lightalex, я бы тоже на это надеялся, но в реальности ни смартфоны, ни ноуты не служат по 10 лет - нормальные пользователи их через несколько же лет выбрасывают/разбивают и покупают новые, соответственно нет смысла ничего оптимизировать - когда смарт выбросят, ресурс флеша израсходован ещё не будет.
А WebStorage реализовано через sqlite, а у sqlite есть такая штука, как журнал, удваивающая объём записанных данных. И когда в storage пишутся данные, у меня хрустит жёсткий диск.
Используется полно параметров, а не только "система+браузер"
Под системой подразумевается именно система, с библиотеками, шрифтами, драйверами и железом. Моё исследование показало - Tails + TorBrowser дают идентичные отпечатки вне зависимости от машины, если не менять размер окна.
Все крупные порталы (яндекс, гугл, авито, etc) легко банят "спамеров" и "парсеров", даже если менять ip и юзер-агент.
Аккаунты спамеров банят по содержимому сообщений и паттерну их отправки. Спам удаляют, поэтому вы его и не видите. Регистрация затруднена капчами, а кое-где - привязкой номера телефона.
И делают они это именно по набору данных для фингерпринта.
Именно поэтому некоторые крупные порталы забанили почти всех своих пользователей (не спамеров, не скрейперов, а просто пользователей) с privacy.resistFingerprinting=True . Но ещё раз - у этих порталов цель не спамеров банить, а пользователей отслеживать, эти порталы - фактически монополисты, и могут позволить себе полностью игнорировать плохое отношение части пользователей к их политике (включая нытьё на форумах "достала рекапча - 50 экранов с троллейбусами") - замены этим порталам нет и в длижайшем будущем не предвидится.
Какие?
Если пользователю сайт, чей вебмастер - охреневший тип, позарез нужен, то будет написан кастомный код, и в результате пользователь на сайт попадёт, а у вас в базах будут лежать бесполезные мусорные отпечатки, сгенерированные из псевдослучайных чисел. А вот ложные срабатывания для других пользователей (не спамеров, не скрейперов), никуда не денутся и скажутся на посещаемости. Поэтому отпечаткинг используется в основном не для защиты от ботов, а для отслеживания перемещений пользователей: такое решение проблемы отпечаткинга не масштабируется на весь интернет. Но на отдельный сайт с охреневшим вебмастером, не имеющим возможности каждый регулярно играть в кошки-мышки - вполне.
Открытый и закрытый ключи в RSA полностью эквивалентны друг другу. Просто один из них знают все, а другой - только вы. При шифровании только вы можете прочитать зашифрованное другими, при эцп только вы можете зашифровать хеш так, чтобы он расшифровался открытым ключом верно и совпал с независимо сгенерированным хешом. А всё потому, что секретный ключ знаете только вы.
Прочитайте mitmproxy.org/doc/howmitmproxy.html .
>Our answer to this conundrum is to become a trusted Certificate Authority ourselves.
Вот-это не всегда возможно. Для этого нужен либо доступ к вашему компу с нужными привелегиями (в фф элементарно добавить), либо доступ к приватному ключу уже установленного корневого сертификата (для этого надо быть либо цс, либо его взломавшим, либо спецслужбой или крупным денежным мешком). Либо можно провести деградацию до http, но это не должно сработать, если клиент написан правильно. А если цс не будет знать приватный ключ, то даже он не сможет сгенерить идентичную пару ключей (так как для этого придётся факторизовать модуль), так что можно зафиксировать публичный ключ, и тогда атакующие будут в пролёте.
> Скачивается приложение, проксируется запрос и готово.
????? Я лично тут не вижу mitm, кроме как если внести сертификат сервера в доверенные:
канал защищён https, чтобы сделать mitm понадобится выпустить фальшивый сертификат. Не говорю, что это невозможно, для правительств, корпораций и особо крутых взломщиков это возможно.
Теперь по остальным пунктам. Если у чувака нет возможности открыть для себя соединение к серверу баз со своего компа, то у него скорее всего нет возможности и по ssh подрубиться. То что производительность будет говно - не спорю, самому доводилось в этом убедиться (каждое действие занимало около секунды). Там правда были хитрые скрипты через сокеты (не я писал эту программу), возможно, что если бы там было реализован мой вариант (приведённый выше), было бы быстрее.
Philipp: что не так? Ключ случайный, если подберут - всему хана, соед-е - по https, подслушать ключ не получится. Если мало, можно прицепить защиту от брута и аутентификацию по протоколу oath.
>Может появится бесплатная.. Но цена будет начинатся от 2900
Советую начать с $1, я тоже погорел на неадекватности цене. Хотя, если доллар будет стоить 2900 р, то такая цена будет адекватной ..
.>cms обычная, да таких много
>По мне копейки, а принесет она миллионы в нужных руках.
Поржал.
>В любом случаи я просто так не сдамся. Я не жду легкого пути. Я слишком много вложил в этот проект, можно сказать смысл жизни.
Болтовня. Рынок не волнует, смысл ли это вашей жизни, ждёте ли вы лёгкого пути и т д. Рынок оперирует спросом и предложением. Завысите чрезмерно цену - никто брать не будет. Беспланые CMS уже есть, и их много. Вы отдаёте себе отчёт, что вам придётся конкурировать со свободными CMS, у которых цена - 0, с такими проверенными множеством контрибьютеров монстрами как wordpress, drupal и joomla? Вы отдаёте себе отчёт, что качество вашей cms с большой вероятностью ниже, чем качество этих CMS, а цена - выше? Вы отдаёте себе отчёт, что cms - это не только код, это ещё и сообщество, а у вашей cms сообщества нет. Внимание, вопрос: "какую cms из перечисленных предпочтёт пользователь?". ИМХО, явно не вашу.
Ещё вариант: код открытый, дрм нет, просто потом вылавливать по сети нелицензионных пользователей с деньгами и юридически прессовать. Как это делают разрабы фривари, которая в коммерческих организациях далеко не фри. Ничем не хуже предыдущих с точки зрения копираста.
А WebStorage реализовано через sqlite, а у sqlite есть такая штука, как журнал, удваивающая объём записанных данных. И когда в storage пишутся данные, у меня хрустит жёсткий диск.
Но и на старуху бывает порнуха.