क्या अनाम उपयोगकर्ताओं की पहचान करने के लिए ब्राउज़र एक व्यवहार्य तकनीक का उपयोग कर रहा है?

क्या ब्राउज़र अनाम उपयोगकर्ताओं की विशिष्ट पहचान के लिए एक पर्याप्त विधि है? क्या होगा यदि आप माउस जेस्चर या टाइपिंग पैटर्न जैसे बायोमेट्रिक डेटा को शामिल करते हैं?

दूसरे दिन जब मैं Panopticlick प्रयोग में भाग गया EFF ब्राउज़र उंगलियों के निशान पर चल रहा है ।

बेशक मैंने तुरंत गोपनीयता के नतीजों के बारे में सोचा और इसका इस्तेमाल बुराई के लिए कैसे किया जा सकता है। लेकिन दूसरी तरफ, यह बहुत अच्छे के लिए इस्तेमाल किया जा सकता है और, बहुत कम से कम, यह काम करने के लिए एक आकर्षक समस्या है।

विषय पर शोध करते समय मुझे धोखाधड़ी पर हमला करने के लिए ब्राउज़र फिंगरप्रिंटिंग का उपयोग करने वाली कुछ कंपनियां मिलीं। और कुछ ईमेल भेजने के बाद मैं पुष्टि कर सकता हूं कि कम से कम एक प्रमुख डेटिंग साइट ब्राउज़र फिंगरप्रिंटिंग का उपयोग कर रही है, लेकिन नकली खातों का पता लगाने के लिए एक तंत्र। (नोट: उन्होंने पाया है कि उपयोगकर्ताओं के लाखों लोगों को स्केल करते समय पहचान के रूप में कार्य करना अद्वितीय नहीं है। लेकिन, मेरा प्रोग्रामर मस्तिष्क उन पर विश्वास नहीं करना चाहता है)।

धोखाधड़ी का पता लगाने और रोकथाम के लिए ब्राउज़र फ़िंगरप्रिंट का उपयोग करने वाली एक कंपनी है:
http://www.bluecava.com/

यहाँ सामान की एक विस्तृत सूची है जिसे आप एक ब्राउज़र में अद्वितीय पहचानकर्ताओं के रूप में उपयोग कर सकते हैं:
http://browserspy.dk/

पहले, मुझे नहीं लगता कि उपयोगकर्ताओं को आधुनिक वेब पर जावास्क्रिप्ट अक्षम होने की उम्मीद करना यथार्थवादी है। तो आइए एक नज़र डालते हैं कि Panopticlick अकेले जावास्क्रिप्ट के माध्यम से क्या इकट्ठा कर सकती है, साथ ही मेरे विशेष ब्राउज़र की विशिष्टता स्कोर के साथ:

• उपयोगकर्ता एजेंट (4,184 में 1)
• HTTP_ACCEPT हेडर (14 में 1)
• ब्राउज़र प्लगइन विवरण (1.8 मिलियन में 1)
• समय क्षेत्र (24 में 1)
• स्क्रीन का आकार और रंग गहराई (1,700 में 1)
• सिस्टम फ़ॉन्ट्स (11 में 1)
• कुकीज़ सक्षम हैं? (1.3 में 1)
• लिमिटेड SuperCookie परीक्षण (2 में 1)

विशिष्टता के लिए स्टैंडआउट स्पष्ट रूप से उपयोगकर्ता एजेंट और ब्राउज़र प्लगइन्स हैं। याद रखें कि इन वस्तुओं का उपयोग किया जाता एक साथ एक ब्राउज़र अंगुली की छाप के रूप में है, इसलिए वे अधिक से अधिक व्यक्तिगत स्कोर के रूप में मजबूत कर रहे हैं। यहाँ संचयी विशिष्टता है: 4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2उर्फ एक वास्तविक बड़ी संख्या । यह ... बहुत अनूठा है।

मैंने इस समय फ़्लैश अक्षम कर दिया है, "क्लिक टू एक्टिवेट"। फ़्लैश सक्षम करना कहते हैं:

• सिस्टम फ़ॉन्ट्स (374k में 1)

फ्लैश दूसरा सबसे अनूठा पता लगाने वाला तत्व प्रदान करता है, लेकिन पैनोप्टिक्लिक उत्पादन में डिफ़ॉल्ट जावास्क्रिप्ट का पता लगाने के लिए भी भारी संख्या दी गई है, मुझे यकीन नहीं है कि फ्लैश इस तरह के ब्राउज़र फिंगरप्रिंटिंग के लिए आवश्यक है। बस जावास्क्रिप्ट सक्षम होना काफी है।

हालांकि, ब्राउज़र फिंगरप्रिंटिंग कहानी का एक हिस्सा है। इस बात पर विचार करें कि हम सभी अनाम उपयोगकर्ताओं से क्या पता लगा सकते हैं, क्योंकि यह सभी फिंगरप्रिंट अनाम उपयोगकर्ताओं के साथ मिलकर काम कर सकते हैं। पता किए गए डेटा को इकट्ठा करना और उसका उपयोग करना कितना मुश्किल है?

1. ब्राउज़र विस्तार सूँघना, जैसा कि ऊपर दिखाया गया है (आसान)
2. आईपी ​​पता, जिसमें पेशेवरों और विपक्ष (आसान) के साथ विश्वसनीयता का एक ज्ञात स्तर है
3. उपयोगकर्ता के व्यवहार के पैटर्न जैसे उपयोग (दिन का समय), टाइपिंग, माउस या उंगली की हरकत, शब्द का उपयोग (हार्ड, कुछ सर्वर साइड, कुछ क्लाइंट साइड)

एक बात मुझे ब्राउज़र के बारे में चिंता है अकेले सूँघना उपयोगकर्ताओं को ब्राउज़र स्विच करने के लिए कितना आसान है। अधिकांश प्लेटफार्मों पर कम से कम चार महान और मुफ्त ब्राउज़र विकल्प हैं: क्रोम, ओपेरा, फ़ायरफ़ॉक्स, सफारी। तो ब्राउज़र को सूँघने के लिए, या कम से कम इसे बाधित करने के लिए, आप अक्सर ब्राउज़र स्विच कर सकते थे।

यह तथाकथित SuperCookies यहाँ उल्लेख के लायक है क्योंकि वे वास्तव में काम कर सकते हैं, कुछ मामलों में, भले ही आप ब्राउज़र स्विच करें और यहां तक ​​कि अगर जावास्क्रिप्ट, HTML 5 स्थानीय भंडारण और फ्लैश अक्षम हैं ।

एक गोपनीयता शोधकर्ता ने 500 से अधिक साइटों पर उपयोगकर्ताओं का अनुसरण करने में सक्षम एक फॉर-प्रॉफ़िट वेब एनालिटिक्स सेवा के पीछे दुष्ट प्रतिभा का खुलासा किया है, तब भी जब सभी कुकी भंडारण अक्षम थे और साइटें ब्राउज़र की गोपनीयता मोड का उपयोग करके देखी गई थीं।

(यदि आप उत्सुक हैं, टीएल; डीआर संस्करण यह है कि वे ईटाग हैडर के अस्पष्ट सिद्धांतों का शोषण करके ऐसा करते हैं ।)

वैसे भी, ब्राउज़र सूँघने के लिए वापस आना - दो कुछ असुविधाजनक चीजें हैं जो उपयोगकर्ता इसे हराने के लिए कर सकते हैं:

1. लगातार ब्राउज़र स्विच करें।
2. हमेशा जावास्क्रिप्ट और फ्लैश के साथ ब्राउज़ करें।

हालांकि, अगर उपयोगकर्ता को यह नहीं पता है कि उनकी ब्राउज़र सेटिंग्स को सूँघा जा रहा है और उन्हें फ़िंगरप्रिंट करने के लिए विधि के भाग के रूप में उपयोग किया जाता है, तो मुझे अत्यधिक संदेह है कि वे आवश्यक रूप से इन दो चीजों को करने की परेशानी में जाएंगे। यही काम है।

उपरोक्त आंकड़ों के आधार पर, मेरा मानना ​​है कि ब्राउज़र सूँघने से विशिष्ट अनाम इंटरनेट उपयोगकर्ता की पहचान करने में मदद मिल सकती है - लेकिन यह केवल उन अन्य चीजों के संयोजन में प्रभावी है जिन्हें हम आमतौर पर आईपी पते जैसे गुमनाम इंटरनेट उपयोगकर्ताओं से पहचानते हैं।

ब्राउज़र फिंगरप्रिंटिंग बहुत विषम ब्राउज़र / डिवाइस-इकोसिस्टम पर निर्भर करता है। एक बात पर विचार करना है कि हम अधिक से अधिक समरूप पारिस्थितिकी तंत्र की ओर बढ़ रहे हैं क्योंकि स्मार्टफोन और टैबलेट / पैड पर अधिक से अधिक सर्फिंग की जाती है जो इस अर्थ में बहुत कम खंडित हो जाते हैं। उदाहरण के लिए आईफ़ोन / आईपैड सभी समान रूप से समान दिखेंगे।

क्या ब्राउज़र अनाम उपयोगकर्ताओं की विशिष्ट पहचान के लिए एक पर्याप्त विधि है?

नहीं, सबसे अच्छा यह विशिष्ट रूप से एक कंप्यूटर की पहचान कर सकता है । कोई तरीका नहीं है कि यह कुकी नेटवर्क के साथ एक ही नेटवर्क (समान IP) पर 2 नए (और जैसे) कंप्यूटरों के बीच अंतर कर सकता है।

क्या होगा यदि आप माउस जेस्चर या टाइपिंग पैटर्न जैसे बायोमेट्रिक डेटा को शामिल करते हैं?

यह यथार्थवादी नहीं लगता है। इसे लगभग पूरी तरह से जावास्क्रिप्ट में कोडित करना होगा क्योंकि "बायो-मेट्रिक डेटा" सभी क्लाइंट पक्ष है। उपयोगकर्ता इसे बंद कर सकता है। इसके अलावा आपका "बायो-मेट्रिक डेटा" कैसा दिखेगा Perl Script?

कहा जा रहा है कि धोखाधड़ी से लड़ने के लिए इस तरह की रणनीति का उपयोग करना एक अच्छा विचार है, इसके लिए 100% होना जरूरी नहीं है। धोखाधड़ी में कोई भी कमी अच्छी है, भले ही यह सिर्फ 5% सुधार हो।

धोखाधड़ी के खिलाफ लड़ाई एक वृद्धिशील है, धोखाधड़ी से लड़ने के लिए एक भी गोली समाधान नहीं है, एक की तलाश में परेशान न हों।

संपादित करें: नीचे दी गई टिप्पणियों का उत्तर देने के लिए (और क्योंकि यह बहुत प्रासंगिक है), यह तथ्य कि फ़िंगरप्रिंटिंग विभिन्न प्रोफाइलों का व्यवहार करती है, मेरी मान्यताओं में, एक शुद्ध नकारात्मक *। यह कुछ ऐसा है जो एक दुर्भावनापूर्ण उपयोगकर्ता फ़िंगरप्रिंटिंग तंत्र को मूर्ख बनाने के लिए उपयोग करेगा, यह तथ्य कि उपयोगकर्ता के पास फ़िंगरप्रिंटिंग में उपयोग किए जाने वाले सभी चर पर नियंत्रण है और अपने आप में एक गंभीर दोष है ।

* यही कारण है कि मैं सबसे अच्छा यह एक कंप्यूटर की पहचान कर सकते हैं, क्योंकि यह बेहतर है तो एक कंप्यूटर पर एक एकल खाते की पहचान है। यदि आप दोनों कर सकते हैं, तो यह बहुत अच्छा है।

मैं @vincentcr से सहमत होगा , लेकिन विचार करने के लिए एक और वातावरण जोड़ देगा: कॉर्पोरेट नेटवर्क।

यहां आपको सटीक ब्राउज़र, प्लगइन्स, फोंट आदि के साथ कई दर्जनों या सैकड़ों (संभावित) उपयोगकर्ता मिलने की संभावना है। अतिरिक्त कारक @vincentcr भी यहाँ विफल होने का सुझाव देता है - यदि उपयोगकर्ता एक के पीछे हैं तो आईपी पते समान होने की संभावना है कॉर्पोरेट फ़ायरवॉल, जैसा कि उपयोगकर्ताओं के सूचित स्थान हैं।

माउस के हावभाव और टाइपिंग पैटर्न के साथ भी, मुझे संदेह है कि क्या इन तकनीकों का उपयोग किसी भी प्रकार की सुरक्षा के साथ अद्वितीय उपयोगकर्ताओं की पहचान करने के लिए किया जा सकता है, और यदि आप चाहते थे कि उपयोगकर्ता खाते उपयोगकर्ता को बदलने वाले ब्राउज़र को जीवित रखने में सक्षम हों, तो आपको इसे वापस करना होगा। वैसे भी एक अधिक पारंपरिक प्रमाणीकरण प्रणाली के साथ।

हालांकि जैसा कि दूसरों ने कहा है, यह स्पैम्बोट्स और इस तरह का पता लगाने में कुछ हद तक उपयोगी हो सकता है। उदाहरण के लिए, वर्डप्रेस प्लगइन "खराब व्यवहार" स्पैम्बोट्स का पता लगाने के प्रयास में HTTP हेडर (अन्य कारकों के बीच) का विश्लेषण करता है।

यहां तक ​​कि अगर बड़ी संख्या में संयोजन हैं, तो वे सभी समान रूप से वितरित नहीं किए जाते हैं।

एक मैकबुक पर कितने लोग कहते हैं, बस स्टॉक कॉन्फ़िगरेशन का उपयोग करें। या जो कभी कोई प्लगइन स्थापित नहीं करते हैं: मुझे संदेह है कि वे अधिकांश उपयोगकर्ता हैं।

और सबसे अंत में, आपके पास उपकरणों का सबसे तेजी से बढ़ने वाला खंड है: मोबाइल फोन और टैबलेट उपयोगकर्ता, विशेष रूप से आईफ़ोन और आईपैड, जहां आपको केवल दो चर में घटाया जाता है: बनाना, और संस्करण संख्या।

इसलिए अन्य कारकों (जैसे आईपी पते या स्थान जब उपलब्ध हो) के साथ संयुक्त होने पर यह एक अच्छा अनुमानक हो सकता है, लेकिन इससे अधिक नहीं।

ब्राउज़र फ़िंगरप्रिंटिंग का उपयोग करके आप वेब पर एक व्यक्तिगत उपयोगकर्ता की पहचान कर सकते हैं, और एकमात्र दोष यह है कि आपको प्रत्येक उपयोगकर्ता के लिए जावास्क्रिप्ट अनिवार्य करने की आवश्यकता है।

यह दो सिद्धांतों पर काम करता है:

1. 8 मापदंडों के आधार पर ब्राउज़र फिंगरप्रिंट का पता लगाएं
2. पता लगाएँ कि क्या किसी ने कोई पैरामीटर बदलकर अपना फिंगरप्रिंट बदल दिया है।

फिंगरप्रिंटिंग की सफलता दूसरे सिद्धांत पर निर्भर करती है; यह पता लगाने के लिए कि किसी ने फिंगरप्रिंट बदला है या नहीं।

अधिक जानकारी के लिए बस उपलब्ध कोड का प्रयास करें । आपको एक लौटने वाले उपयोगकर्ता का पता लगाने के लिए अपना स्वयं का एल्गोरिदम विकसित करने की आवश्यकता है क्योंकि https://panopticlick.eff.org/ द्वारा उपयोग किया जाने वाला एल्गोरिथ्म अभी 100% कुशल नहीं है।

कुछ ब्राउज़रों को HSTS Supercookies के माध्यम से भी पहचाना जा सकता है।

यह वह जगह है जहां आप प्रत्येक आगंतुक के लिए सुरक्षित और गैर-सुरक्षित संसाधनों के यादृच्छिक सेट के अनुरोधों के साथ एक पृष्ठ को एम्बेड कर सकते हैं, फिर एक वापसी यात्रा पर उनके अनुरोधों के पैटर्न की निगरानी कर सकते हैं। यदि प्रत्येक संसाधन एक ही पैटर्न में अनुरोध किया गया है, तो आप उपयोगकर्ता को पहचानने के लिए उस जानकारी का उपयोग कर सकते हैं।

ये iPhone / iPads की पहचान करने के लिए विशेष रूप से उपयोगी हैं जो अन्यथा एक सामान्य ब्राउज़र फिंगरप्रिंट के अधिक होंगे। यह दृष्टिकोण इंटरनेट एक्सप्लोरर के लिए इतना उपयोगी नहीं है जहां एचएसटीएस समर्थित नहीं है।

यह लेख दृष्टिकोण की व्याख्या करता है; http://www.radicalresearch.co.uk/lab/hstssupercookies/

यह लेख उपयोगकर्ताओं की पहचान करने के लिए एचएसटीएस सुपरकुकीज़ का लाभ उठाने का एक अच्छा उदाहरण प्रदान करता है; https://nakedsecurity.sophos.com/2015/02/02/anatomy-of-a-browser-dilemma-how-hsts-supercookies-make-you-choose-between-privacy-or-security/

जावास्क्रिप्ट अनिवार्य नहीं है PHP से सूंघने के लिए कई अन्य पैरामीटर हैं। कहा कि, 99% उपयोगकर्ता जेएस है तो परेशान क्यों हैं

क्या फ़िंगरप्रिंटिंग एक अद्वितीय-पर्याप्त पहचान प्रदान कर सकती है? मुझे ऐसा विश्वास है। और इसलिए www.visitor-intelligence.com अपने क्रमिक स्क्रीनिंग दर्शन के साथ कहता है। इसके बारे में सोचो।

आपकी निजी निजी आकाशगंगा हमारे पूरे ग्रह जितनी बड़ी नहीं है।

कितने लम्बे, भूरे बाल, नीली आँखों वाली लड़की आपकी गली में एक फ्रांसीसी उच्चारण के साथ चलती है? एक ग्रह पैमाने पर, लाखों। लेकिन मुझे यकीन है कि वह आपकी गली में बहुत अनोखी होगी (या आपकी दुकान पर जाकर)।

जब तक आप चैम्प्स एलिसे में रहते हैं। फिर करीब से देखो। क्या वह पतली है और एक मॉडल की तरह चलती है? क्या वह एक महंगा हैंडबैग पहनती है? सब ठीक है, वह अब पूरी तरह से अद्वितीय है :-)

विशुद्ध रूप से हेडर को देखना गलत है क्योंकि इसमें ब्राउज़र की संस्करण संख्या और अधिक परिवर्तनीय पैरामीटर शामिल हैं।

अब हम क्रोम 27 और फ़ायरफ़ॉक्स 21 पर हैं। हम ब्राउज़र वर्जन को अपडेट कर रहे हैं, वह भी बिना किसी सूचना के।

अब, पूर्ण प्लगइन सूची को देखना भी काफी गलत है। कोशिश करें कि: फ़ायरफ़ॉक्स स्थापित करें, एक्रोबैट रीडर स्थापित करें, फिर क्रोम स्थापित करें। मुझे यकीन है कि एक्रोबेट रीडर आपकी क्रोम प्लगइन सूची में नहीं दिखाई देगा :-)

इसलिए ... निचला रेखा यह है: यदि आप एक मानक आकार की दुकान के लिए एक सभ्य पहचान sytem की तलाश करते हैं, तो फिंगरप्रिंटिंग पर्याप्त है, और कुकीज़ की तुलना में भी अधिक स्थिर है (मैं व्यक्तिगत रूप से लगभग हर दिन अपने सभी कुकीज़ हटाता हूं)।

बस मेरे 2 सेंट