Tarayıcı parmak izi anonim kullanıcıları belirlemek için uygun bir teknik midir?


96

Tarayıcı parmak izi, adsız kullanıcıları benzersiz şekilde tanımlamak için yeterli bir yöntem midir? Fare hareketleri veya yazma düzenleri gibi biyometrik verileri dahil ederseniz ne olur?

Panopticlick deneyi koştum geçen gün EFF tarayıcı parmak izi üzerinde çalışıyor .

Tabii ki gizlilik karşılığını ve bunun kötülük için nasıl kullanılabileceğini hemen düşündüm. Fakat diğer yandan, bu büyük iyilik için kullanılabilir ve en azından üzerinde çalışmak için cazip bir sorun olabilir.

Konuyu araştırırken dolandırıcılığa saldırmak için tarayıcı parmak izi kullanan birkaç şirket buldum. Ve birkaç e-posta gönderdikten sonra, en az bir büyük tanışma sitesinin sahte parmak izi algılamak için sahte parmak izi tespit etmek için tek bir mekanizma kullandığını doğrulayabilirim. (Not: Milyonlarca kullanıcıyı büyütürken kimlik olarak hareket etmenin yeterince benzersiz olmadığını buldular. Ancak programcı beynim onlara inanmak istemiyor).

Sahtekarlık tespiti ve önlenmesi için tarayıcı parmak izlerini kullanan bir şirket:
http://www.bluecava.com/

Tarayıcıda benzersiz tanımlayıcı olarak kullanabileceğiniz özelliklerin listesi:
http://browserspy.dk/


6
Tarayıcınızın parmak izini değiştirmek için favori tarayıcınıza bir eklenti yazmak ne kadar kolay olurdu? Yapılabilirse, birinin parmak izinizi isteğinize göre değiştirmenize izin veren böyle bir eklentiyi dağıtabileceğini hayal ediyorum. Hatta ... "profiller" böylece kullanıcıların bir bütün grup hepsi aynı parmak izine kullanabilirsiniz önceden yüklenmiş içeren olabilir
FrustratedWithFormsDesigner

1
İlgili Meta Stack Stack Exchange'de

Tarayıcı parmak izini değiştirmek için bir eklenti kullanma ile ilgili olarak. Bu IEEE makalesi ( spectrum.ieee.org/computing/software/… ) bunun neden karşı-üretken olabileceğini savunuyor
Pimin Konstantin Kefaloukos 07:14

Yanıtlar:


91

İlk olarak, kullanıcıların modern web'de JavaScript'i devre dışı bırakmalarını beklemenin gerçekçi olduğunu düşünmüyorum. Bu yüzden, Panopticlick’in kendi tarayıcımın benzersizliğini ve tek başına JavaScript’le ne toplayabileceğine bir göz atalım :

  • Kullanıcı Temsilcisi (4.184'te 1)
  • HTTP_ACCEPT Başlıkları (14'te 1)
  • Tarayıcı Eklentisi Detayları (1.8 milyonda 1)
  • Saat Dilimi (24'te 1)
  • Ekran Boyutu ve Renk Derinliği (1.700'de 1)
  • Sistem Yazı Tipleri (11'de 1)
  • Çerezler Etkin mi? (1.3'te 1)
  • Sınırlı SuperCookie testi (2'si 1 arada)

Özgünlük için göze çarpanlar açıkça User Agent ve Tarayıcı Eklentileridir. Bu öğelerin bir tarayıcı parmak izi oluşturmak için birlikte kullanıldığını , bu nedenle bireysel puanlar kadar güçlü olduklarını unutmayın. Buradaki kümülatif benzersizlik: 4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2aka GERÇEKTEN BİR NUMARASI . Bu ... oldukça benzersiz.

Flash şu anda "etkinleştirmek için tıklayın" ile devre dışı bıraktım. Flash'ı etkinleştirmek şunları ekler:

  • Sistem Yazı Tipleri (374k'de 1)

Flash, ikinci en benzersiz tespit edilebilir öğeyi sağlar, ancak Panopticlick'te varsayılan JavaScript algılamasının ürettiği çok büyük bir sayı olmasına rağmen, bu tür bir tarayıcı parmak izi çalışmasının çalışması için Flash'ın gerekli olduğundan emin değilim. Sadece JavaScript etkin olmak yeterli.

Tarayıcı parmak izi olsa da, sadece hikayenin bir parçasıdır. Anonim kullanıcılardan algıladıklarımızın toplamını düşünün, çünkü hepsi anonim kullanıcıların parmak izi için birlikte çalışabilir. Algılanan verileri toplamak ve kullanmak ne kadar zor?

  1. Tarayıcı detayı, yukarıda gösterildiği gibi koklama (kolay)
  2. Artıları ve eksileri ile bilinen bir güvenilirlik seviyesine sahip olan IP Adresi (kolay)
  3. Kullanım (günün saati), yazma, fare veya parmak hareketleri, sözcük kullanımı (zor, bazı sunucu tarafı, bazı müşteri tarafı) gibi kullanıcı davranış kalıpları

Tek başına tarayıcı koklama konusunda endişelendiğim bir şey, kullanıcıların tarayıcıları değiştirmesinin ne kadar kolay olduğu. Çoğu platformda en az dört harika ve ücretsiz tarayıcı alternatifi var: Chrome, Opera, Firefox, Safari. Böylece tarayıcının koklamasını kırmak veya en azından kesmek için tarayıcıları sık sık değiştirebilirsiniz.

Bazı durumlarda, tarayıcıları değiştirseniz ve JavaScript, HTML 5 Local Storage ve Flash devre dışı bırakılmış olsa bile , gerçekten çalışabildiklerinden burada SuperCookies den bahsetmeye değer .

Bir gizlilik araştırmacısı, tüm çerez depolaması devre dışı bırakıldığında ve siteler bir tarayıcı gizlilik modu kullanılarak görüntülendiğinde bile, 500'den fazla sitede kullanıcıları takip edebilen kar amacı gütmeyen bir web analitiği servisinin arkasındaki kötü dahiyi ortaya çıkardı.

(Merak ediyorsanız, TL; DR versiyonu bunu ETag başlığının belirsiz ilkelerini kullanarak yaparak yapıyorlar .)

Her neyse, tarayıcı koklamaya geri dönüyoruz - kullanıcıların bunu yenmek için yapabilecekleri uygunsuz iki şey var:

  1. Tarayıcıları sürekli olarak değiştir.
  2. Her zaman JavaScript ve Flash devre dışı bırakılmış olarak göz atın.

Kullanıcı, tarayıcı ayarları kokladı ve bunları parmak izini yöntemin bir parçası olarak kullanıldığından emin bilmez Ancak, ben son derece mutlaka bu iki şeyler yapmanın bir sorun gider şüpheliyim. Çalışıyor.

Yukarıdaki verilere dayanarak, tarayıcı koklamanın tipik bir anonim internet kullanıcısını tanımlamaya yardımcı olabileceğine inanıyorum - ancak yalnızca IP Adresi gibi anonim internet kullanıcılarının tespit ettiği diğer şeylerle birlikte etkilidir.


7
+1 Hacker. Ailen, zamanını nasıl harcadığını biliyor mu?
P.Brian.Mackey

2
"İlk olarak, kullanıcıların modern web'de JavaScript'i devre dışı bırakmalarını beklemenin gerçekçi olduğunu düşünmüyorum." Basit bir NoScript çözümünün izlememi tamamen durdurduğuna sevindim.
Arda Xi,

93
"aka GERÇEKTEN BÜYÜK NUMARASI. Bu ... oldukça benzersiz." Bu özellikler kullanıcılar arasında rastgele dağıtılıyorsa benzersizdir. Kullanıcıların çoğunluğunun daha küçük bir alt küme alt aracı ve eklenti yapılandırmaları çalıştırması mümkün mü? Yüksek derecede korelasyon gösteren bazı ajanlar veya eklenti yapılandırmaları var mı? Bunun benzersiz olmasına güvenecekseniz, bu özelliklerin kullanıcılar arasındaki dağılımına bakmalısınız, sadece mümkün olan en iyi durum değil.
Charles E. Grant

3
@Arda Xi: Yine de sıkıntılı bir tarama deneyimi yaşatıyor ...;)
BoltClock

1
"İlk olarak, kullanıcıların modern web'de JavaScript'i devre dışı bırakmalarını beklemenin gerçekçi olduğunu düşünmüyorum." Saygılarımızla, yanılıyorsunuz. Noscript addon ile bilinmeyen sitelerde modern webin tadını çıkarırken, bilinmeyen web siteniz için komut dosyalarının devre dışı bırakılması kolaydır.
Arkh

11

Tarayıcı parmak izi çok heterojen bir tarayıcı / cihaz ekosistemine dayanır. Dikkate alınacak bir şey, bu anlamda çok daha az parçalanmış eğilimde olan akıllı telefonlarda ve tabletlerde / pedlerde giderek daha fazla gezinme gerçekleştirildiğinden daha homojen bir ekosisteme doğru ilerliyoruz. Örneğin, iPhone'lar / iPad'ler aslında aynı görünecek.


3
mükemmel bir nokta ve bir tür hüzünlü. Ancak bu çok muhtemel bir gerçektir.
Jeff Atwood

İPhone'ların ve iPad modellerinin sayısı değişiyor.
JoJo

10

Tarayıcı parmak izi, adsız kullanıcıları benzersiz şekilde tanımlamak için yeterli bir yöntem midir?

Hayır, en iyi ihtimalle bir Bilgisayarı benzersiz şekilde tanımlayabilir . Çerez \ oturumu dışında aynı ağdaki (aynı IP) 2 yeni (ve benzeri) bilgisayar arasında ayrım yapması mümkün değildir.

Fare hareketleri veya yazma düzenleri gibi biyometrik verileri dahil ederseniz ne olur?

Bu gerçekçi görünmüyor. Bu, neredeyse tamamen JavaScript’te kodlanmalı ve “bio-metrik veriler” tamamen müşteri tarafındaydı. Kullanıcı sadece onu kapatabilir. Ayrıca "biyo-metrik veri" niz neye benzeyecek Perl Script?


Dolandırıcılıkla mücadelede bu tür taktiklerin kullanılması iyi bir fikirdir,% 100 olması gerekmiyor. Dolandırıcılıkta herhangi bir düşüş, sadece% 5'lik bir iyileşme olsa bile iyidir.

Dolandırıcılığa karşı mücadele artımlıdır, dolandırıcılığa karşı savaşmak için tek bir mermi çözümü yoktur, hatta birini arama zahmetine girmeyin.


EDIT: Aşağıdaki Yorumlara cevap vermek (ve çok alakalı olduğu için), parmak izi uygulamasının farklı profilleri ele alması, benim inancım doğrultusunda net bir NEGATİF'tir *. Bu, kötü niyetli bir kullanıcının parmak izi mekanizmasını kandırmak için kullanacağı bir şeydir; kullanıcının parmak izi işleminde kullanılan tüm değişkenler üzerinde kontrolü elinde bulundurması, kendi başına ciddi bir kusurdur .

* Bu yüzden en iyi ihtimalle tek bir bilgisayarı tanımlayabileceğimi söylüyorum, çünkü BETTER daha sonra Bilgisayardaki tek bir Hesabı tanımlıyor. İkisini birden yapabilirseniz, bu harika.


3
"biyo-metrik veriler" , insanlar siteye girdiğinde , hangi URL’leri, ne sıklıkta, kelime ve dil kalıplarını da gösterebilir . Bunların hiçbiri JavaScript gerektirmez
Jeff Atwood 20

2
Parmak izi, aynı makinedeki farklı hesapları bile tanımlayabilir. İngilizce, İsveççe ve biraz İspanyolca biliyorum. Mac'imi buna göre yapılandırdım. Firefox bir sayfa talep ettiğinde "Kabul Et Dili: en-us, en; q = 0.8, sv; q = 0.5, es; q = 0.3" gönderilir. Karım İspanyolca bilmiyor. Aynı makinedeki hesabındaki Firefox "es" terimini içermiyor. Oldukça açıkçası bu söylediğiniz bir şey mümkün değil.
Andrew Dalke,

Andy, Sadece sizin kullanıcı profiliniz olduğu için, bilgisayarın başında oturduğunuz anlamına gelmez.
Morons

4
Mor, "En iyi ihtimalle bir bilgisayarı benzersiz şekilde tanımlayabilir" ifadeniz yanlıştır. En iyi ihtimalle, aynı bilgisayardaki farklı hesaplar arasında ayrım yapabilir. Ağa bağlı bir hesapsa, aynı ağdaki iki farklı hesap arasında ayrım yapmak mümkün olabilir. Hesabı birden çok kişinin kullanabilmesi farklı bir konudur.
Andrew Dalke

6

@Vincentcr ile aynı fikirdeyim , fakat dikkate alınması gereken bir çevre daha eklerdim : şirket ağı.

Burada, tam olarak aynı tarayıcı, eklentiler, yazı tipleri vb. İle düzinelerce veya yüzlerce (potansiyel) kullanıcı bulmanız muhtemeldir. @Vincentcr ek faktörleri burada da başarısız olur - IP adresleri, kullanıcılar geride ise, aynı olabilir. kurumsal güvenlik duvarı, kullanıcıların rapor ettiği yerler gibi.

Etkili fare hareketleri ve yazma desenleri olsa bile, bu tekniklerin herhangi bir güvenlik türüne sahip benzersiz kullanıcıları tanımlamak için kullanılıp kullanılamayacağından şüpheleniyorum ve kullanıcı hesaplarının kullanıcının değişen tarayıcılarında hayatta kalmasını sağlamak istiyorsanız, geri almak zorunda kalacaksınız. Zaten daha geleneksel bir kimlik doğrulama sistemi ile.

Diğerlerinin dediği gibi, spam botlarını ve benzerlerini tespit etmede biraz yararlı olabilir. Örneğin, WordPress eklentisi "Kötü Davranış", spam botlarını tespit etmek amacıyla HTTP başlıklarını (diğer faktörlerin yanı sıra) analiz eder.


Çok iyi bir nokta. Her ne kadar bilgisayardan bilgisayara farklılık gösterebilecek olan saat sapması gibi şeyleri tespit edebilseniz de, görünüşte flaş üzerinden gerçek IP'lere erişebilirsiniz. Bir kurumsal ortamda daha az işe yarayan ancak daha az işe yarar bir monitör çözünürlüğü de vardır.
SMrF

4

Çok sayıda kombinasyon olsa bile, hepsi eşit dağılmadı.

Diyelim ki bir macbook üzerindeki kaç kişinin sadece stok konfigürasyonunu kullanacağını düşünün. Veya hiçbir eklenti yüklemeyenler: Kullanıcıların çoğunluğunun bu olduğundan şüpheleniyorum.

Ve en sonunda, en hızlı büyüyen cihaz segmentine sahipsiniz: cep telefonu ve tablet kullanıcıları, özellikle sadece iki değişkene indirgendiğiniz iPhone'lar ve iPad'ler: make ve sürüm numarası.

Bu nedenle, diğer faktörlerle (mevcut olduğunda ip adresi veya bulunduğu yer gibi) birleştirildiğinde iyi bir sezgisel olabilir, ancak bundan daha fazlası olamaz.


3

Tarayıcı parmak izini kullanarak, web üzerindeki tek bir kullanıcıyı tanımlayabilirsiniz ve tek dezavantajı, her kullanıcı için javascript'i zorunlu hale getirmenizdir.

İki ilke üzerinde çalışır:

  1. 8 parametreye dayalı tarayıcı parmak izini tespit etme
  2. Herhangi bir parametreyi değiştirerek birinin parmak izini değiştirip değiştirmediğini tespit edin.

Parmak izinin başarısı, ikinci prensibe bağlıdır; Birisinin parmak izini değiştirip değiştirmediğini belirlemek için

Daha fazla bilgi için sadece mevcut kodu deneyin . Geri dönen bir kullanıcıyı tespit etmek için kendi algoritmanızı geliştirmeniz gerekir, çünkü https://panopticlick.eff.org/ tarafından kullanılan algoritma şu anda% 100 verimli değildir.


1
'% 100 verimli değil' veya belki '% 100 etkili değil'? Bu noktada detay verebilir misiniz?
Martijn Pieters

2

Bazı tarayıcılar HSTS Süper Çerezler aracılığıyla da tanımlanabilir.

Burası, her ziyaretçi için rastgele güvenli ve güvenli olmayan kaynak kümelerine yönelik istekleri içeren bir sayfa ekleyebilir, ardından geri dönen bir ziyarette isteklerinin düzenini izleyebilir. Her kaynak aynı düzende istenirse, kullanıcıyı tanımlamak için bu bilgileri kullanabilirsiniz.

Bunlar, aksi halde daha genel bir tarayıcı parmak izine sahip olacak iPhone / iPad'lerin tanımlanması için özellikle yararlıdır. Bu yaklaşım, HSTS'nin desteklenmediği Internet Explorer için çok kullanışlı değildir.

Bu makale yaklaşımı açıklamaktadır; http://www.radicalresearch.co.uk/lab/hstssupercookies/

Bu makale, kullanıcıları tanımlamak için HSTS Süper Çerezlerden nasıl yararlanılacağının iyi bir örneğidir; https://nakedsecurity.sophos.com/2015/02/02/anatomy-of-a-browser-dilemma-how-hsts-supercookies-make-you-choose-between-privacy-or-security/


0

Javascript zorunlu değildir, PHP'den alınacak başka birçok parametre vardır. Yani, kullanıcının% 99'unda JS var, neden rahatsız ediyor

Parmak izi yeterli benzersiz bir kimlik sağlayabilir mi? Öyle inanıyorum. Ve böylece www.visitor-intelligence.com'a ardışık tarama felsefesiyle diyor. Bunu düşün.

Kişisel özel galaksiniz tüm gezegenimiz kadar büyük değil.

Fransız aksanıyla kaç tane uzun boylu, kahverengi saçlı, mavi gözlü kız sokağınızda yürür? Gezegen ölçeğinde, milyonlarca. Ama bahse girerim senin caddede (veya dükkanını ziyaret ederken) oldukça benzersiz olurdu.

Champs Elysees'de yaşamadıkça. O zaman daha yakından bak. Zayıf ve manken gibi yürüyor mu? Pahalı bir el çantası takar mı? Tamam, şu an tamamen eşsiz biri :-)

Yalnızca başlıklara bakmak yanlıştır, çünkü tarayıcı sürüm numarasını ve daha değişken parametreleri içerir.

Şu anda Chrome 27 ve Firefox 21'deyiz. Tarayıcı versiyonunu fark etmeden bile güncelliyoruz.

Şimdi, tam eklenti listesine bakmak da oldukça yanlış. Şunu deneyin: firefox'u yükleyin, akrobat okuyucuyu yükleyin, sonra Chrome'u yükleyin. Bahse girerim Acrobat Reader Chrome eklenti listenizde görünmeyecek :-)

Yani ... Alt satır: standart boyutlu bir dükkan için iyi bir tanımlama sistemi arıyorsanız, parmak izi yeterli ve hatta çerezlerden bile daha kararlı (hemen hemen her gün tüm çerezlerimi sildim).

Sadece 2 sentim

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.