なんてこった！どうやってネットワークを強化すればいいの？

銀行が、新しいカードをアクティベートするために送ってきたサイトでこれをやったよ。

https://files.catbox.moe/g1bejn.png macOSのSafariからそのサイトに行くと、コンソールにこれが表示されるんだ。ポート8888を使ってる特定のサービスってあるの？

脆弱なURLを持つルーター。検索するなら「router」「authentication bypass」って感じかな。

主にトラッキングには最適だけど、データを外部に持ち出すためにも使えるかもしれないね（例えば、ユーザーがlocalhostで何か敏感なものを動かしている場合）。 https://www.digitalsamba.com/blog/metas-localhost-spyware-ho...

そうそう。FacebookはAndroidでこの手を使ってたんだ。MetaのAndroidアプリはローカルホストにサーバーを立てて、サイトがそのローカルサーバーと通信して、通常ならAndroidのブラウザ保護でブロックされるトラッキング情報を渡してたんだと思う。これもフィンガープリンティングだけど、かなり極端なやり方だね。https://news.ycombinator.com/item?id=44169115

すごく賢い回答だね。

もう一つのデータポイントだけど、インドのビザシステムも似てるよ。見つけにくい.gov.inで終わる公式サイトがあって、10ドルでビザを取得できて、手間も少ない。詐欺サイトはSEOが良くて、同じものを80ドルで売ってる。彼らは実際のサイトにあなたの申請を代理して、差額をポケットに入れてるだけ。インド政府が詐欺師をブロックできればいいけど、今はあまり優先順位が高くないんだろうね。

もしそのプロキシ詐欺がちょっと賢いなら、別のIPでプロキシを運営するだろうね。

え、どうやってそれが機能すると思ってるの？この「スキャン」はクライアントサイドのJavaScript内で行われてるから、プロキシを通してファイルを送ってもプロキシについては「検出」できないんじゃない？

それは、すごくひどいウェブサイトにしてはかなり賢いね。こないだ、トルコ国籍の彼女がビザ申請をしてたんだけど、30分もかけて丁寧にフォームを埋めた後に、システムが彼女を追い出しちゃったんだ。セッションがタイムアウトするのか何かだと思う。アカウントを作ってなかったり、現在の申請IDを書き留めてなかったら、全部失われちゃうんだよね。その過程で、彼女は非.govのウェブサイトに誘導されたりもして、詐欺にあってるのかと思ったけど、そうじゃなかった。実際、こういうひどい体験を少しでも楽にするための有料サービスがあるのは納得できるよね。彼らはVFS Globalと連携して申請書や関連書類を集めてるけど、VFS Global自体もひどいもので、フォームの記入を手伝ってくれるわけじゃないし。最近、EUはトルコ国籍者向けにシェンゲンビザの申請プロセスを簡素化したんだけど、公式のビザ代理店は実際には何も手伝ってくれなくて、ビザの予約の「良い時間」を闇市場で売って詐欺を働いてるんだ。これが理由で代理店が排除されたり、申請プロセスを簡素化する理由の一つになってる。アメリカやEUでは、待ち時間がひどくて、奨学金を失ったりしてる人もいるよ。時には数年待たされることもあるし、申請処理のシステムに問題があったりもするしね。こういう問題を解決するチャンスがあると思うし、音訳や文字エンコーディングのような小さなことも一緒に解決できるかもしれない。中には詐欺サイトじゃなくて、実際に助けてくれるところもあるのかな。AIエージェントが役立つかもしれないね。

ネットワーク関連のことはあまり詳しくないんだけど、ポートスキャンで何が検出されれば詐欺師だとわかるの？

詐欺だらけだし、あなたが言ってることを検出できるなんて考えるのはすごく愚かだよ。まるで詐欺について全く理解してないみたい。もしビザ詐欺にプロキシが必要だと思ってるなら、どう修正すればいいのかも分からない。完全に無知なプライバシー侵害だよ。多分、他の手段でポートを開けて、FacebookみたいにサイドチャネルIDに使ってるんじゃないかな。どんなドキュメント詐欺でも、唯一の弱点は「ラストマイル」だから、必ず人間の面接官がいるんだ。ビザプロセスはひどくて非現実的で、人々はどんな障害も乗り越えるから、彼らのKPIは全く影響を受けない。どれだけひどいプロセスを作ってもね。無駄なプライバシー侵害技術を実装する子供たちがどれだけいるかってことだよ。

どうやってネットワークタブから127.0.0.1へのリクエストを隠してるの？

uMatrixはFacebookのトラッキングピクセルや、代わりのConversions API Gatewayをどう扱ってるの？これはFBが提供するコンテナで、あなたのドメインの下にホストされるんだ（メインドメインでもOK）。ユーザーデータを吸い上げてサーバーサイドからFacebookに送信するんだよ。ウェブサイトにJSを埋め込むと、データをどんどん集めてくれる。

どうやら、彼らのウェブアプリケーションでBurp Suiteを使ってるかチェックしようとしてるみたい。

私のシステムでは、https://ceac.state.gov/genniv/がcaptcha.com、google-analytics、googletagmanager、127.0.0.1、そして「burp」（私のネットワークには存在しないローカルホスト名）に接続しようとしてる。これがそのburpだよ: https://portswigger.net/burp/documentation/desktop/tools/pro... 彼らは自分たちのサイトを分析されるのを嫌がってるみたいだね。

uMatrixはアーカイブされてて、今はuBlockOriginを使うのが推奨されてるよ（高度な設定を有効にするとuMatrixが使える）。もっと色々ブロックしたい人はハードモードを有効にして、リラックスブロックモードのショートカットを設定するといいよ。フィルターリストも有効にすることをおすすめする（yokoffing/filterlistsや自分の地域/言語のリストを使うといいよ）。https://github.com/gorhill/uBlock/wiki/Blocking-mode:-hard-m...

ホワイトリスト化が良さそうだね。IPv6やISPの家庭用ルーターが許可する範囲のOS生成IPを使えば、かなり効率的になるかも。

前に、パスポートのNFCチップを読み取るためにiPhoneやAndroidのアプリを使うように言われたことがある。これがIEやJavaの現代的な代替品なんだろうね。

カードリーダーやデバッグサーバーの可能性もあるね。無能なだけかも :D 俺が修正するまで、ローカルマシンからデプロイすると、埋め込まれたURLの一つがパブリックホストじゃなくてlocalhostになっちゃってた。彼らのローカル開発サーバーはポート8888にあるかもしれないね。驚かないけど。

これは、おそらく自分のデバイス上のウェブサーバーに接続してデータを収集したり、トラッキングをする試みだと思う。6月にFacebook/Metaが、AndroidのMessengerやInstagramを通じてユーザーをトラッキングしてたのがバレたの覚えてる？ 同じことだよ。詳しくはここを見てね: https://news.ycombinator.com/item?id=44169115 と https://news.ycombinator.com/item?id=44175940

TSはTrafficShieldの略っぽいね（F5が2000年代初頭に買収した会社の製品）で、PDはProactive Defenseかな？

Chromeはこれを許可してないよ。ローカルネットワークサービスは公開サイトから取得できるようにオプトインしなきゃいけないんだ（https://github.com/WICG/private-network-access）。ただ、ユーザーの許可に基づくアプローチに置き換えようとしてるみたい（https://github.com/WICG/local-network-access）。ネット上にはPNAが実際にはリリースされてないって言ってる情報もあるけど、数年前に安定版のChromeで自分で体験したから、今の状況はよくわからない。Firefoxはどちらのアプローチも実装してないみたいで、開発リソースが足りないってことかな。

ライトバージョンでも使えるの？オリジンJSが段階的に廃止されてる今、どうなんだろう。