¿Las huellas digitales del navegador son una técnica viable para identificar usuarios anónimos?

96

¿Las huellas digitales del navegador son un método suficiente para identificar de forma exclusiva a los usuarios anónimos? ¿Qué sucede si incorpora datos biométricos como gestos del mouse o patrones de escritura?

El otro día me encontré con el experimento Panopticlick EFF se ejecuta en las huellas digitales del navegador .

Por supuesto, inmediatamente pensé en las repercusiones de la privacidad y en cómo podría usarse para el mal. Pero, por otro lado, esto podría usarse para un gran bien y, al menos, es un problema tentador para trabajar.

Mientras investigaba el tema, encontré algunas compañías que usaban las huellas digitales del navegador para atacar el fraude. Y después de enviar algunos correos electrónicos, puedo confirmar que al menos un sitio de citas importante está utilizando las huellas digitales del navegador como un mecanismo para detectar cuentas falsas. (Nota: Han descubierto que no es lo suficientemente único como para actuar como una identidad al escalar a millones de usuarios. Pero, mi cerebro programador no quiere creerles).

Aquí hay una empresa que utiliza las huellas digitales del navegador para la detección y prevención de fraudes:
http://www.bluecava.com/

Aquí hay una lista bastante completa de cosas que puede usar como identificadores únicos en un navegador:
http://browserspy.dk/

SMrF
fuente
66
¿Qué tan fácil sería escribir un complemento para su navegador favorito para alterar la huella digital de su navegador? Me imagino que si se pudiera hacer, alguien podría distribuir un complemento que le permita alterar su huella digital a voluntad. Incluso podría contener "perfiles" precargados para que todo un grupo de usuarios pudieran usar la misma huella digital ...
FrustratedWithFormsDesigner
1
Meta desbordamiento de pila relacionados con la discusión acerca de hacer esto en la pila de cambio: Implementar una cierta forma de la huella dactilar del navegador para ayudar a suss calcetines
Con respecto al uso de un complemento para alterar la huella digital del navegador. Este artículo de IEEE ( spectrum.ieee.org/computing/software/… ) argumenta por qué eso podría ser contraproducente
Pimin Konstantin Kefaloukos

Respuestas:

91

Primero, no creo que sea realista esperar que los usuarios tengan JavaScript deshabilitado en la web moderna. Así que echemos un vistazo a lo que Panopticlick puede recopilar solo a través de JavaScript, junto con la puntuación de singularidad de mi navegador en particular:

  • Agente de usuario (1 en 4,184)
  • Encabezados HTTP_ACCEPT (1 en 14)
  • Detalles del complemento del navegador (1 en 1,8 millones)
  • Zona horaria (1 en 24)
  • Tamaño de pantalla y profundidad de color (1 en 1,700)
  • Fuentes del sistema (1 en 11)
  • ¿Cookies habilitadas? (1 en 1.3)
  • Prueba limitada de SuperCookie (1 en 2)

Las características destacadas de la singularidad son claramente User Agent y Browser Plugins. Recuerde que estos elementos se usan juntos para formar una huella digital del navegador, por lo que son más que tan fuertes como los puntajes individuales. La unicidad acumulativa aquí es: 4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2también conocido como un NÚMERO REALMENTE GRANDE . Eso es ... bastante único.

Tengo Flash deshabilitado en este momento, con "clic para activar". Habilitar Flash agrega:

  • Fuentes del sistema (1 en 374k)

Flash proporciona el segundo elemento detectable más exclusivo, pero dado el enorme número que produce incluso la detección predeterminada de JavaScript en Panopticlick, no estoy seguro de que Flash sea necesario para que este tipo de huellas digitales del navegador funcione. Solo JavaScript habilitado es suficiente.

Sin embargo, las huellas digitales del navegador son simplemente una parte de la historia. Considere la suma de todo lo que podemos detectar de los usuarios anónimos, porque todo puede funcionar en conjunto para identificar a los usuarios anónimos. ¿Qué tan difícil es reunir y usar los datos detectados?

  1. Detección de detalles del navegador, como se muestra arriba (fácil)
  2. Dirección IP, que tiene un nivel conocido de confiabilidad con pros y contras (fácil)
  3. Patrones de comportamiento del usuario, tales como uso (hora del día), mecanografía, movimientos del mouse o de los dedos, uso de palabras (difícil, parte del servidor, parte del cliente)

Una cosa que me preocupa con el rastreo del navegador solo es cuán trivialmente fácil es para los usuarios cambiar de navegador. Hay al menos cuatro alternativas de navegador excelentes y gratuitas en la mayoría de las plataformas: Chrome, Opera, Firefox, Safari. Entonces, para romper el rastreo del navegador, o al menos interrumpirlo, puede cambiar de navegador con frecuencia.

Vale la pena mencionar las llamadas SuperCookies aquí, ya que en realidad pueden funcionar, en algunos casos, incluso si cambia de navegador e incluso si JavaScript, HTML 5 Local Storage y Flash están deshabilitados .

Un investigador de privacidad ha revelado el genio malvado detrás de un servicio de análisis web con fines de lucro capaz de seguir a los usuarios en más de 500 sitios, incluso cuando todo el almacenamiento de cookies estaba desactivado y los sitios se veían usando el modo de privacidad de un navegador.

(Si tiene curiosidad, la versión TL; DR es que lo hacen explotando principios oscuros del encabezado ETag ).

De todos modos, volviendo al rastreo del navegador: hay dos cosas algo inconvenientes que los usuarios pueden hacer para vencer esto:

  1. Cambia constantemente de navegador.
  2. Navegue siempre con JavaScript y Flash deshabilitados.

Sin embargo, si el usuario no sabe que la configuración de su navegador se está analizando y utilizando como parte del método para tomar las huellas digitales, dudo mucho que necesariamente se molesten en hacer estas dos cosas. Es trabajo.

Según los datos anteriores, creo que el rastreo del navegador puede ayudar a identificar al usuario anónimo típico de Internet, pero solo es efectivo en combinación con las otras cosas que normalmente detectamos de los usuarios anónimos de Internet como la dirección IP.

Jeff Atwood
fuente
77
+1 Hacker. ¿Tus padres saben cómo pasas tu tiempo?
P.Brian.Mackey
2
"Primero, no creo que sea realista esperar que los usuarios tengan JavaScript deshabilitado en la web moderna". Me alegra que una solución simple de NoScript detenga por completo mi seguimiento.
Arda Xi
93
"también conocido como un NÚMERO REALMENTE GRANDE. Eso es ... bastante único". Solo es único si esas características se distribuyen entre los usuarios al azar. ¿Es posible que la mayoría de los usuarios ejecute un subconjunto mucho más pequeño de agentes y configuraciones de complementos? ¿Hay algunos agentes o configuraciones de complementos que estén altamente correlacionados? Si va a confiar en que esto sea único, debe mirar la distribución de estas características entre los usuarios, no solo el mejor caso posible.
Charles E. Grant
3
@Arda Xi: Sin embargo, sigue siendo una experiencia de navegación problemática ...;)
BoltClock
1
"Primero, no creo que sea realista esperar que los usuarios tengan JavaScript deshabilitado en la web moderna". Sinceramente, estás equivocado. Con el complemento noscript es fácil tener scripts deshabilitados para su sitio web desconocido mientras disfruta de la web moderna en sitios conocidos.
Arkh
11

Las huellas digitales del navegador se basan en un ecosistema de navegador / dispositivo muy heterogéneo. Una cosa a tener en cuenta es que nos estamos moviendo hacia un ecosistema cada vez más homogéneo a medida que se navega cada vez más en teléfonos inteligentes y tabletas / almohadillas que tienden a estar mucho menos fragmentados en este sentido. Los iPhone / iPad, por ejemplo, se verán esencialmente idénticos.

papilla
fuente
3
Un punto excelente, y un poco triste. Pero esa es una realidad muy probable.
Jeff Atwood
La cantidad de modelos de iPhone y iPad es divergente.
JoJo
10

¿Las huellas digitales del navegador son un método suficiente para identificar de forma exclusiva a los usuarios anónimos?

No, en el mejor de los casos , puede identificar de forma única una computadora . No hay forma de que pueda diferenciar entre 2 computadoras nuevas (y similares) en la misma red (misma IP) sin una cookie \ sesión.

¿Qué sucede si incorpora datos biométricos como gestos del mouse o patrones de escritura?

Esto no parece realista. Esto tendría que codificarse casi por completo en JavaScript, ya que los "datos biométricos" son del lado del cliente. El usuario puede simplemente apagarlo. Además, ¿cómo serán sus "datos biométricos" Perl Script?


Dicho esto, usar este tipo de tácticas para combatir el fraude es una buena idea, no tiene que ser un 100% ... cualquier disminución en el fraude es buena, incluso si es solo una mejora del 5%.

La lucha contra el fraude es incremental, no existe una solución única para combatir el fraude, ni siquiera se moleste en buscarla.


EDITAR: para responder a los comentarios a continuación (y porque es muy relevante), el hecho de que las huellas digitales traten diferentes perfiles es, en mi opinión, un NEGATIVO * neto. Esto es algo que un usuario malintencionado utilizará para engañar al mecanismo de huellas digitales, el hecho de que el usuario tenga control sobre todas las variables utilizadas en las huellas digitales es un defecto serio en sí mismo .

* Por eso digo que, en el mejor de los casos, puede identificar una sola computadora, porque eso es MEJOR que identificar una sola cuenta en una computadora. Si puedes hacer ambas cosas, eso es genial.

Imbéciles
fuente
3
Los "datos biométricos" también podrían ser cuando las personas acceden al sitio, qué URL, con qué frecuencia, sus patrones de palabras e idiomas ... nada de esto requiere JavaScript
Jeff Atwood
2
Las huellas digitales pueden identificar incluso diferentes cuentas en la misma máquina. Sé inglés, sueco y algo de español. He configurado mi Mac en consecuencia. Cuando Firefox solicita una página, envía "Accept-Language: en-us, en; q = 0.8, sv; q = 0.5, es; q = 0.3". Mi esposa no sabe español. Firefox en su cuenta en la misma máquina no incluye el término "es". Claramente, esto que dices no es posible.
Andrew Dalke
Andy, solo porque sea tu perfil de usuario, no significa que estés sentado frente a la computadora.
Morons
44
Mor, su afirmación "en el mejor de los casos puede identificar de manera única una computadora" es incorrecta. En el mejor de los casos, puede distinguir entre diferentes cuentas en la misma computadora. Si es una cuenta en red, entonces es posible distinguir entre dos cuentas diferentes en la misma red. Que varias personas puedan usar la cuenta es un asunto diferente.
Andrew Dalke
6

Estoy de acuerdo con @vincentcr , pero agregaría un entorno más para considerar: la red corporativa.

Aquí es probable que encuentre muchas docenas o cientos de usuarios (potenciales) con exactamente el mismo navegador, complementos, fuentes, etc. Los factores adicionales que @vincentcr sugiere también fallan aquí: es probable que las direcciones IP sean las mismas si los usuarios están detrás de un firewall corporativo, como son las ubicaciones reportadas por los usuarios.

Incluso teniendo en cuenta los gestos del mouse y los patrones de tipeo, dudo que estas técnicas se puedan utilizar para identificar usuarios únicos con cualquier forma de seguridad, y si desea que las cuentas de usuario puedan sobrevivir al cambio de navegadores del usuario, tendría que respaldarlo. con un sistema de autenticación más tradicional de todos modos.

Aunque, como han dicho otros, puede ser algo útil para detectar spambots y similares. Por ejemplo, el complemento de WordPress "Mal comportamiento" analiza los encabezados HTTP (entre otros factores) en un intento de detectar spambots.

Ian Renton
fuente
Muy buen punto. Aunque puede detectar cosas como la inclinación del reloj, que variaría de una computadora a otra, y aparentemente puede obtener direcciones IP reales a través de flash. También hay una resolución de monitor, que valdría algo pero sería menos útil en un entorno corporativo.
SMrF
4

Incluso si hay una gran cantidad de combinaciones, no todas se distribuyen de manera uniforme.

Piense cuántas personas en, digamos, un macbook, solo usarán la configuración estándar. O aquellos que nunca instalan ningún complemento: sospecho que son la mayoría de los usuarios.

Y en el extremo, tiene el segmento de dispositivos de más rápido crecimiento: usuarios de teléfonos móviles y tabletas, especialmente iPhones y iPads, donde se reduce a solo dos variables: marca y número de versión.

Por lo tanto, podría ser una buena heurística cuando se combina con otros factores (como la dirección IP o la ubicación cuando esté disponible), pero no mucho más que eso.

vincentcr
fuente
3

Usando las huellas digitales del navegador, puede identificar a un usuario individual en la web, y el único inconveniente es que debe hacer que javascript sea obligatorio para cada usuario.

Funciona en dos principios:

  1. Detecta la huella digital del navegador en base a 8 parámetros
  2. Detecta si alguien ha cambiado su huella digital cambiando algún parámetro.

El éxito de las huellas digitales depende del segundo principio; para detectar si alguien ha cambiado la huella digital.

Para obtener más información, pruebe el código disponible . Necesita desarrollar su propio algoritmo para detectar un usuario que regresa porque el algoritmo utilizado por https://panopticlick.eff.org/ no es 100% eficiente en este momento.

chetan
fuente
1
'no 100% eficiente' o quizás 'no 100% efectivo'? ¿Podrías dar más detalles sobre ese punto?
Martijn Pieters
2

Algunos navegadores también se pueden identificar a través de Supercookies HSTS.

Aquí es donde puede incrustar una página con solicitudes a conjuntos aleatorios de recursos seguros y no seguros para cada visitante, luego monitorear el patrón de sus solicitudes en una visita de regreso. Si cada recurso se solicita en el mismo patrón, puede usar esa información para identificar al usuario.

Estos son particularmente útiles para identificar iPhone / iPads que de otro modo tendrían más de una huella digital genérica del navegador. Este enfoque no es tan útil para Internet Explorer donde HSTS no es compatible.

Este artículo explica el enfoque; http://www.radicalresearch.co.uk/lab/hstssupercookies/

Este artículo proporciona un buen ejemplo de cómo aprovechar las Supercookies HSTS para identificar a los usuarios; https://nakedsecurity.sophos.com/2015/02/02/anatomy-of-a-browser-dilemma-how-hsts-supercookies-make-you-choose-between-privacy-or-security/

Mate
fuente
0

Javascript no es obligatorio, ya que hay muchos otros parámetros para rastrear desde PHP. Dicho esto, el 99% de los usuarios tienen JS, ¿por qué molestarse?

¿Las huellas digitales pueden proporcionar una identificación lo suficientemente única? Eso creo. Y así lo dice www.visitor-intelligence.com con su sucesiva filosofía de detección. Piénsalo.

Su galaxia privada personal no es tan grande como todo nuestro planeta.

¿Cuántas chicas altas, de cabello castaño y ojos azules con acento francés caminan por tu calle? A escala planetaria, millones. Pero apuesto a que ella sería bastante única en tu calle (o visitando tu tienda).

A menos que vivas en los Campos Elíseos. Entonces mira más de cerca. ¿Es delgada y camina como una modelo? ¿Ella usa un bolso caro? Muy bien, ella es totalmente única ahora :-)

Mirar puramente los encabezados es incorrecto porque incluye el número de versión del navegador y más parámetros muy variables.

Ahora estamos en Chrome 27 y Firefox 21. Estamos actualizando la versión de los navegadores sin siquiera darnos cuenta.

Ahora, mirar la lista completa de complementos también está bastante mal. Pruebe eso: instale Firefox, instale Acrobat Reader, luego instale Chrome. Apuesto a que Acrobat Reader no aparecerá en tu lista de complementos de Chrome :-)

Entonces ... La conclusión es: si busca un sistema de identificación decente para una tienda de tamaño estándar, las huellas digitales son suficientes e incluso más estables que las cookies (personalmente elimino todas mis cookies casi todos los días).

Solo mis 2 centavos

usuario2435894
fuente