Анонимные заходы через google прокси-сервер предварительной выборки.

Delysid · 2024-07-11T19:24:00.0000000Z

Многие наверно знают, что google начала закачивать части сайта или весь сайт к себе на сервера. Т.е. Начиная с Chrome 103 для Android, Chrome постепенно будет внедрять функцию частного прокси-сервера с предварительной загрузкой, чтобы ускорить исходящую навигацию из Google Search и других участвующих веб-сайтов в среднем на 30 %. Эта функция частного прокси-сервера предварительной выборки позволяет предварительно загружать контент из разных источников, не раскрывая информацию о пользователе целевому веб-сайту до тех пор, пока пользователь не перейдет по нему. Так вот в google не скрывают, что сливают информацию выборочно, а так же раскрывать IP адреса тех кто включил анонимность они не собираются. Чтобы отключить закачку вашего сайта в гугл нужно в папке /.well-known/traffic-advice/ разместить trafficadvice.json [{ "user_agent" : "prefetch-proxy" , "disallow" : true }] Тут всё понятно - отключили. Вопрос остаётся как определять IP пользователей включивших google VPN если они не определяются на сайте с реальным IP и заходят под google-prefetch-proxy? К примеру заход: IP address 2001:4860:7:219::ff ASN AS15169 GOOGLE Country Kazakhstan User agent Mozilla/5.0 (Linux; Android 10; K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Mobile Safari/537.36

266

Delysid

25 августа 2024, 06:23

#11

desart #:

Привет!

А какой код ответа должен быть?

У меня после таких манипуляций 301 редирект идёт в логах, когда Chrome Privacy Preserving Prefetch Proxy подключается...

Ты должен в этой папке /.well-known/traffic-advice/ отдавать json.

Можно по простому, в папке /.well-known/ создать файл traffic-advice.

Но это не помогает и не отключает, пробовал и так и так, идут пачками как и шли..

Уже по 300 этих прокси в день, я их тупо блокирую.

РСЯ открыла специальную почту Sitechecker вошел в шорт-лист Bing Ads поможет отследить

7

desart

27 августа 2024, 20:32

#12

Delysid #:

Ты должен в этой папке /.well-known/traffic-advice/ отдавать json.

Можно по простому, в папке /.well-known/ создать файл traffic-advice.

Но это не помогает и не отключает, пробовал и так и так, идут пачками как и шли..

Уже по 300 этих прокси в день, я их тупо блокирую.

Спасибо, понял...

Я просто создал /.well-known/traffic-advice/ а внутри файл trafficadvice.json

И всё время 301 отдаёт сервер... А в день до 10... и всегда только 3 ip, что странновато: 74.125.208.75(76 и 77)

74.125.208.64/28 - всего 16 ip

Да, наверно забаню в Fail2Ban, чтобы в логах даже не появлялись 😀

*Кстати в новой версии CIDR банить можно 😀 красота! никаких тебе 403 в логах 😀

Нужна помощь в определении Про массовый DDOS политических SEO-Альманах: опубликованы результаты исследования

236

Snake800

27 августа 2024, 21:22

#13

Тема давняя, на серче уже поднималась. Совершенно верно - префетчер игнорирует json-файл настроек, как и просьбу не проксировать в http-заголовках. Поэтому если требуется банить, то тока по ip и заголовкам.

Вторая особенность - поведение CSRF защиты. Префетчер не возвращает куку с токеном, которую он получает вместе с html при запросе формы. Т.е. юзер постит форму без требуемой куки, и значит спам не пройдёт при наличии простейшей csrf защиты. Обратная сторона - честные юзеры тоже не засабмитят форму, пока не обновят страницу. При условии, конечно, что форма и куки отдаются в классическом виде при запросе страницы, а не аяксами например.

AJAX обмен данных с Как прятать текстовые блоки Обработка формы с чистого

Дзен реализовал для авторов возможность вывода денег через СПБ

Маркетинг для шоколадной фабрики. На 34% выше средний чек