Krautkanal.com

Veröffentlicht am 2014-06-13 14:55:46 in /kc/

/kc/ 40514: Warum benutzt KC immer noch Adressbereiche um Bans ausz...

joe_black Avatar
joe_black:#40514

Warum benutzt KC immer noch Adressbereiche um Bans auszusprechen, wo doch Browser Fingerabdrücke ein viel probateres Mittel sind, Benutzer eindeutig zu identifizieren?

https://panopticlick.eff.org
https://wiki.mozilla.org/Fingerprinting
https://github.com/Valve/fingerprintjs

buddhasource Avatar
buddhasource:#40515

> Browser Fingerabdrücke
Weil man ja nicht beliebig viele Browser installieren kann.

rawdiggie Avatar
rawdiggie:#40519

>>40515
Impliziert, Bernd würde sich wirklich die Mühe machen, nach Chrome und Firefox noch weitere Kwalitätsbrauser zu installieren, nur um auf KC pfostieren zu können. Muss dann ja wohl unglaublich wichtig sein.

bassamology Avatar
bassamology:#40520

>>40519

Bernd Avatar
Bernd:#40521

>>40519
Naja sowas wie Systemschriftarten, Betriebssystem und Auflösung bliebe ja trotzdem gleich, natürlich kann man da den Adressbereich als zusätzliches Indiz heranziehen.

Da müsste sich Bernd schon einen zweit-PC extra Banevasion zulegen.

vocino Avatar
vocino:#40522

Weil Fingerprints noch einfacher auszutricksen sind als IP-Bans. Einfach Chrome statt Firefox starten und hossa weiter geht das Posten. Oder man erstellt ein neues Profil mit randomisierten Parametern, oder installiert User Agent Switcher, oder schreibt sich ein Userscript, uswusf.

>>40521
Du vergisst dass das alles auf dem PC des Nutzer ausgeführt wird und somit per se nicht vertrauenswürdig ist. Ich schaute mir mal an wie Karachan das machte; nach ein wenig Deobfuszierung stellte sich heraus, dass der Code großteils von Panopticlick geborgt war und zehn hinzugefügte Zeilen clientseitig einen Fingerprint errechneten. Wie umging ich das? Ich überschrieb einfach das Ergebnis mit Nullen. Ich hätte aber auch eine Funktion überschreiben, einen der verwendeten Prototypen patchen, oder den Aufruf selbst rauspatchen können.

Kann man alles ein bisschen schwerer auszutricksen machen, indem man Nutzern personalisierte und jedes mal neu encodierte Skripte ausliefert und das jedes mal an anderen Stellen in der Seite eingefügt, aber für mich als Userskriptautor gibt es immer irgendeine Invariante an der ich anknüpfen kann. Solltest du es je schaffen, dass ich das Skript nicht selbst detektieren kann, stecke ich die Seite in ein Caja und das Problem ist für immer gegessen. Ganz davon abgesehen ist so ein dynamischer Ansatz ein absoluter Albtraum wenn du ihn debuggen willst, du wirst 90% der Bugs nämlich nicht reproduzieren können.

"Ja aber IP-Ranges zu bannen ist genauso kaputt" - Sinnvolle Änderungen am existierenden System wie Bannpresets sind weniger Aufwand als ein solides Fingerprinting zu schreiben.

joemdesign Avatar
joemdesign:#40527

>>40514
ccleaner, kennste?

Neuste Fäden in diesem Brett: