Warum ihr keine Chance im NVIDIA Shop habt (Vermutung)

[base1900]

Moin zusammen,

ich dachte ich schreibe mal meine Gedanken als Software Engineer hier auf.Habe schon etliche Systeme End2End gebaut und kenne dadurch auch die Wege Mechanismen zu umgehen.
(diversen Frameworks und Sprachen)

Zuerst mal wie ich zu den Vermutungen komme die gleich folgen:
- habe mir selbst einen Bot gebaut für diesen Launch um an eine 5090 zu kommen (wirklich 1 für mich und eine für den Kumpel)
- der bot nutzt die NVIDIA api und captcha solving Services
- der bot ist in Go, einer schnellen kompilierten Sprache geschrieben, sodass man grundsätzlich davon ausgehen könnte er hält mit professionellen annähernd mit.

Das Ergebnis aller drops: Redirect zu NVIDIA marketplace (das passiert wenns keine mehr gibt)

Warum kommt man also selbst mit dem ganzen Zeugs nicht so easy an eine Karte :

1. die Menge ist so stark limitiert, dass es mehr bots als Karten gibt, also muss jemand verlieren

2. Die Botter nutzen Insider know how (das bedeutet nicht, dass Proshop das mit Absicht macht oder herausgibt!) oder haben Wissen, das man nicht haben sollte:

-> selbst gute captcha solver hängen an dem cloudflare Screen 2 Sekunden bevor das gelößt wird.

Daher stellt sich die Frage: wie können die kack Karten unter 2 Sekunden weg sein???

Option 1: man bekommt es zu spät mit dass eine verfügbar ist
-> unwahrscheinlich da man die NVIDIA api ordentlich hämmern kann 300ms zwischen Updates.

Option 2: man Cached sogenannte clearance Token von cloudflare in dem man die sozusagen nebenher auf Halde produziert und dann beim drop kein captcha lösen muss
-> möglich aber nicht trivial und auch nicht immer möglich
-> UPDATE: Auch dieses Verfahren ist ohne große Mühe möglich und erlaubt einem die 2 Sekunden Captcha Solving time zu umgehen.

Option 3 (halte ich für wahrscheinlich):
Die Server von proshop liegen ja hinter cloudflare in dem Sinne, dass man immer über cloud flare geleitet wird wenn man proshop besucht.

Trotzdem existiert der eigentliche Proshop Server ja irgendwo und hängt auch am Internet.
Wenn man die IP dessen raus bekommt kann man sich direkt auf dieisen verbinden, wenn man weiß wie dieser anzusprechen ist (da gibt’s einige Header die stimmen müssen und so Zeugs)

Wenn man diesen Zugang hat ist man damit schneller als jeder Mensch und jeder bot der den „normalen“ Weg geht. Es gibt ja dann kein captcha mehr.

So oder so kann man festhalten: wenn Option 3 oder 2 zutreffen ist es ausgeschlossen dass man was abbekommt solange der Bestand kleiner ist als die Kaufbereitschaft der Gruppe mit diesen Methoden.

Oder NVIDIA macht einen radikalen Switch in der api kurz vor dem drop.
Der aktuelle Austausch der Product sku ist natürlich einfach zu umgehen.


Naja ich hoffe ich konnte ein bisschen Einblicke geben was da gerade so abgeht.

Kleiner edit:
Es gibt natürlich die geringe Chance trotzdem eine zu erwischen, wenn ein bot mal mehr Delay hat oder die Connection schlecht ist usw.

Edit 2:
Kauft nicht bei den pieeeeeps denn es wird der Zeitpunkt kommen, an dem die eben nicht mehr genug kaufen können sodass Bestand übrig bleibt. Wenn das mal passiert fallen die Preise schnell und man kommt vermutlich easy an die Karten .


Grüße und möge das Glück mit euch sein

 

[Goldwasser]

Insiderwissen. Gabs doch hier auch immer bei den AMD drops.
Da hat hier irgendwer geschrieben „drop“ und man hatte die Karte im Shopping Cart mit dem Add to Cart Button Skript, bevor man irgendwas sehen konnte.

 

[thom_cat]

Insiderwissen. Gabs doch hier auch immer bei den AMD drops.

nun ja, das war bei amd damals kein wirkliches insiderwissen.
die karten wurden immer zum gleichen zeitpunkt freigeschaltet.

 

[base1900]

Insiderwissen. Gabs doch hier auch immer bei den AMD drops.
Da hat hier irgendwer geschrieben „drop“ und man hatte die Karte im Shopping Cart mit dem Add to Cart Button Skript, bevor man irgendwas sehen konnte.

Das ist was anderes, das Script lief ja sozusagen einfach auf dem Code der Website die public war. Das geht bei proshop auch aber du kommst nicht auf die Seite oder kannst dahin keinen request schieben bevor du durch cloudflare durch bist (das captcha)

Es scheint aber Leute zu geben die unmenschlich schnell durch diese Verifikation kommen.

Zum Vergleich das Ding ist so scharf es blockt normale User nach 2 mal refreshen…

 

[Goldwasser]

Zumindest der Tag +-2h war klar.
Wenn einer hier aber Drop schreibt und man hat die Karte im Korb, bevor man sie auf der Website sehen konnte, dann bin ich davon ausgegangen, dass das Insiderwissen war.

 

[base1900]

Zumindest der Tag +-2h war klar.
Wenn einer hier aber Drop schreibt und man hat die Karte im Korb, bevor man sie auf der Website sehen konnte, dann bin ich davon ausgegangen, dass das Insiderwissen war.

Da war es so, dass man die Session (ein Cookie oder einen Link) teilen kann bei dem die Karte im Warenkorb ist. Das kann man auch bei proshop machen.
Aber aktuell kommt man garnicht an den Server bei nem drop in der Zeit in der die Karten ausverkauft sind.

 

[cHio]

Ich könnte jetzt auf viele deiner Punkte sehr detailliert eingehen aber würde dann öffentlich Informationen teilen die die Lage für alle nicht besser macht.
Das mit dem Insider Wissen kann ich zumindest für mein Projekt ganz klar ausschließen, womit ich locker zehn 5090 carten konnte (aber nicht gekauft habe).
Mit entsprechendem Wissen und Mitteln durch Reverse Engineering kann man den ganzen Prozess von API Verfügbarkeitsmeldung, über Cloudflare bis Checkout jedenfalls deutlich beschleunigen. Ist aber durchaus sehr komplex wenn man die Masse eben schlagen möchte. Du kannst dir sicher sein das da draußen Bots sind die hochprofessionell sind und jahrelanges Know-How reinfließt. Die schlägt man nicht mal eben so.

Was aber schön zu sehen war, während dem letzten Drop gabs sowohl einen Referer Check als auch der komplette Request-Header wurde abgefragt. Das Clearance Token war zudem IP gebunden. Erfolg hatten durch diese "Überraschung" übrigens viele Leute mit einfachsten Scripts und mehreren Browsen+Tabs, wo der gesamte Sitzungskontext innerhalb des Browsers eben weitergegeben wurde.

 

[1Veritas]

Wie funktioniert das eigentlich genau - wenn man auf den Link bei Nvidia clickt, kommt man dann (ggf. nach Captcha) direkt zu Proshop in den Warenkorb oder muss dann nochmal blitzschnell klicken?

 

[Gurkengraeber]

Du kommst direkt wieder zurück auf die NVidia Seite.

 

[RoNin from Forest]

Interessanter Beitrag. Zwar ernüchternd aber interessant.

Warum macht Nvidia bzw. die Händler nicht einfach eine Warteschlange und captcha wie bei den AMD drops? Das hat zwar auch nicht immer funktioniert, aber so hatte man ohne Fachwissen wenigstens eine Chance.

Alternativ: Warum schreiben die Händler nicht in Ihre AGB´s das Bots verboten sind?

(Rhetorische Fragen $$$)

 

[base1900]

Ich könnte jetzt auf viele deiner Punkte sehr detailliert eingehen aber würde dann öffentlich Informationen teilen die die Lage für alle nicht besser macht.
Das mit dem Insider Wissen kann ich zumindest für mein Projekt ganz klar ausschließen, womit ich locker zehn 5090 carten konnte (aber nicht gekauft habe).
Mit entsprechendem Wissen und Mitteln durch Reverse Engineering kann man den ganzen Prozess von API Verfügbarkeitsmeldung, über Cloudflare bis Checkout jedenfalls deutlich beschleunigen. Ist aber durchaus sehr komplex wenn man die Masse eben schlagen möchte. Du kannst dir sicher sein das da draußen Bots sind die hochprofessionell sind und jahrelanges Know-How reinfließt. Die schlägt man nicht mal eben so.

Was aber schön zu sehen war, während dem letzten Drop gabs sowohl einen Referer Check als auch der komplette Request-Header wurde abgefragt. Das Clearance Token war zudem IP gebunden. Erfolg hatten durch diese "Überraschung" übrigens viele Leute mit einfachsten Scripts und mehreren Browsen+Tabs, wo der gesamte Sitzungskontext innerhalb des Browsers eben weitergegeben wurde.

Wie gesagt das clearance token vorzuhalten würde dann nochmal die Captcha Zeit reduzieren und das Versagen meines Scripts erklären.

Bei den anderen API Calls ist da auch nicht viel Magic dahinter, auch wenn du das ein bisschen so verkaufst. Wir reden hier nicht von Chrome (Selenium Scripts)
Das Gleiche gilt für die Availability. Da muss man auch nichts groß reverse Engineeren oder optimieren.
(wir reden hier von 3 API calls zum checkout... also 500- 700 ms)

Die Referrer Checks usw waren schon länger da nicht erst seit dem letzten drop, deswegen bekamen hier auch viele das Blocked by Cloudflare wenn sie den direkt Link verwenden.

Letztendlich ist der einzige relevante Zeitfaktor das Captcha und dieses zu lösen.
On the fly brauchen alle Solver Services unabhängig ob injected oder via clearance token 2 Sekunden dafür.

Ich gehe aktuell stark davon aus, dass einigen die IP Adresse und die virtual Hosts vorliegen und damit alle Cloudflare Checks umgehen können. Was auch daran liegt, dass man diese mit ein wenig Aufwand finden kann. (Das wäre Insider Wissen auch wenn dieses nicht aktiv von Insidern geteilt wird.)

Grundsätzlich stimme ich dir absolut nicht zu was das Thema Verfügbarkeit solcher Software angeht. Natürlich wäre die Situation für alle fairer, wenn alle eine reelle Chance hätten und Glück wieder mehr eine Rolle spielt.


Argumentativ sind deine Aussagen natürlich sehr auf Totschlag ausgelegt ohne logische Schlussfolgerung darzulegen. Verstehe daher die Intention nicht ganz dieses Posts.

Beitrag automatisch zusammengeführt: Donnerstag um 23:53

Interessanter Beitrag. Zwar ernüchternd aber interessant.

Warum macht Nvidia bzw. die Händler nicht einfach eine Warteschlange und captcha wie bei den AMD drops? Das hat zwar auch nicht immer funktioniert, aber so hatte man ohne Fachwissen wenigstens eine Chance.

Alternativ: Warum schreiben die Händler nicht in Ihre AGB´s das Bots verboten sind?

(Rhetorische Fragen $$$)

Also grundsätzlich ist das auch so in den AGBs.
Aber da es schon allerlei Captcha Solver Solutions gibt, kann ein Captcha damit auch keinen Bot aufhalten. Außer der Solver braucht länger als ein Mensch mit nem normalen Browser mit zig Analysen von Mausbewegung bis hin zu der Prozessorgeschwindigkeit (darauf Zielen die Captcha Hersteller ab).

Diese Warteschlangen würden dann auch nur dazu führen, dass man alle Bots ganz vorne dabei hat.
Es ist halt ein ganz großes Business mittlerweile. In dem aktuellen Beispiel braucht es aber gar keine riesen Bot-Organisationen wie bei Schuhen, wenn eine Seite eben nicht optimal dagegen gewappnet ist.

 

[cHio]

Mein Post hat auch keine besondere Intention und ich hab auch keine Schlussfolgerungen gezogen. Es führen viele Wege nach Rom und so ist das auch hier.
Viele glauben aber, mit paar Stündchen Arbeit eine konkurrenzfähige Lösung entwickeln zu können. Und das ist eben nicht so.
Good luck dir!

 

[base1900]

Mein Post hat auch keine besondere Intention und ich hab auch keine Schlussfolgerungen gezogen. Es führen viele Wege nach Rom und so ist das auch hier.
Viele glauben aber, mit paar Stündchen Arbeit eine konkurrenzfähige Lösung entwickeln zu können. Und das ist eben nicht so.
Good luck dir!

Vielen Dank

Meine Intention war lediglich zu beschreiben, was aktuell vor geht, um ein bisschen transparenz zu schaffen.
Mir fällt es schwer dabei zu verstehen inwieweit dein Post dazu beiträgt oder das Ganze invalidiert (Die These, dass einige sogar ganz an Cloudflare vorbei kommen)

Habe nebenbei auch getestet, wie lange das clearence cookie gültig ist und es sind ein paar Minuten. Da ich selbst einige Cloudflare Setups mitgemacht habe, ist es in dem Fall umso verwunderlicher
und ich muss mich hier korrigieren:
Die Konfiguration der Bot Protection erlaubt ohne große Hindernisse, ein Captcha zu lösen, dass Token dazu zu speichern und auch 5 Minuten danach noch damit durchzukommen.

Auch hier reden wir nicht von Optimierung die jahrelange Erfahrung benötigt ich hatte das einfach nicht erwartet und garnicht erst probiert.

 

[Ossi]

Ich freu mich eigentlich immer wenn @cHio was schreibt. Ist irgendwie spannend und informativ und auch ein bissl verrucht. Der Bruce Wayne der IT-Nerds.

Ich finde deine Punkte auch sehr spannend. @base1900 Weiß aber nicht warum du cHio die ganze Zeit so angehst. Er hat seit Jahren bewiesen, dass er an jede Karte kommt. Dein Bot hat dagegen (noch) ins Bett geschissen. Und cHio hat auch schon Leuten unter die Arme gegriffen wenn die total verzweifelt waren und keine Karte bekommen haben.

Aber bitte tauscht euch weiter aus. Finde das wie gesagt sehr spannend.

 

[Jahead]

Alles Schwachsinn hier -
@WeynE hat 2 Karten per Hand gekauft, auf zwei Geräten gleichzeitig. Ausversehen... Botlike.

 

[Clonemaster]

Jemand versucht seine Erfahrungen mit Laien zu teilen, um dem generell umstrittenen Thema etwas Licht ins Dunkle zu bringen
und sofort geht es darum wer sich besser auskennt, der coolere ist, mehr Erfolg hat, ... humans in a nutshell, brought you by internet

 

[Walth_r]

Es gibt quasi keinen Grund eine FE zu kaufen

Ich find die halt schon irgendwie sexy, im vergleich zu den an deren sind die recht schlicht. Ich hole mir irgendwann eine FE aber keine 5090... und auch erst wenn sich die Verfügbarkeit entspannt hat. Solange muss die 3080ti FE noch heben (die ja eh chronisch unterfordert ist bei meinen Games )

 

[1Veritas]

An alle die sich fragen, wie das aussieht - ihr könnt zB per Chrome sehen, was wirklich im Hintergrund passiert, wenn ihr auf Webseiten unterwegs seid. Dazu einfach mit F12 die DevTools öffnen und dann zB im Networking Tab schauen, was ihr für Anfragen schickt und was ihr dann für Antworten bekommt.

Letzlich ist jeder eurer Klicks auf den Webseiten nichts anderes als bestimmte Informationen an den Server zu schicken (was ist mein Session Cookie, von welcher Seite komme ich etc.). Das ganze kann man komplett automatisieren, ohne jemals einen Browser zu öffnen, wenn man eben weiß welche Informationen der Server zB beim Klick des Kaufbuttons haben will und man die notwendigen Infos (teils auch durch öffnen eines Browsers vorher) gesammelt hat.

Unten ein Besipiel von Alternate wo man sehen kann was für Infos geschickt werden wenn man eine Karte in den Warenkorb schmeißt - da sieht man zB auch das Session cookie.

 

[thom_cat]

off topic entfernt

 

[Kalorean]

off topic entfernt

Du pöhser Spahsverbrehmser!

 

[RoNin from Forest]

Ok, Danke jedenfalls an die Experten hier. So kann man wenigstens mal etwas verstehen, warum man (derzeit) keine GPU bekommt.

In diesem Sinne: Wieviel RTX 5090 hat Chuck Norris? Alle!

 

[kachiri]

Vielleicht liegt es auch einfach daran, dass nicht viele Exemplare droppen, die Nachfrage (gerade zu den Preis) groß ist und man dann einfach "zu langsam" war. Sicher haben Bots da einen Vorteil, aber beim Drop Vorgestern gab es ja scheinbar doch den ein oder anderen - auch hier im Forum - der bestellen konnte...

Da muss man doch nicht groß nachdenken, falls man selbst nicht zu den Glücklichen gehört.

Im CoreFinder-Discord hieß es gestern, dass der Drop in den meisten Ländern halt in 30 Sekunden ausverkauft war. Zu den Bots kommen dann eben etliche Leute, die sich zumindest Benachrichtigungen durch reine Benachrichtigung-Bots eingerichtet haben und dann halt schneller waren.

 

[1Veritas]

Zu den Bots kommen dann eben etliche Leute, die sich zumindest Benachrichtigungen durch reine Benachrichtigung-Bots eingerichtet haben und dann halt schneller waren.

Das stimmt und man kann (wie auch andere oben beschreiben) immer noch ohne Bot Glück haben. Das liegt wahrscheinlich an den Sicherheitsmaßnahmen, die selbst wenn man per Bot schneller ist, einen ausstoppen können, dass der Server manche Anfragen aus welchem Grund auch immer nicht schnell genug beantwortet, etc.

Trotzdem würde ich vermuten, dass das Verhältnis zwischen Karten die erfolgreich mit Bot gekauft wurden vs. Mensch bei Nvidia (mal so ins Blaue) mindestens bei 90/10 ist.

EDIT: Nur zur Klarstellung, das würde dann als Chance für Mensch bedeuten: Wenn ein Drop 100 Karten hat, 5000 Menschen versuchen zu klicken und alle gleich schnell sind, dass die Chance auf Erfolg als Mensch 10/5000, also 0.2%, ist. 😬 Aber immernoch noch viel besser als Lotto 🙃

 

[RoNin from Forest]

Das ist korrekt. Bei Mindfactory gibts seit ne guten Stunde eine Inno rtx 5080. Also. mit Warenkorb-Button, Lagernd und soweiter

https://www.mindfactory.de/product_...3-OC-Aktiv-PCIe-5-0-x16--Retail-_1612656.html

 

[AlsterwasserHH]

5080 juckt auch keinen großartig. Die kannst bei eBay halt nicht für das zwei- bis dreifache verkaufen.

 

[thom_cat]

scheinen viele anders zu sehen als du.

 

[AlsterwasserHH]

Ich meinte als Scalperobjekt, nicht als Gamingkarte. Dachte das wäre hier im Threadkontext offensichtlich

 

[thom_cat]

wie kommst du darauf?
und danke für den herablassenden emoji...

 

[1Veritas]

5080 juckt auch keinen großartig. Die kannst bei eBay halt nicht für das zwei- bis dreifache verkaufen.

Mittlerweile immerhin unter dem zweifachen

 

[sayer]

Ich gehe aktuell stark davon aus, dass einigen die IP Adresse und die virtual Hosts vorliegen und damit alle Cloudflare Checks umgehen können. Was auch daran liegt, dass man diese mit ein wenig Aufwand finden kann. (Das wäre Insider Wissen auch wenn dieses nicht aktiv von Insidern geteilt wird.)

Wenn der Service sauber gebaut ist bringen dir die IPs des echten Backends nichts. Das Backend kann und sollte durch mehrere Mechanismen von einem Zugriff an CF vorbei geschützt werden.

So haben wir zum Beispiel auf Applikationen unter anderen ganz simple IP Filter/FW auf den Services liegen die nur Anfragen von known CF Servern zulassen.