LINUX.ORG.RU

JS-майнеры вместо рекламных блоков - как вам такая перспектива?

 , ,


0

2

Сабж

https://m.geektimes.ru/post/293079/

TL;DR

Описан прецедент скрытного использования ресурсов клиентского ПК (посетителя вебсайта) для майнинга, как метод монетизации вебсайта.
Отключение данного метода на стороне клиента приводит к нечитабельности и/или неработоспособности вебсайта на стороне клиента.

Для Ъ:

Другими словами, каждый пользователь, который заходил на The Pirate Bay, когда на страницах размещался этот код, предоставлял вычислительные мощности своего компьютера майнеру. Тот работал, а намайненные средства шли на кошелек администрации.
Все бы ничего, но администрация не предупредила своих пользователей о такого рода тестах. Все было сделано молча. Каким образом все это стало достоянием общественности? Дело в том, что некоторые пользователи обратили внимание на медленную работу своего компьютера во время просмотра ряда страниц торрент-трекера. После этого самые догадливые решили просмотреть исходный код страничек, и сразу обнаружили присутствие неизвестного скрипта, который был без труда идентифицирован, как майнер. Код предоставляется Coinhive . Сам скрипт заточен на майнинг Monero — криптовалюты, которая считается одной из наиболее анонимных. Отследить транзакции и пользователей Monero если и возможно, то очень сложно.

Нагрузку на целевую машину майнер оказывает довольно сильную, поэтому снижение производительности можно заметить сразу. Многие пользователи стали жаловаться администрации ресурса, возмущаясь действиями команды трекера. Более того, с действиями своих коллег не согласен и один из немногих супермодераторов с ником Sid. Он предложил всем пользователям, кто против текущего положения вещей, активировать плагин для браузера NoScript. Это не совсем удобно, поскольку при его включении пострадает функциональность ряда сайтов, включая the Pirate Bay (на стороне клиента, конечно).

P.S.: А теперь вопрос: "- Можно ли притянуть к ответственности простого пользователя под предлогами 'спонсирование чего-то там', 'изготовление фальшивых денег', и т.д.?"

Дмитрий Богатов предупреждает тебя, %username!

P.P.S: Всё новое это давно забытое старое.

>>> https://xakep.ru/2013/06/06/60743/

ОСТОРОЖНО! JS-майнер детектед!

UPD: Криптомайнеры: теперь и в расширениях для Chrome

>>> https://m.geektimes.ru/post/293327/

UPD2: Сайты принадлежащие к «Украинский Медиа Холдинг» тоже майнят

>>> http://itc.ua/news/football-ua-korrespondent-net-i-drugie-saytyi-umh-ulichili...

★★★★★

Ну и где там кукарекавшие что скрипторезки не нужны?

StReLoK ★☆ ()

надо еще в онлайн игры подобное чтобы добавили, в ту же доту2.

xmikex ★★ ()

Ну это наглёж, конечно, несравнимо с просьбами отключить адблок для отображения рекламы.

alexferman ()
Ответ на: комментарий от StReLoK

Ну и где там кукарекавшие что текстовые браузеры без поддержки JS (Lynx, Links, и т.д.) не нужны?

*fixed

atsym ★★★★★ ()
Ответ на: комментарий от atsym

Ну и где там кукарекавшие что веб в таком виде (html, JS и прочие говнологии) нужен?

Ну теперь то точно как надо.

StReLoK ★☆ ()
Ответ на: комментарий от xmikex

надо еще в онлайн игры подобное чтобы добавили, в ту же доту2.

... и на порносайты, и на вк, ...

atsym ★★★★★ ()
Последнее исправление: atsym (всего исправлений: 2)

Вообще-то здесь в первую очередь не нужны сотни вкладок. Что там в какой из них проконтролировать сложно, да. А вот если открывать по несколько вкладок и внимательно за ними следить, сразу же закрывая лишние, то долго стоять на таких граблях не получится даже если на них напороться.

Но, lynx, конечно, защищает от такого на 1000%.

saahriktu ★★★★★ ()
Ответ на: комментарий от atsym

ну на сайты начали уже. а исходники есть на гитхабе? хочу себе поставить.

xmikex ★★ ()
Последнее исправление: xmikex (всего исправлений: 1)

каждый пользователь, который заходил на The Pirate Bay ... предоставлял вычислительные мощности своего компьютера майнеру

Каждый халявщик становился партнёром.
Любишь кататься, люби и саночки возить.

Можно ли притянуть к ответственности простого пользователя под предлогами 'спонсирование чего-то там', 'изготовление фальшивых денег', и т.д.?

Конечно можно, а заодно и за распространение нелицензионного контента

imul ★★★★★ ()
Ответ на: комментарий от saahriktu

А вот если открывать по несколько вкладок и внимательно за ними следить, сразу же закрывая лишние, то долго стоять на таких граблях не получится даже если на них напороться.

Добавляем минимум двухминутную работу майнера до выдачи результата поиска и минимум пятиминутную для выдачи торрента или магнитной ссылки

Но, lynx, конечно, защищает от такого на 1000%.

Нет ручек js - нет ссылок

onlybugs ★★ ()

Для большинства сайтов не взлетит. 1000 пользователей сможет намайнить максимум $0.1 по текущему курсу за минуту пребывания на сайте. Пусть пользователи в среднем 10 минут в день сидят на сайте, итого получаем $1 в день с 1000 юзеров. Конечно, если прикрутить такую беду к VK, доход будет серьёзный, но немногие ресурсы могут похвастаться таким временем пребывания и количеством пользователей на своих страницах.

Sadler ★★★ ()
Ответ на: комментарий от onlybugs

Нет ручек js - нет ссылок

Чего?

<a href="http://...">Ссылка в чистом HTML</a>

atsym ★★★★★ ()
Ответ на: комментарий от Sadler

Для большинства сайтов не взлетит.

А если для ЛОР'а?

atsym ★★★★★ ()
Ответ на: комментарий от atsym

На лоре его просто порежут noscript-ом. Я эту штуку больше вижу в качестве поддержки проекта: тыкаешь на кнопку и таким образом намеренно «донатишь» человеку за счёт своего проца.

Sadler ★★★ ()
Ответ на: комментарий от Sadler

Я эту штуку больше вижу в качестве поддержки проекта: тыкаешь на кнопку и таким образом намеренно «донатишь» человеку за счёт своего проца.

А нету кнопки! Тебя даже не спрашивают: "- Можно-ли поюзать твой ПК?"

atsym ★★★★★ ()
Ответ на: комментарий от atsym

Это в данной конкретной реализации на TPB кнопки нет, я же говорю о потенциале технологии. В крайнем случае — галку в настройках. Опять же, если бы не наглели и считали, скажем, 10 хэшей, а потом прекращали, никто бы и не заметил.

Sadler ★★★ ()
Последнее исправление: Sadler (всего исправлений: 2)
Ответ на: комментарий от onlybugs

Нет [DEL: ручек :DEL] js - нет ссылок

А это уже другой вопрос. Не всем нужны эти ссылки.

saahriktu ★★★★★ ()

Вообще, подобный ахтунг со скриптами на стороне браузеров уже начали решать: выполнение JS сейчас замедляется на неактивных вкладках, вроде видел что в фоксе их вообще уже предлагалось «ставить на паузу». И причиной является совсем не майнеры на JS, а современные веб-макаки которые даже на страничку со статичным контентом тащат парочку фремворков, и 100500 трекеров со сторонних ресурсов.

Следующим шагом надо будет принудительно выставлять лимиты на выполнение определённого JS-кода даже на активных вкладках.

DawnCaster ()
Ответ на: комментарий от Sadler

я же говорю о потенциале технологии.

Эта технология («распределённые вычисления», - прим.) давно уже обкатана и довольно перспективна, с одним лишь «но» - пользователь поставлен в известность о том что предоставляет свой ПК для рапределённых вычислений конкретному проеку («добровольные вычеслнния», - прим.)

А в данной ситуации это не совсем «добровольные вычесления», а скорее даже аттака на ПК с целью создания «ботнета»

Даже в Вики об этом явно указывают

Не следует путать с Добровольные вычисления.

https://ru.m.wikipedia.org/wiki/Распределённые_вычисления

atsym ★★★★★ ()
Последнее исправление: atsym (всего исправлений: 2)

Почему на CPU? Еще 4-5 лет назад были майнеры на гпу через костыли.
А вообще боян, но на жс много не намайнишь, с рекламы больше выходит. А вот в игры можно встраивать.

KillTheCat ★★★★ ()

веб должен умереть. Совсем... Всё нужно доводить до абсурда.

targitaj ★★★★ ()

Смотря для каких сайтиков. Вообще, хорошо чтобы бы предупреждали о JS майнерах, а то потом не понятно, кто съел CPU.

Valeg ★★★ ()

На самом деле не самая плохая идея, если это не для мобильных устройств, и если работает только одна вкладка. На компе большую часть времени (особенно во время серфинга) у меня мощности простаивают. А вот на ноуте я подобное видеть не хочу, т.к. батарейку будет жрать как не в себя. Электроэнергия и износ ПК не столь значительны - первая довольно дешевая, а втрой, как правило, меняется не из-за поломок, а из-за устаревания.

peregrine ★★★★★ ()
Последнее исправление: peregrine (всего исправлений: 3)
Ответ на: комментарий от Sadler

Для социалочек взлетит на ура, там юзеры годами сидят не покидая сайта.

peregrine ★★★★★ ()
Ответ на: комментарий от atsym

Ха, все ссылки можно сделать динамически генерируемыми через JS, благо есть такая возможность, было бы желание.

peregrine ★★★★★ ()

как вам такая перспектива?

Это не перспектива, а давно порваный баян. Еще в те времена когда биткоины на cpu майнили, некоторые сайты себе такие скрипты вешали.

af5 ★★★★★ ()

как вам такая перспектива?

Убивать нахер!

Oxdeadbeef ★★★ ()

P.S.: А теперь вопрос: "- Можно ли притянуть к ответственности простого пользователя под предлогами 'спонсирование чего-то там', 'изготовление фальшивых денег', и т.д.?"

Пока нет, в России это не квалифицируется как преступление, по двум причинам:

1. Нет такой статьи в УК РФ.

2. Для привлечения пользователя сайта к угол-й отв-ти необходимо доказать его причастность к спонсированию, либо майнингу и т.д., т.е. пользователь специально осуществлял преступную деятельность.

Ramil ★★ ()

Хорошая идея.

А то видите ходят халявщики на порренты, и всё им за бесплатно подавай. Пускай майнят.

fornlr ★★★★★ ()

Это этак чтоб получить 1$ надо 15 суток непрерывной работы майнера в браузере.

А пользователи ворчат от притормаживаний.

Так что практически - сомнительная идея.

fornlr ★★★★★ ()

Как раз таки хорошая идея, но надо было аккуратнее настроить, чтобы не было ощутимых тормозов.
Что предлогают лоровские аналитики? Если донатов очень мало мало поступает, реклама не особо спасает(наверное), а обслуживание дорогое.

Fermion ()
Ответ на: комментарий от Sadler

Ну например можно повесить сообщение -

чтоб аккаунт не тормозил (не было ограничений на скачивание) оставьте браузер на ночь с открытой страничкой и месяц всё будет ОК.

ну или типа того

af5 ★★★★★ ()
Ответ на: комментарий от StReLoK

Ну и где там кукарекавшие что скрипторезки не нужны?

Напомни, за счёт кого, по твоему мнению, должен работать тот же thepiratebay?

Условия:

  • Donate не работает
  • Рекламу режут
  • Держать сервер стоит денег
x3al ★★★★★ ()
Последнее исправление: x3al (всего исправлений: 1)
Ответ на: комментарий от x3al

Донаты можно и по другому собирать, не палкой. Заниматься таким вредительством как майнинг в браузере это последнее дело.

StReLoK ★☆ ()

P.S.: А теперь вопрос: "- Можно ли притянуть к ответственности простого пользователя под предлогами 'спонсирование чего-то там', 'изготовление фальшивых денег', и т.д.?"

Нельзя, отсутствует умысел. Если, конечно, пользователь намеренно и осознанно не совершал указанное деяние.

Legioner ★★★★★ ()
Ответ на: комментарий от StReLoK

Нет, ты предложи рабочее решение. Они уже 3 года как пытаются собирать донат через биткоины (раньше — другими средствами) и это не работает.

x3al ★★★★★ ()
Ответ на: комментарий от Sadler

Для большинства сайтов не взлетит. 1000 пользователей сможет намайнить максимум $0.1 по текущему курсу за минуту пребывания на сайте. Пусть пользователи в среднем 10 минут в день сидят на сайте, итого получаем $1 в день с 1000 юзеров.

А реклама сколько даёт? Особенно в нынешних условиях, когда больше половины юзеров её режут.

Legioner ★★★★★ ()
Ответ на: комментарий от x3al

Условия:

  • Donate не работает
  • Рекламу режут
  • Держать сервер стоит денег

Ставим плашку на главной «Donate us or we will be closed in a week!» и в течении недели закрываем доступ к сайту для всех.

Наблюдаем за ростом количества донатов.

Открываем доступ к сайту на 3 недели.

Повторяем данную процедуру ежемесячно.

atsym ★★★★★ ()
Последнее исправление: atsym (всего исправлений: 1)
Ответ на: комментарий от x3al

А нет рабочего решения. Или они уходят в честный p2p типа ipfs (как вариант начинают пилить что-то своё) и распростроняют базу в открытом виде или продолжают бодаться с судами и предсказуемо страдают.

StReLoK ★☆ ()

Сделали бы это явной опцией, которую сам пользователь может включить в настройках профиля. Думаю, немало бы людей помогли бы таким образом проекту.

orm-i-auga ★★★★ ()

как вам такая перспектива?

Отлично, их же гораздо проще блочить чем рекламу.

slovazap ★★★★★ ()
Ответ на: комментарий от slovazap

Отлично, их же гораздо проще блочить чем рекламу.

Ты наверное плохо читал суть: при попытках блокировать майнер, сайт на стороне пользователя превращается в тыкву.

atsym ★★★★★ ()
Ответ на: комментарий от atsym

Я не про блокировку JS, а про ограничение CPU на вкладку. В хроме это by default, насколько я помню.

slovazap ★★★★★ ()
Ответ на: комментарий от saahriktu

в lynx-е тоже удалённые уязвимости находили, если что

Harald ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)