| Autor | Zpráva | ||
|---|---|---|---|
| Serg Profil |
Narazili jste už na nějaku stránku používající tenhle nástroj?
github.com/theajack/disable-devtool Vypadá to, že funguje celkem spolehlivě, za celý den se mi ho nepodařílo obejít. Po otevření nástrojů pro vývojáře začne stránka dělat bordel a znemožní prozkoumání kódu (inspekci HTML elementů, XHR dotazů) S vypnutým JS stránka nefunguje - načte se jen layout, ale obsah ne. Samotný JS skript je stlučený z několika modulů a obfuskovaný, takže absolutně nečitelný, ale je tam i užitečný kód, který je potřeba k načtení obsahu, takže zablokování stažení celého souboru se skriptem nepomůže. U jedné stránky, kde jsem se chtěl podívat odkud bere video stream, tak šel skript částečně deobfuskovat, ale vývojářské nástroje přesto nejdou otevřít ani po úpravě skriptu pomocí Overrides ve Chromu a odstranění celého modulu, který vypadá právě jako disable-devtools. Asi tam bude ještě další ochrana, která kontroluje, jestli někdo nedostranil nějaký modul. Myslíte, že pokud se nějaká stránka tak moc snaží skrýt co ve skutečnosti dělá, tak by se to mělo respekovat, nebo by měl mít uživatel možnost prozkoumat co s jeho prohlížečem daná stránka dělá? (kam posílá jaký data, odkud je stahuje atd.) A je tedy v pořádku hledat způsob jak obejít ten disable-devtools? |
||
| N71 Profil * |
#2 · Zasláno: 29. 3. 2024, 14:51:23
Ta detekce je zdá se behaviorální, kontroluje projevy, které otevřené nástroje pro vývojáře způsobují, jako změny různých časování a podobně. Blokovat to bude asi dost obtížné. Především pokud je knihovna zašitá v nějakém webpacku.
Celkem by asi musel někdo věnovat stejné úsilí na výrobu blokátoru, jako bylo vynaloženo na výrobu detektoru. Jinak morálně máš právo si dělat ve svém browseru co se ti zlíbí. |
||
| mckay Profil |
#3 · Zasláno: 29. 3. 2024, 18:34:08
Serg:
>Myslíte, že pokud se nějaká stránka tak moc snaží skrýt co ve skutečnosti dělá, tak by se to mělo respekovat? Osobně, rozhodně nesouhlasím. Kód probíhá v mém prohlížeči, a tedy mám právo si prozkoumat co se mi na počítači děje. Jedna z možností, co můžete zkusit je nainstalovat něco jako Burpsuite a prohlídnout si komunikaci mezi webem a serverem skrz proxy a intercept funkcionalitu. Další možností potom je prozkoumat dokumentaci javascriptu pro konkrétní metody, které vás zajímají (asi všechno co se používá pro XHR a websockety) a naimplementovat vlastní extension, které se pověsí na handlery komunikačních funkcí a někam vypíšou co si browser se serverme povídají. |
||
|
Časová prodleva: 1 měsíc
|
|||
0