зверюга вообще

https://twitter.com/shinh/status/1021437706935590914

тут в твите ссылка на решение

суровый тип, в гугле работал

и клал он на все эти разговоры

прототип решения на рубях наклепал

Это должен был быть вопрос) Я сам не понимаю, почему ребята говорят, что Руби сдох

это мем такой

Автор гема на последнем рубираша рассказывала про гем, про проблемы jwt и так далее, как видос будет – рекомендую посмотреть

Там кстати проблема. Сафари сейчас не отдает отпечаток.

Новая версия сафарари.

а что там с сафари?

есть issue?

https://www.engadget.com/2018/06/05/apple-safari-canvas-fingerprinting/

есть issue?

Короче у знакомого задача поддержка интернет магазина в сша, и чуваки пишут скрипты и отлавливать их по fingerprints невозможно если они юзают сафари.

хммм, почитал, ну это не проблема с JWT

это помогает за пользователями следить жеж и всё

ааа, уяснил с ботами так борятся

хммм, почитал, ну это не проблема с JWT

Я мало работал с jwt, как я понимаю он же в куках находится?

нет, это токен типо encrypted cookie рельсовой

то есть тупо кусок данных закодированный

Ну вот.

и его используют чтобы пользователя идентифицировать

Его просто копируют и вставляют в куку.

а хранить его где угодно можно

ну можно и в куке в том числе

Короче. Ты заходишь один раз. Копируешь куку. И потом чтобы не логинишься подтягиваешься куку, опля ты авторизован. Остается фингер принт. Заходит какой то хедлесс хром с убунты 100 раз и нормальный чувак с таким же токеном например с винды такой то разрядности и версией оперы определенной.

И по этому ты определяешь банить его или нет.

Берешь хедлесс сафари и все.

Ты хуй поймешь машина это или нет.

До того как не поставишь рекапчу. Но рекапча не срабатывает если ты подтягиваешь после первого раза куку и больше не трогаешь форму логина и пароля для авторизации.

Ребята помогите Что-то не могу понять у меня в контроллере есть before_action :set_plea, only: %i[show update edit] и свои методы экшены def upload def blank Роуты post 'tp/upload', to: 'tp#upload' get 'tp/lbank', to: 'tp#blank' resources :tp, only: %i[new show create edit] не могу понять когда вызываю в браузере /blank у меня там контроллере запускается мтеод set_plea, а ведь он должен только в методах %i[show update edit] запуститься

а все понял, апичатка была :) LBANK :D

Ты хуй поймешь машина это или нет.

Не, ну погоди, можно же там дернуть какой-нибудь размер окна или положение курсора

и я не думаю что фингерпринт нельзя обойти, всё что засылает браузер в любом случае можно подменить

ребята, подскажите пожалуйста, есть приложение, оно висит на: domain.example/foo, то есть это рутовая точка, рельса пытается грузить ассеты из domain.example, а должна грузить из domain.example/foo, что-то не могу подходящее нагуглить, как рельсе сказать рутовую точку для отгрузки ассетов?

Как быстрое решение - посмотреть как работает ассет паф, как более замороченное - настроить в нгинксе

Или в конфиге это где то было

config.action_controller.asset_host я еще вот такую штуку нашел

походу это то, что нужно?

да

ок, щас затестим

Возможно, я сходу не вспомню

config.action_controller.asset_host я еще вот такую штуку нашел

но он насколько помню только на домен загрузки влияет, возможно надо рерайтить нджинксом.

но он насколько помню только на домен загрузки влияет, возможно надо рерайтить нджинксом.

щас решим как сделать

попробуем и то, и то

:))

как через nginx сделать понятно

Рерайтить нгинксом кстати ок варик, на поддомен выносишь а потом туда можно и какой нить клоудфронт

self.instance_variable_get("@#{attribute}")

def [](attribute) self.send(attribute) endВоот А есть какое-то другое решение, чтобы можно было вызывать только атрибуты? (Сейчас можно имя любого метода вызвать)

какой-то способ сделать @attribute_name

Ребята ПОМОГИТЕ Как обновить атрибуты не валидируя скажем пришла форма action UPDATE @mymodel = Mymodel.find(params[:id]) @mymodel.update(mymodel_params) как это делает @mymodel.save(validate: false)

update через save работает File activerecord/lib/active_record/base.rb, line 2665 def update_attributes(attributes) self.attributes = attributes save end

Update_columns есть посмотри в доке, там описаны методы которые Валидируют при сохранении и которые нет

http://www.davidverhasselt.com/set-attributes-in-activerecord/

Берешь хедлесс сафари и все.

ботов можно определять по признакам фреймворков для тестирования (PhantomJS и Selenium легко определить)

ну и вообще по количеству обращений к определённым ресурсам (поведение) можно выявлять, но это уже геморройно реализуемо

https://antoinevastel.com/bot%20detection/2017/08/05/detect-chrome-headless.html

в общем все эти беспрободные браузеры и фреймворки для тестирования (которые используют для парсинга) определяются без проблем

в общем все эти беспрободные браузеры и фреймворки для тестирования (которые используют для парсинга) определяются без проблем

эм нет

ок, дай пример

работаю в компании, которая промышляет скринскрэпингом, испульзуя ватир и прочие приблуды для этого всё обходится

конечно те кто парсят всё обойдут рано или поздно, НО сколько сил и времени они потратят?

опять же при парсинге больше данных надо, поэтому по количеству запросов они однозначно палятся

ну зависит от мотивации )

Рерайтить нгинксом кстати ок варик, на поддомен выносишь а потом туда можно и какой нить клоудфронт

ENV['RAILS_RELATIVE_URL_ROOT']

ERROR: S client not available

по дефолту /

передаешь /foo

очень хорошая защита от них это динамические айди и классы на html

и норм

ватир через селениум работает

селениум палиться легко

это слова

http://edmundmartin.com/detecting-selenium/

но пока ребята вроде ни с одним банком не имели проблем

дык, может против них и не защищаются особо? =)

тут человек спросил как защищаться

если есть желание - можем поупражняться в определении селениумов и защите от них на практике

update через save работает File activerecord/lib/active_record/base.rb, line 2665 def update_attributes(attributes) self.attributes = attributes save end

Сделал так @mymodel.attributes = mymodel_params @mymodel_attirbutes.save(validate: false) Все почти работает Кроме cascade_callbacks: true У меня MongoID, есть ембедет класс внутри embeds_one files, cascade_callbacks: true так вот сохранение в них не работает

дык, может против них и не защищаются особо? =)

я не думаю, что ни один банк в мире не озаботился защитой от "ботов"

100% защиты не может быть, иначе пострадают пользователи обычно делают достаточно сложную защиту, чтобы новички и обычные люди не долбились

а умных отсекают, если они начинают вредить (ресурсы жрать как минимум или данные грести которые им не нужно отдавать)

вот ещё есть интересные статьи

https://intoli.com/blog/making-chrome-headless-undetectable/ https://intoli.com/blog/not-possible-to-block-chrome-headless/

но тут тоже не всё учтено

браузеры отправляют заголовки разные

в разном порядке (!)

так что для усложнения парсинга есть много возможностей

я, кстати, в последний раз на паре сайтов защиту обошёл от парсинга (cloudflare точно проходит) тупо выставив useragent Googlebot-Image/1.0

ну тем неменее пока ребята все банки что нужно было (почти всё, что есть в мире) осилили и постоянно обновляют разница только в сложности

но работа у них скучная и я рад, что этим не занимаюсь :)

так что для атаки тоже есть интересные направления

добрый день. подскажите пожалуйста, в чем разница использования -> и lambda в скоупах? просто рубокоп просит юзать лямбду, если несколько строк. Было место где я юзал лямбду scope :name_scope, lambda do |params| #....some code endно в этом месте происходила утечка памяти. поэтому боюсь использовать лямбду. подскажите пожалуйста, может я чего-то не допонимаю.

``delegate :[], :as_json, to: :data````as_json понятно, а как [] будет вызываться на инстансе класса у которого есть такой делегат?

-> и lambda вроде просто разный синтаксис

как с ключами в хешах

я, кстати, в последний раз на паре сайтов защиту обошёл от парсинга (cloudflare точно проходит) тупо выставив useragent Googlebot-Image/1.0

Ох блять на флару напоролись как то, там питоновский клиент банило