¿Las huellas digitales del navegador son un método suficiente para identificar de forma exclusiva a los usuarios anónimos? ¿Qué sucede si incorpora datos biométricos como gestos del mouse o patrones de escritura?
El otro día me encontré con el experimento Panopticlick EFF se ejecuta en las huellas digitales del navegador .
Por supuesto, inmediatamente pensé en las repercusiones de la privacidad y en cómo podría usarse para el mal. Pero, por otro lado, esto podría usarse para un gran bien y, al menos, es un problema tentador para trabajar.
Mientras investigaba el tema, encontré algunas compañías que usaban las huellas digitales del navegador para atacar el fraude. Y después de enviar algunos correos electrónicos, puedo confirmar que al menos un sitio de citas importante está utilizando las huellas digitales del navegador como un mecanismo para detectar cuentas falsas. (Nota: Han descubierto que no es lo suficientemente único como para actuar como una identidad al escalar a millones de usuarios. Pero, mi cerebro programador no quiere creerles).
Aquí hay una empresa que utiliza las huellas digitales del navegador para la detección y prevención de fraudes:
http://www.bluecava.com/
Aquí hay una lista bastante completa de cosas que puede usar como identificadores únicos en un navegador:
http://browserspy.dk/
Respuestas:
Primero, no creo que sea realista esperar que los usuarios tengan JavaScript deshabilitado en la web moderna. Así que echemos un vistazo a lo que Panopticlick puede recopilar solo a través de JavaScript, junto con la puntuación de singularidad de mi navegador en particular:
Las características destacadas de la singularidad son claramente User Agent y Browser Plugins. Recuerde que estos elementos se usan juntos para formar una huella digital del navegador, por lo que son más que tan fuertes como los puntajes individuales. La unicidad acumulativa aquí es:
4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2
también conocido como un NÚMERO REALMENTE GRANDE . Eso es ... bastante único.Tengo Flash deshabilitado en este momento, con "clic para activar". Habilitar Flash agrega:
Flash proporciona el segundo elemento detectable más exclusivo, pero dado el enorme número que produce incluso la detección predeterminada de JavaScript en Panopticlick, no estoy seguro de que Flash sea necesario para que este tipo de huellas digitales del navegador funcione. Solo JavaScript habilitado es suficiente.
Sin embargo, las huellas digitales del navegador son simplemente una parte de la historia. Considere la suma de todo lo que podemos detectar de los usuarios anónimos, porque todo puede funcionar en conjunto para identificar a los usuarios anónimos. ¿Qué tan difícil es reunir y usar los datos detectados?
Una cosa que me preocupa con el rastreo del navegador solo es cuán trivialmente fácil es para los usuarios cambiar de navegador. Hay al menos cuatro alternativas de navegador excelentes y gratuitas en la mayoría de las plataformas: Chrome, Opera, Firefox, Safari. Entonces, para romper el rastreo del navegador, o al menos interrumpirlo, puede cambiar de navegador con frecuencia.
Vale la pena mencionar las llamadas SuperCookies aquí, ya que en realidad pueden funcionar, en algunos casos, incluso si cambia de navegador e incluso si JavaScript, HTML 5 Local Storage y Flash están deshabilitados .
(Si tiene curiosidad, la versión TL; DR es que lo hacen explotando principios oscuros del encabezado ETag ).
De todos modos, volviendo al rastreo del navegador: hay dos cosas algo inconvenientes que los usuarios pueden hacer para vencer esto:
Sin embargo, si el usuario no sabe que la configuración de su navegador se está analizando y utilizando como parte del método para tomar las huellas digitales, dudo mucho que necesariamente se molesten en hacer estas dos cosas. Es trabajo.
Según los datos anteriores, creo que el rastreo del navegador puede ayudar a identificar al usuario anónimo típico de Internet, pero solo es efectivo en combinación con las otras cosas que normalmente detectamos de los usuarios anónimos de Internet como la dirección IP.
fuente
Las huellas digitales del navegador se basan en un ecosistema de navegador / dispositivo muy heterogéneo. Una cosa a tener en cuenta es que nos estamos moviendo hacia un ecosistema cada vez más homogéneo a medida que se navega cada vez más en teléfonos inteligentes y tabletas / almohadillas que tienden a estar mucho menos fragmentados en este sentido. Los iPhone / iPad, por ejemplo, se verán esencialmente idénticos.
fuente
No, en el mejor de los casos , puede identificar de forma única una computadora . No hay forma de que pueda diferenciar entre 2 computadoras nuevas (y similares) en la misma red (misma IP) sin una cookie \ sesión.
Esto no parece realista. Esto tendría que codificarse casi por completo en JavaScript, ya que los "datos biométricos" son del lado del cliente. El usuario puede simplemente apagarlo. Además, ¿cómo serán sus "datos biométricos"
Perl Script
?Dicho esto, usar este tipo de tácticas para combatir el fraude es una buena idea, no tiene que ser un 100% ... cualquier disminución en el fraude es buena, incluso si es solo una mejora del 5%.
La lucha contra el fraude es incremental, no existe una solución única para combatir el fraude, ni siquiera se moleste en buscarla.
EDITAR: para responder a los comentarios a continuación (y porque es muy relevante), el hecho de que las huellas digitales traten diferentes perfiles es, en mi opinión, un NEGATIVO * neto. Esto es algo que un usuario malintencionado utilizará para engañar al mecanismo de huellas digitales, el hecho de que el usuario tenga control sobre todas las variables utilizadas en las huellas digitales es un defecto serio en sí mismo .
* Por eso digo que, en el mejor de los casos, puede identificar una sola computadora, porque eso es MEJOR que identificar una sola cuenta en una computadora. Si puedes hacer ambas cosas, eso es genial.
fuente
Estoy de acuerdo con @vincentcr , pero agregaría un entorno más para considerar: la red corporativa.
Aquí es probable que encuentre muchas docenas o cientos de usuarios (potenciales) con exactamente el mismo navegador, complementos, fuentes, etc. Los factores adicionales que @vincentcr sugiere también fallan aquí: es probable que las direcciones IP sean las mismas si los usuarios están detrás de un firewall corporativo, como son las ubicaciones reportadas por los usuarios.
Incluso teniendo en cuenta los gestos del mouse y los patrones de tipeo, dudo que estas técnicas se puedan utilizar para identificar usuarios únicos con cualquier forma de seguridad, y si desea que las cuentas de usuario puedan sobrevivir al cambio de navegadores del usuario, tendría que respaldarlo. con un sistema de autenticación más tradicional de todos modos.
Aunque, como han dicho otros, puede ser algo útil para detectar spambots y similares. Por ejemplo, el complemento de WordPress "Mal comportamiento" analiza los encabezados HTTP (entre otros factores) en un intento de detectar spambots.
fuente
Incluso si hay una gran cantidad de combinaciones, no todas se distribuyen de manera uniforme.
Piense cuántas personas en, digamos, un macbook, solo usarán la configuración estándar. O aquellos que nunca instalan ningún complemento: sospecho que son la mayoría de los usuarios.
Y en el extremo, tiene el segmento de dispositivos de más rápido crecimiento: usuarios de teléfonos móviles y tabletas, especialmente iPhones y iPads, donde se reduce a solo dos variables: marca y número de versión.
Por lo tanto, podría ser una buena heurística cuando se combina con otros factores (como la dirección IP o la ubicación cuando esté disponible), pero no mucho más que eso.
fuente
Usando las huellas digitales del navegador, puede identificar a un usuario individual en la web, y el único inconveniente es que debe hacer que javascript sea obligatorio para cada usuario.
Funciona en dos principios:
El éxito de las huellas digitales depende del segundo principio; para detectar si alguien ha cambiado la huella digital.
Para obtener más información, pruebe el código disponible . Necesita desarrollar su propio algoritmo para detectar un usuario que regresa porque el algoritmo utilizado por https://panopticlick.eff.org/ no es 100% eficiente en este momento.
fuente
Algunos navegadores también se pueden identificar a través de Supercookies HSTS.
Aquí es donde puede incrustar una página con solicitudes a conjuntos aleatorios de recursos seguros y no seguros para cada visitante, luego monitorear el patrón de sus solicitudes en una visita de regreso. Si cada recurso se solicita en el mismo patrón, puede usar esa información para identificar al usuario.
Estos son particularmente útiles para identificar iPhone / iPads que de otro modo tendrían más de una huella digital genérica del navegador. Este enfoque no es tan útil para Internet Explorer donde HSTS no es compatible.
Este artículo explica el enfoque; http://www.radicalresearch.co.uk/lab/hstssupercookies/
Este artículo proporciona un buen ejemplo de cómo aprovechar las Supercookies HSTS para identificar a los usuarios; https://nakedsecurity.sophos.com/2015/02/02/anatomy-of-a-browser-dilemma-how-hsts-supercookies-make-you-choose-between-privacy-or-security/
fuente
Javascript no es obligatorio, ya que hay muchos otros parámetros para rastrear desde PHP. Dicho esto, el 99% de los usuarios tienen JS, ¿por qué molestarse?
¿Las huellas digitales pueden proporcionar una identificación lo suficientemente única? Eso creo. Y así lo dice www.visitor-intelligence.com con su sucesiva filosofía de detección. Piénsalo.
Su galaxia privada personal no es tan grande como todo nuestro planeta.
¿Cuántas chicas altas, de cabello castaño y ojos azules con acento francés caminan por tu calle? A escala planetaria, millones. Pero apuesto a que ella sería bastante única en tu calle (o visitando tu tienda).
A menos que vivas en los Campos Elíseos. Entonces mira más de cerca. ¿Es delgada y camina como una modelo? ¿Ella usa un bolso caro? Muy bien, ella es totalmente única ahora :-)
Mirar puramente los encabezados es incorrecto porque incluye el número de versión del navegador y más parámetros muy variables.
Ahora estamos en Chrome 27 y Firefox 21. Estamos actualizando la versión de los navegadores sin siquiera darnos cuenta.
Ahora, mirar la lista completa de complementos también está bastante mal. Pruebe eso: instale Firefox, instale Acrobat Reader, luego instale Chrome. Apuesto a que Acrobat Reader no aparecerá en tu lista de complementos de Chrome :-)
Entonces ... La conclusión es: si busca un sistema de identificación decente para una tienda de tamaño estándar, las huellas digitales son suficientes e incluso más estables que las cookies (personalmente elimino todas mis cookies casi todos los días).
Solo mis 2 centavos
fuente