يوم جيد.
بدأ كل شيء قبل نصف عام. نحن نعمل كفريق صغير في مشروع ، وقد تم إطلاق المشروع بالفعل على الشبكة وهو يعمل بنجاح لعدة أشهر. بطريقة ما بدأت أتحدث عن إحصاءات الزيارة ومصادر إحالة المستخدم وما شابه. أرسل لي المديرون رابطًا إلى صفحة مشابه مع مواردنا. ما رأيته حيرني كثيرًا. بالإضافة إلى المعلومات الأخرى ، تحتوي الصفحة على معلومات حول النطاقات الفرعية التي عثرت عليها similarWeb. تخيل دهشتي عندما رأيت في النطاقات الفرعية الخمسة الأولى النطاقات الداخلية التي يستخدمها الموظفون فقط ولا يمكن الوصول إليها من الخارج (مثل jira.mycomp.org ، ci.mycomp.org ، git.mycomp.org).
لم يتبادر إلى الذهن سوى شيء واحد: شخص ما في الفريق كان لديه نوع من الضياع الذي قام بدمج البيانات بواسطة عناوين URL التي تمت زيارتها. جزء من الفريق يعمل عن بعد ، وجميعهم لديهم أنظمة تشغيل ومتصفحات مختلفة. تحدث مع كل شخص على حدة ، وطلب مسح النظام مع مكافحة الفيروسات ، وطلب قائمة من الملحقات المستخدمة.
نشرت Google العديد من المقالات حول شراء مماثل لموقع ملحق أنيق. لقد وضعت هذا التطبيق لنفسي وتأكدت من أنه يدمج البيانات حقًا. كيف يعمل: عند تثبيت الامتداد ، فإنك توافق على شروط جمع البيانات (وفي الوقت الحالي ، يوجد التطبيق في المتجر ولا يخفي حقيقة أنه سيتم جمع البيانات لـ similarWeb). علاوة على ذلك ، عند الانتقال إلى أي صفحة (حتى على https) ، يبدأ الامتداد الموجود في الخلفية في إرسال البيانات إلى عنوان url h___s: //userstylesapi.com/tic/stats. يبدو مثل هذا:
تحتوي المعلمة
e في
FormData على بيانات مزدوجة
الالتفاف في Base64:
ZG0xMFBUTW1iR0YyUFRJeEpuZDJQVEVtWjNJOU1pNHdMamttY0hobFBURm5aamhwTjJnNU5qVTVOekZ4ZERob05tTTVhamc0T0hCME5DWnpiblU5Sm1kd1BXaDBkSEJ6SlROQkpUSkdKVEpHZFhObGNuTjBlV3hsY3k1dmNtY2xNa1p6ZEhsc1pYTWxNa1ppY205M2MyVWxNa1p1WlhkbGMzUXRjM1I1YkdWekptTm9QVGttWkdrOVlUTmxNMlV5WVRneA== vmt=3&lav=21&wv=1&gr=2.0.9&pxe=1gf8i7h965971qt8h6c9j888pt4&snu=&gp=https%3A%2F%2Fuserstyles.org%2Fstyles%2Fbrowse%2Fnewest-styles&ch=9&di=a3e3e2a81
وبالتالي ، مع كل نقرة ، يتم نقل المعلومات إلى عناوين URL التي تمت زيارتها.
لقد قاموا بتنظيف أجهزة الكمبيوتر المنزلية والعمل ، وحذفوا الإضافة من أولئك الذين كانوا يمتلكونها وكتبوا في تعليمات المستقبل. كل ما بقي هو الانتظار. يتم تحديث البيانات لـ similarWeb في غضون شهر واحد.
ومع ذلك ، مرت شهرين ، والوضع لم يتغير. استمرت المجالات في تعليق قائمة الموارد. لذلك لم يتم تنظيف الجميع. قررنا حساب "المخادع" بطريقة أخرى. لكل عضو في الفريق ، تم إنشاء عنوان URL خاص يشبه هذا: coder-124.mycomp.ru ، coder-523.mycomp.ru ، إلخ. لقد قاموا بمهمة الانتقال إلى عنوان URL هذا يوميًا وبضع نقرات ، وتمت مراقبة العملية حتى لا ينسى أحد. بعد شهر من تنمر المطورين ، ما زلنا نحصل على الثمار. كان أحد عناوين URL في أسفل القائمة. تم العثور على الهدف ، يبقى أن نفهم كيف يتم دمج البيانات.
كانت النتيجة مفاجئة ، حيث قام ملحق Chrome بسكب البيانات ... ولكن ليس أنيق ... كما اتضح ، تم
سكب امتداد
الفرقاطة البيانات. عند التثبيت ، يعرض الملحق الرسالة التالية:
دعنا نقول ... بعد ذلك ، نظرنا في كيفية نقل هذه البيانات:
عند الانتقال إلى أي صفحة تحتوي على عنوانين URL (أتساءل عن السبب وراء ذلك) ، يتم إرسال البيانات التالية:
تحتوي المعلمة
e في
FormData على بيانات مزدوجة
الالتفاف في Base64:
Y3oweE9ERTBKbTFrUFRJeEpuQnBaRDFzWW5keE1FeHBTVW8xZFhFeWFEY21jMlZ6Y3owMU56TXpNVFl6TWpVeU1EazJOemd3TURBbWMzVmlQV05vY205dFpTWnhQV2gwZEhCekpUTkJMeTltY21rdFoyRjBaUzV2Y21jdmNuVXZKbWh5WldabGNtVnlQV2gwZEhCekpUTkJMeTkzZDNjdVoyOXZaMnhsTG5KMUx5WndjbVYyUFdoMGRIQnpKVE5CTHk5bWNta3RaMkYwWlM1dmNtY3ZjblV2Sm5SdGRqMDBNREUxSm5SdFpqMHhMakU9 s=1814&md=21&pid=lbwq0LiIJ5uq2h7&sess=573316325209678000&sub=chrome&q=https%3A//fri-gate.org/ru/&hreferer=https%3A//www.google.ru/&prev=https%3A//fri-gate.org/ru/&tmv=4015&tmf=1.1
لا أعتقد أن كل هذه البيانات مطلوبة لتحديد خادم وكيل. والآليات متشابهة جدا.
بالمناسبة ، لا توجد وظيفة من هذا القبيل في امتداد friGate Light ...
بدلا من الاستنتاج.
أستطيع أن أفترض أنه إذا تم العثور على ملحق ثانٍ ، فسيكون هناك ملحق ثالث ورابع. على الأرجح ، ستتطور طريقة التعاون هذه من بين تطبيقين متشابهين ومطوري امتدادات المتصفح. أنا أحثك على التحقق من إضافاتك (كروم ، فايرفوكس - لا يهم) وإذا وجدت شيئًا كهذا ، فاكتب في التعليقات. من المثير للاهتمام معرفة مدى عمق المشكلة.
وتذكر أن الأخ الأكبر يراقبك دائمًا :)
كل التوفيق.