A héten eléggé alaposan kibeszélésre került a crypto fórumokon, blogokon és hírsiteokon, hogy a PirateBay az egyébként illegális torrent szolgáltatását nyújtó felületének a kódjába beépített egy CPU minert, amivel – miközben az ‘ügyfelek’ a torrent fileokat böngészték – a háttérben bitcoint mineoltak javascripten keresztül a böngészők. Nem mentem alaposabban utána, de tippre valójában nem Bitcoint bányásztak, hanem monero-t.
Különösebben nem fókuszáltam rá a dologra, legyintettem, hogy ehh PirateBay, majd ma láttam egy hosszas magyarázkodó reddit postot a NeoToGas.com fejlesztőjétől (ami úgy egyébként egy nagyon jó must-have oldal a Neo fanoknak), amiben jelezte, hogy berakott egy hasonló funkciót a saját blogjába is, amivel egy egyébként teljesen open javascript apin keresztül használható Monero (XMR) minert futtat a háttérben azoknál akik az oldalát látogatják.
A két hír együtt már elég impulzus volt ahhoz, hogy ráfókuszáljak a dologra és arra jutottam, hogy ez egyébként nem egy rossz elképzelés. Egy hírsite, blog, fórum vagy akármilyen funkciót ellátó oldal fenntartása jár bizonyos költségekkel pl. domain, tárterület/cloud bérlés, stb. Az ilyen költségeket jellemzően kétféleképpen lehet ‘kitermelni’, egyrészt van a reklám felület, amit én jellemzően a hosszabb cikkekbe szoktam berakni, másrészt pedig – főleg a crypto témájú oldalaknák – előkerül a crypto-donáció vagy ‘buy-me-a-coffee’ intézménye is.
A web alapú CPU mining egy harmadik alternatívát vonultat fel emellett. Kvázi amíg fogyasztod az adott szolgáltató tartalmát, addig a géped CPU-ja dolgozik az adott tartalomgyártónak.
Hogyan néz ki ez a gyakorlatban? Mit látsz mindebből? Ha minden igaz, akkor elvileg semmit, pedig ebben a pillanatban már a Te géped is nekem bányászik éppen 🙂 Kísérleti jelleggel beraktam a blog motorjába, hogy bármely cikk megnyitásánál automatikusan elinduljon 1 szálon és max 40%-os terhelés mellett egy javascript alapú monero miner. Leginkább kíváncsiságból raktam bele, nem célom ebből meggazdagodni, de mindenképp érdekelne a visszajelzésetek. Egyrészt érdekelne, hogy mit gondoltok az egész donációs téma kapcsán:
A szavazáson túl kommentben is érdekelne, hogy mit tapasztaltok a háttérben futó script kapcsán. Egyelőre tényleg csak tapasztalatgyűjtésre és szigorúan saját érdeklődésemhez kapcsolódóan raktam be a kódba, nem célom egy ilyen rejtett, kényszerített minerrel eljátszanom az olvasók bizalmát. Akit érdekli, hogy egy konkrét ilyen megoldás: https://coin-hive.com
***Update (2017.09.20):
- Többen is jeleztétek, hogy a coinhive javascriptjét a Nod32 trójaiként értelmezi. Úgyhogy ennyi volt, kiszedtem. Próbának jó volt
- Egyébként az éjszaka során (0 órától nagyjából 1k hit) 837810 db hash-t számoltak ki az oldal látogatói, amiből 0.00014 XMR jött össze.
- Átlagos napi látogatottsági adatokkal extrapolálva ez azt jelenti, hogy egy átlagos napon 240 hash/sec-kel tudnának csákányolni az olvasók, amiből kijön, hogy egy hónap alatt összejönnek 0.1XMR. Ebből se lesz meg a lambó 🙂
Köszi mindeninek aki (beleegyezése nélkül) támogatta a kísérletet és külön köszi mindenkinek, aki nem kapott ez miatt agyvérzést 🙂
Csaba, megkérdezhetem, hogy mióta fut ez az oldaladon?
Tegnap is futott?
Ha több browser tabban is nyitva van más más cikked, akkor mi lesz a CPU terhelés?
Max 40%-ék?
Annyi szálon ahány tab van nyitva?
Ezen cikk publikálásával párhuzamosan raktam be a motorba. Szóval csak most fut teszt jelleggel, tegnap még nem volt benne. Úgy van beállítva, hogy csak egy példányban tudjon futni bárhány ablakban, tabon, szálon is van megnyitva az oldal.
Személy szerint nincsen kifogásom ellene, de mindenképpen fel kell hívni az olvasók figyelmét a dologra. (amúgy ha nem hívod fel rá a figyelmem, tuti nem vettem volna észre)
Azt is gondolom, a bányászközösség nyitottabban áll a dologhoz, de más oldalakon, tuti nagyobb ellenszenvet váltana ki.
A reklámok közül amúgy csak azok zavar, amiket direktben az ember képébe dobnak, és külön klikkelgetni kell, hogy eltüntesse az ember, ha a cikkbe van beszúrva az személy szerint nem zavar.
Szerintem nagyon ötletes megoldás a weboldalak támogatására, bár nagyon
érdekelnek az eredmények, hogy vajon mekkora nézőszámok és oldalon való átlag tartózkodási értékek mellett ad valóban értékelhető dotációt ez az irány.
Én az égvilágon semmit sem tapasztaltam.
Szerintem egy érdekes ötlet.
RSS olvasót használok, így nem venni észre a különbséget, mert nem futtatja a szkriptet 🙂 Amúgy meg telefonról kommentelek, tehát kemény 2-3 hash/sec lehet a 40%.
Szerintem jobb lenne, ha opt-in lenne, és a commercial break helyén lehetne triggerelni pl egy új ablak felugrását, és ott lehetne futtatni, ameddig a felhasználó akarja. Nálam amúgy is Adaway meg mindenféle DNS szűrő van, így a hagyományos reklámok nem is látszanak, ehelyett lehetne egy egyszerű link, hogy bányássz nekem, támogasd a blogot. Persze az opt-out megoldás kényelmesebb és jövedelmezőbb. Bár szerintem itt nálad nincs is opt out lehetőség 😉
Szerintem egy terméket csak úgy szabad értékesíteni, ha a vevő beleegyezik a vásárlás feltételeibe. Felőlem lehet kötelező a bányászat, addig ameddig lehetőségem van nem bányászni – és legfeljebb nem olvasni a tartalmat. Ellenkező esetben ez körülbelül ugyanolyan, mintha a bankszámlámról húznál le 1 fillért percenként, amíg nyitva van az oldal.
Az már más kérdés, hogy ezzel is feleslegesen rombolja a kripto világ a környezetet, energiát pazarol egy tranzakcióra, amit a PayPal, OTPay, Buxa stb. szinte nulla többletfogyasztással le tudna könyvelni.
Ezzel én is egyetértek. Mobil eszköz (latpop, telefon) használata esetén problémás lehet a szokatlanul gyors merülés, ilyenkor kifejezetten zavarna.
Én személy szerint sokszor vagyok úgy, hogy a nap elején megnyitok pár oldalt amit egyéb dolog végett akkor nincs időm olvasni és lehet csak a nap végén (órákkal később) zárom be őket. Ebben az esetben zavarna a megnövekedett cpu terhelés a nap folyamán. Talán jó lenne beépíteni egy időkorlátot is, nem tudom ez technikailag mennyire kivitelezhető.
Nálam az ESET Nod32 tiltotta az oldalt mert trojai van rajta azt írta. 🙁 Az ötlet jó, én támogatom talán kéne egy kis ablak ahol ha akarom bekapcsolhatom ha nem akarom nem. Így önkéntesen alapon menne.
opt-out: ||coin-hive.com/lib/coinhive.min.js
Az a baj, hogy az ESET nem is engedi megnyitni ezt a cikket, azonnal blokkolja. Így el sem lehet olvasni, hogy miről van szó, csak azt látja az ember, hogy egyik kedvenc oldala Trójaival van fertőzve.
Legyen opt-in, és akkor jó.
Mivel a NOD32 leleplezte a gonosz világhatalom átvételi terveimet és így beleköpött a levesembe, ezért deaktiváltam a kártékony kódot 🙂 Konklúziókat megtaláljátok a post frissítésében.
Nem zsarolóvírust kell írni, hanem Monero minert, ami észrevétlenül fut a háttérben, és átlagosan több coint termel, mint amennyi befolyna zsarolással.
Gondoljatok csak bele, amikor több ezer gép tolja be a hashpowert egy poolba 🙂
Én erről lemaradtam, de azért a cikk olvasása közben CTRL+DEL+ALT > Feladatkezelő/Processzor kihasználtságát meglestem. Kemény 1%.
Hogy mik vannak! Ezentúl lesheti az ember, hogy melyik oldal csákányoltat. 🙂
Véleményem szerint mindenképpen szükséges figyelmeztetni az olvasót. Szabad választás joga, hogy használni akarja, vagy sem.
Én szégyellem, de bevallom, hogy AdBlock-ot használok, mert a felugró reklámok az őrületbe tudnak kergetni.
Ami nem szép dolog, ha azt nézzük, hogy egy oldal üzemeltetése pénz, és idő, és az előbbitől emiatt eleshet az oldal tulajdonosa. Így azt is megértem, ha valaki használja ezt a kódot (is). De jelezni akkor is kell.
ui: Most nem erre az esetre gondolok, mert ez csupán egy teszt volt. De van egy olyan érzésem, hogy ez el fog terjedni, még jobban.
Kíváncsiságból felmentem a Piratebay-re, de nem tapasztaltam semmit. Onnan is levették idővel? Vagy az AdBlock ez ellen is véd? :-))
Már most is több olyan crypto világhoz kapcsolódó oldal van, ahol a háttérben bizonyos intenzitással fut ez a kód. A cikkben is megemlítettem a neotogas.com-ot, de valóban több ilyennel is találkoztam. Én szigorúan csak teszt jelleggel próbáltam ki, pont ezért raktam ki éjfél után és reggel ahogy lefébredtem le is kapcsoltam. Viszont a teszt rámutatott, hogy egy komolyabb látogatottságú oldalon a PoW-val megtermelt bevétel simán tud vetekedni a reklámbevételekkel.
erdekes
feltoltem gepre az esetet, a gep jo regi, de semmit nem erzekel.
kell valami beepitett plugin a bongeszobe hogy eszlelje a beepitett kodot a honlapokon?
sajat oldalon neztem, nem itt, kod bent van, hasht termeli.
A Malwarebytes blokkolta mindkét linket: Coinhive, neotogas. A neotogas-t ha külön beírom, működik, jártam már ott régebben is. A coinhive-ot viszont külön beírva is blokkolta.
Engem nem zavar ez a bányászkodás, ha ki van írva látható módon. Úgyis fut mindenféle full node most már – szintén kísérleti jelleggel. 🙂
Köszi az infókat. Látod ez a cikk és a hozzá kapcsolódó rövid tesztüzem is egy csomó érdekes és hasznos információval szolgált például ismét a számomra.
Nem hiszem, hogy nekem minden ingyen jár, így sosem zavartak a reklámok (ha nem igénytelenül vannak elhelyezve). Ez viszont egy sokkal kellemes módja a fizetésnek + kevésbé indirekt mint a reklám.
arra viszont kíváncsi lennék, hogy mi történik ha minden erőforrásommal bányászom az XMR-t, ilyenkor mi történik a háttérben?
Nem venném a szivemre, ha pont nem lenne lehetőséged ezt kipróbálni, ezért íme készítettem neked hozzá egy tesztert:
https://variance.hu/tamogatas_gyujto_ize_oldal/
Tessék itt ki lehet próbálni. Alap esetben 4 threaddel indít, ezt annyira vedd fel amennyi CPU magod van, utána meg tudod nézni, hogy miként hat a géped lelki világára.
Köszönöm! 🙂
Amúgy tényleg “okos” skript, nem próbál magának erőforrásokat szerezni, annyival dolgozik amennyi szabad.
A cikked alapjan en is kiprobaltam, a weboldalrol szedd le a min.js-st es sajat konyvtarbol toltsd be, igy a nod32 nem blokkolja.
Köszi a tippet, de ez tényleg csak egy teszt volt. Nem akarok ezzel visszaélni az olvasók kárára.
nektek milyen beállításokkal jelez trójait? Nekem sehogy sem talál az eset. Ez a saját könyvtárba töltés tuti, tesztelten jó?
Nyugtass meg, hogy nem akarjáktok berakni a kódotokba, mert agyf*szt kapok, pláne, hogy én hívtam fel erre a figyelmet 🙂
Egyébként igen, a saját könyvtáras megoldás elvileg jó. Bár lássuk be ez max csak hetek kérdése, ha szélesebb körben elterjed akkor minden bizonnyal a Nod32 adaptálni fogja a saját könyvtáras megoldást, majd utána jön a kód szintű védelem, szóval ez a story eléggé reputáció gyilkos tud lenni.
adblock nálam fut, az megoldás erre problémára ? Nem itt hanem ha máshol akarják lehúzni a gépemet. Én amúgy arra szavaztam hogy belefér az ilyen módszer, csak ellőtte figyelmeztessen a honlap. Egyébként most is monerot bányászok, szval az én gépem nem igazán tudna hozzájárulni 3 mag most is dolgozik 🙂