IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Webmarketing Discussion :

Une nouvelle technique pour contourner les adblockers avec les websockets


Sujet :

Webmarketing

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2016
    Messages : 701
    Points : 51 808
    Points
    51 808
    Par défaut Une nouvelle technique pour contourner les adblockers avec les websockets
    Une nouvelle technique pour contourner les adblockers avec les websockets
    Elle serait exploitée par des sites web pour afficher des publicités

    Avec l’utilisation accrue des bloqueurs de publicités, le marché mondial de la publicité est menacé. On évalue à 6 % le pourcentage d'internautes recourant à des adblockers, soit 200 millions d’internautes dans le monde. Les pertes liées au blocage de la publicité en ligne ont été estimées à 21,8 milliards de dollars rien que pour l’année 2015. Face à cette réalité, les géants de l’industrie se sont empressés de prendre des actions concrètes pour défendre leurs intérêts, à l’image de Google qui a pris des mesures pour s’attaquer au problème des mauvaises publicités ou encore de Facebook qui a cherché à contourner les mécanismes d’Adblock.

    Un développeur a démontré dans un billet de blog comment il est possible de contourner les adblockers en exploitant les websockets. Lors du développement d’un outil de capture et d’analyse du trafic réseau sur Chrome, le développeur a dû utiliser l’API chrome.webrequest avant de se rendre compte que cet API ne permet pas l’analyse du trafic des websockets. Cette limitation ne date pas d’aujourd’hui, un bogue a été rapporté depuis 2012 selon lequel les requêtes de WebSocket ne sont pas interceptées par chrome.webRequest.onBeforeRequest. Les utilisateurs se sont plaints que sans le blocage des WebSockets, les sites web peuvent contourner facilement les bloqueurs de publicité. Autrement dit, si les données liées au WebSocket ne sont pas visibles des extensions de Chrome via l’API webRequest, alors il sera impossible de les intercepter sans avoir recours à quelques manipulations complexes.

    Au début, il était clair que cette limitation menaçait les adblockers, au moins en théorie. Néanmoins, le nombre de sites web qui l’ont exploitée est resté obscure. En aout 2016, un employé de la compagnie propriétaire de Pornhub.com (MindGeek) a commencé à contester la décision d’ajouter des possibilités de blocage du WebSocket dans l’API de Chrome. Pornhub est le 63e site le plus visité du monde selon Alexa. En effet, les sites de MindGeek exploitaient cette limitation pour afficher des annonces même à ceux ayant installé Adblock Plus. Les pubs sur Pornhub sont marquées par “By Traffic Junky”, un réseau également dirigé par Mindgeek.

    À chaque visite de Pornhub.com, le site essaye de détecter si le visiteur utilise un adblocker. Si jamais il arrive à le détecter, le site ouvre une connexion WebSocket qui agit comme un mécanisme de sauvegarde pour délivrer des pubs. En analysant les logs du trafic, on voit un nombre de requêtes réseau bloquées par Adblock : elles sont marquées comme Failed, l'inspection en détail montre que la cause de ce blocage est net::ERR_BLOCKED_BY_CLIENT. Cette erreur est affichée par Chrome quand un élément est bloqué lors du chargement.

    Le développeur a trouvé que Pornhub exploite le WebSocket pour se connecter au domaine “ws://ws.adspayformy.site.” (les pubs financent mon site), un joli tour joué aux utilisateurs de bloqueurs de publicité. Quand le WebSocket se charge, le navigateur envoie une frame avec JSON vers chaque place où est affichée une pub. En vérifiant les frames WebSocket, on se rend compte que chaque frame contient les données renvoyées pour chaque annonce :

    1. La zone_id est la zone où le JavaScript place la pub.
    2. Le media_type de l’image pour que la page puisse savoir quel élément créer (la plupart des pubs sont des vidéos).
    3. L’image elle-même transmise avec un encodage base64 pour qu’elle soit reconstruite en utilisant un data uri scheme.
    4. Un “img_type” (“image/jpeg”) pour passer aux données uri.


    De cette façon, les mécanismes des bloqueurs de publicité sont contournés puisqu’ils s’appuient sur l’API webRequest.

    Le 25 octobre 2016, un contributeur a écrit un correctif permettant de bloquer les WebSockets en utilisant l’API webRequest. S’il est accepté, il sera inclus dans la version stable de Chrome. Il apparait également que les bloqueurs de publicité ont commencé à mettre en place des solutions pour bloquer cette technique. Une chose est sure, la guerre entre les fournisseurs de contenu et adblockers est annoncée.


    Source : blog BugReplay

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Facebook va bientôt contourner les adblockers sur sa plateforme, tout en offrant aux utilisateurs plus de contrôle sur leur expérience de publicités

  2. #2
    Expert confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Novembre 2009
    Messages
    2 032
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Novembre 2009
    Messages : 2 032
    Points : 5 470
    Points
    5 470
    Par défaut
    Je vais dire peut être une connerie mais si je suis un fournisseur de pub, pourquoi je demande pas aux sites de précharger le contenu de la pub et de l'inclure dans le template de la page.
    Si la publicité fait partie intégrante du flux "normal" du site, comment le adblocker va s'y prendre pour la détecter?

  3. #3
    Membre expert Avatar de jopopmk
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2011
    Messages
    1 856
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2011
    Messages : 1 856
    Points : 3 570
    Points
    3 570
    Par défaut
    Une techno intéressante déjà pervertie (et pas par le site de Pr0n derrière ça comme on pourrait le penser). On va se retrouver encore avec des contentieux, dans un an avertissement obligatoire pour les sites qui utilisent les websocket, et dans deux ans blocage par défaut du protocole par les navigateurs ...
    Citation Envoyé par micka132 Voir le message
    Je vais dire peut être une connerie mais si je suis un fournisseur de pub, pourquoi je demande pas aux sites de précharger le contenu de la pub et de l'inclure dans le template de la page.
    Si la publicité fait partie intégrante du flux "normal" du site, comment le adblocker va s'y prendre pour la détecter?
    Template ou pas template si la ressource est récupérée par le client depuis un autre domaine les blocker verront le truc. Une solution pourrait donc être d'héberger directement les pubs sur le domaine du site, par contre les annonceurs devront faire confiance auxdits sites sur les stats d'affichage, et là autant dire qu'ils seront -logiquement- pas trop pour.

  4. #4
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 789
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 789
    Points : 7 276
    Points
    7 276
    Par défaut
    Surtout qu'il y a des cas de pubs incluant des malwares... source dvp. D'où l'inclusion d'un add-on en web assembly pour faire le tri au cas où le firewall, le navigateur, la sandbox, la sonde et l'antivérole fasse mal leur boulot.

  5. #5
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 223
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 223
    Points : 28 213
    Points
    28 213
    Par défaut
    Citation Envoyé par jopopmk Voir le message
    Template ou pas template si la ressource est récupérée par le client depuis un autre domaine les blocker verront le truc. Une solution pourrait donc être d'héberger directement les pubs sur le domaine du site, par contre les annonceurs devront faire confiance auxdits sites sur les stats d'affichage, et là autant dire qu'ils seront -logiquement- pas trop pour.
    Et avec un système de redirection dynamique ?
    La pub est chargée depuis le même domaine que le site, sauf que le serveur du domaine, à la requête va lui-même la chercher sur les serveur des la régie de pub pour la fournir ensuite comme si elle était locale au site.

    Mais bon, perso, je suis un antipub convaincu. Ils ont trop abuser et il va falloir beaucoup beaucoup d'efforts désormais pour me convaincre de faire machine arrière. Et leur petite géguerre n'y travaille pas pour.

  6. #6
    Membre éclairé Avatar de Beanux
    Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Octobre 2009
    Messages
    249
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : Octobre 2009
    Messages : 249
    Points : 744
    Points
    744
    Par défaut
    Légalement une publicité doit être différentiable du contenu (après les site/régie qui sont dans l'illégalité, c'est une autre histoire).
    Donc soit ça l'est pas pour un humain et c'est pas illégal, soit ça l'est et les bloqueur de pub trouveront une solution.

  7. #7
    Membre expérimenté Avatar de yann2
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mai 2004
    Messages
    897
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 897
    Points : 1 635
    Points
    1 635
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Et avec un système de redirection dynamique ?
    La pub est chargée depuis le même domaine que le site, sauf que le serveur du domaine, à la requête va lui-même la chercher sur les serveur des la régie de pub pour la fournir ensuite comme si elle était locale au site.
    Un proxy quoi. Encore une fois l'annonceur ne peut pas faire la différence entre un visiteur réel et une tentative d'arnaque de l'admin du site en faisant croire à des vues alors qu'il n'y en n'a pas. Sans compter qu'en faisant ça, tu dois avoir la bande passante pour les pubs (qui sur certains sites sont beaucoup plus gros que le contenu du site, il suffit de désactiver le bloqueur pour s'en apercevoir )

  8. #8
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 522
    Points
    2 522
    Par défaut
    Citation Envoyé par micka132 Voir le message
    Je vais dire peut être une connerie mais si je suis un fournisseur de pub, pourquoi je demande pas aux sites de précharger le contenu de la pub et de l'inclure dans le template de la page.
    Si la publicité fait partie intégrante du flux "normal" du site, comment le adblocker va s'y prendre pour la détecter?
    Même là, ça reste possible, avec le positionnement de la pub dans la page. Les pubs sont toujours au même endroit dans l'arborescence de la page, et en bloquant l'affichage de ces parties, on efface la pub.

  9. #9
    Expert confirmé
    Homme Profil pro
    Responsable des études
    Inscrit en
    Juillet 2014
    Messages
    2 665
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Responsable des études
    Secteur : Santé

    Informations forums :
    Inscription : Juillet 2014
    Messages : 2 665
    Points : 5 803
    Points
    5 803
    Par défaut
    Mais quand vont-ils comprendre que trop de pub tue la pub.
    Si les gens ferment la porte, ce n'est pas une invation a passer par la fenêtre.
    C'est clairement pas avec ce genre de méthode qu'ils vont faire baisser le nombre d'adbloqueurs, au contraire.

  10. #10
    Membre actif Avatar de zaza576
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2013
    Messages
    175
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Août 2013
    Messages : 175
    Points : 275
    Points
    275
    Par défaut
    Hello les développeurs,

    donc si j'ai bien compris, il ne me reste plus qu'à bloquer aussi le protocole et tous les services liés aux websockets de Chrome, Firefox et compagnie.

    Bon, bah hop, comment virer de la publicité sans se prendre le choux.

    Merci pour cet article. Cela me fait prendre conscience que certaines boîtes n'ont pas encore abandonné l'idée qu'on se fait de la pub sur Internet et vont jusqu'à dépenser le moindre pecko pour développer des solutions alternatives pour encore déranger les internautes dans leur navigation paisible.

    Après tout, qui utilise encore les WebSockets c'est so 2015 XD.

  11. #11
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 522
    Points
    2 522
    Par défaut
    Cela dit, les gens qui prennent la peine d'installer un adblocker, je ne suis pas sûr que ça soit vraiment une bonne idée de leur mettre de la pub sous le pif en utilisant un moyen de le contourner. Moi, quand ça m'arrive, ça me donne envie de noter la marque en question pour être certain de ne jamais l'acheter par accident !

  12. #12
    Membre du Club Avatar de bloginfo
    Homme Profil pro
    Consultant informatique
    Inscrit en
    Janvier 2011
    Messages
    42
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 60
    Localisation : France, Eure (Haute Normandie)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Janvier 2011
    Messages : 42
    Points : 41
    Points
    41
    Par défaut Blocage des WebSockets
    Sur Firefox, il existe plusieurs méthodes pour bloquer les WebSockets !

  13. #13
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 262
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 262
    Points : 3 409
    Points
    3 409
    Par défaut de la pub, oui... mais sans concession !
    En ce qui me concerne, j'utilise Firefox, avec adblock plus, et comme ça laisse encore passer pas mal de petits malins (ac ou sans liste blanche) j'ai rajouter noScript.
    et depuis... 99,99% des contenus pub ou autre type de mise en avant sont bloqués, que ce soit du .jpg, du .gif, du flash, du java... il faut juste avoir la patience de cocher les filtres des sites que l'on visionne régulièrement. Il est clair que ce n'est pas adapté au novice qui ne sait pas ce qu'est une barre d'adresse, mais pour n'importe quel initié, c'est la solution miracle.
    On sapperçoit vite que Google analytic est partout, suivit de Facebook et Twitter, criteo, outbrain, et autres adsbidule...

    Pour ce qui est des lignes de conduite :
    - une partie des petits site ne tiennent que par la rente de leur pub
    - certaines pub n'ont de pertinence que placé dans un contexte précis face à un public précis

    à ceci je répond que si l'apparition de pub n'est pas "agressif" (invasive, visuellement déplaisante...) je suis prêt à la visionner sans sourciller... mais uniquement à la visionner, et pas renflouer le site et l'annonceur d'une myriade d'informations me concernant moi, ma navigation et mes habitudes !
    Etant donné qu'aucun système publicitaire ne semble prêt à fonctionner dans cette philosophie... je coupe tout.

    Par exemple, me connectant sur mon compte dev.net pourrais permettre au site de DEMANDER de pub en rapport à mon profile, et une fois déconnecté, me proposer une pub "classique".
    Si je ne me trompe pas, aujourd'hui ça marche plutôt comme ça >> les différents traceurs et récolteurs d'info transmettent mes moindres faits et gestes, une fois plus ou moins reconnu par l'annonceur, une pub personnalisé est envoyé, que je sois sur dev.net ou pas.
    Il y a un truc qui semble mal implémenté chez la quasi-totalité des annonceurs >> c'est pas parce que je suis mécano, et que j'achète souvent des outils, qu'à noël ou lors de promo, je souhaite forcément acheter des produits de mécano ! ^^'
    1) j'ai une vie à coté
    2) j'achète pas que pour moi

    A croire que la mécanique sociale n'a jamais été pleinement réfléchie... ou trop compliqué à appréhender puis implémenter ?

  14. #14
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 262
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 262
    Points : 3 409
    Points
    3 409
    Par défaut
    oh, j'oubliais...
    sur Firefox, utilisant noScript, j'ai été sur pornhub pour voir si ça bloquait... si le websocket n'est pas bloqué (j'ai pas vérifier techniquement), force est de constaté, qu'aucun contenu n'apparait à l'écran : c'est une page noir avec du texte (hormis quelques images statiques en bas de page, sur la cinquantaine que devrait comporter la page)

    un site qui me refuse l'accès parce que je n'ai pas accepté de cookies, ou que j'utilise un adblocker, ou si, ou ça... je passe simplement mon chemin. Ca fera sûrement un heureux concurrent ! =)

Discussions similaires

  1. Réponses: 7
    Dernier message: 20/11/2012, 14h24
  2. Réponses: 2
    Dernier message: 20/01/2012, 10h03
  3. Réponses: 8
    Dernier message: 11/07/2010, 02h03
  4. Réponses: 3
    Dernier message: 08/06/2010, 14h42
  5. Les pirates ont trouvé une nouvelle manière de contourner la sécurité
    Par Jean-Philippe Dubé dans le forum Actualités
    Réponses: 7
    Dernier message: 01/09/2009, 13h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo