Самый главный вывод, который я могу сделать из этой темы https://community.bablosoft.com/post/48461
Что Fingerprint в BAS несовершенен.
К сожалению все почти так и есть. Вот мои результаты на desktop chrome 0_1558582583973_fvision.txt
CLIENT RECTS - не изменяется вообще
WEBGL - бывает повторяется, но это в принципе нормально.
PLUGINS - повторяются очень часто, скудненький набор )
FONTS - повторяются, не очень часто, что тоже допустимо.
И если нажать дополнительно тестирование, то скажет, что WEBGL и CANVAS - фейковые.
Поэтому у меня возник ряд вопросов, которые я хотел бы задать компетентным специалистам.
Какие очевидные недочеты в Fingerprint подмене BAS Вы знаете?
Кто-нибудь проводил сравнение между системами подмены Fingerprint от BAS, Zennoposter, Multilogin, Linked sphere, Sphere и другими продуктами антидетекта? Почему при работе с f.vision антидетект BAS хромает?
Какие сайты кроме https://f.vision и https://browserleaks.com для проверки Вы знаете?
Какие проверки Вы знаете? Например, в плагине Scriptsafe для браузеров есть возможность помимо блокирования утечем от всяких батарей, геймпадов и VR отключить такое:
Block Client Rectangles:
(Default: disabled; prevent fingerprinting through calculating element rectangles. May interfere with some dropdowns.)
И на некоторых сайтах я видел в уведомлениях плагина что сайт такое запрашивает.
Вопрос к пользователям Fingerprint Detector, есть ли там какие-то экзотические вещи, как приведеные выше Client Rectangles? Уверены ли Вы что крупные сайты не подмешивают еще какие-то проверки, которые неизвестны? Что надо делать чтобы обнаружить эти проверки?
Далее, краем уха слышал что прокси тоже могут как-то влиять на Fingerprint, например на многих сайтах мобильных прокси видел надпись что они ставят свой Fingerprint. Как это работает? Как это влияет на работу BAS? Подменяет ли Fingerprint прокси Fingerprint, который формирует BAS?
Дело в том, что тут врядли кто-то может компетентно рассуждать на эту тему. На всем форуме наверное, только сам разработчик БАС действительно знает, что скрывается за этими терминами. Для нас же всего лишь слова. Я сам хоть и пытался много о об этом читать, но чтение без практического опыта это всего лишь любопытство )
По поводу мобильных фингерпринтов, а вернее фингерпринтов ОС тут все просто и к БАС они отношения не имеют. Просто на разных ОС различаются настройки tcp протокола, поэтому можно понять, что вы на самом деле не с андройда например зашли на сайт, как показывает ваш юзерагент, а c обычного win7. Но лично я не замечал разницы, может конечно и есть ресурсы где это будет критично.
Так же замечал, что бывает БАС со всеми его фингерпринтами дает хуже результат, чем обычный chrome управляемый через веб драйвер, с этим я столкнулся на примере всеми горячо любимого инстаграм.
Думаю, что еще имеет место быть несоответствие заявленного юзерагента фактическим доступным технологиям. Скорей всего это более актуально на моб фингерпринтах. БАС пытается это компенсировать, но он просто ставит заглушки, которые делают вид, что такие методы доступны в окружение браузера. Буквально на днях перепиливал фингепринты (андроид) тк сайт обращался к функции ScreenOrientation.lock() которая возвращает промис, а в БАС возвращалась просто заглушка, что вызывало ошибку. Думаю эксперт нашел бы много таких несоответствий.
Там до сих пор летнего времени нет в часовом поясе, зато появился никому ненужный планировщик.
https://community.bablosoft.com/topic/7240/опять-баг-действие-прокси-раздел-часовой-пояс-не-перешло-на-летнее-время
@romanbiz said in Собираем всю информацию о Fingerprint и антидетекте в BAS:
Далее, краем уха слышал что прокси тоже могут как-то влиять на Fingerprint, например на многих сайтах мобильных прокси видел надпись что они ставят свой Fingerprint. Как это работает? Как это влияет на работу BAS? Подменяет ли Fingerprint прокси Fingerprint, который формирует BAS?
Если речь идет о Passive FP OS, то BAS не его не подменяет, ты сам должен подстроиться под Fingerprint прокси. Например у аирсоксов общий канал заточен только под Android, логично использовать только Android отпечатки.
ИМХО, дело не столько в собирании данных по поводу данной возможности подмены отпечатка, сколько в опыте применения - я выразилась бы так. К сожалению (скорее, к счастью, конечно), под каждый конкретный сайт всегда есть своё самое удовлетворяющее решение и единого нет. Юзернейм выше написал про инсту, что лучше в ней работает сам хром и спец. дополнения сего.
Лично моё впечатление от использования и покупки ключа для смены отпечатков только хорошее. Признаться, я не проверяю их на f.vision и тому подобных. Но, например, метрика моих сайтов, под которых я делаю себе ботов показывает от 3-5% роботов по всему трафику на сайте. Всё зависит от того, какая нагрузка у используемых проксей.
Например, из 1,84 миллиона просмотров за 4 месяца обнаружено только 4% роботов - хотя уверяю каждого, 99,999999% трафика это были боты.
Не стоит, наверное, полагаться исключительно на смену отпечатка как на панацею - тут неоднократно писали про то, что подход всегда должен быть комплексным к каждой задаче. Почему-то многие забывают про поведенческие, которые так же можно редактировать(рандомизировать) - а они во многом так же сильно влияют на то, обнаружат ли вашего бота или нет.
Так же, как и веб мастера не всегда заточены на то, чтобы детектить по-максимуму всех и вся.
Тут хватает недостатков:
Например, одно время выдавали отпечатки с юзерагентом Яндекс.бот или около того... приходилось находить и вычищать.
Или исправлять разрешения экранов - так как существующая нижняя граница размерности монитора, наверное, 200х200 пикселей - такие экраны вообще существуют (кроме как на китайских наручных часах)?????????
@very0big0g Согласен, что ко всем сайтам персональных подход, более того, огромная масса сайтов вообще их не детектит. Я больше сталкивался с недоработками самих отпечатков, что я написал выше, но забыл про разрешения, читая ваш пост вспомнил ) На моб отпечатках тоже есть расхождение в разрешение из sreen и из window. Короче приходится допиливать ))
@usertrue да - в мобильных тоже такая проблема есть ? не знала...
Значит, было бы неплохо выделить этот пункт, как проблема с разрешением и размерностью экрана!
а так же, например, про мобильные устройства, вместо того, чтобы запрет делать на запрос статуса батареи, не лучше было бы рандомное значение вставлять по типу charging \ not charging...
@very0big0g said in Собираем всю информацию о Fingerprint и антидетекте в BAS:
а так же, например, про мобильные устройства, вместо того, чтобы запрет делать на запрос статуса батареи, не лучше было бы рандомное значение вставлять по типу charging \ not charging...
Там вроде от устройства зависит отдает данные батареи или нет
@very0big0g В отпечатках есть параметр has_battery_api и где-то оно равно null где-то true. Но я как-то не заострял внимание работает ли это
@very0big0g said in Собираем всю информацию о Fingerprint и антидетекте в BAS:
@usertrue скорее от запроса конкретного сайта - отдать по идее может и яблоко, и андроид. По крайней мере, отрицающей этого информации я не нашла
Потестил, работает
