Zaujaly mě tady 3 odpovědi na 2 téma:
1. Mazak + none_ na téma přesměrování přes proxy, na tom si vyláme zuby dost lidí
sice se to technicky netýká dotazu (protože doslovně to jde na 1st party) to je dost svinstvo, protože to i obfuscuje URL. V html je inline script, který nastaví javascriptově cookie "adb" což způsobí, že sama se stává zdrojem žumpy a i v nejpřísnějším nastavení ublock/umatrix (cokoli 3rd blokovat) to způsobí rozpad designu webu a také že vizuálně projde pár reklam (js kódu mnohem víc).
Tudíž se musí vypnout inline scripty (implementace ublock pro některé browsery umí selektivně blokovat inline scripty s daným výrazem idnes.cz###script:contains(adb), bohužel toto pravidlo nejde aplikovat genericky(na všechny weby), prostě pravidlo musí být definované pro každý server), tudíž je bezstarostnější vypnout inline skripty pro daný server uplně.
Další možnost je zakázat cookies (opět bezstarostně vypnout cookies pro doménu kompletně je jednodušší než hledat doplněk, který umí filtrovat globálně cookie s jménem adb)
Problém toho je, že nevíte, na jaké stránce tenhle hnus běží a na které ne. Při prvním načtení je stránka NEINFIKOVANÁ (neboť neodeslala cookie adb), až po další navigaci na na vás vykydne hnuj. Problém je, že způsobí i určitý "leak informací" na šmelinářské weby ( dnes není riziko webu ztráta dat, ale krádež/únik dat).
Dá se určitým způsobem blokovat "cizí requesty", pokud náhodou stránka je v infekčním režimu, ovšem s ne velkou úspěšností, je na to potřeba filtr requestů z regurních výrazů zjednoušeně jako /[A-Z-a-z_-/]{30,120}/ navíc to i sežere legitimní obsah
Snad jediná naděje je rozeznat infekční režim, že response mají http header X-nginx-proxy antiadblock-* (zhruba). Uměl by někdo naprogramovat userscript nebo spíš extension, který hnoje označené tímto headerem filtroval?
2. CORS dotaz (zjistil jsem že nejdřív pošle HTTP OPTIONS a až pak komunikuje) může leaknout taky nějaká data?
9 Odpovědí
2284 Zhlédnutí