ublock

最近 YouTube 在阻擋擋廣告軟體的事情

最近用 uBlock Origin 或是其他擋廣告軟體的都加減會遇到 YouTube 阻擋擋廣告軟體的事情，然後在 HN 上面看到「Youtube’s Anti-adblock and uBlock Origin」，對應的討論在「YouTube's Anti-Adblock and uBlock Origin (andadinosaur.com)」這邊。

先說一下目前的解法可以參考「YouTube Anti-Adblock and Ads - October 16, 2023 (Weekly Thread)」這篇說明，目前的建議就是每天睡醒後更新一下清單 (block list)，讓清單是最新的。

這邊的清單不需要全部更新，只需要針對「uBlock filters – Quick fixes」這組就可以了，方法是點一下他的時鐘部分，然後再按上面的 Update Now 更新就可以了 (我是英文版介面，中文版的話應該是中文的...)：

基本上就是個貓抓老鼠的過程，最近更新的會很頻繁。

另外一個最近開始用，也很推薦的套件「SponsorBlock for YouTube - Skip Sponsorships」，可以跳過業配片段。

uBlock Origin 可以修改 DOM event

在 Hacker News 上看到的「Just normal web things (heather-buchel.com)」這篇，原文「Just normal web things.」本來在抱怨一些 SPA 年代常遇到的問題，但我注意到的反而是討論裡的 id=37018421 這則，介紹了 uBlock Origin 可以修改特定的 DOM event：

New Reddit also messes with text selection with unnecessary JS crap. Wherever you select some text, they show an "Embed" button that prevents you from dragging the text to a new tab to perform a web search.

Thankfully this behaviour can be blocked with uBlock Origin by adding these rules:

  www.reddit.com##+js(aeld, mousedown, isSelectionOutOfRange)
  www.reddit.com##+js(aeld, mouseup, shouldShowButton)

翻了 uBlock Origin 的 wiki 文件，這應該是 aeld.js / addEventListener-defuser.js 這個功能：

Prevents attaching event listeners.

aeld 可以阻止某些事件掛到 DOM 元素上，這感覺好像可以少寫不少 userscript，單純用 uBlock Origin 設條件就可以做到了？

另外在同一頁上 (Resources Library 這頁) 也有其他有趣的東西，像是拔掉 timeout 設定或是某些 attribute 的內容，另外也可以對 API 傳回來的 JSON 或 XML 內容進行刪除某些欄位...

算是意外注意到，後續希望遇到的時候可以想起來...

uBlock Origin 1.48.0 的改善

Hacker News 上看到「uBlock Origin 1.48 adds readiness status, code viewer, and other fixes (github.com/gorhill)」這則消息，uBlock Origin 在 1.48 有個蠻重要的 UI/UX 改善 (Readiness status at browser launch)。

uBlock Origin 預設會搭配「工人智慧」維護的列表，這些列表通常都不小，在剛開瀏覽器，還在讀取的過程中去看網站會遇到阻擋不完整的情況。

先前沒有辦法知道這個問題，在這版加上了對應的 icon color 來解決，黃色表示還在讀：

這時候跑去逛網站的話會出現驚嘆號：

讀取完後 icon 會變成標準的紅色，但驚嘆號仍然會留著，表示這個頁面未必有完整過濾：

正常有阻擋的則是這樣：

理論上可以減少 bug report XDDD

To reduce the number of reports caused by this issue which is outside of uBO's control, uBO's toolbar icon will now reflect its readiness status at browser launch.

FBI 建議用擋廣告軟體降低瀏覽時的風險

在「Even the FBI says you should use an ad blocker」這邊看到的新聞，FBI 的公告則是在「Cyber Criminals Impersonating Brands Using Search Engine Advertisement Services to Defraud Users」這邊可以看到。

起因是有很多網路犯罪行為會透過購買廣告，在搜尋引擎上曝光誘導使用者點擊：

Cyber criminals purchase advertisements that appear within internet search results using a domain that is similar to an actual business or service. When a user searches for that business or service, these advertisements appear at the very top of search results with minimum distinction between an advertisement and an actual search result. These advertisements link to a webpage that looks identical to the impersonated business’s official webpage.

其中一種方式是，使用者輸入關鍵字想要下載某些特定的軟體，這時候網路犯罪者就會透過下廣告的方式，誘導使用者到假的網站下載有後門木馬的軟體：

In instances where a user is searching for a program to download, the fraudulent webpage has a link to download software that is actually malware. The download page looks legitimate and the download itself is named after the program the user intended to download.

這個方式讓我想到之前北韓政府對 PuTTY 的攻擊：「Trojanized versions of PuTTY utility being used to spread backdoor」。

而 FBI 建議個人的保護方式包括了 ad blocking extension，這算是減少被攻擊的管道：

Use an ad blocking extension when performing internet searches. Most internet browsers allow a user to add extensions, including extensions that block advertisements. These ad blockers can be turned on and off within a browser to permit advertisements on certain websites while blocking advertisements on others.

然後建議擋廣告軟體就是用 uBlock Origin，無論是 Chromium 系列的瀏覽器 (包括 Google Chrome)，或是 Firefox 都有支援。

uBO Lite：另外一個方向的嘗試

兩個禮拜前在 Hacker News 上看到的東西，算是 uBlock Origin 對 Manifest V3 (MV3) 的另外一種嘗試：「uBlock Origin Lite: Description (github.com/gorhill)」，專案的說明在「uBO Lite (uBOL), an experimental permission-less MV3 API-based content blocker.」這邊。

先前在「因應 Manifest V3 而推出的 uBlock Minus (MV3)」這邊提到的 uBlock Minus 是在 MV3 環境下的一個嘗試，但這個版本只是把 MV3 做不到的事情先拔掉，所以缺了很多重要的功能，像是 cosmetic filtering (主要是針對瀏覽器不支援的 css selector，像是最近才剛支援的 :has()，而這些 css selector 對於選擇要幹掉的 html 元素很好用)。

uBO Lite 則是一個妥協，另外讓使用者對特定站台點選授權，而在這些特定授權的站台可以恢復到原來 MV2 時可以過濾的能力 (包含 cosmetic filtering 等等的能力)：

但這個方案也是 Google 所樂見的，只要不方便就會讓使用者慢慢放棄。

目前的公告提到 MV2 只支援到明年一月，大概還有三四個月的時間，接下來 adblock 這塊應該會有很多新的方法陸陸續續冒出來...

因應 Manifest V3 而推出的 uBlock Minus (MV3)

前幾天在 Hacker News 上看到「“UBO Minus (MV3)” – An Experimental uBlock Origin Build for Manifest V3 (github.com/gorhill)」這個，裡面是 uBlock Origin 的作者 Raymond Hill 針對 Manifest V3 的半殘版，取名為 uBO Minus (MV3)：「Add experimental mv3 version」。

在這個版本裡會有不少的功能失效，尤其是用的很多的 cosmetic filtering：

- No cosmetic filtering (##)
- No scriptlet injection (##+js)
- No redirect= filters
- No csp= filters
- No removeparam= filters

這個版本應該是打算要提供給 Manifest V2 被 Google 廢掉後還在用 Google 控制的瀏覽器的人，依照「Manifest V2 support timeline」這邊看起來是明年一月：

關於阻擋 cookie consent window (會問你同意 cookie 的視窗)

看到「It’s time we fix the unethical design of cookie consent windows」這篇，我這邊不是要討論那堆 dark pattern 以及對應的法律問題 (像是先前提到的「Google 在歐盟的服務將提供 Reject All Cookies 的按鈕」)，而是想要提一下有對應的 filter rule 專門在擋這類東西的。

在 uBlock Origin 內的列表有個「Annoyances」的清單可以選：

主要就 AdGuard Annoyances、Fanboy’s Annoyance 以及 uBlock filters – Annoyances 這三個，這樣會讓你在使用網路順不少...

處理 EasyPrivacy 讓 bookwalker.com.tw 無法購買書籍的問題

有時候在 www.bookwalker.com.tw 上面買書會出現地區問題：

先講解法再講找問題的過程以及解釋原因好了，把這行白名單設定加進 uBlock Origin 的 My filters 列表裡面就可以了：

@@||www.cloudflare.com/cdn-cgi/trace$xhr,domain=www.bookwalker.com.tw

應該有些人看到上面敘述的問題，以及白名單的設法，就大概知道發生什麼事情了，不過這邊還是會從頭說明除錯的過程。

我一開始先確認在無痕模式下是可以看到的 (也就是在沒有延伸套件的情況下)，如果是這類 case，最常見的就是延伸套件的鍋，所以接下來研究是哪個套件造成的；然後透過經驗，從容易中獎的套件開始關，一路抓下來就可以抓到是 uBlock Origin。

然後把 uBlock Origin 裡面的 Filter lists 裡面開始關，一路關就可以測出來是 EasyPrivacy 這組造成的。

然後就是拉 uBlock Origin 提供的 Logger 去看 EasyPrivacy 擋了什麼，可以看到有這條：

||cloudflare.com/cdn-cgi/trace$3p,domain=~isbgpsafeyet.com|~wyndhamdestinations.com

而熟知 Cloudflare 的人應該就知道，在 https://www.cloudflare.com/cdn-cgi/trace 裡面有 geolocation 資訊，這樣看起來應該是被 bookwalker.com.tw 拿來跑地區資訊 XD

有興趣的也可以自己跑 curl -v https://www.cloudflare.com/cdn-cgi/trace 看傳回結果。

不過這個部份居然做在前端 javascript，看起來... 好像... 可以...？

裝 uBlock Origin 擋詐騙廣告：金石堂

昨天在噗浪上看到這則：「金石堂的google搜尋推薦第一位是詐騙網站」。

這邊一直在推廣 uBlock Origin，在主要的幾個瀏覽器上都有支援：

從上面那則噗裡的討論可以看到，把一個檢舉掉了，過幾個小時候另外一個還是會冒出來...

Tag: ublock

擋 YouTube 短影音的設定