1 Punkte von GN⁺ 2025-08-21 | 1 Kommentare | Auf WhatsApp teilen
  • Kein Zugriff auf die Website lock.cmpxchg8b.com
  • Aufgrund einer verzögerten Serverantwort ist der Zugriff nicht möglich
  • Enthält Hinweise zur Überprüfung der Netzwerkverbindung sowie des Status von Router oder Modem
  • Empfiehlt, die Proxy-Einstellungen zu überprüfen
  • Es handelt sich lediglich um ein Verbindungsproblem; es gibt keine direkte Erklärung im Zusammenhang mit dem Zugriff auf den Linux-Kernel

Hinweis: Website nicht erreichbar

  • Die Website lock.cmpxchg8b.com antwortet nicht
  • Es wird auf ein Problem mit Verbindungsverzögerung (Timeout) hingewiesen
  • Ein Neustart der Netzwerkgeräte (Router, Modem usw.) wird empfohlen
  • Es wird darum gebeten, die Einstellungen zur Freigabe des Netzwerkzugriffs erneut zu prüfen
  • Enthält den Hinweis, die Proxy-Einstellungen im Chromium-Browser zu ändern und eine direkte Verbindung zu verwenden
  • Es gibt keine direkte technische Erklärung dafür, dass der Kernel-Zugriff selbst blockiert ist oder dies mit einer bestimmten Charaktergrafik (Anime-Katzenmädchen) zusammenhängt

1 Kommentare

 
GN⁺ 2025-08-21
Hacker-News-Kommentare
  • Da sich hier überwiegend technisch versierte Leute versammeln, frage ich mich, ob viele wirklich nicht verstehen, wie Schutzmaßnahmen wie Anubis funktionieren oder wozu sie gedacht sind, oder ob sie nur so tun, als würden sie es nicht verstehen, und das Ganze absichtlich herunterspielen
    Natürlich werden Entwickler von AI-Scraper-Bots irgendwann einen Weg darum herum finden, aber wichtig ist, dass es zunächst einmal eine Zeit lang funktioniert hat
    Wenn die Bot-Entwickler neue Umgehungsmethoden entwickeln, werden eben wieder neue Werkzeuge auftauchen, um zu beweisen, dass man kein Bot ist
    Am Ende ist es ganz einfach: Wenn eine Website durch eine neue Methode auch nur ein oder zwei Monate lang geschützt ist, ist das bereits ein zufriedenstellender Erfolg
    Das ist viel besser, als zu überlegen, ob man ganze Netzwerke blockieren muss, während man Dutzende Anfragen pro Sekunde abfangen muss
    Wenn man zum Beispiel in ein Formular eine Frage wie „Was ist 7+2?“ einbaut, kann ein Scraper die Antwort natürlich berechnen, aber jemand muss dem Scraper trotzdem noch sagen, „wie er damit umgehen soll“

    • Ich hätte gern Zahlen dazu gesehen, welchen Effekt das PoW (Proof-of-Work) von Anubis tatsächlich auf Websites hatte
      Ich betreibe nur eine kleine Website auf einem privaten Server und schaue mir Logs oder Statistiken nicht besonders genau an, aber irgendwann könnte auch meine Website aggressiv gecrawlt werden
      In den derzeit öffentlich verfügbaren Materialien sieht man nur die Leistung des PoW selbst, aber nicht, wie wirksam es auf realen Websites tatsächlich war
      Ideal wären Statistiken nach Bot-Typ, etwa so: „Der OpenAI-Bot machte 17 % aller Anfragen aus und fiel von 900.000 pro Tag auf 0“
      Wenn man sucht, findet man nur massenhaft Blogposts mit Aussagen wie „Anubis hat Crawling verhindert“, aber es fehlt an echten Daten
      Zusätzlich habe ich im folgenden Thread solche PDF-Daten gefunden, aber keine Analyse dazu, wie viele echte Kunden tatsächlich blockiert wurden
      Ich wünschte, es gäbe mehr unterschiedliche Daten

    • Obwohl es inzwischen üblich geworden ist, auf fast jeder Website Cloudflare-Zwischenladebildschirme zu sehen, beschweren sich die Leute darüber, dass Schutzmaßnahmen wie Anubis nicht häufiger eingesetzt werden
      Das wirkt irgendwie ironisch

    • Ich hielt Anubis schon von Anfang an für ineffizient
      Erstens ließen Scraper ohnehin schon vollständige Browser laufen und warteten, bis die Seite vollständig stabilisiert war, daher ist diese Methode nicht schwer zu umgehen
      Zweitens braucht AI, um eine Seite zu lesen, ungefähr 5 Sekunden Rechenzeit bei bis zu 1600 W, und mein Handy ist sicher nicht so effizient wie Server-Hardware, daher kann es sogar länger als 5 Sekunden dauern
      Wenn all das parallel passiert, werden die Geräte heiß, und die ganze Konstruktion ist entsprechend ineffizient

    • Meiner Ansicht nach blockiert nicht das PoW selbst AI-Scraper, sondern eher das ungewöhnliche Zugriffsverfahren, das Anubis erzeugt
      Falls das stimmt, könnte Anubis wahrscheinlich auch ohne die PoW-Funktion auskommen, damit legitime menschliche Besucher nicht mehrere Sekunden lang auf einen Ladebildschirm starren und dabei ihre Geräte verschwenden

    • Ein einfacher Check wie 7+2 beschränkt nur Nutzer, die tatsächlich etwas absenden wollen, aber Anubis betrifft alle Nutzer, selbst wenn sie auf der Website nur lesen

  • Ich denke, der Hauptzweck von Anubis ist, Sybil-Angriffe durch Crawler oder paralleles Crawling zu kontrollieren
    Der Ansatz sieht so aus:

    • Client mit JS und Cookies → Der Server kann per Cookie Rate Limits anwenden. Menschen trifft das kaum, aber Crawler werden stark verlangsamt oder blockiert. Natürlich kann man die Identität (Cookies) wechseln, aber dann fallen eben wieder Puzzle-Kosten an
    • Zustandsloser Client nur mit JS → Auch hier verursacht jeder Zugriff Kosten und das ist wirksam
    • (Kein JS → Zugriff selbst nicht möglich)
      Der Kernpunkt ist, zu verhindern, dass der Server durch übermäßige gleichzeitige Zugriffe überlastet wird
      Selbst wenn ein Crawler viele parallele Anfragen sendet, entstehen pro Anfrage zusätzliche Kosten und Beschränkungen, sodass der Server nicht mehr wie früher durch Tausende Bot-Anfragen pro Sekunde zusammenbricht
      Das ist der eigentliche praktische Effekt von Anubis
    • JS ist nicht unbedingt nötig
      Es reicht, ein Skript zu haben, das an Anubis vorbeikommt und die Challenge löst
  • Früher fand ich solche prozeduralen Ansätze nicht nur lästig, sondern fragte mich auch, ob sie bei echter Menschenerkennung überhaupt praktisch helfen
    Solche Challenges lassen sich leicht und billig automatisieren
    Ich habe tatsächlich eine Browser-Erweiterung gebaut und auf Websites mit Anubis eingesetzt, die „Mozilla“ aus dem User Agent entfernt
    Da ich meistens weder JS noch Cookies nutze, kann ich die Challenge dann ohnehin nicht bestehen, und bei manchen self-hosted Gitlab-Instanzen, bei denen ich JS und Cookies erlaube, möchte ich nicht, dass die Ressourcen meines Computers fürs Mining verbraucht werden

    • Wenn man am User-Agent-Header herumspielt, bekommt man fast sofort einen eigenen Identifikator, also Vorsicht
      Browser-Fingerprinting funktioniert besonders gut bei Nutzern mit ungewöhnlichen Header-Werten
      Selbst wenn man einfach unverändertes Safari nutzt, teilt man dieselben Werte mit Millionen anderer Nutzer, aber in dem Moment, in dem man den User Agent verändert, wird man zu einem einzigartigen Identifikator

    • Wenn eine Website „sticky“ ist, müsste es doch sogar möglich sein, tatsächlich Kryptowährungen wie Monero im Hintergrund zu minen
      Es wäre gut, wenn Browser eine Warnung wie „Diese Website nutzt Ihren Computer im Hintergrund übermäßig. Möchten Sie das stoppen?“ anzeigen würden

    • Ich frage mich, ob durch das Ändern des User-Agent-Werts nicht am Ende andere Funktionen kaputtgehen könnten
      Die meisten Browser-User-Agent-Strings sind ohnehin schon standardisierte „Lügen“, deshalb hätte ich Angst, daran etwas zu ändern

    • Ich finde die von dir gebaute Erweiterung interessant
      Da frage ich mich, ob man die Textkodierung einer Seite zwangsweise auf Japanisch umstellen könnte

    • Wenn AI-Bots den User Agent genauso ändern können, kommt man am Ende dann nicht auf dasselbe Ergebnis?

  • Zur Debatte, ob die Figur von Anubis nicht eher eine Katze sei: Schon der Name Anubis selbst verweist auf die ägyptische Gottheit, die üblicherweise als Schakal oder Hund dargestellt wird
    Wie der Name schon sagt, ist das der Torwächter des Jenseits
    Technisch gesehen wären also „Hundemädchen“ oder „Schakalmädchen“ treffender

    • Das hat mein Herz gleich ein gutes Stück erleichtert, als Scherz gemeint

    • Trotzdem ist es schade, dass die ursprünglichen visuellen Merkmale von Anubis fehlen

  • Ich denke, dass PoW-Anforderungen gerade individuelle Nutzer mit wenig Ressourcen stärker belasten, während AI-Anbieter ihre Rechenressourcen effektiv in Rechenzentren konzentriert haben
    In der Praxis scheint Anubis aber dennoch als das halbwegs brauchbare kleinere Übel akzeptiert zu werden
    Wenn Theorie und Praxis auseinandergehen, habe ich vielleicht etwas übersehen, oder die Theorie ist falsch

  • Als ich den Anubis-Bildschirm sah, habe ich ihn sofort wiedererkannt, und ich hoffe, dass das Anime-Katzenmädchen dieses Projekts nicht verschwindet

    • Das Internet ist heute so unternehmerisch und trostlos geworden, dass es schön ist, dass noch solche niedlichen Elemente übrig sind

    • Da Anubis nach der ägyptischen Gottheit mit Hundekopf benannt ist, dachte ich beim Bild eher an ein „Hundemädchen“

    • Es ist nicht das einzige Projekt, das einen Anime-Charakter als Maskottchen hat
      Auch ComfyUI verwendet offiziell eine Fuchsmädchen-Figur als Maskottchen, und das ist de facto der Standard für Stable-Diffusion-basierte Generierungs-UIs

    • Wenn AI-Scraper PoW ernsthaft implementieren oder den Schutz schon dadurch aushebeln können, dass sie im User Agent einfach „Mozilla“ entfernen, dann könnte das Projekt selbst bald wieder verschwinden

  • Zur Erklärung „CAPTCHA stellt Aufgaben, die für Computer schwer und für Menschen leicht sind“ frage ich mich, ob jemand hier schon einmal tatsächlich ein CAPTCHA gelöst hat wie „Wählen Sie das Feld mit dem orthodoxen Rabbi aus“

    • Die Episode rund um das RapidShare-CAPTCHA von 2008 war ziemlich lustig
      Zugehöriger Link 1
      Zugehöriger Link 2
      Zugehöriger Link 3

    • Als scherzhafte Antwort: Diesen Typ CAPTCHA könnte man samstags nicht einmal lösen

    • Heutzutage gibt es viele günstige Dienste, die CAPTCHAs stellvertretend lösen
      Für den massiven Traffic von AI-Unternehmen gäbe es womöglich sogar zusätzliche Rabatte, und Browser-Erweiterungen wie NopeCHA schaffen rund 99 % Erfolgsquote und ersparen einem das eigene Lösen
      Am Ende machen schwierige CAPTCHAs nur den echten Kunden das Leben schwer
      Natürlich unter der Annahme, dass man CAPTCHAs nicht bereits selbst mit AI lösen kann. Heute geht das aber durchaus

    • Am Ende werden Computer einfach in allem gut
      CAPTCHAs aus den frühen 2000ern waren für Computer tatsächlich noch schwer

  • Ich denke, man könnte auch die Kennung des laufenden JWT-Tokens von Anubis speichern, die Anzahl oder Frequenz der Anfragen pro Token nachverfolgen und ab einem bestimmten Schwellenwert das Token widerrufen oder verzögerte Antworten bzw. Limits anwenden
    Selbst wenn ein Bot die Challenge löst, greifen sofort Einschränkungen, sobald er das Token behält und zu schnell anfragt
    Man könnte auch verhindern, dass von einer bestimmten IP zu viele Tokens ausgegeben werden

  • Wenn ich gelegentlich einen Bildschirm wie von Anubis sehe, frage ich mich, ob ich nicht gerade auf eine bösartige Weiterleitung oder irgendein seltsames Imageboard gelandet bin
    Dass kernel.org die kostenlose, nicht entbrandete Version statt einer bezahlten, nicht animierten Version nutzt, erscheint mir ebenfalls seltsam
    Man kommt fast zu dem scherzhaften Gedanken, ob die Linux Foundation, die alle BMW fahren soll, wirklich kein Geld hat

    • Anime ist heute viel massentauglicher geworden, Netflix verdient damit jährlich Milliarden, und trotzdem ist es interessant, dass manche Leute allein beim Anblick solch unschuldiger Anime-Zeichnungen sofort auf seltsame Gedanken kommen

    • Anubis ist tatsächlich kein originelles Projekt, sondern ein Klon von Kiwiflare, daher ist dieser Eindruck nicht völlig falsch
      Kiwiflare-Link

    • Ich frage mich, ob man überhaupt eine unmarkierte Version braucht
      Open Source lässt sich normalerweise leichter verbreiten, weil es keine separate Lizenz oder Download-Seite braucht
      Wenn es ein Projekt ist, von dem man abhängt, könnte man einfach spenden, und sofern es nicht ausdrücklich um Debranding geht, kann die ursprüngliche Marke sogar Vertrauen schaffen
      Wenn zum Beispiel das Anubis-Maskottchen erscheint, ist man eher bereit, JavaScript zu vertrauen und zu aktivieren, während man ohne Branding vermuten könnte, es sei Code irgendeines dubiosen CAPTCHA-Anbieters
      LKML hat sich früher wie heute ohnehin nie groß um Design gekümmert, also ist das wohl nicht so wichtig

  • Menschliche Verifikationsmethoden wie das Zählen von Fragen, die nur Menschen leicht beantworten können, wirken überraschend gut sogar gegen LLM-Filter
    Als Beispiel gibt es Foren, die bei der Registrierung fragen, wie viele Buchstaben ein bestimmtes Schlüsselwort hat oder welchen Durchmesser ein Autoteil besitzt, und das funktioniert tatsächlich gut

    • Kleine Foren können Spam-Anmeldungen drastisch senken, wenn sie ihre Registrierungsstrategie einfach etwas anpassen
      Ich habe früher einmal in einem Forum mit vielen Spam-Anmeldungen verlangt, zu einer sechsstelligen Zahl 1 zu addieren und das Ergebnis einzugeben, und der Effekt war dramatisch

    • Das ist ein bewährter Ansatz
      Früher wurde im Spieleforum moparscape gefragt, was „mopar“ sei, und ich musste das jedes Mal nachschlagen

    • Man sollte aber im Hinterkopf behalten, dass auch solche Fragen für einen Teil normaler Nutzer schwer zu lösen sind