2-3 дня дайари сильно тормозил. При этом перестали работать мои скрипты по скачиванию и репосту в телеграм. Потому что была включена защита cloudflare. Я решил, что сайт дудосят.
Сейчас сайт работает хорошо, но защиту не отключили. Тем не менее, это не мешает спаммерам рассылать свои спамы. А вот мне заниматься своим чёрным делом -- мешает.
Проблема в том, что и мне, и злоумышленникам надо одно и то же -- заходить на дайари ботом и что-то там делать.
Я знал, что из браузера окно защиты не показывается, а из скриптов показывается. У меня возникло подозрение, что защита запоминает конкретного клиента, и не выдаёт ему галочек и светофоров. Я полез в кукисы. Там я нашёл подозрительный кук с названием cf_clearance.
Погуглив по нему, я обнаружил ценную информацию о том, как проходить защиту клаудфлейр. Помещаю её здесь.
Итак, сначала защита должна быть пройдена человеком в браузере. После этого клаудфлейр будет пускать любые скрипты, если соблюдены следующие условия:
1. У вас валидный пропуск (кук cf_clearance, который надо взять из браузера; срок годности -- 1 год!)
2. У вас тот же юзер-агент, что и в браузере, где вы получили пропуск
3. У вас тот же айпи-адрес
Я выполнил эти три пункта и стал получать нормальные страницы. И даже смог удалять спам-комментарии из своего псевдо-интерфейса.
Сейчас сайт работает хорошо, но защиту не отключили. Тем не менее, это не мешает спаммерам рассылать свои спамы. А вот мне заниматься своим чёрным делом -- мешает.
Проблема в том, что и мне, и злоумышленникам надо одно и то же -- заходить на дайари ботом и что-то там делать.
Я знал, что из браузера окно защиты не показывается, а из скриптов показывается. У меня возникло подозрение, что защита запоминает конкретного клиента, и не выдаёт ему галочек и светофоров. Я полез в кукисы. Там я нашёл подозрительный кук с названием cf_clearance.
Погуглив по нему, я обнаружил ценную информацию о том, как проходить защиту клаудфлейр. Помещаю её здесь.
Итак, сначала защита должна быть пройдена человеком в браузере. После этого клаудфлейр будет пускать любые скрипты, если соблюдены следующие условия:
1. У вас валидный пропуск (кук cf_clearance, который надо взять из браузера; срок годности -- 1 год!)
2. У вас тот же юзер-агент, что и в браузере, где вы получили пропуск
3. У вас тот же айпи-адрес
Я выполнил эти три пункта и стал получать нормальные страницы. И даже смог удалять спам-комментарии из своего псевдо-интерфейса.
17.08.2024 в 05:46
_ym_d
_csrf
_identity
_ym_isad
PHPSESSID
_ym_uid
И работает без проблем
17.08.2024 в 09:37
Ну или селфхостни что-нибудь
17.08.2024 в 11:16
Я раньше использовал только идентити. А теперь ещё клиренс. А остальное что делает?
В начале пытался использовать пхп-сесс-ид, но он слишком часто менялся и меня не пускало как залогиненного.
Если у тебя защита не срабатывает, то, может быть, у них там какая-то база подозрительных айпи, и твоего там нет. Других вариантов, почему у нас по-разному работает, я что-то не могу придумать.
Гость, что перевести в тг? Я есть в тг! Там всё продублировано.
17.08.2024 в 12:46
17.08.2024 в 13:10
А чтоб я еще знал. Такие создаются, я все туда и засунул =)
17.08.2024 в 13:45
Тем не менее, большинство спамов на дайари типичные, и можно придумать более заёбистый критерий, и по нему действительно удалять автоматически.
Urban knight, хм, может если бы я все засунул, у меня бы тоже защита не срабатывала!
17.08.2024 в 14:22
21.08.2024 в 14:03
21.08.2024 в 14:04
21.08.2024 в 14:13
Юзеры: oh no you didn't.
21.08.2024 в 15:48
himself, способы, конечно, есть. Боты ежедневно пользуются ими, чтобы оставлять мне спамы. Для законопослушных пользователей система работает через X-CSRF-Token.
RetXiRT suiR@ttig@$, объясни.
21.08.2024 в 23:17