The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Разработчики Chromium предложили унифицировать и объявить устаревшим заголовок User-Agent

14.01.2020 18:04

Разработчики Chromium предложили унифицировать и заморозить от изменений содержимое HTTP-заголовка User-Agent, в котором передаётся название и версия браузера, а также ограничить доступ к свойству navigator.userAgent в JavaScript. Удалять заголовок User-Agent пока не планируют. Инициатива уже поддержана разработчиками Edge и Firefox, а также уже реализована в Safari.

В соответствии с текущим планом, в Chrome 81, намеченном на 17 марта (дополнение: отложено до Chrome 84), будет объявлен устаревшим доступ к свойству navigator.userAgent, в Chrome 83 будет прекращено обновление версии браузера и унифицированы версии операционных систем, а в Chrome 85 будет унифицирована строка с идентификатором операционной системы (можно будет лишь определить настольная и мобильная ОС, а для мобильных версий возможно будет приведена информация о типовых размерах устройства.

Среди основных причин унификации заголовка User-Agent упоминается применение его для пассивной идентификации пользователей (passive fingerprinting), а также практика подделки заголовка малопопулярными браузерами для обеспечения работоспособности отдельных сайтов (например, Vivaldi вынужден представляться сайтам как Chrome). При этом подделку User-Agent в браузерах второго эшелона в том числе стимулирует сам Google, так как по User-Agent блокирует вход на свои сервисы. Унификация также позволит избавиться от указания в строке User-Agent устаревших и потерявших смысл атрибутов, таких как "Mozilla/5.0", "like Gecko" и "like KHTML".

В качестве замены User-Agent предлагается механизм User-Agent Client Hints, подразумевающий выборочную отдачу данных о конкретных параметрах браузера и системы (версия, платформа и т.д.) только после запроса сервером и дающий пользователям возможность выборочно предоставлять подобную информацию владельцам сайтов. При использовании User-Agent Client Hints идентификатор не передаётся по умолчанию без явного запроса, что делает невозможным проведение пассивной идентификации (по умолчанию указывается только название браузера).

Что касается активной идентификации, то отдаваемые в ответ на запрос дополнительные сведения зависят от настроек браузера (например, пользователь вообще может отказаться от передачи данных), а сами передаваемые атрибуты охватывают тот же объём информации, что и строка User-Agent в настоящее время. Объём передаваемых данных подпадает под ограничение Privacy Budget, которое определяет лимит на объём отдаваемых данных, которые потенциально можно использовать для идентификации - если выдача дальнейшей информации может привести к нарушению анонимности, то дальнейший доступ к определённым API блокируется. Технология развивается в рамках ранее представленной инициативы Privacy Sandbox, нацеленной на достижение компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей.

  1. Главная ссылка к новости (https://groups.google.com/a/ch...)
  2. OpenNews: В Chrome планируют включить механизм Signed HTTP Exchanges (SXG)
  3. OpenNews: Компания Google представила Blink, форк движка WebKit
  4. OpenNews: В Chrome появится защита от передачи сторонних Cookie и скрытой идентификации
  5. OpenNews: В Chrome планируют полностью убрать поддержку FTP
  6. OpenNews: Для Chrome предложен режим автоматической блокировки ресурсоёмкой рекламы
Автор новости: имя
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52182-blink
Ключевые слова: blink, browser, fingerprint, chrome
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (128) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, dAnonym (?), 18:38, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Нуу блин!!! Как теперь ботов ловить то????
     
     
  • 2.4, Аноним (4), 18:43, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хорошие боты (которые не скрывают, что они боты), очевидно, продолжат передавать это в заголовке.
    Полностью удалить его нельзя по стандарту HTTP/1.1.

    Хотя тот же гуглобот, наверняка, ходит и под видом обычного браузера, и возможно, даже жабаскрипт выполняет. Уж больно сеошники нынче хитрозадые пошли.

     
     
  • 3.24, Аноним (24), 19:56, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Выполняет. На Хабре была статья, как  гуглбот обманывает таймер JS для ускорения обхода.
     
     
  • 4.142, mandms (?), 10:43, 16/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо за reference, но еле нашел:

    Функция random() у гуглобота работает абсолютно детерминированно / Хабр
    https://habr.com/ru/post/348914/

     
  • 3.66, q (??), 23:39, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    AFAIK, поисковые боты Google -- это настоящие браузеры, которые и страницы рендерят полностью, и "читают" также, как пользователи. Это для того, чтобы какой-нибудь текст под невидимым CSS не прятался, привлекая в поисковой строке, но показывая совсем другое на странице.

    С одной стороны, Google индексирует настоящие видимые данные, с другой -- много нагрузки, льды продолжают таять.

     
     
  • 4.77, Аноним (77), 00:41, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Гугл afaik утверждал, что все свои датацентры перевёл на возобновляемые источники энергии.
     
     
  • 5.82, neAnonim (?), 02:12, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    и возобновляет его деньгами. т.к. user не мамонт.
     
     
  • 6.118, Аноним (118), 10:28, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это интересно, но по сути мало влияет на приватность. Потому что каждый браузер по своему обрабатывает некоторые функции js (привет вам форматы дат), достаточно найти и вызвать такую функцию и сразу станет понятно что за браузер и даже версию определить можно по списку поддерживаемых функций js. Но головную боль удаление мусора из user agent конечно уменьшит для веб разработчиков.
     
  • 5.93, Аноним (93), 05:18, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На своих пользователей?
     
  • 2.8, имя (ok), 18:46, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А есть ли на свете боты, владельцы которых забывают о рандомизации UA, но рандомизируют всё остальное? Обычно эти же персонажи пускают газ с двух-трёх айпишников, ни над чем не заморачиваясь.

    Ну и рейтлимитирование с капчами пока ещё никто не отнимал.

     
     
  • 3.53, пох. (?), 23:06, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +9 +/
    ну если юзеры не нужны, и на твой сайт ходят только боты - то можешь развлекаться с капчами и дальше.

     
     
  • 4.70, Аноним (70), 00:11, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Иногда и гуглокапчи не помогают. Вот audiophilesoft.ru/forum хороший форум заели.
     
     
  • 5.90, Аноним (90), 05:06, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зашёл по ссылке, попробовал зарегистрироваться. "Код безопасности" внизу так и не прогрузился даже после отключения uBlock Origin.
     
     
  • 6.92, Аноним (90), 05:13, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А, не. Это "умный" Tracking Protection в Firefox блочит капчу.
     
     
  • 7.134, мурзилла (?), 17:38, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ибо нефиг!
     
  • 4.132, имя (ok), 15:28, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ну если юзеры не нужны, и на твой сайт ходят только боты
    > - то можешь развлекаться с капчами и дальше.

    Хочешь сказать, что ты и есть бот, раз продолжаешь ходить на инфицированный капчами опеннет?

     
     
  • 5.143, Аноним (143), 21:02, 16/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >инфицированный капчами опеннет

    Ты на лор давно не заходил?

     
  • 3.84, Деннис Ритчи (ok), 04:40, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Боты капчи разгадывабт лучше юзеров, и в 99% делают это правильно. Тогда как юзеры только в 30% угадывают и если не удалось угадать, то просто ходят.
     
     
  • 4.127, rshadow (ok), 12:49, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да обычно капчи разгадываются довольно просто. Даже если 10% - пофиг, это просто нагрузка на канал чуть больше и чуть больше подсеть ip-шников.
    Да и индусские фермы с раскапчиванием 99% по никто не отменял. Это чуть дороже, но наверняка много меньше чем заработок на боте.
     
  • 2.89, Аноним (89), 04:59, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас ботов на headless chromium делают, один фиг зае....ся ловить
     
  • 2.130, HappyPony (?), 14:50, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В том то и дело что ботово ловить станет проще. Как вы отловите пота у которого ЮА как у обычного пользователя или меняется с каждой сессией?    
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
    Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36
    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36

    И Кто из них Бот ?

     

  • 1.2, Аноним (2), 18:41, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +47 +/
    "а также набирающая популярность практика подделки заголовка малопопулярными браузерами для обеспечения работоспособности отдельных сайтов" - звучит так, словно это разработчики браузеров нехорошие люди, а не отдельные сайты, особенно гугл тут впереди планеты всей, которые специально ломают верстку, а то и целый кусок фронта, когда видят user agent непопулярного браузера.
     
     
  • 2.6, Аноним (6), 18:45, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +13 +/
    очевидно же что гуглу выгоднее, чтобы тупые юзеры вместо работоспособного нишевого браузера, поставленного админом/установленного искаропки - видели плашку "ваш браузер устарел - переходите на хром. Скочать без регистрации тут"
     
     
  • 3.64, Некто (??), 23:27, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Главная цель этой инициативы ещё больше усложнить возможность браузеру и конечно... большой текст свёрнут, показать
     
     
  • 4.128, rshadow (ok), 12:52, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С маскировкой проблем не должно быть. В конце концов, это все тоже простое текстовое поле, в которое перед отправкой можно вписать все что угодно. Пока его не начнут подписывать какими нибудь гугль/мозилла ключами =)
     
  • 2.10, Аноним (4), 18:47, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Ждём цифрового подписывания бинарных сборок хрома, с проверкой подписи при установке сеанса.
    Не прошёл — получи сломанную вёрстку, ограничение по контенту и тормоза.

    Разумеется, всё для блага пользователей — «чтобы левые браузеры не могли использовать не предназначенные для них server-side оптимизации».

     
     
  • 3.55, гугель (?), 23:07, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Не прошёл — получи сломанную вёрстку, ограничение по контенту и тормоза.

    ну зачем же - просто предложение обновиться до последней версии хромога.

    (и наплевать что для этой системы его не существует)

     
  • 2.11, Урри (?), 18:48, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    для этого и задумано - теперь нормально показывать карты, почту и т.д. будут только аппрувнутые великим гуглом браузеры.
     
     
  • 3.13, Аноним (4), 18:53, 14/01/2020 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
  • 3.20, Аноним (20), 19:15, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "Инициатива уже поддержана разработчиками Edge и Firefox, а также уже реализована в Safari."
     
  • 3.21, Crazy Alex (??), 19:32, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да какая разница, "хинты" подкручивать или user-agent
     
     
  • 4.76, Аноним (77), 00:40, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В мейнстримных браузерах пользователю хинты вряд ли позволят трогать.
     
  • 2.48, пажилой человек писятчетыре года (?), 21:44, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Естественно это нехорошие люди, они - противники Партии. Они не следуют великому пути под руководством мудрого Отца Г. & co., осмеливаются сомневаться в гениальных идеях и даже пытаются реализовать свои совершенно неправильные и вредные идеи в недобраузерах!!! Я бы за такое расстреливал, если честно.
     

  • 1.3, Аноним (6), 18:43, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >ограничить возможность изменения

    ради этого и задумывалось, судя по всему. Если раньше можно было "притвориться" любым браузером - то теперь "виг вам". А возможность идентификации все равно останется, как я понимаю - только "твикать" это руками будет невозможно:
    >В качестве замены предлагается механизм User-Agent Client Hints

     
     
  • 2.5, Аноним (4), 18:45, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>только "твикать" это руками будет невозможно:
    >В качестве замены предлагается механизм User-Agent Client Hints

    В теории это возможно. На практике — зависит от того, какие возможности хотят вам предоставить разработчики вашего браузера.

     
  • 2.14, Total Anonimus (?), 19:02, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прочитайте внимательнее : для всех браузеров будет одинаково , "популярные" они или "мала-мала-понимай" . "Твикать руками" станет просто незачем . А вся дополнительная информация будет передаваться только по спецзапросу (а не всем встречным) и юзер будет контролировать - что передаётся .
     
     
  • 3.25, IRASoldier_registered (ok), 20:01, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Не будут они внимательно читать, у них после ключевых слов Chrome/Chromium и, тем более, Google - случается идиосинкразия "напихали зондов / сливают АНБ / скупают весь Интернет / уничтожают свободу" и в смысл текста они больше не вникают.
     
     
  • 4.69, Всем Анонимусам Анонимус (?), 00:10, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сто процентов.
     
  • 4.95, Аноним (93), 05:25, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Просто хомяки не понимают, что в гугле тоже не дураки и под видом их хромого в интернет ходят все кому не лень, лишь бы отрисовывалось всё как надо и идиотский баннер не вылезал. Гуглу от этого польза, без сомнений, поскольку появится новый, более надёжный механизм идентификации, и пользователям подспорье, поскольку больше не будет затупов с разной отрисовкой одного и того же в разных (пффф) браузерах
     
  • 4.105, Аноним (105), 08:19, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Гугл делает деньги на рекламе, значит гуглу нужно индефицировать пользователей. Пользователь нынче больно умный пошёл, подменяем параметры браузера, заголовки HTTP, вот гугл и изворачивается как может. Поэтому "напихали зондов" и "скупают весь Интернет" приобрело новый смысл :) К тому же у гугла довольно существенный процент на рынке.
     
     
  • 5.108, Аноним (70), 09:03, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Пользователь нынче больно умный пошёл, подменяем параметры браузера

    Многие даже слово браузер не знают.

     
  • 4.116, Аноним (116), 10:21, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Причём вполне справедливо и безошибочно.
     
  • 3.58, гугель (?), 23:10, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > будет передаваться только по спецзапросу (а не всем встречным)

    даааа, дааа - конечно же не всем встречным. конечно же не все подряд немедля попатчат веб-сервер чтоб эти запросы слать.
    (разьве что те, кому и раньше твой useragent был нахрен не нужен)

    А что ты там будешь "контролировать", это мы еще посмотрим.

     
  • 3.94, Аноним (94), 05:21, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А вся дополнительная информация будет передаваться только по спецзапросу (а не всем встречным)
    > (а не всем встречным)

    Свяая наивность. Это как думать, что если передавать запрос Do-not-track, в которой сервер вежливо просят не отслеживать - и он не будет отслеживать

     
     
  • 4.96, Аноним (93), 05:28, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так теперь упразднят автоматическую отправку всего этого, теперь можно будет в православном браузере аддоном спокойно и с чистой совестью запрещать отправление этих данных и уже быть уверенным, что сайты нормально отрисуются, не на 40%, а на 60%
     
     
  • 5.120, Аноним (4), 11:19, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так ли сильна ли ваша вера, сын мой?
     
     
  • 6.148, Последний из могикан (?), 12:34, 08/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не убоюсь хрома следящего днем и файрфокса падающего ночью.
     
  • 5.129, d20 (?), 13:07, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь ктоме запроса о моем местоположении, у меня будут запросы на разрешение экрана, версию ОС, версию браузера, итд
    Причем желательно отдельными окнами, и если где то нажмешь нет, то будут редиректить на заглушку где будет написано что нужно нажимать да.
     
  • 2.87, Аноним (87), 04:52, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну будешь client hints хедеры подменять вместо user agent
     

  • 1.7, Аноним (7), 18:46, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Зачем юзер агент если почти все браузеры это хром
     
     
  • 2.19, Total Anonimus (?), 19:12, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Зачем юзер агент , если почти у всех браузеров там написано что это хром . ;)
     
     
  • 3.97, Аноним (93), 05:29, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем вообще юзер-агент? Не отрисовалось у пользователя - пользователь и пошёл унылый... Времена уже другие, действительно пора избавляться от этого костыля.
     
     
  • 4.137, пох. (?), 20:37, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    погоди, а как же нарисовать ему табличку "немедленно обновитесь на новейшую версию хрома или хрома?"

     
     
  • 5.140, Аноним (93), 21:08, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Представляешь, обновился - всё равно рисует! Думаю, ф́топку подобные сайты, вот и всё.
     
  • 2.121, КО (?), 11:31, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Затем, что даже Хром разных версий по разному обрабатывает разные фичи.
    А если нельзя будет определить Сафари у клиента, Хром или Фокс. И на какой платформе, то трудно будет определить, какие костыли надо активировать, чтоб оно правильно заработало.

    Не говоря, что если новый агент не будет доступен или совместим со старым - то куча библиотек отвалится.

     
     
  • 3.138, пох. (?), 20:38, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    версия хрома должна быть одна - та что гугель приказал.

    Для этого в нем неотключаемые автоапдейты, сервис автоапдейтов, сервис апдейтов автоапдейтов и прочие автоапдейты.

    А определять будут ширину экрана и прочие нужные и полезные гуглю параметры. А чтоб заработала сафаря - не будут, пусть сами как хотят извращаются.

     
     
  • 4.144, Аноним (143), 21:03, 16/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >неотключаемые автоапдейты

    Это, кстати, хорошо для чайников на винде.

     
  • 3.141, Аноним (93), 21:10, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какие ещё такие фичи в браузере? Отрисовка css и html? Для всего остального же придуман JS, который и призван избавлять от подобных спазмов головного мозга?
     

  • 1.9, Аноним (9), 18:47, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я так и не понял, они просто запретят в своих браузерах менять юзер агент? Так каким образом это скажется на всяких Vivaldi?
     
     
  • 2.12, Аноним (4), 18:50, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Я так и не понял, они просто запретят в своих браузерах менять юзер агент?

    Зависит от браузера. В хроме и лисе скорее всего запретят, в остальных — не факт.

    > Так каким образом это скажется на всяких Vivaldi?

    Очевидно, если у вас будет нестандартный user-agent, это привлечёт к вам внимание. Возможно, повлечёт санкции (в виде сломанной вёрстки, например).

     
     
  • 3.17, ползкрокодил (?), 19:07, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Теперь ЛОР-овцам станет сложнее оставлять в UA послания модераторам ;-)

    А здесь модераторы их видят, кстати?

     
     
  • 4.30, Hellraiser (??), 20:46, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +16 +/
    каким-каким овцам?
     
     
  • 5.79, Аноним (77), 00:44, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Которые на форуме отоларингологов живут.
     
  • 2.15, имя (ok), 19:03, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  Я так и не понял, они просто запретят в своих браузерах менять юзер агент?

    Они резко перестанут писать о всяких «Linux x86_64» и «Android Xiaomi Ꙑ» в стандартном UA, чуть-чуть зарезав тем самым энтропию. Тем, кому хочется большего, придётся активно просить дополнительных заголовков.

    > Так каким образом это скажется на всяких Vivaldi?

    Им просто станет чуть менее обидно прикидываться хромом: всё равно польза от заголовка только убывает. Пара бекендеров, может быть, перестанет проверять заголовок. В остальном, конечно, мало что поменяется.

     
  • 2.27, IRASoldier_registered (ok), 20:07, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты действительно не понял. Вкратце - хотят не "запретить менять", а почти что отменить.
     
  • 2.43, Cadet (?), 21:30, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >они просто запретят в своих браузерах менять юзер агент?

    Невозможно запретить что-то в opensource.

     
     
  • 3.78, Ан оНим (?), 00:43, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Успешно запретили ходить на серый HTTPS. И отобрали опцию ком строки --выключить-проаерку-ссл

    Опенсорс Хромиум. Имено Хромиум, опенсорсная основа Хрома.

     
     
  • 4.103, Аноним (90), 07:23, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да где они запретили-то? Можно пример? У меня странички с самоподписанным сертификатом открываются после ворнинга.
     
  • 3.80, Аноним (77), 00:47, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Невозможно запретить что-то в opensource.

    Почему? Обфусцированный код формально тоже открыт. А современные браузерные движки и без обфускации может понять два-три человека из числа оригинальных авторов, что делает поддержку форков гиблым делом.

     
     
  • 4.109, Аноним (70), 09:06, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >два-три человека из числа оригинальных авторов

    А если с ними что-то случится, интернет умрет?

     
     
  • 5.139, пох. (?), 20:39, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    нет, новые макаки просто перепишут большой кусок кода, не вдаваясь в подробности как он работал раньше.

    Их много, и они могут позволить себе тратить на это время.

     
  • 2.71, Всем Анонимусам Анонимус (?), 00:12, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Они сами упростят, самое главное. Тогда в логах сервера не будет видно разницы между юзерами одного браузера, например.
     
  • 2.122, КО (?), 11:31, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    читать
     

  • 1.16, Аноним (16), 19:05, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > В качестве замены предлагается механизм User-Agent Client Hints, подразумевающий выборочную отдачу данных о конкретных параметрах браузера и системы (версия, платформа и т.д.) только после запроса сервером и дающий пользователям возможность выборочно предоставлять подобную информацию владельцам сайтов.

    Отлично. Теперь вместо одного параметра придётся подделывать целую кучу.

     
     
  • 2.18, ползкрокодил (?), 19:09, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так парсить зато проще и надёжнее, чем эту портянку.
     
  • 2.42, Cadet (?), 21:29, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Теперь вместо одного параметра придётся подделывать целую кучу

    Сейчас тоже надо кучу (см. мой пост ниже), иначе палево.

     
     
  • 3.44, Cadet (?), 21:33, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя, это в основном для грамотной подмены ОС.
     
  • 3.131, ползкрокодил (?), 14:59, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>Теперь вместо одного параметра придётся подделывать целую кучу
    > Сейчас тоже надо кучу (см. мой пост ниже), иначе палево.

    Причём многие подделывать чревато, поскольку они отражают характеристики платформы и web-приложения из-за подделывания могут работать криво. А вот айфоны, например, фингерпринтить бессмысленно, они все на одно лицо из коробки.

     

  • 1.22, Crazy Alex (??), 19:35, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Что за стоны? Убрали дурную простыню, которая передаётся всегда, и заменили на набор явно запрашиваемых свойств. Которые, понятно, тоже можно отдать произвольно. IMHO - давно пора, лет с десять точно.
     
     
  • 2.145, Аноним (145), 23:39, 16/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так я не понял как мне понять, что в конкретно этом браузере есть Flash, Java, HTML5, CANVAS, SVG поддеркжа? Что мне толку от версии вшаего браузера? Нужен набор технологий и их версий разуж назвались Technology Hint так пусть и пишут Flash=No,Java=Yes; version=8.0,HTML5=Yes, CANVAS=Yes, SVG=No вообще как тупари прям слов нет
     

  • 1.23, Анонимный скептик (?), 19:35, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какова вероятность, что в User-Agent Client Hints будет на порядок больше информации, по которой можно будет проводить идентификацию, если учесть, что разрабатывает это Гугл?
     
     
  • 2.26, zzz (??), 20:01, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Гугл и так уже давно знает, какой у тебя компьютер и не только. Цель проекта - усложнить другим возможность сделать то же самое.
     
     
  • 3.98, Аноним (93), 05:34, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    x86-64 intel i5-8625 linux-x64 Manjaro... что ещё, даже цвет и и фирму можно назвать, один фиг у тебя вариантов море, а толку мало
     

  • 1.28, Аноним84701 (ok), 20:21, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Среди основных причин унификации заголовка User-Agent упоминается применение его для пассивной идентификации пользователей (passive fingerprinting)

    Вот чья бы корова …
    > Chrome/79.0.3945.117
    > Chrome/79.0.3945.116
    > Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.120 Safari/537.36
    > Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36
    > Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.75 Safari/537.36
    >

     
  • 1.31, Аноним (31), 20:47, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Так а как теперь предполагается делать костыли чтобы чинить баги конкретного браузера с отображением сайта?
     
     
  • 2.37, MT (ok), 21:12, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В общем случае — использовать определение возможностей браузера (feature detection). Если в конкретном случае определение возможностей бессильно (например, при необходимости обхода бага в реализации возможности, формально доступной), косвенно определять браузер и его версию по совокупности других возможностей, как, например, в случае IE:

    https://tanalin.com/articles/ie-version-js/

     
     
  • 3.38, Аноним (31), 21:16, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так, а что делать если сайт использует кучу библиотек, в которых проверяется navigator.UserAgent? Если Edge после этих изменений будет назван как Chrome, а то и вообще свойство удалят, то как быть? Полифилы какие-то прикручивать? Не уверен что это свойство можно будет записать.
     
     
  • 4.40, MT (ok), 21:25, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Идентификация браузера по 'User-Agent' всегда была антипаттерном. В качественной библиотеке без крайней необходимости так делать не будут.

    Если «сломается» много сайтов, не исключено, что решение по 'User-Agent' изменят.

     
     
  • 5.45, Аноним (31), 21:34, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Быстрый поиск по проекту нашёл использование в jQuery, jQuery.mobile, jQuery.UI, knockout.js, tinyMCE Не исключаю, что они там в каких-то очень редких случаях проверяют, но например knockout.js например в зависимости от браузера использует KeyboardEvent или UIEvents. Может и поломаться
     
  • 5.49, Аноним (49), 21:47, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вместо того чтобы определить какой браузер и отдать ему подходящий html код до загрузки сайта придется городить какие-то костыли
    Это определение ведь не от хорошей жизни делают.
     
     
  • 6.56, Аноним (56), 23:08, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Браузер и мажорная версия будут в новом постоянном заголовке. Отдача подходящего/оптимизированного html/js сохранится без костылей со вторым запросом, просто вместо старого заголовка будут смотреть в новый.
    > User agents will attach the Sec-CH-UA header to every secure outgoing request by default, with a value that includes only the major version (e.g. "Chrome 69"). Servers can opt-into receiving more detailed version information in the Sec-CH-UA header, along with the other available Client Hints, by delivering an Accept-CH header header in the usual way.

    https://github.com/WICG/ua-client-hints#for-example

     
  • 3.123, КО (?), 11:39, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А как определить, каким образом margins в этом влияет на сдвиг шапки таблицы относительно самой таблицы. И прочая фигня в CSS.
     
  • 2.101, aa (?), 06:55, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а не надо "чинить" для конкретного браузера, надо делать как в стандарте написано.
    а пользователи браузера, который стандарты поддерживает криво, пусть страдают и пишут багрепорты разработчикам своего любимого браузера
     
     
  • 3.135, мурзилла (?), 18:20, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    так стандарт-то мы пишем.  Левой задней лапой.

    > а пользователи браузера, который стандарты поддерживает криво, пусть страдают

    нет, дружище, не угадал - страдать будут пользователи браузеров, в которых не открывается гугль, гугль, или, к примеру - гугль.
    Совершенно независимо от того, насколько в соответствии с нашими стандартами он не открывается.

    И они просто поставят хром, чтобы дальше пользоваться интерн...простите, гуглем.


      

     

  • 1.33, Аноним (31), 20:54, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Гитхаб уже переполнен от issues где люди плачут что библиотеки в т числе популярные перестанут нормально работать после того как все переназовутся "унифицированным" названием. Надеются только что у каждого разработчика браузера будет своя унификация и по ней можно будет всё-таки браузеры отличать.
     
     
  • 2.47, пажилой человек писятчетыре года (?), 21:38, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Гитхаб уже переполнен от issues где люди плачут что библиотеки в т числе популярные перестанут нормально работать

    у партии нету времени ждать, понимаешь? надо юзер агент убрать - значит надо здесь и сейчас, великие дела ждут!!!

     
  • 2.57, Рассольник (?), 23:09, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зачем их отличать?
     
     
  • 3.59, гугель (?), 23:13, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    макаки не умеют в feature check.

     
     
  • 4.124, КО (?), 11:40, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да никто не умеет. Эта фигня проверяет наличие фичи, а не то как она обрабатывается браузером.
     
  • 2.60, Аноним (56), 23:16, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А читать спеки эти люди не умеют Пусть плачут https github com WICG ua-clien... большой текст свёрнут, показать
     

  • 1.35, Аноним (35), 21:00, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давно пора было. Подумывал об этом. Смысл он потерял. А идентифицировать и без него уже научились прекрасно.
     
  • 1.36, VINRARUS (ok), 21:11, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Шо, и YouTube на Огнепанде вдруг перестанет изображать перелом хитрожопости Гуля, когда страничка разваливается или виснет?
     
  • 1.39, Cadet (?), 21:23, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А пока в Firefox можно менять эти значения, создав строки:
    general.useragent.override
    general.oscpu.override
    general.platform.override
    general.appversion.override
    general.productSub.override
    general.buildID.override
    Проверить результат можно на whoer.net
     
     
  • 2.51, Аноним (70), 22:34, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    general.useragent.override.example.com
    Для домена example.com и его поддоменов (например, subdomain.example.com). Правда, применяется только для content-type: text/html
    JS, CSS, картинки, другие URL будут использовать дефолтный agent.
     
     
  • 3.83, anon4ik (?), 02:23, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Уже все, вырезали
     
     
  • 4.110, Аноним (70), 09:08, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    С какой версии? В FF 60 работает.
     
  • 4.117, Аноним (70), 10:22, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Уже все, вырезали

    Этих значений нет изначально. Надо создавать самому.
    about:config - Поиск agent - ПКМ - Создать - Строка (string)
    Чтобы удалить строку: ПКМ - Сбросить - F5

     
  • 2.85, Аноним (87), 04:49, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://browserleaks.com/client-hints
     
  • 2.106, Аноним (105), 08:27, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда уж про JS вспомнили бы. https://browserleaks.com/javascript

    navigator.userAgent
    navigator.platform
    navigator.oscpu
    navigator.hardwareConcurrency

    Ну и так далее.

     

  • 1.50, DerRoteBaron (ok), 22:07, 14/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Как же тогда циска будет блокировать уязвимости?
     
     
  • 2.52, Аноним (52), 22:37, 14/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    сама циска уже уязвимость
     

  • 1.88, Аноним (87), 04:56, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >> Среди основных причин унификации заголовка User-Agent упоминается применение его для пассивной идентификации пользователей

    Ой, пассивной

    Accept-CH viewport-width, dpr, device-memory, rtt, downlink, ect, ua, platform, arch, model, mobile

    ну и что, теперь эта строчка будет по дефолту на всех сайтах,
    как тут https://browserleaks.com/client-hints


    >> только после запроса сервером и дающий пользователям возможность выборочно предоставлять подобную информацию владельцам сайтов.

    Пока никакой возможности нет. А если речь идет об аддонах для модификации UA, так они и сейчас многие умеют подставить конкретную os/arch/model в существующий User-Agent.

    Вообщем ниочем, очередная хрень которая поможет сайтам делать ваш device-id еще точнее

     
     
  • 2.104, Голубой гигант (?), 07:28, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня во всех полях "not received", значит мой браузер не отправляет?
     
     
  • 3.107, Аноним (105), 08:30, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Значит ваш браузер Firefox или ещё что-то. Палево, короче.
     
     
  • 4.113, Аноним (87), 09:40, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    так и есть, но и в хроме половина из описанного доступна только за флагом
     
     
  • 5.147, Аноним (147), 23:36, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо, что еще что-то доступно. Хотя бы за флагом. Все идет к тому, что ничего не будет доступно для ручек. И за флагами в том числе.
     

  • 1.99, iPony129412 (?), 05:49, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну правильно.
    Сейчас он выглядит вообще как какое-то нагромождение легаси.

    > Mozilla/5.0 (iPhone; CPU iPhone OS 13_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.4 Mobile/15E148 Safari/604.1

    Mozilla 🤨

     
     
  • 2.133, pda (?), 16:21, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это со времён ранних версий Firefox, ещё 1.0 и ниже. Тогда IE6 доминировал и ff начал его потихоньку рвать. Остальным браузерам пришлось вписывать фрагмент их User Agent, чтобы серверы знали, что можно отдавать более современный html, что у клиента браузер, а не говно мамонта. :)
     

  • 1.100, Аноним (100), 06:40, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    user-agent теперь должен быть просто GOOGLE_ZOND с 512битным ключом
     
     
  • 2.112, Аноним (70), 09:19, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    GOOGLE_PROBE тогда уж.
     
     
  • 3.125, Аноним (100), 11:52, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    GOOGLE_探针
     

  • 1.111, Отражение луны (ok), 09:17, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Оверинженеринг в действии.
     
     
  • 2.119, Andrey Mitrofanov_N0 (??), 10:32, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Оверинженеринг в действии.

    Дураки и инициатива,
      эффективный манагемент и програмляние,
      гугель и интернет,
      .... :
    "надо же что-то менять".

     

  • 1.114, Аноним (114), 10:06, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Шило на мыло поменяли.


     
  • 1.115, bbb (??), 10:10, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а как теперь подбирать эксплоит к браузеру жертвы? перебором чтоли?
     
     
  • 2.126, Аноним (100), 11:53, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хватит привязывать эксплоиты к версии браузера! Обезьяны!
     

  • 1.146, Аноним (146), 08:33, 17/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > стимулирует сам Google, так как по User-Agent блокирует вход на свои сервисы

    они вроде хотели внедрить Signed HTTP Exchanges не?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру