Quali sono le tecniche di tracciamento web maggiormente utilizzate e conosciute o meno conosciute? [chiuso]

5

Conosco cookie HTTP, cookie flash e ETag quando gestisco il tracciamento degli utenti sul web.

Esistono altre tecnologie, conosciute o meno conosciute?

Grazie.

    
posta Andy K 13.12.2015 - 22:50
fonte

4 risposte

8

Meno conosciuti sono:

  • Utilizzo del supercookie di Verizons: Verizon aggiunge un'intestazione HTTP in ogni richiesta HTTP con un ID univoco per ciascun cliente anche dopo aver cambiato l'indirizzo IP, cancellato i cookie, ...
  • utilizzando "Cookie Matching": Sei tracciato dal tracker A e B. Elimina i cookie di A. B riesce a identificarti (tramite cookie, ETag, ...) e inserisce un pixel di tracciamento caricato da A contenente il tuo L'ID in modo che A identifichi l'utente imposta nuovamente il cookie, ecc. Un reindirizza il pixel a B che contiene il suo ID in modo che possano farlo di nuovo. Esiste spesso una rete di cookie che soddisfa gli oltre 100 diversi tracker.
  • Utilizzo dell'accesso utente: molti utenti rimangono collegati su Facebook mentre navigano e persino il logout non elimina il cookie. I pulsanti simili a Facebook sono presenti in quasi tutte le pagine. Combinalo con Cookie Matching e vai molto lontano. Lo stesso vale per l'account google / "doppio clic" (accesso predefinito sul browser Chrome e su Android)
  • Archiviazione HTML5 locale: javascript può archiviare e recuperare i dati sul client nella memoria locale HTML5. Simile ai cookie, ma non inviato con ogni richiesta per impostazione predefinita. Non viene eliminato quando un utente elimina solo i cookie. link
risposta data 14.12.2015 - 00:33
fonte
4

Esistono diversi modi per archiviare dati locali tramite javascript (archiviazione locale / indicizzazione, ...) e anche alcuni altri modi osceni come abusare di HSTS (HTTP Strict Transport Security) header.
In generale ci sono molti modi per creare un'impronta digitale affidabile, ma quasi tutti (più) modi affidabili richiedono l'attivazione di JavaScript.

HSTS
Il metodo più affidabile che riesco a pensare (tranne i cookie) è in realtà un abuso dell'intestazione HSTS.
Il problema con questo approccio è che richiedi un certificato valido (non autofirmato) per n (sotto) -domini (o un certificato jolly) per salvare un numero fino a 2 ** n.
Questo metodo non richiede javascript per essere attivo, ma potrebbe essere disattivato se l'utente utilizza l'estensione del browser come uMatrix o RequestPolicy che consente solo il caricamento di dati da altri domini se sono autorizzati nella whitelist.
Non so se questa tecnica venga utilizzata oggi, ma suppongo che non lo sia.
Qui è un POC che utilizza HSTS per scopi di tracciamento. ( Dichiarazione di non responsabilità: il mio codice )

Vedi diverse tecniche "avanzate / sperimentali" qui:
link
Esempio con la maggior parte dei test qui

    
risposta data 14.12.2015 - 00:26
fonte
1
  • Simile a Etag, l'intestazione Last-Modified può essere utilizzata per il tracciamento.
  • L'elemento canvas HTML può essere usato per impronta digitale di un computer.
  • JavaScript può essere utilizzato per tutti i tipi di tracciamento. Per esempio. identificare un utente rilevando il tasso medio di scarica della batteria (richiede Firefox).

Per un buon elenco di "idee" di monitoraggio, dai un'occhiata al Panopticlick di EFF. Elenca alcune fonti interessanti di identificazione delle informazioni, come il controllo dei caratteri di sistema, le dimensioni dello schermo e il fuso orario. Molti di questi richiedono JavaScript.

    
risposta data 14.12.2015 - 00:03
fonte
1

HTTP è un protocollo stateless, i cookie vengono utilizzati per offrire persistenza. Mentre uno stesso cookie verrà utilizzato per un sito Web specifico, verrà generato un cookie diverso per un sito Web diverso.

A un livello più alto (ISP, aziende, governo) il tuo indirizzo IP pubblico + accedi ai servizi web (Dropbox, Gmail, Office 365, Evernote) usando le tue credenziali + analisi dei dati web - inclusi cookie, http header (user agent, referrer) consentirebbe a chiunque abbia accesso a questi dati di monitorare la tua attività.

    
risposta data 14.12.2015 - 00:05
fonte

Leggi altre domande sui tag