Jak blokovat šmírování přes GraphQL

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Rozšířil se takový nešvar. webové stránky šmírují přes graphql, (https://api.theathletic.com/graphql Method POST
) call stack jsou nějaký soubory 8230, app- , framework ze složky chunk bez jakkoli diskriminovatelného jména.
Je nějaký nápad jak toto zaříznout? Kromě zákazu skriptů prvních stran  a bez znalosti před, na jaké stránce je /graphql POST zneužitý a kdy třeba k zobrazení diskuze?

Vyskytuje se to taky na medium.com (které běží i mimo zmíněnou doménu), tam to aspoň jde poznat podle _/_/*

[Reklama]

[Martin Poljak]

Rozšířil se takový nešvar. webové stránky šmírují přes graphql, (https://api.theathletic.com/graphql Method POST
) call stack jsou nějaký soubory 8230, app- , framework ze složky chunk bez jakkoli diskriminovatelného jména.
Je nějaký nápad jak toto zaříznout? Kromě zákazu skriptů prvních stran  a bez znalosti před, na jaké stránce je /graphql POST zneužitý a kdy třeba k zobrazení diskuze?

Vyskytuje se to taky na medium.com (které běží i mimo zmíněnou doménu), tam to aspoň jde poznat podle _/_/*

GraphQL za to opravdu nemůže. To je jen technologie, na které je postaveno API.

[Filip Jirsák]

Nelézt na stránky, u kterých si myslíte, že vás šmírují. To je jediný spolehlivý způsob. Určitě používáte ad-block, tak si tam prostě přidejte celou tu doménu, třeba medium.com.

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Ano, graphQL za to nemůže.  je jen v roli "pračky" requestů, něco jako kampelička záložna Petra fialy. Je to vlastně jako podobné ěmírování přes /wpadmin.php (taky POST) či jak se jmenuje konkrétní cesta., ale tam je (Většinou)  dobře dohledatelný v callstack  iniciátor.
uBlock origin neumí filtrovat podle polí v POST odchozích. Nejblíž tomu je json-prune, který dokáže filtrovat, ale příchozí data . Obojí by bylo tedy pro jiné účely
Jak mám poznat, které stránky budou používat /graphql k trackingu a né k něčemu jinému Předem? To bych musel zakázat všechny xml http requesty  na všech stránkách a to  ublock  neumí přes dynamické filtry. Přes statické by to byla UI šílenost

[snugar_i]

To je jako kdyby ses ptal "Jak blokovat šmírování přes HTTP". To, že request jde na /graphql, vůbec nijak nesouvisí s tím, co v tom requestu je za data. Navíc se to URL ani vůbec /graphql jmenovat nemusí, jen je to default. Ale na rozdíl od běžnýho REST API jdou všechny requesty přes to jedno URL, takže ti pak může připadat, že je to něco univerzálního napříč stránkama, co dělá pokaždé stejnou věc.

[Reklama]

[kanoe22]

Na internete je vsade nejake sledovanie, preco nan vobec lozite?
Viete o tom ze aj v reale vas neustale niekto sleduje? Operator neustale vie kde zhruba mate telefon, mesto a jednotlive podniky vedia ked sa pohnete niekde v dosahu ich kamier. Dokonca ani doma nemate istotu ze vas nesleduje susedka na dochodku (nie nadarmo je taka metafora: najlepsi kamerovy system je nudiaci sa dochodca).

Graphql je technologia na dopytovanie dat. Tvrdit ze vas sleduju cez graphql je to iste ako tvrdit ze vas sleduju cez vdzuch, pretoze vas obraz (podobizen) sa do kamery dostane jedine tak ze je medzi vami vrstva vzduchu. Tak hura, podme ho zakazat.

[luksus]

A nestačilo by udělat záznam v /etc/hosts

Kód: [Vybrat]

0.0.0.0 api.theathletic.com?

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Technologie na dopytovanie dat

Prohlíd jste si u graphql requestu záložku Payload? Rozšíří vám to obzory. Pokud ne , podivej se ina response/Preview : prázdné nebo "ok"

Viete o tom ze aj v reale vas neustale niekto sleduje? Operator neustale vie kde zhruba mate telefon,

Jak operátor ví kdo jsem já? Nejsem jouda abych si pořizoval telefon u operátora a ještě na paušál a ještě za "operátorskou cenu". SIM je anonymně koupená

0.0.0.0 api.the....

Ano, to by šlo  - a dokokce lépe(jemněji) než v na routeru přímo.v telefonu klidně pravidle uBlock origin. To řeší jednu site.Pointa ale byla v  generálnímu řešení. A někde graphql skutečně slouží původnímu účelu a současně k šmirovàní.

[Lord_Pitzbudka]

Tohle je nějaká nová forma trollingu?

[_Tomáš_]

graphql ale není nic jiného než protokol, stejně jako jsonrpc, xmlrpc, protobuf, REST, implementace je uvnitř klientské aplikace. Je přenášet uvnitř HTTP paketů, takže při použití TLS se to bude mimo plugin v prohlížeči těžko zakazovat. Můžeš to zkusit přes DNS.

Nebo co chceš zakazovat?