A impressão digital do navegador é uma técnica viável para identificar usuários anônimos?

Primeiro, não acho que seja realista esperar que os usuários tenham o JavaScript desativado na Web moderna. Então, vamos dar uma olhada no que o Panopticlick pode reunir por meio do JavaScript, juntamente com a pontuação de exclusividade do meu navegador específico:

• User Agent (1 em 4.184)
• Cabeçalhos HTTP_ACCEPT (1 em 14)
• Detalhes do plug-in do navegador (1 em 1,8 milhões)
• Fuso horário (1 em 24)
• Tamanho da tela e profundidade de cor (1 em 1.700)
• Fontes do sistema (1 em 11)
• Cookies ativados? (1 em 1.3)
• Teste SuperCookie Limitado (1 em 2)

Os destaques da exclusividade são claramente User Agent e Plugins do Navegador. Lembre-se de que esses itens são usados juntos para formar uma impressão digital do navegador, portanto, eles são mais do que tão strongs quanto as pontuações individuais. A unicidade cumulativa aqui é: 4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2 a REALMENTE GRANDE NÚMERO . Isso é ... bem único.

Eu tenho o Flash desativado no momento, com "clique para ativar". A ativação do Flash adiciona:

• Fontes do sistema (1 em 374k)

O Flash fornece o segundo elemento detectável mais exclusivo, mas dado o enorme número que até mesmo a detecção JavaScript padrão da Panopticlick produz, não tenho certeza se o Flash é necessário para que esse tipo de impressão digital do navegador funcione. Apenas JavaScript sendo ativado é o suficiente.

A impressão digital do navegador é apenas uma parte da história, no entanto. Considere a soma de tudo o que podemos detectar de usuários anônimos, porque todos podem trabalhar juntos para identificar usuários anônimos. Quão difícil é coletar e usar os dados detectados?

1. Detecção de detalhes do navegador, conforme mostrado acima (fácil)
2. Endereço IP, que tem um nível conhecido de confiabilidade com os prós e contras (fácil)
3. Padrões de comportamento do usuário, como uso (hora do dia), digitação, movimentos do mouse ou dos dedos, uso de palavras (difícil, algum lado do servidor, algum lado do cliente)

Uma coisa com a qual me preocupo apenas com o sniffing de navegador é o quão trivialmente fácil é para os usuários trocarem de navegador. Existem pelo menos quatro ótimas alternativas de navegador na maioria das plataformas: Chrome, Opera, Firefox Safari Então, para quebrar o navegador farejando, ou pelo menos interrompê-lo, você poderia alternar os navegadores com freqüência.

Vale a pena mencionar os chamados SuperCookies aqui, pois eles podem funcionar, em alguns casos , mesmo se você alternar os navegadores e mesmo que JavaScript, HTML 5 Local Storage e Flash estejam desativados .

A privacy researcher has revealed the evil genius behind a for-profit web analytics service capable of following users across more than 500 sites, even when all cookie storage was disabled and sites were viewed using a browser's privacy mode.

(Se você está curioso, a versão TL; DR é que eles fazem isso explorando princípios obscuros do cabeçalho ETag .)

De qualquer forma, voltando ao sniffing do navegador - há duas coisas inconvenientes que os usuários podem fazer para evitar isso:

1. Troque constantemente os navegadores.
2. Navegue sempre com JavaScript e Flash desativados.

No entanto, se o usuário não souber que as configurações de seu navegador estão sendo detectadas e usadas como parte do método para imprimi-las, duvido que elas tenham o trabalho de fazer isso. duas coisas. É trabalho.

Com base nos dados acima, acredito que o navegador sniffing pode ajudar a identificar o típico usuário anônimo da Internet - mas só é eficaz em combinação com outras coisas que normalmente detectamos de usuários anônimos da Internet, como IP Endereço.

A impressão digital do navegador depende de um ecossistema de navegador / dispositivo muito heterogêneo. Uma coisa a considerar é que estamos nos movendo em direção a um ecossistema cada vez mais homogêneo, à medida que mais e mais surfe são feitos em smartphones e tablets / pads, que tendem a ser muito menos fragmentados nesse sentido. IPhones / iPads, por exemplo, todos parecem essencialmente idênticos.

Is browser fingerprinting a sufficient method for uniquely identifying anonymous users?

Não, no melhor ele pode identificar exclusivamente um Computador . Não há como diferenciar entre 2 novos (e semelhantes) computadores na mesma rede (o mesmo IP) sem um cookie \ session.

What if you incorporate biometric data like mouse gestures or typing patterns?

Isso não parece realista. Isso teria que ser codificado quase inteiramente em JavaScript, já que "dados bio-métricos" são todos do lado do cliente. O usuário pode simplesmente desligá-lo. Além disso, como serão seus "dados biométricos" para um Perl Script ?

Dito isso, usar esse tipo de tática para combater a fraude é uma boa idéia. Não precisa ser 100%. Qualquer redução na fraude é boa, mesmo que seja apenas uma melhoria de 5%.

A luta contra a fraude é incremental, não existe uma solução única para combater a fraude, nem se preocupe em procurar uma.

EDITAR: Para responder aos comentários abaixo (e porque é muito relevante), o fato de que a impressão digital trata diferentes perfis é, em minhas crenças, uma rede NEGATIVA *. Isso é algo que um usuário mal-intencionado usará para enganar o mecanismo de impressão digital, o fato de que o usuário tem controle sobre todas as variáveis usadas na impressão digital é uma falha serosa em si mesma .

* É por isso que eu digo que na melhor das hipóteses ele pode identificar um único computador, porque isso é melhor, em seguida, identificando uma única conta em um computador. Se você pode fazer as duas coisas, isso é ótimo.

Eu concordaria com @vincentcr , mas adicionaria mais um ambiente a considerar: a rede corporativa.

Aqui é provável que você encontre muitas dezenas ou centenas de usuários (potenciais) com o mesmo navegador, plugins, fontes, etc. Os fatores adicionais @ vincentcr sugere também falha aqui - os endereços IP provavelmente serão os mesmos se os usuários estiverem atrás de um firewall corporativo, assim como os locais relatados pelos usuários.

Mesmo com os gestos do mouse e os padrões de digitação incluídos, duvido que essas técnicas possam ser usadas para identificar usuários únicos com qualquer tipo de segurança e, se você quiser que as contas de usuário sobrevivam ao navegador, você teria para fazer o backup com um sistema de autenticação mais tradicional de qualquer maneira.

Embora, como outros já disseram, pode ser útil na detecção de spambots e similares. Por exemplo, o plugin do WordPress "Bad Behavior" analisa cabeçalhos HTTP (entre outros fatores) em uma tentativa de detectar spambots.

Mesmo se houver um grande número de combinações, elas não são todas distribuídas uniformemente.

Pense em quantas pessoas, digamos, de um macbook, usarão apenas a configuração de estoque. Ou aqueles que nunca instalam nenhum plugin: eu suspeito que esses sejam a maioria dos usuários.

E no extremo, você tem o segmento de dispositivos que mais cresce: usuários de telefones celulares e tablets, especialmente iPhones e iPads, onde você é reduzido a apenas duas variáveis: marca e número de versão.

Portanto, pode ser uma boa heurística quando combinada com outros fatores (como endereço IP ou local quando disponível), mas não muito mais que isso.

Usando a impressão digital do navegador, você pode identificar um usuário individual na Web e a única desvantagem é que você precisa tornar o javascript obrigatório para todos os usuários.

Funciona em dois princípios:

1. Detectar a impressão digital do navegador com base em 8 parâmetros
2. Detectar se alguém mudou sua impressão digital alterando qualquer parâmetro.

O sucesso da impressão digital depende do segundo princípio; para detectar se alguém mudou a impressão digital.

Para mais informações, experimente o código disponível . Você precisa desenvolver seu próprio algoritmo para detectar um usuário recorrente, pois o algoritmo usado pelo link não é 100% eficiente no momento.

Alguns navegadores também podem ser identificados via Supercookies HSTS.

É aqui que você pode incorporar uma página com solicitações a conjuntos aleatórios de recursos seguros e não seguros para cada visitante e, em seguida, monitorar o padrão de suas solicitações em uma visita de retorno. Se cada recurso for solicitado no mesmo padrão, você poderá usar essas informações para identificar o usuário.

Estes são particularmente úteis para identificar iPhone / iPads que, de outro modo, teriam mais uma impressão digital genérica do navegador. Essa abordagem não é tão útil para o Internet Explorer, onde o HSTS não é suportado.

Este artigo explica a abordagem; link

Este artigo fornece um bom exemplo de como aproveitar os Supercookies da HSTS para identificar usuários; link

Javascript não é obrigatório, existem muitos outros parâmetros para detectar o PHP. Dito isto, 99% do usuário tem JS então por que se preocupar

A impressão digital pode fornecer uma identificação única o suficiente? Eu acredito que sim. E assim diz www.visitor-intelligence.com com sua filosofia de seleção sucessiva. Pense nisso.

Sua galáxia privada pessoal não é tão grande quanto o nosso planeta inteiro.

A menos que você viva em Champs Elysees. Então olhe mais de perto. Ela é magra e anda como uma modelo? Ela usa uma bolsa cara? Tudo bem, ela é totalmente única agora: -)

Olhar puramente para os cabeçalhos está errado porque inclui o número da versão do navegador e mais parâmetros muito variáveis.

Estamos agora no Chrome 27 e no Firefox 21. Estamos atualizando a versão dos navegadores sem nem perceber.

Agora, olhando para a lista de plugins completa também está completamente errado. Tente isso: instale o firefox, instale o Acrobat Reader e instale o Chrome. Eu aposto que o acrobat reader não vai aparecer na sua lista de plugins do Chrome: -)

Então ... A conclusão é: se você procurar por um sistema de identificação decente para uma loja de tamanho padrão, então a impressão digital é bastante simples e ainda mais estável do que os cookies (eu pessoalmente excluo todos os meus cookies quase todos os dias).

Apenas meus 2 centavos