¿Es la huella digital del navegador una técnica viable para identificar usuarios anónimos?

96

¿Las huellas dactilares del navegador son un método suficiente para identificar de forma única a los usuarios anónimos? ¿Qué sucede si incorporas datos biométricos como gestos del mouse o patrones de escritura?

El otro día me encontré con el experimento de Panopticlick EFF se está ejecutando en las huellas digitales del navegador .

Por supuesto, inmediatamente pensé en las repercusiones en la privacidad y en cómo podría usarse para el mal. Pero, por otro lado, esto podría usarse para un gran bien y, al menos, es un problema tentador para trabajar.

Mientras investigaba el tema, encontré algunas compañías que usaban las huellas digitales del navegador para atacar el fraude. Y después de enviar algunos correos electrónicos, puedo confirmar que al menos un sitio de citas importante está usando la identificación del navegador como un mecanismo para detectar cuentas falsas. (Nota: Han descubierto que no es lo suficientemente único como para actuar como una identidad cuando se amplía a millones de usuarios. Pero, mi cerebro de programador no quiere creerles).

Aquí hay una compañía que utiliza las huellas digitales del navegador para la detección y prevención de fraudes:
enlace

Aquí hay una lista bastante completa de cosas que puedes usar como identificadores únicos en un navegador:
enlace

    
pregunta SMrF 29.11.2011 - 19:42
fuente

8 respuestas

89

Primero, no creo que sea realista esperar que los usuarios tengan JavaScript deshabilitado en la web moderna. Así que echemos un vistazo a lo que Panopticlick puede recopilar solo a través de JavaScript, junto con la puntuación de unicidad de mi navegador en particular:

  • Agente de usuario (1 en 4,184)
  • Encabezados HTTP_ACCEPT (1 en 14)
  • Detalles del complemento del navegador (1 en 1.8 millones)
  • Zona horaria (1 en 24)
  • Tamaño de pantalla y profundidad de color (1 en 1,700)
  • Fuentes del sistema (1 en 11)
  • cookies habilitadas? (1 en 1.3)
  • Prueba limitada de SuperCookie (1 en 2)

Las características sobresalientes de la singularidad son claramente los complementos de User Agent y Browser. Recuerde que estos elementos se utilizan juntos para formar una huella digital del navegador, por lo que son más fuertes que las puntuaciones individuales. La singularidad acumulativa aquí es: 4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2 aka a REALLY BIG NUMBER . Eso es ... bastante único.

Tengo Flash deshabilitado en este momento, con "hacer clic para activar". Habilitando Flash agrega:

  • Fuentes del sistema (1 en 374k)

Flash proporciona el segundo elemento detectable más exclusivo, pero dado el enorme número que produce incluso la detección de JavaScript predeterminada en Panopticlick, no estoy seguro de que Flash sea necesario para que este tipo de huellas dactilares del navegador funcione. Solo JavaScript habilitado es suficiente.

Sin embargo, las huellas dactilares del navegador son solo una parte de la historia. Considere la suma de todo lo que podemos detectar de los usuarios anónimos, ya que todos pueden trabajar juntos para hacer huellas dactilares a los usuarios anónimos. ¿Qué tan difícil es recopilar y utilizar los datos detectados?

  1. Detección de detalles del navegador, como se muestra arriba (fácil)
  2. Dirección IP, que tiene un nivel conocido de confiabilidad con ventajas y desventajas (fácil)
  3. Patrones de comportamiento del usuario, como el uso (hora del día), escritura, movimientos del mouse o del dedo, uso de la palabra (duro, parte del servidor, parte del cliente)

Una cosa de la que me preocupa solo con el rastreo del navegador es lo fácil que es para los usuarios cambiar de navegador. Hay al menos cuatro alternativas de navegador excelentes y gratuitas en la mayoría de las plataformas: Chrome, Opera, Firefox , Safari. Por lo tanto, para interrumpir el rastreo del navegador, o al menos interrumpirlo, puede cambiar los navegadores con frecuencia.

Vale la pena mencionar los llamados SuperCookies aquí, ya que en realidad pueden funcionar, en algunos casos , incluso si cambia de navegador y incluso si JavaScript, HTML 5 Local Storage y Flash están deshabilitados .

  

Un investigador de la privacidad ha revelado el genio malvado detrás de un servicio de análisis web con fines de lucro capaz de seguir a los usuarios en más de 500 sitios, incluso cuando todo el almacenamiento de cookies estaba deshabilitado y los sitios se visualizaban con el modo de privacidad del navegador.

(Si tienes curiosidad, la versión de TL; DR es que lo hacen explotando los principios oscuros de la encabezado de ETag .)

De todos modos, volviendo a rastrear el navegador, hay dos cosas un tanto inconvenientes que los usuarios pueden hacer para derrotar esto:

  1. Cambia constantemente los navegadores.
  2. Navegar siempre con JavaScript y Flash desactivados.

Sin embargo, si el usuario no sabe que la configuración de su navegador está siendo detectada y utilizada como parte del método para tomar las huellas dactilares, altamente dudo que se tomen la molestia de hacer esto. dos cosas. Es trabajo.

Basándome en los datos anteriores, creo que el rastreo del navegador puede ayudar a identificar al usuario anónimo típico de Internet, pero solo es efectivo en combinación con las otras cosas que normalmente detectamos de los usuarios anónimos de Internet como IP Dirección.

    
respondido por el Jeff Atwood 29.11.2011 - 21:08
fuente
11

La toma de huellas dactilares del navegador se basa en un ecosistema / dispositivo / navegador muy heterogéneo. Una cosa a considerar es que nos estamos moviendo hacia un ecosistema cada vez más homogéneo a medida que más y más navegación se realiza en teléfonos inteligentes y tabletas / almohadillas que tienden a estar mucho menos fragmentados en este sentido. IPhones / iPads, por ejemplo, se verán esencialmente idénticos.

    
respondido por el pap 30.11.2011 - 15:44
fuente
10
  

¿Las huellas dactilares del navegador son un método suficiente para la identificación única?   usuarios anónimos?

No, en mejor puede identificar de forma única a Computadora . No hay forma de que pueda diferenciar entre 2 computadoras nuevas (y similares) en la misma red (la misma IP) sin una cookie \ sesión.

  

¿Qué pasa si incorporas datos biométricos como gestos del ratón o escribiendo?   patrones?

Esto no parece realista. Esto tendría que estar codificado casi por completo en JavaScript, ya que los "datos bio-métricos" son todos del lado del cliente. El usuario puede simplemente apagarlo. Además, ¿cómo se verán tus "datos bio-métricos" para un Perl Script ?

Dicho esto, usar este tipo de tácticas para combatir el fraude es una buena idea, no tiene que ser del 100%. Cualquier disminución en el fraude es buena, incluso si solo es una mejora del 5%.

La lucha contra el fraude es incremental, no existe una solución única para combatir el fraude, ni siquiera te molestes en buscar una.

EDITAR: Para responder a los comentarios a continuación (y debido a que es muy relevante), el hecho de que las huellas dactilares traten diferentes perfiles es, en Mis creencias, un NEGATIVO neto *. Esto es algo que un usuario malintencionado usará para engañar al mecanismo de toma de huellas dactilares, el hecho de que el usuario tiene control sobre todas las variables utilizadas en la toma de huellas dactilares es un defecto grave en sí mismo .

* Por eso digo que, en el mejor de los casos, puede identificar una sola computadora, porque es MEJOR que identificar una sola cuenta en una computadora. Si puedes hacer ambas cosas, eso es genial.

    
respondido por el Morons 29.11.2011 - 19:59
fuente
6

Estoy de acuerdo con @vincentcr , pero agregaría un entorno más para considerar: la red corporativa.

Aquí es probable que encuentre muchas docenas o cientos de usuarios (potenciales) con el mismo navegador, complementos, fuentes, etc. Los factores adicionales @ vincentcr sugiere también fallar aquí: es probable que las direcciones IP sean las mismas si los usuarios están detrás de un firewall corporativo, al igual que las ubicaciones informadas por los usuarios.

Incluso con los gestos del mouse y los patrones de escritura incorporados, dudo que estas técnicas puedan usarse para identificar usuarios únicos con cualquier forma de seguridad, y si quisiera que las cuentas de usuario pudieran sobrevivir al usuario cambiando los navegadores, tendría para respaldarlo con un sistema de autenticación más tradicional de todos modos.

Aunque, como han dicho otros, puede ser algo útil para detectar spambots y similares. Por ejemplo, el complemento de WordPress "Mala conducta" analiza los encabezados HTTP (entre otros factores) en un intento de detectar spambots.

    
respondido por el Ian Renton 29.11.2011 - 22:48
fuente
4

Incluso si hay un gran número de combinaciones, no todas están distribuidas uniformemente.

Piense en cuántas personas, por ejemplo, en un macbook, solo usarán la configuración de stock. O aquellos que nunca instalan ningún complemento: sospecho que son la mayoría de los usuarios.

Y en el extremo, tiene el segmento de dispositivos de más rápido crecimiento: usuarios de teléfonos móviles y tabletas, especialmente iPhones y iPads, donde está reducido a solo dos variables: marca y número de versión.

Por lo tanto, podría ser una buena heurística cuando se combina con otros factores (como la dirección IP o la ubicación cuando esté disponible), pero no mucho más que eso.

    
respondido por el vincentcr 29.11.2011 - 21:50
fuente
3

Con la identificación del navegador, puede identificar a un usuario individual en la web, y el único inconveniente es que debe hacer que el javascript sea obligatorio para cada usuario.

Funciona sobre dos principios:

  1. Detectar la huella digital del navegador en base a 8 parámetros
  2. Detecte si alguien ha cambiado su huella dactilar cambiando cualquier parámetro.

El éxito de la toma de huellas dactilares depende del segundo principio; para detectar si alguien ha cambiado la huella digital.

Para obtener más información, pruebe el código disponible . Debe desarrollar su propio algoritmo para detectar un usuario recurrente porque el algoritmo utilizado por enlace no es 100% eficiente en este momento.

    
respondido por el chetan 06.11.2012 - 04:02
fuente
2

Algunos navegadores también pueden identificarse mediante Supercookies HSTS.

Aquí es donde puede incrustar una página con solicitudes de conjuntos aleatorios de recursos seguros y no seguros para cada visitante, y luego monitorear el patrón de sus solicitudes en una visita de regreso. Si cada recurso se solicita en el mismo patrón, puede utilizar esa información para identificar al usuario.

Estos son particularmente útiles para identificar iPhone / iPads que de otro modo tendrían más de una huella digital genérica del navegador. Este enfoque no es tan útil para Internet Explorer donde HSTS no es compatible.

Este artículo explica el enfoque; enlace

Este artículo proporciona un buen ejemplo de cómo aprovechar los Supercookies de HSTS para identificar a los usuarios; enlace

    
respondido por el Matt 06.05.2015 - 12:56
fuente
0

Javascript no es obligatorio y hay muchos otros parámetros para rastrear desde PHP. Dicho esto, el 99% de los usuarios tienen JS, ¿por qué molestarse?

¿Las huellas dactilares pueden proporcionar una identificación única? Eso creo. Y así lo dice www.visitor-intelligence.com con su filosofía de detección sucesiva. Piénsalo.

Tu galaxia privada personal no es tan grande como nuestro planeta entero.

¿Cuántas chicas altas, de cabello castaño y ojos azules con acento francés caminan por tu calle? A escala planetaria, millones. Pero apuesto a que ella sería bastante única en tu calle (o visitar tu tienda).

A menos que vivas en los Campos Elíseos. Entonces mira más de cerca. ¿Es delgada y camina como una modelo? ¿Ella usa un bolso caro? De acuerdo, ella es totalmente única ahora :-)

Ver los encabezados es un error, ya que incluye el número de versión del navegador y más parámetros muy variables.

Ahora estamos en Chrome 27 y Firefox 21. Estamos actualizando la versión de los navegadores sin darnos cuenta.

Ahora, mirar la lista completa de complementos también es un error. Intente eso: instale Firefox, instale Acrobat Reader, luego instale Chrome. Apuesto a que Acrobat Reader no aparecerá en tu lista de complementos de Chrome :-)

Entonces ... La conclusión es: si busca un sistema de identificación decente para una tienda de tamaño estándar, entonces la toma de huellas dactilares es suficiente, e incluso más estable que las cookies (personalmente elimino todas mis cookies casi todos los días).

Solo mis 2 centavos

    
respondido por el user2435894 18.06.2013 - 15:15
fuente

Lea otras preguntas en las etiquetas