Czy pobieranie odcisków palców przez przeglądarkę jest wystarczającą metodą jednoznacznej identyfikacji anonimowych użytkowników? Co się stanie, jeśli uwzględnisz dane biometryczne, takie jak gesty myszy lub wzorce pisania?
Innego dnia natknąłem się na eksperyment Panopticlick EFF działa na odciskach palców przeglądarki .
Oczywiście od razu pomyślałem o konsekwencjach dla prywatności i o tym, jak można je wykorzystać do zła. Ale z drugiej strony można to wykorzystać dla wielkiego dobra, a przynajmniej jest to kuszący problem do pracy.
Podczas badania tego tematu znalazłem kilka firm wykorzystujących odciski palców przeglądarki do atakowania oszustw. Po wysłaniu kilku e-maili mogę potwierdzić, że co najmniej jeden główny serwis randkowy korzysta z odcisków palców przeglądarki jako tylko jednego mechanizmu do wykrywania fałszywych kont. (Uwaga: Odkryli, że nie jest wystarczająco wyjątkowy, aby działać jako tożsamość podczas skalowania do milionów użytkowników. Ale mój mózg programisty nie chce im wierzyć).
Oto jedna firma korzystająca z odcisków palców przeglądarki w celu wykrywania oszustw i zapobiegania im:
http://www.bluecava.com/
Oto dość obszerna lista rzeczy, których możesz użyć jako unikalnych identyfikatorów w przeglądarce:
http://browserspy.dk/
Odpowiedzi:
Po pierwsze, nie sądzę, że realistyczne jest oczekiwanie, że użytkownicy będą mieli wyłączoną obsługę JavaScript w nowoczesnej sieci. Rzućmy więc okiem na to, co Panopticlick może zebrać przez sam JavaScript, wraz z wynikiem wyjątkowości mojej konkretnej przeglądarki:
Cechami wyróżniającymi wyjątkowość są oczywiście wtyczki User Agent i przeglądarki. Pamiętaj, że te elementy są używane razem, aby utworzyć odcisk palca przeglądarki, więc są więcej niż tak silne, jak poszczególne wyniki. Skumulowany wyjątkowość tutaj jest:
4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2
aka jest naprawdę duża liczba . To ... całkiem wyjątkowe.W tej chwili mam Flash wyłączony z „kliknij, aby aktywować”. Włączenie Flash dodaje:
Flash jest drugim najbardziej unikalnym wykrywalnym elementem, ale biorąc pod uwagę ogromną liczbę, nawet w domyślnym wykrywaniu JavaScript w Panopticlick, nie jestem pewien, czy Flash jest niezbędny do tego rodzaju odcisków palców przeglądarki. Wystarczy włączenie JavaScript.
Odciski palców w przeglądarce to jednak tylko część historii. Rozważ sumę wszystkiego, co możemy wykryć od anonimowych użytkowników, ponieważ wszystko to może współpracować w celu anonimowych użytkowników odcisków palców. Jak trudno jest zebrać i wykorzystać wykryte dane?
Jedną z rzeczy, o które martwię się w przypadku samego wąchania przeglądarki, jest to, jak łatwo jest zmieniać przeglądarki. Istnieją co najmniej cztery świetne i bezpłatne alternatywy dla przeglądarek na większości platform: Chrome, Opera, Firefox, Safari. Aby przerwać wąchanie przeglądarki lub przynajmniej ją przerwać, możesz często przełączać przeglądarki.
Warto tu wspomnieć o tak zwanych SuperCookies , ponieważ mogą one faktycznie działać, w niektórych przypadkach, nawet jeśli zmienisz przeglądarki, a nawet jeśli JavaScript, lokalne przechowywanie HTML 5 i Flash są wyłączone .
(Jeśli jesteś ciekawy, wersja TL; DR polega na tym, że robią to, wykorzystując niejasne zasady nagłówka ETag ).
W każdym razie wracając do wąchania przeglądarki - są dwie niewygodne rzeczy, które użytkownicy mogą zrobić, aby to pokonać:
Jeśli jednak użytkownik nie wie, że jego ustawienia przeglądarki są wąchane i używane jako część metody pobierania odcisków palców, bardzo wątpię, aby koniecznie zadały sobie trud zrobienia tych dwóch rzeczy. To jest praca.
Na podstawie powyższych danych uważam, że wąchanie przeglądarki może pomóc zidentyfikować typowego anonimowego użytkownika Internetu - ale jest skuteczne tylko w połączeniu z innymi rzeczami, które zwykle wykrywamy od anonimowych użytkowników Internetu, takimi jak adres IP.
źródło
Odcisk palca przeglądarki opiera się na bardzo heterogenicznym ekosystemie przeglądarki / urządzenia. Jedną rzeczą do rozważenia jest to, że zmierzamy w kierunku coraz bardziej jednorodnego ekosystemu, ponieważ coraz więcej surfowania odbywa się na smartfonach i tabletach / tabletach, które są w tym sensie znacznie mniej rozdrobnione. IPhone'y / iPady będą na przykład wyglądać zasadniczo identycznie.
źródło
Nie, w najlepszym wypadku może jednoznacznie zidentyfikować komputer . Nie ma możliwości rozróżnienia między 2 nowymi (i podobnymi) komputerami w tej samej sieci (ten sam adres IP) bez sesji cookie \.
To nie wydaje się realistyczne. Musiałoby to zostać zakodowane prawie całkowicie w JavaScript, ponieważ „dane biometryczne” są po stronie klienta. Użytkownik może to po prostu wyłączyć. Jak też będą wyglądać Twoje „dane biometryczne”
Perl Script
?Biorąc to pod uwagę, stosowanie tego rodzaju taktyk do walki z oszustwami jest dobrym pomysłem, nie musi to być 100% .. każdy spadek oszustw jest dobry, nawet jeśli jest to tylko 5% poprawa.
Walka z oszustwami jest stopniowa, nie ma jednego rozwiązania kulowego do walki z oszustwami, nawet nie zawracaj sobie głowy szukaniem jednego.
EDYCJA: Aby odpowiedzieć na poniższe komentarze (i ponieważ jest to bardzo istotne), fakt, że odciski palców traktują różne profile, jest, moim zdaniem, netto NEGATYWNY *. Jest to coś, co złośliwy użytkownik wykorzysta do oszukania mechanizmu pobierania odcisków palców, a fakt, że użytkownik ma kontrolę nad wszystkimi zmiennymi używanymi do pobierania odcisków palców, sam w sobie jest poważną wadą .
* Dlatego mówię co najwyżej, że może zidentyfikować pojedynczy komputer, ponieważ jest to LEPSZE niż identyfikacja jednego konta na komputerze. Jeśli możesz zrobić jedno i drugie, to świetnie.
źródło
Zgodziłbym się z @vincentcr , ale dodałbym jeszcze jedno środowisko do rozważenia: sieć korporacyjną.
Prawdopodobnie znajdziesz tu dziesiątki lub setki (potencjalnych) użytkowników z dokładnie tą samą przeglądarką, wtyczkami, czcionkami itp. Dodatkowe czynniki sugerowane przez @vincentcr również tutaj zawodzą - adresy IP mogą być takie same, jeśli użytkownicy stoją za zapora firmowa, podobnie jak zgłaszane lokalizacje użytkowników.
Nawet biorąc pod uwagę gesty myszy i wzorce pisania, wątpię, czy można by zastosować te techniki do identyfikacji unikatowych użytkowników z dowolną formą bezpieczeństwa, a jeśli chcesz, aby konta użytkowników mogły przetrwać zmieniające się przeglądarki, musisz to zrobić i tak z bardziej tradycyjnym systemem uwierzytelniania.
Chociaż, jak powiedzieli inni, może być nieco przydatny w wykrywaniu robotów spamujących i tym podobnych. Na przykład wtyczka WordPress „Bad Behavior” analizuje nagłówki HTTP (między innymi czynnikami), próbując wykryć spamboty.
źródło
Nawet jeśli istnieje ogromna liczba kombinacji, nie wszystkie są równo rozmieszczone.
Zastanów się, ile osób, powiedzmy na Macbooku, skorzysta z podstawowej konfiguracji. Lub ci, którzy nigdy nie instalują żadnych wtyczek: Podejrzewam, że są to większość użytkowników.
A na końcu masz najszybciej rosnący segment urządzeń: użytkowników telefonów komórkowych i tabletów, zwłaszcza iPhone'ów i iPadów, w których ograniczono się do tylko dwóch zmiennych: marki i numeru wersji.
Może to być dobra heurystyka w połączeniu z innymi czynnikami (takimi jak adres IP lub lokalizacja, jeśli są dostępne), ale niewiele więcej.
źródło
Korzystając z odcisków palców przeglądarki, możesz zidentyfikować pojedynczego użytkownika w sieci, a jedyną wadą jest to, że musisz wprowadzić obowiązkowy JavaScript dla każdego użytkownika.
Działa na dwóch zasadach:
Powodzenie pobierania odcisków palców zależy od drugiej zasady; aby wykryć, czy ktoś zmienił odcisk palca.
Aby uzyskać więcej informacji, po prostu wypróbuj dostępny kod . Musisz opracować własny algorytm do wykrywania powracającego użytkownika, ponieważ algorytm używany przez https://panopticlick.eff.org/ nie jest obecnie w 100% wydajny.
źródło
Niektóre przeglądarki można również zidentyfikować za pomocą HSTS Supercookies.
W tym miejscu możesz osadzić stronę z żądaniami losowych zestawów bezpiecznych i niezabezpieczonych zasobów dla każdego odwiedzającego, a następnie monitorować wzorzec ich żądań podczas powracającej wizyty. Jeśli każdy zasób jest wymagany według tego samego wzorca, możesz użyć tych informacji do zidentyfikowania użytkownika.
Są one szczególnie przydatne do identyfikacji iPhone / iPad, które w innym przypadku miałyby bardziej ogólny odcisk palca w przeglądarce. To podejście nie jest tak przydatne w programie Internet Explorer, w którym HSTS nie jest obsługiwany.
W tym artykule wyjaśniono podejście; http://www.radicalresearch.co.uk/lab/hstssupercookies/
Ten artykuł stanowi dobry przykład wykorzystania Supercookies HSTS w celu identyfikacji użytkowników; https://nakedsecurity.sophos.com/2015/02/02/anatomy-of-a-browser-dilemma-how-hsts-supercookies-make-you-choose-between-privacy-or-security/
źródło
JavaScript nie jest obowiązkowy, istnieje wiele innych parametrów do wąchania z PHP. To powiedziawszy, 99% użytkowników ma JS, więc po co się tym przejmować
Czy odciski palców mogą zapewnić wystarczająco unikalną identyfikację? Tak mi się wydaje. I tak mówi www.visitor-intelligence.com z kolejną filozofią badań przesiewowych. Pomyśl o tym.
Twoja prywatna galaktyka nie jest tak duża jak nasza cała planeta.
Ile wysokich, brązowych włosów, niebieskich oczu dziewczyny z francuskim akcentem chodzi po twojej ulicy? W skali planety miliony. Ale założę się, że byłaby wyjątkowa na twojej ulicy (lub w twoim sklepie).
Chyba że mieszkasz w Champs Elysees. Następnie spójrz bliżej. Czy jest szczupła i chodzi jak modelka? Czy ona ma na sobie drogą torebkę? W porządku, jest teraz zupełnie wyjątkowa :-)
Patrzenie wyłącznie na nagłówki jest błędne, ponieważ zawiera numer wersji przeglądarki i bardziej zmienne parametry.
Jesteśmy teraz w Chrome 27 i Firefox 21. Aktualizujemy wersje przeglądarek, nawet nie zauważając.
Teraz patrzenie na pełną listę wtyczek jest również całkiem błędne. Spróbuj: zainstaluj Firefoksa, zainstaluj program Acrobat Reader, a następnie zainstaluj Chrome. Założę się, że program Acrobat Reader nie pojawi się na liście wtyczek Chrome :-)
Więc ... Podsumowując: jeśli szukasz porządnego systemu identyfikacji dla sklepu o standardowej wielkości, to odciski palców są wystarczające, a nawet bardziej stabilne niż pliki cookie (osobiście usuwam wszystkie moje pliki cookie prawie codziennie).
Tylko moje 2 centy
źródło