CoinHive es un servicio que está siendo utilizado por miles de páginas web para minar criptomonedas como Monero en segundo plano mientras los usuarios las visitan, siendo esto una alternativa a ofrecer publicidad. The Pirate Bay es una de las webs que usan Coinhive, el cual fue hackeado ayer. Coinhive permite a una web usar un porcentaje determinado del procesador de los usuarios que la visitan para obtener Monero mediante un JavaScript. Sin embargo, en lugar de que la propia web se quedase con ese Monero generado, un hacker consiguió hacer...
|
etiquetas: coinhive , hackeo , minado , criptomonedas
Actualmente, lo están haciendo "A ESPALDAS" del usuario desde la "OBSCURIDAD", y no es la primera vez, ThePirateBay lo hizo, y fue un detalle muy feo, también hay más casos, como extensiones de navegador, y habra más...
O el caso de uTorrent, con "Epic Scale" que provocó un éxodo hacia qBittorrent, Transmission y similares (clientes Bittorrent)
Es peligroso porque "aunque haya consentimiento" si es del timo "aceptas los términos de nuestro" sitio (que casi nadie lee)
Estamos en las mismas...
Consejos:
Usar NoScript o similares, navegador siempre actualizado y de fuentes fiables o confiables (incluso compilar código uno mismo para el que quiera-pueda, y dude de todo) (nunca habrá 100% seguridad)
Usar Firefox, Chromium, Chrome-Opera-Brave o lo que fuera.
Bloquear Javascript "globalmente" en los casos más extremos o de forma predeterminada en sitios "no confiables" como dice #2
noscript.net/
PD Ojito que Firefox Quantum no le da compatibilidad
De nada.
chrome.google.com/webstore/detail/no-coin/gojamcfopckidlocpkbelmpjcgmb
Edito: Entro en thepiratebay.bet/ y se actiba. Y puedes bloquearlo o dejarlo.
www.meneame.net/story/chrome-funcion-seguridad-evitar-minado-criptomon
Eso implica que muchas extensiones que no adapten los desarrolladores (algunas no pueden o no podrán ya que no existe la forma con la nueva "tecnología", de momento...)
Extensiones como DownThemAll, o FireSSH, o FireFTP, entre otras, son "aplicaciones" "legacy" y dejarán de funcionar a partir de Noviembre (cuando salga Firefox57)....
Ese último movimiento ha encabronado a bastantes desarrolladores y usuarios porque hay extensiones muy útiles y "no hay reemplazo".
Pese al argumento "evoluciona o muere", hay cosas que no hay que cambiar tan bruscamente (mi opinión)
Más info en blog.mozilla.org/addons/, reddit y otras fuentes (no he visto ninguna info en Meneame, pero supongo que es un tema "muy concreto" del mundillo.
El producto de mi empresa da alternativa a sin JavaScript, pero experiencia de usuario cero.
Y ya ni hablemos de lo que usa js como los productos de google.
Es un asco más.
NoScript (y similares) te permite seleccionar que scripts no cargar y cuales no... (listas blancas, negras, etc)
Pero ya sabemos como va esto, si se ponen creativos y lo ofuscan y ocultan, solo se detectará "cuando la CPU se dispare" por pestañas, y si son "más listos" y conservadores, el minero puede "no ser tan fácil de detectar" igual en enjambre a una masa de clientes, la cosa monetizaría igual... no lo sé
(Desconozco cuanto se saca por cada 1000 usuarios desde el navegador), pero si empieza a ser "rentable" muchos lo implementarán, no me cabe duda, la cosa es que muestren "UN AVISO BIEN GRANDE", incluso central, más intrusivo que el de las cookies dichosas (que esto es más importante)
eres túes tu ventiladoraunque el antivirus, por ejemplo AVG, lo detecta y bloquea.
Quizas seria una forma util de financiación de sites como Wikipedia, pero siempre avisando, no me parece correcto hacerlo a oscuras.
However, we have to acknowledge that the decision to block Coinhive was understandable as it was possible to run the miner on a webpage without asking the visitor for consent or even informing them. Even some antiviruses now consider our JavaScript miner as a threat, which makes it difficult for website owners to use Coinhive at all.
We implemented AuthedMine as a solution to these problems. The JavaScript Miner, Simple UI and Captcha, when loaded from authedmine.com, will never start without asking for consent from the user or (for the Simple UI and the Captcha) letting them explicitly start mining through a click.
We realize this opt-in may be clunky and not fit all too well with your use case, but we strongly believe that being honest with the user will ultimately be beneficial - for users and website owners alike.
Neither the JavaScript files on authedmine.com nor the domain names are currently blocked by any adblockers or antiviruses. We will talk to adblock and antivirus vendors so it will hopefully stay this way.
coinhive.com/documentation/authedmine
Aquí un complemento para bloquear el minado en Firefox:
addons.mozilla.org/en-US/firefox/addon/no-coin/
Edito:
También parece que se puede bloquear con AdBlock Plus:
venturebeat.com/2017/09/21/adblock-plus-can-now-protect-your-computer-
1. La publicidad actual se basa en que un usuario pinche en un banner. Los usuarios habituales no pinchan en los banners porque ya son inmunes, por lo que las webs generalmente enfocan su experiencia de usuario para qur la gente pique, se despiste, o meten banners enormes e intrusivos. Osea, que se mejoraría la experiencia de usuario
2. La gente que más pincha en banners es la gente que viene de fuentes externas como buscadores o agregadores, esto provoca que se utilizen a menudo titulares sensacionalistas para atraer al usuario de forma poco honesta y una vez dentro el contenido importa poco, lo importante es que pinche en un banner. osea que se mejorarían los titulares, y esto regularía el sensacionalismo.
3. Como lo interesante del cálculo de criptomonedas es que la gente esté calculando mucho tiempo, las webs enfocarían más sus contenidos a tener atrapado al lector, es decir que serían contenidos más amplios y de mayor calidad en lugar de captar al usuario despistado que está menos de un minuto en tu site y pincha un banner. Osea que se mejorarían los contenidos, y la información sería de más calidad.
De verdad es el futuro, y solo a cambio de un poco de uso de tu microprocesador. Para que las cosas sigan siendo gratis hay que dar algo a cambio, puede ser tu dinero, pueden ser tus datos, puede ser publicidad, o puede ser un poco de uso de tu pc, que como ya he explicado pienso que traería muchos beneficios.
Esto es una opinión personal, no un estudio. Pero creo que realmente ir contra esta forma de financiación es perjudicial para internet y para los usuarios
Eso sí, me parece que es para usuarios que tengan al menos alguna noción de qué es javascript, como funciona, y que sepa entender que cuando algo no funciona puede ser por eses javascript.
Si no no me sale a cuenta.