Bymbo
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени.
Заинтересовался темой Client Hints. Хотя на форуме обнаружил только единичные упоминания и не увидел никаких обсуждений, уверен, большинство здесь знает, что это. А я вот не знал, и пытался составить представление о предмете (соразмерно своему полному невежеству а матчасти, конечно -D) вот по этим ресурсам:
Общая инфа
Web.dev
Habr
Brave негодуэ: оригинал, перевод
На инглише:
Общая инфа
Github 1
Github 2
И очень подробно здесь
Тема стала для меня актуальной, т.к. с не очень давних пор основным браузером у меня стал Iron 92, в нём client hints уже реализованы, как и на всех Сhromium 89+. (Поддерживает ли браузер это нововведение, можно проверить на Browserleaks и еще здесь, например)
Теперь ближе к делу. Проблема: при использовании поддельного UA заголовки Sec-Ch-Ua палят подлинный браузер. Можно это жестко пресечь аргументом
Код:| --disable-features="UserAgentClientHint" |
, но такой метод не всегда хорош. Если я хочу прикинуться рядовым пользователем, юзающим самый популярный на текущий момент (из десктопных) Chrome 95 (раствориться в толпе, так сказать), моя маскировка CH сразу вызовет подозрения. То есть хочется не запрета, а возможности спуфинга.
Наверно, можно организовать нечто вроде костыля посредством ModHeader или аналогичных аддонов. Выбрать несколько хромовидных UA, какими будешь пользоваться; найти и запустить соответствующие браузеры, чтобы скопировать с тестовых страниц информацию о Sec-Ch запросах (потому что я не знаю, где взять такую готовую базу данных); затем в ModHeader создать соответствующее число профилей и использовать тот или иной хромиумный юзер-агент совместно с его профилем. Но очевидно, что это неудобно, и легко запутаешься: надо будет не забыть, что если используется, скажем, UA Firefox-а или старших хромоклонов, ModHeader надо деактивировать и запускать браузер с упомянутым выше запрещающим ключом, и наоборот – если используется UA младшего хромоклона, надобно стартовать браузер другим ярлыком без этого ключа и задействовать ModHeader...
В общем, хочется автоматизации и "нормального" спуфера этих client hints ). Но поиски подходящих расширений пока успехом не увенчались. Вернее, в CyDec Security Anti-Fp заявлена возможность манипуляций с Sec-Ch-Ua, но мне этот аддон заставить работать не удалось (( У меня сложилось впечатление, что бесплатная версия вообще не работает, хотя, возможно, я упускаю из виду какие-то важные моменты в настройках. Мануал, конечно, только на английском, пытался-пытался с помощью переводчика освоить, не вышло. Поэтому использую сейчас, в случае надобности, Trace – аналогичный комбайн, но, к сожалению, не включающий в себя возможность подмены CH.
Кстати, этот Trace я бы тоже навряд ли самостоятельно победил, если бы не наткнулся на подробный видеомануал. Тема там заявлена совсем какбэ посторонняя, но около половины видео как раз про Trace. Мне кажется, эту ссылку в шапку бы хорошо - полагаю, я не один такой, кому самостоятельно разобраться было бы трудно.
UPD - 08.12.21 В расширенной версии шапки ссылка на это видео есть, извините за невнимательность.
Ну, и вопросы коммьюнити: а.) кто-нибудь имеет опыт работы с CyDec Security Anti-Fp? Прав ли я, что от бесплатной версии нет толку? б.) может быть, "на просторах" кто-то обнаруживал нечто вроде "спуфера Sec-Ch"?
Мне кажется, для тех, кто интересуется анонимностью (не важно для каких целей – прикладных или академических, как в моём случае), тема Client Hints будет набирать актуальность, просто потому, что рано или поздно все перейдут на новые движки, а к тому времени, глядишь, и Фаерфокс обзаведётся этими CH ) |
Всего записей: 208 | Зарегистр. 01-06-2004 | Отправлено: 19:36 06-12-2021 | Исправлено: Bymbo, 15:55 08-12-2021 |
|
