เบราว์เซอร์พิมพ์ลายนิ้วมือเป็นเทคนิคที่ใช้การได้เพื่อระบุผู้ใช้ที่ไม่ระบุตัวตนหรือไม่?

เบราว์เซอร์พิมพ์ลายนิ้วมือเป็นวิธีที่เพียงพอสำหรับการระบุผู้ใช้ที่ไม่ระบุชื่อหรือไม่? ถ้าคุณรวมข้อมูลไบโอเมตริกซ์เช่นท่าทางเมาส์หรือรูปแบบการพิมพ์

วันอื่น ๆ ผมวิ่งเข้าไปในการทดลองเอฟเอฟ Panopticlick กำลังทำงานบนเบราว์เซอร์ลายนิ้วมือ

แน่นอนฉันคิดทันทีถึงผลสะท้อนความเป็นส่วนตัวและวิธีที่มันสามารถใช้เพื่อความชั่วร้ายได้ แต่ในทางกลับกันสิ่งนี้สามารถใช้เพื่อประโยชน์ที่ดีและอย่างน้อยก็เป็นปัญหาที่น่าดึงดูดในการทำงาน

ในขณะที่ทำการค้นคว้าหัวข้อที่ฉันพบบาง บริษัท ใช้เบราว์เซอร์ลายนิ้วมือเพื่อโจมตีการฉ้อโกง และหลังจากส่งอีเมลไปสองสามฉบับฉันสามารถยืนยันได้ว่าเว็บไซต์หาคู่ใหญ่อย่างน้อยหนึ่งแห่งกำลังใช้การพิมพ์ลายนิ้วมือของเบราว์เซอร์ซึ่งเป็นกลไกหนึ่งในการตรวจสอบบัญชีปลอม (หมายเหตุ: พวกเขาพบว่ามันไม่ซ้ำกันมากพอที่จะทำตัวเป็นตัวตนเมื่อปรับขนาดผู้ใช้หลายล้านคน แต่สมองโปรแกรมเมอร์ของฉันไม่ต้องการเชื่อพวกเขา)

นี่คือ บริษัท หนึ่งแห่งที่ใช้ลายนิ้วมือเบราว์เซอร์สำหรับตรวจจับและป้องกันการฉ้อโกง:
http://www.bluecava.com/

นี่คือรายการสิ่งที่ครอบคลุมที่คุณสามารถใช้เป็นตัวระบุเฉพาะในเบราว์เซอร์ได้:
http://browserspy.dk/

ก่อนอื่นฉันไม่คิดว่าเป็นเรื่องจริงที่จะคาดหวังให้ผู้ใช้ปิดการใช้งาน JavaScript บนเว็บที่ทันสมัย ดังนั้นเรามาดูสิ่งที่Panopticlickสามารถรวบรวมผ่าน JavaScript เพียงอย่างเดียวพร้อมกับคะแนนความเป็นเอกลักษณ์ของเบราว์เซอร์ของฉัน:

• ตัวแทนผู้ใช้ (1 ใน 4,184)
• HTTP_ACCEPT ส่วนหัว (1 ใน 14)
• รายละเอียดปลั๊กอินของเบราว์เซอร์ (1 ใน 1.8 ล้าน)
• เขตเวลา (1 ใน 24)
• ขนาดหน้าจอและความลึกของสี (1 ใน 1,700)
• แบบอักษรของระบบ (1 ใน 11)
• เปิดใช้งานคุกกี้หรือไม่ (1 ใน 1.3)
• การทดสอบ SuperCookie จำกัด (1 ใน 2)

ความโดดเด่นที่ไม่เหมือนใครคือตัวแทนผู้ใช้และปลั๊กอินของเบราว์เซอร์ โปรดจำไว้ว่ารายการเหล่านี้ใช้ร่วมกันเพื่อสร้างลายนิ้วมือของเบราว์เซอร์ดังนั้นจึงมีความแข็งแกร่งมากกว่าคะแนนของแต่ละบุคคล เอกลักษณ์สะสมนี่คือ4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2อาคาจำนวนมากจริงๆ นั่นคือ ... ที่ไม่ซ้ำกันสวย

ฉันปิดใช้งาน Flash ในขณะนี้ด้วย "คลิกเพื่อเปิดใช้งาน" เปิดใช้งาน Flash เพิ่ม:

• แบบอักษรของระบบ (1 ใน 374k)

Flash เป็นองค์ประกอบที่ตรวจจับได้อันดับสอง แต่ด้วยจำนวนมหาศาลแม้กระทั่งการตรวจจับ JavaScript เริ่มต้นใน Panopticlick ฉันไม่แน่ใจว่า Flash จำเป็นสำหรับการพิมพ์ลายนิ้วมือของเบราว์เซอร์ชนิดนี้ในการทำงาน แค่เปิดใช้งาน JavaScript ก็เพียงพอแล้ว

เบราว์เซอร์ลายนิ้วมือเป็นเพียงส่วนหนึ่งของเรื่องราว พิจารณาผลรวมของสิ่งที่เราสามารถตรวจจับได้จากผู้ใช้ที่ไม่ระบุชื่อเพราะมันสามารถทำงานร่วมกันกับผู้ใช้ที่ไม่ระบุตัวตนด้วยลายนิ้วมือ การรวบรวมและใช้ข้อมูลที่ตรวจพบทำได้ยากเพียงใด

1. การดมกลิ่นรายละเอียดเบราว์เซอร์ดังที่แสดงด้านบน (ง่าย)
2. ที่อยู่ IP ซึ่งมีระดับความน่าเชื่อถือที่รู้จักพร้อมข้อดีข้อเสีย (ง่าย)
3. รูปแบบพฤติกรรมของผู้ใช้เช่นการใช้งาน (เวลาของวัน) การพิมพ์การเคลื่อนไหวของเมาส์หรือนิ้วการใช้คำ (ยาก, ฝั่งเซิร์ฟเวอร์บางด้าน, ฝั่งไคลเอ็นต์บางส่วน)

สิ่งหนึ่งที่ฉันกังวลเกี่ยวกับการเบราว์เซอร์เพียงอย่างเดียวคือการที่ผู้ใช้สามารถเปลี่ยนเบราว์เซอร์ได้อย่างง่ายดาย มีทางเลือกเบราว์เซอร์ที่ยอดเยี่ยมและฟรีอย่างน้อยสี่อย่างบนแพลตฟอร์มส่วนใหญ่: Chrome, Opera, Firefox, Safari ดังนั้นหากต้องการทำลายการดมกลิ่นของเบราว์เซอร์หรืออย่างน้อยก็ขัดจังหวะคุณสามารถสลับเบราว์เซอร์บ่อยๆ

มันคุ้มค่าการกล่าวขวัญที่เรียกว่า SuperCookiesที่นี่ตั้งแต่ที่พวกเขาสามารถทำงานได้จริงในบางกรณีแม้ว่าคุณจะเปลี่ยนเบราว์เซอร์และแม้ว่า JavaScript, HTML 5 เก็บข้อมูลท้องถิ่นและ Flash เป็นคนพิการ

นักวิจัยความเป็นส่วนตัวเปิดเผยอัจฉริยะที่ชั่วร้ายที่อยู่เบื้องหลังบริการวิเคราะห์เว็บที่แสวงหาผลกำไรซึ่งสามารถติดตามผู้ใช้ในเว็บไซต์มากกว่า 500 แห่งแม้ว่าที่เก็บข้อมูลคุกกี้ทั้งหมดจะถูกปิดการใช้งานและดูเว็บไซต์โดยใช้โหมดความเป็นส่วนตัวของเบราว์เซอร์

(หากคุณสงสัยรุ่น TL; DR คือพวกเขาทำสิ่งนี้โดยใช้หลักการที่ไม่ชัดเจนของส่วนหัว ETag )

อย่างไรก็ตามกลับไปที่การดมกลิ่นเบราว์เซอร์ - มีสองสิ่งที่ผู้ใช้สามารถทำได้เพื่อเอาชนะสิ่งนี้:

1. สลับเบราว์เซอร์อย่างต่อเนื่อง
2. เรียกดูทุกครั้งเมื่อปิดการใช้งาน JavaScript และ Flash

อย่างไรก็ตามหากผู้ใช้ไม่ทราบว่าการตั้งค่าเบราว์เซอร์ของพวกเขากำลังถูกดมกลิ่นและใช้เป็นส่วนหนึ่งของวิธีการพิมพ์ลายนิ้วมือพวกเขาฉันสงสัยอย่างมากว่าพวกเขาจะต้องไปที่ปัญหาของการทำสองสิ่งเหล่านี้ มันใช้งานได้

จากข้อมูลข้างต้นฉันเชื่อว่าการดมกลิ่นของเบราว์เซอร์สามารถช่วยระบุผู้ใช้อินเทอร์เน็ตทั่วไปโดยไม่ระบุชื่อ - แต่จะมีประสิทธิภาพเมื่อใช้ร่วมกับสิ่งอื่น ๆ ที่เรามักจะตรวจพบจากผู้ใช้อินเทอร์เน็ตที่ไม่ระบุชื่อเช่นที่อยู่ IP

เบราว์เซอร์พิมพ์ลายนิ้วมืออาศัยเบราว์เซอร์ที่แตกต่างกันมาก / ระบบนิเวศอุปกรณ์ สิ่งหนึ่งที่ควรพิจารณาคือเรากำลังเคลื่อนไปสู่ระบบนิเวศที่เป็นเนื้อเดียวกันมากขึ้นเนื่องจากการท่องเว็บบนสมาร์ทโฟนและแท็บเล็ต / แผ่นรองซึ่งมีแนวโน้มที่จะกระจัดกระจายน้อยลงในแง่นี้ IPhones / iPads จะมีลักษณะเหมือนกันทุกประการ

เบราว์เซอร์พิมพ์ลายนิ้วมือเป็นวิธีที่เพียงพอสำหรับการระบุผู้ใช้ที่ไม่ระบุชื่อหรือไม่?

ไม่อย่างที่ดีที่สุดมันสามารถเป็นเอกลักษณ์ของคอมพิวเตอร์ได้ ไม่มีวิธีใดที่จะสามารถแยกแยะความแตกต่างระหว่างคอมพิวเตอร์ใหม่ 2 เครื่องและเครือข่ายเดียวกันในเครือข่ายเดียวกัน (IP เดียวกัน) โดยไม่ใช้คุกกี้ \ เซสชัน

ถ้าคุณรวมข้อมูลไบโอเมตริกซ์เช่นท่าทางเมาส์หรือรูปแบบการพิมพ์

ดูเหมือนจะไม่สมจริง สิ่งนี้จะต้องถูกเข้ารหัสเกือบทั้งหมดใน JavaScript เนื่องจาก "ข้อมูลไบโอเมตริก" เป็นฝั่งไคลเอ็นต์ทั้งหมด ผู้ใช้สามารถปิดได้ "ข้อมูลไบโอเมตริก" ของคุณจะมีลักษณะPerl Scriptอย่างไร?

ที่กล่าวว่าการใช้กลยุทธ์ประเภทนี้เพื่อต่อสู้กับการฉ้อโกงเป็นความคิดที่ดีมันไม่จำเป็นต้องเป็น 100% .. การทุจริตลดลงเป็นสิ่งที่ดีแม้ว่าจะปรับปรุงเพียง 5% ก็ตาม

การต่อสู้กับการฉ้อโกงเป็นวิธีการที่เพิ่มขึ้นไม่มีวิธีแก้ปัญหากระสุนนัดเดียวในการต่อสู้กับการฉ้อโกงอย่าแม้แต่จะมองหาสิ่งใดสิ่งหนึ่ง

แก้ไข: หากต้องการตอบกลับความคิดเห็นด้านล่าง (และเนื่องจากมีความเกี่ยวข้องมาก) ความจริงที่ว่าการพิมพ์ลายนิ้วมือปฏิบัติกับโพรไฟล์ต่าง ๆ คือในความเชื่อของฉัน นี่คือสิ่งที่ผู้ใช้ที่เป็นอันตรายจะใช้ในการหลอกกลไกการพิมพ์ลายนิ้วมือที่ความจริงที่ว่าผู้ใช้มีการควบคุมตัวแปรทั้งหมดที่ใช้ในการพิมพ์ลายนิ้วมือเป็นข้อบกพร่องเซรุ่มในตัวของมันเอง

* ซึ่งเป็นเหตุผลที่ฉันพูดอย่างดีที่สุดว่าสามารถระบุคอมพิวเตอร์เครื่องเดียวได้เพราะนั่นคือดีกว่าแล้วระบุบัญชีเดียวบนคอมพิวเตอร์ หากคุณสามารถทำทั้งสองอย่างได้มันยอดเยี่ยมมาก

ฉันเห็นด้วยกับ@vincentcrแต่จะเพิ่มอีกหนึ่งสภาพแวดล้อมเพื่อพิจารณา: เครือข่ายองค์กร

ที่นี่คุณมีแนวโน้มที่จะพบผู้ใช้ (ศักยภาพ) หลายสิบคนด้วยเบราว์เซอร์ที่แน่นอนปลั๊กอินแบบอักษร ฯลฯ ปัจจัยเพิ่มเติม@vincentcrแนะนำยังล้มเหลวที่นี่ - ที่อยู่ IP มีแนวโน้มที่จะเหมือนกันถ้าผู้ใช้ที่อยู่เบื้องหลัง ไฟร์วอลล์ขององค์กรเช่นเดียวกับที่ตั้งของผู้ใช้รายงาน

แม้จะมีรูปแบบลายเส้นของเมาส์และรูปแบบการพิมพ์ฉันยังสงสัยว่าเทคนิคเหล่านี้สามารถใช้เพื่อระบุผู้ใช้ที่ไม่ซ้ำกับรูปแบบความปลอดภัยใด ๆ หรือไม่และหากคุณต้องการให้บัญชีผู้ใช้สามารถอยู่รอดได้ในการเปลี่ยนเบราว์เซอร์ ด้วยระบบการรับรองความถูกต้องแบบดั้งเดิมมากขึ้นอยู่ดี

แม้ว่าอย่างที่คนอื่นพูดมันอาจจะมีประโยชน์บ้างในการตรวจจับสแปมบอทและชอบ ตัวอย่างเช่นปลั๊กอิน WordPress "Bad Behavior"วิเคราะห์ส่วนหัว HTTP (ท่ามกลางปัจจัยอื่น ๆ ) ในความพยายามที่จะตรวจจับสแปมบอท

แม้ว่าจะมีชุดค่าผสมจำนวนมาก แต่ก็ไม่ได้กระจายอย่างเท่าเทียมกันทั้งหมด

คิดว่าผู้คนจำนวนมากบน macbook เพิ่งจะใช้การกำหนดค่าสต็อก หรือผู้ที่ไม่เคยติดตั้งปลั๊กอิน: ฉันสงสัยว่าเป็นผู้ใช้ส่วนใหญ่

และในตอนท้ายสุดขีดคุณมีเซ็กเมนต์อุปกรณ์ที่เติบโตเร็วที่สุด: ผู้ใช้โทรศัพท์มือถือและแท็บเล็ตโดยเฉพาะอย่างยิ่ง iPhone และ iPads ซึ่งคุณจะลดลงเหลือเพียงสองตัวแปรเท่านั้น: รุ่นและหมายเลขรุ่น

ดังนั้นจึงอาจเป็นฮิวริสติกที่ดีเมื่อรวมกับปัจจัยอื่น ๆ (เช่นที่อยู่ IP หรือตำแหน่งเมื่อมี) แต่ไม่มากไปกว่านั้น

การใช้ลายนิ้วมือของเบราว์เซอร์คุณสามารถระบุผู้ใช้แต่ละคนบนเว็บและข้อเสียเปรียบเพียงอย่างเดียวคือคุณต้องสร้างจาวาสคริปต์สำหรับผู้ใช้ทุกคน

มันทำงานได้สองหลักการ:

1. ตรวจสอบลายนิ้วมือของเบราว์เซอร์ตามพารามิเตอร์ 8 ตัว
2. ตรวจสอบว่ามีคนเปลี่ยนลายนิ้วมือของเขาด้วยการเปลี่ยนพารามิเตอร์ใด ๆ

ความสำเร็จของการพิมพ์ลายนิ้วมือขึ้นอยู่กับหลักการที่สอง; เพื่อตรวจสอบว่ามีคนเปลี่ยนลายนิ้วมือ

สำหรับข้อมูลเพิ่มเติมเพียงลองใช้รหัสที่มีอยู่ คุณต้องพัฒนาอัลกอริทึมของคุณเองเพื่อตรวจหาผู้ใช้ที่กลับมาเพราะอัลกอริทึมที่ใช้โดยhttps://panopticlick.eff.org/ไม่ได้มีประสิทธิภาพ 100% ในขณะนี้

เบราว์เซอร์บางตัวสามารถระบุได้ผ่าน HSTS Supercookies

นี่คือที่ที่คุณสามารถฝังหน้าพร้อมคำขอไปยังชุดสุ่มของทรัพยากรที่ปลอดภัยและไม่ปลอดภัยสำหรับผู้เข้าชมแต่ละคนจากนั้นตรวจสอบรูปแบบของคำขอของพวกเขาในการเยี่ยมชมกลับมา หากมีการร้องขอทรัพยากรแต่ละรายการในรูปแบบเดียวกันคุณสามารถใช้ข้อมูลนั้นเพื่อระบุผู้ใช้

สิ่งเหล่านี้มีประโยชน์อย่างยิ่งสำหรับการระบุ iPhone / iPads ซึ่งจะมีลายนิ้วมือเบราว์เซอร์ทั่วไปมากกว่า วิธีนี้ไม่เป็นประโยชน์สำหรับ Internet Explorer ที่ไม่รองรับ HSTS

บทความนี้จะอธิบายวิธีการ; http://www.radicalresearch.co.uk/lab/hstssupercookies/

บทความนี้แสดงตัวอย่างที่ดีของวิธีใช้ประโยชน์จาก HSTS Supercookies เพื่อระบุผู้ใช้ https://nakedsecurity.sophos.com/2015/02/02/anatomy-of-a-browser-dilemma-how-hsts-supercookies-make-you-choose-between-privacy-or-security/

Javascript ไม่บังคับและมีพารามิเตอร์อื่น ๆ อีกมากมายที่จะดมกลิ่นจาก PHP ที่กล่าวว่า 99% ของผู้ใช้มี JS ดังนั้นทำไมต้องรำคาญ

ลายนิ้วมือสามารถระบุตัวตนที่ไม่ซ้ำกันได้หรือไม่? ฉันเชื่ออย่างนั้น www.visitor-intelligence.com กล่าวพร้อมกับปรัชญาการคัดกรองที่ต่อเนื่อง ลองคิดดู

กาแลคซีส่วนตัวส่วนตัวของคุณไม่ใหญ่เท่ากับโลกทั้งใบของเรา

มีตาสีฟ้าผมสีน้ำตาลสูงหญิงสาวที่มีสำเนียงภาษาฝรั่งเศสเดินตามถนนของคุณ? ในระดับโลกนับล้าน แต่ฉันพนันได้เลยว่าเธอจะไม่เหมือนใครในถนนของคุณ (หรือเยี่ยมชมร้านค้าของคุณ)

เว้นแต่ว่าคุณอาศัยอยู่ใน Champs Elysees จากนั้นมองใกล้ ๆ เธอผอมและเดินเหมือนนางแบบหรือไม่? เธอใส่กระเป๋าราคาแพงหรือไม่? เอาล่ะตอนนี้เธอไม่เหมือนใครเลย :-)

การดูที่ส่วนหัวอย่างหมดจดนั้นผิดเนื่องจากมีหมายเลขเวอร์ชันของเบราว์เซอร์และพารามิเตอร์ที่แปรปรวนมากขึ้น

ตอนนี้เราอยู่ที่ Chrome 27 และ Firefox 21 เรากำลังอัปเดตเวอร์ชันของเบราว์เซอร์โดยไม่สังเกตเห็น

ตอนนี้การดูรายการปลั๊กอินเต็มรูปแบบก็ค่อนข้างผิด ลองที่: ติดตั้ง firefox, ติดตั้งเครื่องอ่าน acrobat แล้วติดตั้ง Chrome ฉันพนันได้เลยว่าโปรแกรมอ่าน acrobat จะไม่ปรากฏในรายการปลั๊กอิน Chrome ของคุณ :-)

ดังนั้น ... สิ่งที่สำคัญที่สุดคือ: ถ้าคุณมองหาระบบการระบุที่เหมาะสมสำหรับร้านค้าขนาดมาตรฐานการพิมพ์ลายนิ้วมือนั้นก็เพียงพอแล้วและมีความเสถียรมากกว่าคุกกี้

แค่ 2 เซ็นต์ของฉัน