È una buona o una cattiva pratica falsificare il programma utente?

Gli strumenti che consentono di modificare l'User-Agent sono strumenti di debug che consentono ai webmaster di controllare facilmente come i siti web gestiscono le richieste inviate da alcuni client (ad esempio simulando un Google Bot o un client mobile).

Tuttavia, ci sono pochissime istanze in cui tali strumenti potrebbero essere in qualche modo collegati alla sicurezza IT, ma si spera che siano solo eccezioni (molto povere):

• È possibile aggirare l'autenticazione del router D-Link utilizzando un agente utente appositamente predisposto a causa di un backdoor presente nel firmware ,
• Alcuni siti Web poco sviluppati utilizzano lo user-agent per autorizzare l'accesso ad alcuni contenuti. Ricordo di un sito web che mostrava contenuti a pagamento ai robot di Google per scopi di riferimento, ma lo nascondeva per normali utenti non autenticati, un altro che mostra contenuti limitati ai telefoni cellulari e che richiede un canone per l'accesso da un desktop, ecc.

Finalmente alcuni siti web (anche se poco sviluppati) non offrono all'utente la scelta tra la versione mobile e quella desktop e affidano allo user-agent la scelta automatica di una versione al posto dell'utente. Faking the user-agent restituisce il controllo all'utente per scegliere quale versione vuole sfogliare.

Come per il malware, se alcuni malware sono inclusi in una pagina web che visiti, verranno scaricati e tenteranno di eseguirsi indipendentemente dall'agente utente che mostri. È come terminare con un Firefox su Linux che ti chiede gentilmente come aprire questo file .exe che ha appena scaricato da qualche URL cinese: il malware si è eseguito da solo, la parte di Firefox ha funzionato e il payload è stato scaricato, ma il carico utile è stato uno di Windows che è solo inutile su un host Linux;).

L'unico obiettivo finale del passaggio da utente a agente potrebbe essere il problema di tracciamento. Il monitoraggio viene generalmente eseguito in modo più efficace utilizzando i cookie e l'indirizzo IP, quindi, a meno che non abbiate già affrontato questi due casi, non mi preoccuperei nemmeno di farlo. Anche se lo fai, come ha giustamente spiegato William nella sua altra risposta, il falso utente-agente, se non eseguito correttamente, potrebbe anche essere controproducente.

Per la maggior parte dei casi, gli exploit non cercheranno di determinare se un browser è sfruttabile prima di provare a farlo, quindi la sicurezza aggiunta dallo spoofing è trascurabile nella migliore delle ipotesi. Per quanto riguarda la privacy, lo spoofing dell'agente utente potrebbe essere dannoso in quanto sarebbe quasi del 100% unico se fosse una combinazione impossibile, come un browser Web desktop con una risoluzione dispari. Se hai una risoluzione comune del browser web e disabiliti altre cose che possono causare combinazioni che di solito sono impossibili (tipi di carattere, ecc.), Potresti essere in grado di ridurre le possibilità che i siti ti tengano traccia di un'impronta digitale, ma altrimenti sarai rendendolo davvero facile.