In che modo questo sito identifica in modo univoco un dispositivo?

1

Per prima cosa, fai clic sul pulsante blu qui .

Quindi se hai un VPN avvialo, apri il terminale e arriccia lo stesso link. Nella risposta, vedrai che il pulsante è ora disabilitato. Il server ti ha identificato come se avessi già fatto clic sul link, anche se le intestazioni HTTP sono per lo più diverse, così come l'indirizzo IP. Inoltre, non vi sono impronte digitali del dispositivo poiché in CURL non vengono caricate dipendenze.

Com'è possibile?

    
posta silkAdmin 22.10.2016 - 10:22
fonte

2 risposte

2

Non riesco a riprodurre alcuno dei comportamenti che descrivi, quindi questo post sarà di natura un po 'più teorica.

L'abilità perplessa sembra essere la capacità di riconoscere l'origine di una richiesta HTTP anche quando viene utilizzata una VPN e viene utilizzato un agente utente privo di funzioni come CURL. Sarebbe davvero fonte di perplessità.

I super cookie o i metodi di rilevamento delle impronte digitali di tutti sappiamo fare affidamento su qualche tipo di funzionalità (come HSTS, Flash o JavaScript per segnalare le dimensioni dello schermo o i font installati). CURL non supporta nessuno di quei fighter, non analizza nemmeno la risposta per te. Quindi, essere ancora in grado di identificare l'utente sarebbe davvero magico, o per lo meno un segno di una VPN difettosa.

Tuttavia, il test che descrivi nella tua domanda non dimostra l'abilità proposta. Ci sono un gran numero di spiegazioni alternative che non hai ancora escluso. Solo per citarne alcuni:

  • L'IP delle VPN conosciute: s sono elencate e bloccate.
  • L'IP della VPN è in una geolocalizzazione bloccata.
  • Il pulsante è attivato da JavaScript, che CURL non verrà eseguito.
  • Il comportamento è casuale.

Il test che vorrei fare sarebbe usare CURL (con la stessa identica richiesta) e una VPN sia per il primo che per il secondo tentativo, ma con diversi nodi di uscita, cioè diversi IP. Se ripetuti test di questo tipo hanno fatto scattare una sorta di super cookie, sarei davvero perplesso, ma non fino ad allora.

    
risposta data 22.10.2016 - 12:55
fonte
2

Ci sono diverse possibilità che riesco a vedere.

  • errore utente : il sito richiede effettivamente Javascript o quant'altro, che curl non fornisce. Il sito non ha un aspetto diverso perché ti ha riconosciuto ; lo fa perché il secondo browser non funziona.
  • super-cookie : ci sono modi per ottenere / impostare informazioni, così chiamato " super-cookie ", che non dipende dal browser. Anche altre informazioni recuperabili da un browser, come il sistema operativo, i font installati, la risoluzione dello schermo e così via, potrebbero essere condivise da diversi browser su diversi IP. Se il sito vede due connessioni con esattamente la stessa impronta digitale, ridacchia malvagiamente e rifiuta la seconda connessione.
  • social engineering : il sito è in realtà sempre lo stesso. Non esiste un algoritmo avanzato e non c'è mai stato. Stai semplicemente impostando la domanda (e un profilo utente appena aggiunto per farlo) in modo che le persone seguano il link e accumulino punti, complimenti, reputazione o altro a questo ragazzo "aid = 1133" ( wait - o era 1100? ).
  • Lista bianca del browser : il sito "reagisce" solo a determinati browser, probabilmente provenienti da un intervallo di IP. Se stavi costruendo un sito di votazione e volessi dispiegare alcuni controlli di frode, sarebbe assolutamente logico eseguire alcuni anicsics e possibilmente accettare solo voti da alcuni paesi, usando probabilmente un agente degli utenti.

Inoltre, ri: controlli sulle frodi, una parte importante di questo tipo di lavoro è convincere l'attaccante che ha avuto successo , o almeno non sottolineare il fatto che è stato rilevato . Questo ritarderà il momento in cui proverà qualcos'altro. Qui a quanto pare il processo di voto ha sempre successo, ed è esattamente ciò che una difesa di successo vorrebbe farci credere. Quello che i voti accumulati sono, non lo sappiamo.

Quindi ciò che potrebbe è accaduto è che qualcuno (sia umano che programmato) sta gestendo le difese, e recentemente qualcosa - come una tempesta di penna Stack Exchange: -) - successo, che ha reso consigliabile "battere i boccaporti". Il pulsante disabilitato era l'ultima volta che il sito faceva sapere a qualcuno "Ehi, stai votando due volte!". Ora, forse il sito lo sa ancora, o forse non gli interessa più, ma in ogni caso, semplicemente non lo fa sapere a nessuno.

    
risposta data 22.10.2016 - 11:10
fonte

Leggi altre domande sui tag