытые порты не будет.
НЛО прилетело и опубликовало эту надпись здесь

А такие запросы под блокировку cross-domain не попадают? Помнится, где-то читал, что там целую историю с подменой dns проделывают, чтобы такой скрипт мог стучаться в localhost..

Разница во времени ответа, если порт открыт — сервер ответит сразу и браузер отклонит запрос, если нет — то пару секунд потупит, прежде чем сигнализировать отвал по тайм-ауту.
Вдобавок оказалось, что сканирование портов скриптом check.js не происходит, если пользователь при посещении сайта eBay использует ПК на Linux.
Догадываюсь, это из-за различий в реализации сетевого протокола под Windows и Linux.
Под Windows при попытке стучать на закрытый порт после получения RST-пакета система пытается ещё несколько раз отправить пакет, и только через 1000 милисекунд «сдаётся» и генерирует ошибку о невозможности подключения. Под Linux такой проблемы нет, и ошибка всплывает практически сразу (в моих замерах ~4.8мс).
В итоге, под Linux трюк с замером времени подключения не сработает — там мы или не подключимся и практически сразу получим ошибку сокета, или подключимся и получим ошибку CORS через такое же мизерное время.
Под Windows — если мы не подключимся, то получим ошибку через секунду или дольше, а если подключимся — то значительно быстрее.
Полагаю, именно на этом и основана методика определения открытого порта.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.