Чи відбитка пальців браузера є життєздатною методикою визначення анонімних користувачів?

Чи є відбитка пальців браузера достатньою методикою для однозначної ідентифікації анонімних користувачів? Що робити, якщо ви включили біометричні дані, такі як жести миші або введення шаблонів?

Днями я натрапив на експеримент з Panopticlick, EFF працює на відбитках браузера .

Звичайно, я одразу подумав про наслідки конфіденційності та про те, як це можна використати для зла. Але з іншого боку, це може бути використане для великого блага, і, принаймні, над привабливою проблемою працювати.

Під час дослідження теми я знайшов кілька компаній, які використовували відбитки пальців браузера для нападу на шахрайство. Після відправлення декількох електронних листів я можу підтвердити, що принаймні один з основних сайтів знайомств використовує відбитки пальців у браузері як лише один механізм виявлення фальшивих облікових записів. (Примітка. Вони виявили, що це недостатньо унікально, щоб діяти як ідентичність, коли масштабують до мільйонів користувачів. Але мій мої програміст не хоче їм вірити).

Ось одна компанія, яка використовує відбитки пальців браузера для виявлення та запобігання шахрайству:
http://www.bluecava.com/

Ось досить вичерпний список речей, які можна використовувати як унікальні ідентифікатори у веб-переглядачі:
http://browserspy.dk/

По-перше, я не думаю, що реально очікувати, що користувачі відключать JavaScript у сучасній мережі. Тож давайте поглянемо на те, що Panopticlick може зібрати лише через JavaScript, а також оцінка унікальності мого конкретного браузера:

• Агент користувача (1 на 4184)
• Заголовки HTTP_ACCEPT (1 з 14)
• Деталі плагіну веб-переглядача (1 на 1,8 мільйона)
• Часовий пояс (1 з 24)
• Розмір екрана та глибина кольору (від 1 до 1700)
• Системні шрифти (1 з 11)
• Увімкнено файли cookie? (1 в 1.3)
• Обмежений тест SuperCookie (1 на 2)

Особливості унікальності - це явно користувацький агент та плагіни браузера. Пам'ятайте, що ці елементи використовуються разом для формування відбитків браузера, тому вони більш ніж такі сильні, як окремі оцінки. Сукупна унікальність полягає в наступному : 4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2він же в дійсно великій кількості . Це ... досить унікально.

На даний момент у мене відключений Flash, "натисніть, щоб активувати". Увімкнення Flash додає:

• Системні шрифти (1 на 374 к)

Flash надає другий самий унікальний елемент, який можна виявити, але, враховуючи величезну кількість, навіть якщо виявлення JavaScript за замовчуванням виробляється в Panopticlick, я не впевнений, що Flash потрібен для роботи даного відбитка пальців у браузері. Досить просто включити JavaScript.

Відбитка пальців браузера - це лише частина історії. Розглянемо суму того, що ми все можемо виявити у анонімних користувачів, оскільки це може спільно працювати над відбитками пальців анонімних користувачів. Наскільки складно збирати та використовувати виявлені дані?

1. Нюхає деталі браузера, як показано вище (легко)
2. IP-адреса, яка має відомий рівень надійності з плюсами і мінусами (просто)
3. Шаблони поведінки користувачів, такі як використання (час доби), набір тексту, рухи мишкою або пальцем, використання слова (жорсткий, деяка частина сервера, частина клієнта)

Одне, що я хвилююсь лише при нюханні веб-переглядача, це те, наскільки тривіально легко перемикати браузери. На більшості платформ є щонайменше чотири чудових та безкоштовних альтернативи браузера: Chrome, Opera, Firefox, Safari. Отже, щоб зламати браузер нюхати або принаймні перервати його, ви можете часто перемикати браузери.

Тут варто згадати так звані SuperCookies, оскільки вони дійсно можуть працювати в деяких випадках, навіть якщо ви перемикаєте браузери і навіть якщо JavaScript, HTML 5 Local Storage та Flash вимкнено .

Дослідник конфіденційності виявив злого генія, що стоїть за програмою веб-аналітики для отримання прибутку, здатної стежити за користувачами на понад 500 сайтах, навіть коли все зберігання файлів cookie було вимкнено та сайти переглядалися в режимі конфіденційності браузера.

(Якщо вам цікаво, версія TL; DR полягає в тому, що вони роблять це, використовуючи незрозумілі принципи заголовка ETag .)

Як би то не було, повертаючись до нюху браузера - користувачі можуть зробити кілька незручних дій, щоб перемогти це:

1. Постійно перемикайте браузери.
2. Завжди переглядайте, якщо JavaScript та Flash відключені.

Однак якщо користувач не знає, що їх налаштування браузера нюхають і використовуються як частина методу для їх відбитків пальців, я дуже сумніваюся, що вони обов'язково підуть на проблему виконання цих двох речей. Це робота.

Виходячи з вищенаведених даних, я вважаю, що нюхання браузера може допомогти визначити типового анонімного користувача Інтернету, але воно ефективно лише в поєднанні з іншими речами, які ми зазвичай виявляємо у анонімних користувачів Інтернету, таких як IP-адреса.

Відбитка пальців браузера спирається на дуже неоднорідну браузер / пристрій-екосистему. Слід враховувати, що ми рухаємося до все більш однорідної екосистеми, оскільки все більше і більше серфінгу робиться на смартфонах та планшетах / накладках, які в цьому сенсі набагато менш фрагментарні. Наприклад, всі iPhone-телефони / iPad виглядатимуть однаково.

Чи є відбитка пальців браузера достатньою методикою для однозначної ідентифікації анонімних користувачів?

Ні, в кращому випадку він може однозначно ідентифікувати комп'ютер . Немає можливості розмежувати два нові (і подібні) комп’ютери в одній мережі (той самий IP) з файлом cookie \ сеансом.

Що робити, якщо ви включили біометричні дані, такі як жести миші або введення шаблонів?

Це не здається реалістичним. Це має бути майже повністю закодовано в JavaScript, оскільки "біометричні дані" є всіма сторонами клієнта. Користувач може просто відключити його. Також як виглядатимуть ваші "біометричні дані" Perl Script?

Але, маючи на увазі, використання такої тактики боротьби з шахрайством є хорошою ідеєю, це не повинно бути на 100%. Будь-яке зменшення шахрайства добре, навіть якщо це лише 5% поліпшення.

Боротьба з шахрайством є поступовою, не існує єдиного рішення для боротьби з шахрайством, навіть не шукайте цього.

РЕДАКТУВАННЯ: Щоб відповісти на коментарі нижче (і тому, що це дуже актуально), той факт, що дактилоскопія розглядає різні профілі, на мої переконання, є чистою НЕГАТИВНО *. Це щось, що зловмисний користувач використає для того, щоб обдурити механізм відбитків пальців, той факт, що користувач має контроль над усіма змінними, що використовуються при дактилоскопії, є серйозною вадою і сам по собі .

* Ось чому я кажу в кращому випадку, що він може ідентифікувати єдиний комп'ютер, тому що це ЛЕПШЕ, ніж ідентифікація одного облікового запису на комп’ютері. Якщо ви можете зробити і те, і інше, це чудово.

Я погодився б з @vincentcr , але додав би ще одне середовище для розгляду: корпоративна мережа.

Тут ви, ймовірно, знайдете багато десятків чи сотень (потенційних) користувачів з точно таким же браузером, плагінами, шрифтами тощо. Додаткові фактори @vincentcr підказують і тут не вдається - IP-адреси, ймовірно, будуть однаковими, якщо користувачі стоять за корпоративний брандмауер, як і повідомлення про місцезнаходження користувачів.

Навіть з використанням жестів миші та введення шаблонів, я сумніваюся, чи можна використовувати ці методи для ідентифікації унікальних користувачів з будь-якою формою безпеки, і якщо ви хочете, щоб облікові записи користувачів могли пережити користувачі, які змінюють веб-переглядачі, вам доведеться створити резервну копію. все одно з більш традиційною системою аутентифікації.

Хоча, як уже говорили інші, це може бути дещо корисним у виявленні спам-ботів тощо. Наприклад, плагін WordPress "Bad Behavior" аналізує заголовки HTTP (серед інших факторів), намагаючись виявити спам-боти.

Навіть якщо існує величезна кількість комбінацій, вони не розподіляються рівномірно.

Подумайте, скільки людей на, скажімо, macbook, просто використовуватимуть конфігурацію запасів. Або тих, хто ніколи не встановлює жодного плагіна: я підозрюю, що це більшість користувачів.

І в кінцевому підсумку у вас найшвидше зростаючий сегмент пристроїв: користувачі мобільних телефонів і планшетів, особливо iPhone та iPad, де ви обмежуєтесь лише двома змінними: маркою та номером версії.

Таким чином, це може бути хорошим евристичним у поєднанні з іншими факторами (наприклад, ip адресою чи місцем розташування, коли вони доступні), але не набагато більше того.

За допомогою дактилоскопії браузера ви можете ідентифікувати окремого користувача в Інтернеті, і єдиним недоліком є ​​те, що вам потрібно зробити JavaScript обов'язковим для кожного користувача.

Він працює за двома принципами:

1. Визначте відбиток браузера на основі 8 параметрів
2. Визначте, чи хтось змінив відбиток пальців, змінивши будь-який параметр.

Успіх дактилоскопії залежить від другого принципу; виявити, чи змінив хтось відбиток пальців.

Для отримання додаткової інформації просто спробуйте доступний код . Вам потрібно розробити власний алгоритм, щоб виявити користувача, що повертається, тому що алгоритм, який використовується https://panopticlick.eff.org/ , не є на 100% ефективним.

Деякі браузери можна також ідентифікувати за допомогою Supercookies HSTS.

Тут ви можете вставити сторінку із запитами до випадкових наборів захищених та незахищених ресурсів для кожного відвідувача, а потім відстежити схему їх запитів під час повторного відвідування. Якщо кожен ресурс запитується за однією схемою, ви можете використовувати цю інформацію для ідентифікації користувача.

Вони особливо корисні для виявлення iPhone / iPad, які в іншому випадку мали б більше загального відбитка браузера. Цей підхід не настільки корисний для Internet Explorer, коли HSTS не підтримується.

Ця стаття пояснює підхід; http://www.radicalresearch.co.uk/lab/hstssupercookies/

Ця стаття надає хороший приклад того, як використовувати Supercookies HSTS для ідентифікації користувачів; https://nakedsecurity.sophos.com/2015/02/02/anatomy-of-a-browser-dilemma-how-hsts-supercookies-make-you-choose-between-privacy-or-security/

Javascript не є обов'язковим. Існує багато інших параметрів, щоб нюхати з PHP. При цьому 99% користувачів мають JS, тож навіщо турбуватися

Чи може дактилоскопія забезпечити достатньо унікальну ідентифікацію? Я так думаю. І так говорить www.visitor-intelligence.com зі своєю послідовною філософією екранування. Подумай над цим.

Ваша особиста приватна галактика не така велика, як вся наша планета.

Скільки високих, каштанових волосся, блакитних очей дівчина з французьким акцентом гуляє вашою вулицею? У масштабах планети мільйони. Але я думаю, що вона буде досить неповторною на вашій вулиці (або відвідувати ваш магазин).

Якщо ви не живете в Єлисейських полях. Тоді придивіться ближче. Вона струнка і ходить як модель? Вона носить дорогу сумочку? Гаразд, вона абсолютно унікальна зараз :-)

Дивитись суто на заголовки помилково, оскільки він включає номер версії браузера та більше дуже змінних параметрів.

Зараз ми в Chrome 27 та Firefox 21. Ми оновлюємо версію браузерів, навіть не помічаючи.

Тепер, дивлячись на повний список плагінів, також зовсім неправильно. Спробуйте: встановіть Firefox, встановіть зчитувач acrobat, а потім встановіть Chrome. Сподіваюся, читач акробатів не відображатиметься у вашому списку плагінів Chrome :-)

Отже ... Підсумок полягає в тому, що: якщо шукати гідну систему ідентифікації для магазину стандартного розміру, то дактилоскопія є досить дорогою і навіть стабільнішою, ніж куки (я особисто видаляю всі свої файли cookie майже кожен день).

Всього мої 2 копійки