ребят, а кто нативщину под мобильники писал?
Интернета может не быть чаще
Vlad
Vlad
Все остальное обычные http запросы
Таймураз
В принципе, верно
Туплю, десктопы же в вебе
Таймураз
Значит, я в здравом уме и серьезной корреляции нет между ними
Чурка
В том плане, что в отличие от Cordova\PhoneGap нативные JS-приложения не поддаются анализу как обычный набор веб-страниц, вестимо.
Vlad
Vlad
и http запросы можно и из нативной части делать
Чурка
Ну только если.
Таймураз
В том плане, что в отличие от Cordova\PhoneGap нативные JS-приложения не поддаются анализу как обычный набор веб-страниц, вестимо.
Я говорил про нативщину, приложения, основанные на js под определенную платформу- не нативные
Ivan
опять статья
Arti 🦠
и тут шурыгина
Чурка
Чиорт, аж захотелось JScript.NET расчехлить и Xamarin'ом обмазат .-.
Чурка
Я говорил про нативщину, приложения, основанные на js под определенную платформу- не нативные
Nikolay
а не помните был сайтик по гиту, там в виде визарда все объяснялось для чайников, ссылку дать надо
Sergei
https://try.github.io/levels/1/challenges/1
Artёm
Ребята привет, вопрос касается chrome-расширений.
Задача сделать так, чтобы на любой странице расширение выводило в консоль event.target нажимаемого элемента.
У меня не выходит сделать так, чтобы этот код работал в фоновом режиме. Т.е. если расширение установлено и запущено, то это должно работать на всех вкладках по-умолчанию.
manifest.json
{
"name": "My ext",
"description": "Show target of click",
"version": "1.0",
"permissions": [
"tabs", "http://*/*", "https://*/*"
],
"browser_action": {
"default_title": "Test",
"default_icon": "icon.png",
"default_popup": "popup.html"
},
"content_scripts": [
{
"matches": ["http://*/*"],
"js": ["temp.js"]
}
],
"manifest_version": 2
}
temp.js
chrome.tabs.onUpdated.addListener(function(id, info, tab) {
chrome.tabs.executeScript(null,
{code:`
document.addEventListener("click", function (event) {
console.log(event.target);
});
`});
});
Что я делаю не так? Действовал согласно документации https://developer.chrome.com/extensions/content_scripts#registration
Sergey
может нужно добавить matches: https?
Sergey
content_scripts добавляется на каждую вкладку
Sergey
а ты написал скрипт для бэкграунда
Sergey
да и к тому же ты вызываешь chrome.tabs.executeScript без указания вкладки
Sergey
читай документацию
Konstantin
Салют! Знатоки webpack'а второго. Подскажите. А на что надо поменять вот такие штуки теперь. А то в доках толком не написано.
require('bundle!../../templates/admin/' + t + '.nunj')(function(tpl) { .. })
Anonymous
Почему у меня Рекапча через браузер намного легче, чем через node webkit? Каким образом она пропаливает? nwdisable nwfaketop стоят
Artёm
читай документацию
Имеется ввиду верно ли, что все это должно быть в том скрипте который указан в content_scripts?
Ві
Sergey
Имеется ввиду верно ли, что все это должно быть в том скрипте который указан в content_scripts?
content_scripts это то что будет встроено в страницу
Emerald
Почему у меня Рекапча через браузер намного легче, чем через node webkit? Каким образом она пропаливает? nwdisable nwfaketop стоят
Это очень глубокая тема. В гугле и других больших компаниях сидят специалисты которые борются с ботоводами, они доходят до того что могут по мелким отличиям в работе API браузерного движка отличить его, или вообще положить или сделать с твоей системой что похуже.
В каждом конкретном случае надо дебажить и разбираться.
Emerald
Вот о том как детектировали два года назад https://www.slideshare.net/SergeyShekyan/shekyan-zhang-owasp
Emerald
Почему у меня Рекапча через браузер намного легче, чем через node webkit? Каким образом она пропаливает? nwdisable nwfaketop стоят
nwUserAgent ещё пропиши нормальный
Дима
Есть такие защиты, ориентировочное время обхода оторых кажется, превышает столетие
Sergey
Дима
Которые хэндлят дикое количество разнообразных параметров, подделывать которые реально очень и очень долго
Дима
Плюс тут ещё работает их громадная статистика, на равномерном фоне которой любые твои подозрительые действия светятся как новогодняя ёлка, да так, что не составляет никакого труда после трёх коннектов с разных точек земли, четвертый сопоставить конкретно с тобой
Дима
Из банального — фантом неправильно выполняет пару функций js и этим палится, а nw имеет палевные глобальные переменные
Дима
Из небанального — выполнение определенной вычислительно сложной функции на клиентской машине
Oleksandr
Да, гонка вооружений нынче серьезная
Дима
Процесс протекает уникальным образом на каждой железке и достаточно серьёзно настроенные люди могут использовать это, чтобы идентифицировать злоумышленников
Oleksandr
В 2012 оно все достаточно просто обходилось, но... недешево
Oleksandr
Т.е. стоимость поддержания реалистичного бота уже тогда была немаленькая
Oleksandr
А с тех пор не интересовался
Oleksandr
Oleksandr
я с обеих сторон баррикад успел постоять)
Oleksandr
кстати хинт тем кто на стороне защиты - ни в коем случае нельзя банить
Oleksandr
надо делать софтбан/шадоубан, сложно отличимый
Oleksandr
если бан легко отличимый то, well, легко проверить работает ли фикс и легко увидеть что новые детекты ввели
Oleksandr
что-то вроде на сайт сходить можно и прайсы/наличие там показываются реальные, но вчерашние
Oleksandr
или повышенные/пониженные, по вкусу
Oleksandr
если платежка то 20% платежей отправлять на ручную проверку, не 100%
Oleksandr
если поисковик - можно отдавать вторую-третью страницу результатов :)
Михаил
Хмм, firefox + соответствующий плагин, немного допилить и будет как человек.
Дима
Я смотрю у тебя в запасе пара вечностей)
Дима
Хмм, firefox + соответствующий плагин, немного допилить и будет как человек.
С плагином тебя раскроют даже без помощи сервера, просто посчитав дискретносить и дисперсию твоих кликов мышкой)
Михаил
А как кликают существующие боты? Очевидно, что сюда надо еще и прокси прицепить.
Михаил
Кстати, javascript имеет доступ к кукам?
Arti 🦠
document.cookie ?
Oleg
К хттпонли нет
Oleg
Ещё есть флаг секуре, такие не будут без https
Oleg
И как минимум раньше можно было сбросить куки любые переполнением хранилища кук, причём в том числе с поддомена
Oleg
Например чтобы заставить цель перелогиниться когда ты получил доступ к его трафику и сможешь поймать его логин и пароль
Михаил
Есть большая и чудесная проблема, как работать если в браузере куки пустые. Вконтакте и некоторые другие сайты посылают нафик и не открывают страницу пользователя.
Oleg
Логично
Sergei
Есть большая и чудесная проблема, как работать если в браузере куки пустые. Вконтакте и некоторые другие сайты посылают нафик и не открывают страницу пользователя.
есть еще веселая проблема с людьми у которых стоит не принимать куки от третьей стороны, например в айфрейм приложениях на соцсетках, особенно с сафари боль, где это по умолчанию стоит
Sergei
веселился полгода назад с таким траблом
Дима
А как кликают существующие боты? Очевидно, что сюда надо еще и прокси прицепить.
Эти бот и то, что они кликают не имеют отношения к реально серьёзной защите)
Михаил
Можете привести пример защиты, которую нужно обойти?
Oleg
Лучшая защита - так которой не видно
Oleg
Поэтому бронеавтомобили с виду часто не отличаются от серийных
Oleg
Но всё это флуд конечно 😄
Vlad
та которая не даёт о себе знать при попытке взлома, и mislead атакующего
Oleg
Самый тупой вариант это возвращать 404 вместо 403
Oleg
Ещё забавно эмулировать уязвимость, собирая данные об атакующем
Михаил
Хочу еще раз спросить, нет ли тут шаблонов в которые можно завернуть много кода? Писать пятьдесят раз совершенно идентичный код не самое оптимальное занятие, а исправлять еще хуже.
Emerald
что-то вроде на сайт сходить можно и прайсы/наличие там показываются реальные, но вчерашние
Забавно, защита от парсинга цен