L’empreinte du navigateur est-elle une méthode suffisante pour identifier de manière unique les utilisateurs anonymes? Et si vous intégriez des données biométriques telles que des gestes de souris ou des modèles de frappe?
L’autre jour, j’ai rencontré l’expérience Panopticlick, EFF fonctionne sur les empreintes digitales du navigateur .
Bien sûr, j'ai immédiatement pensé aux répercussions sur la vie privée et à la manière dont cela pourrait être utilisé pour le mal. Mais d’un autre côté, cela pourrait être très utile et, à tout le moins, c’est un problème tentant.
Lors de mes recherches sur le sujet, j'ai trouvé quelques entreprises qui utilisaient les empreintes digitales de navigateur pour lutter contre la fraude. Et après l'envoi de quelques courriels, je peux confirmer qu'au moins un site de rencontre majeur utilise les empreintes digitales de son navigateur comme un mécanisme pour détecter les faux comptes. (Remarque: ils ont trouvé que ce n'était pas assez unique pour agir comme une identité lors de la montée en puissance de millions d'utilisateurs. Mais mon cerveau de programmeur ne veut pas les croire).
Voici une entreprise utilisant les empreintes digitales de son navigateur pour détecter et prévenir les fraudes:
http://www.bluecava.com/
Voici une liste assez complète d'éléments que vous pouvez utiliser comme identificateurs uniques dans un navigateur:
http://browserspy.dk/
Réponses:
Premièrement, je ne pense pas qu'il soit réaliste de s'attendre à ce que les utilisateurs désactivent JavaScript sur le Web moderne. Jetons donc un coup d'œil à ce que Panopticlick peut rassembler à l'aide de JavaScript uniquement, avec le score d'unicité de mon navigateur particulier:
La distinction pour l'unicité est clairement les plugins User Agent et Browser. Rappelez-vous que ces éléments sont utilisés ensemble pour former une empreinte de navigateur, ils sont donc plus puissants que les scores individuels. L'unicité cumulative est ici:
4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2
alias un très gros chiffre . C'est ... assez unique.Flash est désactivé pour le moment, avec "cliquez pour activer". L'activation de Flash ajoute:
Flash est le deuxième élément détectable le plus unique, mais étant donné le nombre considérable de détecteurs JavaScript par défaut dans Panopticlick, je ne suis pas sûr que Flash soit nécessaire pour que ce type d’empreinte de navigateur fonctionne. Le simple fait d'activer JavaScript est suffisant.
Les empreintes digitales des navigateurs ne sont toutefois qu’une partie de l’histoire. Considérez la somme de tout ce que nous pouvons détecter d'utilisateurs anonymes, car tout peut fonctionner ensemble pour identifier des utilisateurs anonymes. Est-il difficile de rassembler et d'utiliser les données détectées?
Une seule chose qui me préoccupe avec le sniffing de navigateur seul est la facilité triviale pour les utilisateurs de changer de navigateur. Il existe au moins quatre grandes alternatives de navigateur gratuites sur la plupart des plateformes: Chrome, Opera, Firefox, Safari. Donc, pour interrompre la détection du navigateur, ou du moins l'interrompre, vous pouvez changer de navigateur fréquemment.
Il convient de mentionner les «SuperCookies» , car ils peuvent réellement fonctionner, même dans certains cas, même si vous changez de navigateur et même si JavaScript, HTML 5 Local Storage et Flash sont désactivés .
(Si vous êtes curieux, la version TL; DR est ce qu’ils font en exploitant les principes obscurs de l’en -tête ETag .)
Quoi qu'il en soit, pour revenir au navigateur renifleur - il existe deux choses quelque peu gênantes que les utilisateurs peuvent faire pour contourner ce problème:
Toutefois, si l'utilisateur ne sait pas que les paramètres de son navigateur sont détectés et utilisés dans le cadre de la méthode de détermination de leur empreinte digitale, je doute fortement qu'ils se donneraient forcément la peine de faire ces deux choses. C'est du travail.
Sur la base des données ci-dessus, je pense que le sniffing de navigateur peut aider à identifier l'internaute anonyme anonyme - mais il n'est efficace qu'en combinaison avec les autres éléments que nous détectons généralement chez les internautes anonymes comme IP Address.
la source
Les empreintes de navigateur reposent sur un écosystème navigateur / appareil très hétérogène. Une chose à considérer est que nous nous dirigeons vers un écosystème de plus en plus homogène, du fait que de plus en plus de surfs se fait sur des smartphones et des tablettes / tablettes / tablettes qui ont tendance à être beaucoup moins fragmentés en ce sens. Les IPhones / iPads, par exemple, seront tous essentiellement identiques.
la source
Non, au mieux, il peut identifier uniquement un ordinateur . Il n’ya aucun moyen de faire la différence entre 2 ordinateurs nouveaux (et similaires) sur le même réseau (Same IP) sans cookie \ session.
Cela ne semble pas réaliste. Celles-ci devraient être codées presque entièrement en JavaScript, car les "données bio-métriques" sont entièrement côté client. L'utilisateur peut simplement l'éteindre. De plus, à quoi ressembleront vos "données biométriques" pour un
Perl Script
?Cela dit, utiliser ce genre de tactiques pour lutter contre la fraude est une bonne idée. Il n'est pas nécessaire que ce soit à 100%… toute réduction de la fraude est bonne, même si cela ne représente qu'une amélioration de 5%.
La lutte contre la fraude est progressive. Il n’existe pas de solution unique pour lutter contre la fraude. Ne cherchez même pas une.
EDIT: Pour répondre aux commentaires ci-dessous (et parce que cela est très pertinent), le fait que les empreintes digitales traitent des profils différents est, selon Mes croyances, un réseau NÉGATIF *. C’est quelque chose qu’un utilisateur malveillant utilisera pour tromper le mécanisme de prise d’empreintes digitales, le fait que celui-ci ait le contrôle de toutes les variables utilisées lors de la prise d’empreintes digitales est en soi une faille grave .
* C’est pourquoi je dis au mieux qu’il est possible d’identifier un seul ordinateur, car c’EST MIEUX identifier un seul compte sur un ordinateur. Si vous pouvez faire les deux, c'est génial.
la source
Je suis d’accord avec @vincentcr , mais j’ajouterais un environnement supplémentaire à prendre en compte: le réseau d’entreprise.
Ici, vous trouverez probablement plusieurs dizaines ou centaines d’utilisateurs (potentiels) possédant exactement le même navigateur, les mêmes plug-ins, les mêmes polices, etc. Les facteurs supplémentaires suggérés par @vincentcr échouent également ici: les adresses IP sont susceptibles d'être les mêmes si les utilisateurs sont derrière un pare-feu d'entreprise, de même que les emplacements signalés par les utilisateurs.
Même avec les gestes de souris et les modèles de frappe pris en compte, je doute que ces techniques puissent être utilisées pour identifier des utilisateurs uniques avec n'importe quelle forme de sécurité, et si vous voulez que les comptes d'utilisateurs puissent survivre à la modification du navigateur par l'utilisateur, vous devrez le sauvegarder. de toute façon avec un système d’authentification plus traditionnel.
Comme d’autres l'ont déjà dit, cela peut être utile pour détecter les spambots, etc. Par exemple, le plug-in WordPress "Bad Behavior" analyse les en-têtes HTTP (entre autres facteurs) pour tenter de détecter les spambots.
la source
Même s'il existe un grand nombre de combinaisons, elles ne sont pas toutes réparties de manière égale.
Imaginez combien de personnes sur un macbook, par exemple, n'utiliseront que la configuration de stock. Ou ceux qui n'installent jamais de plugin: je suppose que ce sont la majorité des utilisateurs.
Et à l'extrême, vous avez le segment d'appareils dont la croissance est la plus rapide: les utilisateurs de téléphones mobiles et de tablettes, en particulier les iPhones et les iPads, pour lesquels vous ne disposez que de deux variables: la marque et le numéro de version.
Cela peut donc être une bonne heuristique lorsqu'il est combiné à d'autres facteurs (tels que l'adresse IP ou l'emplacement, le cas échéant), mais pas beaucoup plus que cela.
la source
En utilisant les empreintes digitales du navigateur, vous pouvez identifier un utilisateur individuel sur le Web. Le seul inconvénient est que vous devez rendre javascript obligatoire pour tous les utilisateurs.
Cela fonctionne sur deux principes:
Le succès des empreintes digitales dépend du deuxième principe; pour détecter si quelqu'un a changé d'empreinte digitale.
Pour plus d'informations, essayez simplement le code disponible . Vous devez développer votre propre algorithme pour détecter un utilisateur précédent, car l'algorithme utilisé par https://panopticlick.eff.org/ n'est pas efficace à 100% pour le moment.
la source
Certains navigateurs peuvent également être identifiés via Supercookies HSTS.
C'est là que vous pouvez intégrer une page avec des requêtes à des ensembles aléatoires de ressources sécurisées et non sécurisées pour chaque visiteur, puis surveiller le schéma de leurs requêtes lors d'une visite précédente. Si chaque ressource est demandée selon le même modèle, vous pouvez utiliser ces informations pour identifier l'utilisateur.
Celles-ci sont particulièrement utiles pour identifier les iPhone / iPad qui auraient autrement une empreinte générique de navigateur. Cette approche n'est pas très utile pour Internet Explorer où HSTS n'est pas pris en charge.
Cet article explique la démarche. http://www.radicalresearch.co.uk/lab/hstssupercookies/
Cet article fournit un bon exemple d'utilisation de HSTS Supercookies pour identifier les utilisateurs. https://nakedsecurity.sophos.com/2015/02/02/anatomy-of-a-browser-dilemma-how-hsts-supercookies-make-you-choose-between-privacy-or-security/
la source
Javascript n'est pas obligatoire car il y a beaucoup d'autres paramètres à renifler depuis PHP. Cela dit, 99% des utilisateurs ont JS, alors pourquoi
Les empreintes digitales peuvent-elles fournir une identification unique suffisante? Je le crois. C'est ce que dit www.visitor-intelligence.com avec sa philosophie de sélection successive. Pensez-y.
Votre galaxie privée personnelle n’est pas aussi vaste que l’ensemble de notre planète.
Combien de grandes filles aux yeux bleus et aux cheveux bleus avec un accent français se promènent dans ta rue? À l'échelle de la planète, des millions. Mais je parie qu'elle serait assez unique dans votre rue (ou dans votre magasin).
A moins d'habiter aux Champs Elysées. Puis regarde de plus près. Est-elle mince et marche comme un modèle? Est-ce qu'elle porte un sac à main cher? D'accord, elle est totalement unique maintenant :-)
Regarder uniquement les en-têtes est une erreur car cela inclut le numéro de version du navigateur et des paramètres plus très variables.
Nous sommes maintenant sur Chrome 27 et Firefox 21. Nous mettons à jour la version des navigateurs sans même nous en rendre compte.
Maintenant, regarder la liste complète des plugins est également tout à fait faux. Essayez cela: installez firefox, installez Acrobat Reader, puis installez Chrome. Je parie qu'Acrobat Reader ne figurera pas dans votre liste de plugins Chrome :-)
Donc ... Bref, si vous recherchez un système d’identification décent pour un magasin de taille standard, les empreintes digitales suffisent et sont encore plus stables que les cookies (personnellement, je supprime tous les cookies presque tous les jours).
Juste mes 2 cents
la source