Так же еще не разобрался с размером окна расширения. когда сайт вызывает расширение то окно расширения открывается на весь экран а не с размером 600*400 как это бывает у обычных браузеров.Затем заметил что профили которым около месяца открываются по две минуты
новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг
-
Сделал небольшой ресёрч по канвасу. Выводы следующие:
Методом фингрепринтинга через канвас занимаются далеко не все сайты, но чем сайт серъёзнее и больше заинтересован в фильтровании своих посетителей от ботов и возможных мошенников - тем больше вероятности, что он будет использовать максимально доступные методы на сегодняшний день:
ip, cookie, обычный браузер фингерпринт из стандартного микса настроек, передающихся через браузер(системное время, набор шрифтов, версия браузера ит.д.) - все эти вещи давно легко скрываются и просто рандомизируются обычными средствами - аддонами на браузер, антидетект браузером, просто подменой фингерпринта (в БАС)Но есть проверка по Canvas - технология, которую даже если подменить на стороне клиента, то для заинтересованного сайта обнаружить подмену и по желанию забанить ваш аккаунт не составит труда.
Кому интересно детали, то сама технология сanvas работает примерно вот так:
https://arxiv.org/pdf/2201.09956.pdf
https://hovav.net/ucsd/dist/canvas.pdf
https://arxiv.org/pdf/2006.09511.pdf
https://inria.hal.science/tel-03370277/documentПросто проверить свой canvas и его смену можно потестить тут
https://browserleaks.com/canvasДальше для тестов будет использоваться сайт browserscan.net
Обращать внимание только на поле CanvasПод своим оригинальным канвасом:
При использовании фингрерпринт свитчера в БАС канвас начинает гореть красным:
тоже самое происходит если мы создаем профиль в Gologin с такими настройками:
далее пробуем самый палевный вариант скрытия\изменения канваса через chrome plugin Canvas Fingerprint Defender, где рандомится каждый запрос канваса. Получается такой дикий результат:
Вот что происходит при запросе канваса разными технологиями отрисовки и\или получения информации от вашего браузера
идет запрос разных отрисовок и сравнение их друг с другом, и если они не последовательны друг к другу, не проходят сравнение по хешам или еще как(сильно не вдавался в этот вопрос, но то что это сделать реально - видно невооруженным глазом), то не будет никакой 100% настоящести браузера и это только вопрос времени когда именно целевой сайт вам забанит акк - сразу после регистрации, или немного потерпит.===
из реальных решений ситуации я вижу:1 разбор драйверов видео карты до уровня железа с возможностью ее рандомизации на лету по желанию в виде изменения каких-то параметров. обычными методами nvidia у меня не получилось.
может даже кто-нибудь намутит сервис с таким решением с серваком с GPU, если это вообще реализуемо, конечно
2 партнерство или с прокси сервисами или с ботоводами, загрузка на их ботов небольшого софта, или встраивание его как доп-опцию в сам прокси-софт, для отрисовки в прямом эфире.Первый вариант считаю более предпочтительным, т.к. в данном случае при его реализации можно было бы каждому профилю давать свой набор настроек на рандомизацию видюхи определенным образом и в этом случае на каждый отдельный профиль всегда бы был один и тот же канвас, сколько бы раз целевой сайт нас не проверял никаких подозрительных изменений он бы не выявил.
Это будет намного легче в плане работы и автоматизации чем все эти костыли через perfectcanvas которые если и работают, то с такими проблемами и задержками что я даже не хочу всеръез рассматривать этот вариант. Также это решит такие технологии отслеживания как webGPU, которая идет на смену webGL. Также любители perfectcanvas должны понимать, что пока еще работает - сломается после того как сайты усложнят работу - будут чаще менять картинки для отрисовки, в идеале каждый раз новую ставить, добавят дополнительные картинки на следующих страницах чтобы сравнивать с предыдущей, и т.д. Тут только только отрисовка в прямом эфире поможет. Костыли - нет)
Считаю эту проблему намного серьезнее для работы, чем например, всякие там black list of proxies по одной причине - в США десятки тысяч людей сидят и работают из кафешек и прочих публичных вайфаях каждый день. Такое количество забанить и потом по запросу разбанить - нереально.
А вот по канвасу спалить ваш акк-дубликат можно с намного большей точностью.
Что думаете?
-
@basuser123 said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
Дальше для тестов будет использоваться сайт browserscan.net
Обращать внимание только на поле CanvasC perfect canvas он ничего не палит, проверил
-
Видимо попался не оч отпечаток , потому что у меня все гуд , показывает 100% , заходил с своим айпи + отпечаток баса Десктоп
-
@UserTrue
пока ему правильно рисовать что он просит палить не должен. А когда начнут часто менять рисунки, или неожиданно вставлять на следующих страницах дополнительный запрос чтоб сравнить с тем, который получилось подменить.. Неудобно и рискованно, особенно если объем делать
вот про решение этой проблемы я говорю:
@FastSpace said in Получение Perfect Canvars на стороне клиента в режиме реального времени.:Уже давно поднималась эта тема, есть сайты где 3-4 пикч канваса, а бас может собрать только 2 захода, разработчику уже писали, он ответил что фичу объединения канвасов сделает, но сроки хз когда. Сиди жди...
На том же ютуба год назад было 7 пикч канваса (с одинаковыми Id), собрать все 7 за 2 захода не получалось.
@Roy-Mustang
а ты уверен, что это именно канвас самого отпечатка, а не твой личный протёк?
проверь в своем оригинальном БАС без подставки отпечатка не совпадают они.
сейчас еще оттестил свой оригинальный отпечаток, ничего не меняя, получилось вот так:
chrome opera - свой canvas
gologin, BAS, Ixbrowser - свой canvas
Firefox - свой canvas
но по большому счету именно это не сильно важно, но это я к тому, что если ты будешь сравнивать отпечаток из БАС с отпечатком в Chrome - они могут быть разными у тебя тоже -
@basuser123 said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
пока ему правильно рисовать что он просит палить не должен. А когда начнут часто менять рисунки, или неожиданно вставлять на следующих страницах дополнительный запрос чтоб сравнить с тем, который получилось подменить.. Неудобно и рискованно, особенно если объем делать
Это так не работает, что бы сайту оценить был ли изменен канвас ему нужно иметь большую базу данных по каждому канвасу, что бы рассчитать возможную энтропию в идеале в разрезе по моделям видеокарт. Поэтому сайт не может так просто менять картинки каждый день.
Других вариантов кроме отрисовки с реальных устройств все равно больше нет.
-
@UserTrue said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
@basuser123 said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
пока ему правильно рисовать что он просит палить не должен. А когда начнут часто менять рисунки, или неожиданно вставлять на следующих страницах дополнительный запрос чтоб сравнить с тем, который получилось подменить.. Неудобно и рискованно, особенно если объем делать
Поэтому сайт не может так просто менять картинки каждый день.
Может
-
@FastSpace said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
Может.
Есть пример? Я не видел такого . Да у больших ресурсов может быть несколько пикч, либо меняться в зависимости от гео. Но не так чтобы они менялись каждый день или неделю.
-
@UserTrue said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
@FastSpace said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
Может.
Есть пример? Я не видел такого . Да у больших ресурсов может быть несколько пикч, либо меняться в зависимости от гео. Но не так чтобы они менялись каждый день или неделю
На одном ресурсе 7 картинок посетителю показываешь и собираешь по ним (по всем семи) базу
На втором ресурсе из этой базы подгружаешь по одной каждый день новую в цикле чередуя день недели. -
@FastSpace said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
На одном ресурсе 7 картинок посетителю показываешь и собираешь по ним (по всем семи) базу
На втором ресурсе из этой базы подгружаешь по одной каждый день новую в цикле чередуя день недели.Ну и что, они все равно одни и те же, их можно собрать в одну сборку, да геморней но не особо сложно.
Тут больше гемор в том, что посетитель твоего сайта должен быть на нем не 1 секунду, чтобы успеть отрисовать с него все эти канвасы
-
@UserTrue said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
@FastSpace said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
На одном ресурсе 7 картинок посетителю показываешь и собираешь по ним (по всем семи) базу
На втором ресурсе из этой базы подгружаешь по одной каждый день новую в цикле чередуя день недели.Ну и что, они все равно одни и те же, их можно собрать в одну сборку, да геморней но не особо сложно.
Так в бас нет фичи обьединения запросов Perfect Canvas, я пытался объединить хэши от разных заходов CanvasInspector, мне custom сервер при добавлении нового объединённого хэша сказал, типо ваш хэш не валид.
-
@FastSpace said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
Так в бас нет фичи обьединения запросов Perfect Canvas, я пытался объединить хэши от разных заходов CanvasInspector, мне custom сервер при добавлении нового объединённого хэша сказал, типо ваш хэш не валид.
Я уже писал как это сделать в общих чертах, и хорошо что нету с одной стороны )))
-
@basuser123
Хз чё тут нового. Но как минимум, лайк за старание) С НГ всех кст!
А теперь пойдем по порядку.
Но есть проверка по Canvas - технология, которую даже если подменить на стороне клиента, то для заинтересованного сайта обнаружить подмену и по желанию забанить ваш аккаунт
При использовании фингрерпринт свитчера в БАС канвас начинает гореть красным
все эти костыли через perfectcanvas
Это я все к чему
Простое решение
-
@Q_Q
я тебя понял. процентов на 70))
но моя идея в кратце заключалась в том, чтобы не подменять канвас, не собирать его заранее итд,
а сделать\найти решение чтобы отрисовывать канвас в прямом эфире в нужном количестве рандомизаций. Со своего компа посредством изменения настроек видео карты, или второй вариант - через другие компы с установленным на них канвас-клиентом (по типу "прокси-клиента")Кстати у меня получилось поменять и канвас и webgl и webgpu и все остальные отпечатки, которые зависят от GPU через изменение вот этой настройки:
но это разовая опция, изменение всех остальных настроек видео карты, включая тулзы nvidiaInspector, NsightSystems, cuda - результата не дали. Чат посоветовал поковырять драйверы видюхи на более низком уровне, тут я пока пасс.
Далее еще одно наблюдение. Две версии БАС 25.7.0 26.5.1
Выглядит так, что при изменении движка или там настроек движка или чего-то около него - немного меняется метод отрисовки. Тоесть может можно подумать в эту сторону - через рандомизацию движка браузера можно будет добиваться большого количества рандомизаций? Ну это уже вопрос фоксу или кто там этим вопросом занят чтоб они потестили и посмотрели можно ли что-то делать на уровне изменения какихто там внутренних настроек браузера и тем самым рандомизировать, при этом выглядя на 100% натурально
опять же при таком подходе, найдя решение можно будет выкинуть кучу лишних движений с отрисовками заранее, собиранием базы, ловлей изменений канвасов итд. все можно будет делать одним движением, одним API, с постоянным правилом для вюидюхи(если это решить через настройку своей карты, а не чужих компов)
это все теория, чисто обсудить возможные подходы. обычно сначала с идей их обсуждений какие-то изменения и начинают происходить. или нет)) -
@basuser123 said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
Чат посоветовал поковырять драйверы видюхи на более низком уровне, тут я пока пасс.
Зачем? Отпечаток видеокарты должен быть в приделах допустимой энтропии для этой модели видеокарты, если ты сделаешь его слишком уникальным то смысла в это нет
@basuser123 said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
Выглядит так, что при изменении движка или там настроек движка или чего-то около него - немного меняется метод отрисовки.
Да, версия браузера может влиять это известный факт и слава богу сайты вроде не настолько досконально проверяют отпечаток , иначе было бы вообще печально. Опять же это не просто какие настройки браузера. Но вся проблема в том, что ты не можешь рандомно что-то менять тк если станешь сильно выделяться от других то тебя спалят. Если бы все было так просто то простой шум в виде рандомных пикселей на канвасе решал бы проблему.
-
Зачем? Отпечаток видеокарты должен быть в приделах допустимой энтропии для этой модели видеокарты, если ты сделаешь его слишком уникальным то смысла в это нет
сказать честно?)
мне кажется что при реализации данного вектора, возможность легкой смены отпечатков в неограниченном количестве перевесит небольшую вероятность что пара каких-то озабоченных на безопасности сайтов проверяют энтропию и процент чтоб обязательно был ниже 100%. не думаю что когда подходит новое железо или новый браузер они начинают банить все акки, кто первый раз зашел с нулячим отпечатком. возможно я не прав, но хочу верить в этот путь))
п.с. кстати в вышепреведённых пдфках ни о какой энропии не говорится. но я сильно не вчитывался, просто прошел поиском -
@basuser123 said in новый взгляд на проблему canvas. a также webgl webgpu и прочий фингерпринтинг:
перевесит небольшую вероятность что пара каких-то озабоченных не безопасности сайтов проверяют энтропию и процент чтоб обязательно был ниже 100%. возможно я не прав, но хочу верить в этот путь))
Те сайты которые это не проверяют нормально принимают обычный отпечаток с шумом. Вообще проблемы нужно решать по мере поступления, а не потому что какой-то сайт по проверки бразура, что-то там красным подсветил.
-
@basuser123 кек в том, что в 1 фингере множество параметров, которые взаимосвязаны, а твоя идея один из этих параметров пытаться закастомить, что не лучше соли. На много удобнее сразу получить фингер со всеми нужными параметрами под конкретный сайт.
Но тогда возникает "опасный" вопрос: если ты и так знаешь, что нужно твоему сайту, для чего тебе бас фингеры?) Разве что, ты не можешь подсунуть этот фингер через кастом манкипатч.
Хотя, для этого в бас есть детектор того что сайт собирает (помимо канвас детектора) и в перспективе можно было б собирать кастом скрипт сбора (типо как в конструкторе) под разные сайты.
Но фингер Айфона имхо лучше) -
@basuser123 ты слишком сильно паришься, просто работаешь с сайтом, если тебя банят идешь ишещь другой сайт кто банить не будет.
Бас можно спалить более чем 1000 способами, а ещё все прокси вот всех шопах паляться через один интересный метод. Я к чему это, не забивай голову фигнёй.