Recentemente ho notato che alcune aziende hanno iniziato a offrire servizi di protezione bot e scraping basati sull'idea di fingerprinting del browser per rilevarli, e quindi bloccando l'impronta digitale specifica dall'accesso al sito (piuttosto che bloccare l'IP).
Ecco alcuni esempi:
Ci sono delle differenze tra di loro, ma a quanto pare tutte queste aziende usano Javascript per ottenere campi specifici del browser come plug-in, caratteri e dimensioni dello schermo e risoluzione, combinarli con quelli che possono essere ottenuti dalle intestazioni HTTP e usare questi dati per classificare il client come bot / human.
La mia domanda allora è: questo approccio è abbastanza solido? Quanto sarebbe difficile per un utente malintenzionato falsificare tutti i campi dati che il client Javascript annusa (plugin, caratteri, sistema operativo, ecc.)? Quale misura di protezione fornisce questo approccio - solo contro i robot non molto sofisticati, o è davvero così difficile da superare?