Lietotāja atsekošana neizmantojot cepumus (cookies)

[Aleksejs]

Interesants pētījums, kas izmanto visas iespējamās par lietotāju uzzināmās lietas:

http://panopticlick.eff.org/

Sīkāk te:

http://panopticlick.eff.org/about.php

un te:

http://www.h-online.com/security/news/item/EFF-demonstrates-a-browser-s-finger-print-918786.html

 

Manas pārdomas par šīs metodes izmantošanu: piesaistot visu pieejamo (relatīvi nemainīgo) parametru kontrolsummu sesijai, varam, piemēram, likt vēlreiz autentificēties, ja lietotājs grib izmantot kādu kritiskajām web-aplikācijas funkcijām (piemēram, nomainīt paroli). Vai arī vismaz iežurnalēt šo aizdomīgo gadījumu. Tiesa pirms ieviešanas produkcijā, būtu jāveic papildus pētījums par to cik ļoti tas traucē/ietekmē funkcionalitāti.

 

Bet jebkurā gadījumā - pētījums kā tāds man šķiet interesants.

[Java]

Kāda ideja visam šim pasākumam? Ja lietotājs nomaina pārlūka iestatījumus, viņam uzreiz jāielogojas atkal?

[2easy]

ja kāds (ar citu browseri) aiz tā paša NAT pārķer sesijas cookie, un grib iešmaukt kā otrs lietotājs, tad viņam to neļauj. ja viņš nomaina user agent stringu, tad gan viņu neatšķir no tā otra usera ;)

[Aleksejs]

Nē, ideja šim pasākumam bija, ka pat ja visi kookiji ir atslēgti ir iespējams atšķirt lietotājus (pat ja tie iet caur vienu un to pašu NAT/proxy).

 

Par izlogošanas pārlūka iestatījumu izmainīšanas gadījumā bija tikai manas fantāzijas par tēmu :) Mana doma bija, kaīpaši paranoidālā sistēmā arī to varētu izmantot, taču kā jau arī pieminēju, tam varētu būt negatīva ietekme uz lietojamību, tādēļ vispirms būtu jānovērtē potenciālais kaitējums.

[2easy]

līdzīgi domājam Aleksej ^^

[Java]

Protams, ka nomainot kādu no pārlūka iestatījumiem kontrolsumma atšķirsies un funkcija kļūs traucējoša. Pie tam - kur garantija, ka nebūs vienādas kontrolsummas? Manuprāt, būs, ja būs uz identiskām sistēmām uzinstallēti divas identiskas pārlūkprogrammas versija ar identiskiem standarta iestatījumiem.

Risinājums:

Pārlūkprogrammu izstrādātājiem pašiem jāiestrādā pārlūkā identifikatoru, kas tiktu pārbaudīts katru reizi, startējot pārlūku (ir vai nav paņemts, pie tam - jau reiz izmantoto identifikatoru otrreiz vairs nevar neviens paņemt) un šo identifikatoru arī servera pusē pārbaudīt (tas varētu iet caur http, https), bet ar nosacījumu, ka to nav iespējams simulēt un ka pat parastajā HTTP tas iet šifrēts prom. Nezinu, cik tas reāli, tā ir mana pirmā doma kā viens no problēmas risinājuma variantiem..

[Aleksejs]

Funkcija kļūst traucējoša ja katru reizi kād[s|i] parametr[s|i] mainās. Taču ja tas notiek reti (atkarībā no sistēmas, protams apzīmējumi "reti" un "bieži" ir visai relatīvi), un šo pārbaudi veic tikai kritiskas funkcionalitātes (paroles maiņa, lietotāju administrēšana, dažāda veida dzēšanas operācijas) gadījumā, tad man šķiet, ka lieliem apgrūtinājumiem nevajadzētu būt.

 

Kritiskas funkcijas un paaugstinātas tiesības sistēmā galu galā arī pašas par sevi uzliek daudz stingrākus nosacījumus, piemēram, sesijas ilglaicīgumam (administratora režīmā strādājošam lietotājam dīkstāves laikam un sesijas ilgumam pirms atkārtotas iežurnalēšanās pieprasījuma, būtu jābūt daudz īsākam nekā parastam lietotājam, kuram ir pieļaujama arī "remember me/keep me logged in forever" funkcionalitāte lietojamības uzlabošanai).

 

Attiecībā uz unikālo identifikatoru - to nepieļaus cilvēktiesību/privātuma aktīvisti (piemēram Chromei šāds identifikators, šķiet, ir, tacū pēc lielas bļaušanas, tas ir atslēgts), jo pamatmorāle šim testam bija, ka privātums internetā ir daudz mazāks nekā mums šķiet, bet šāda unikālā identifikatora ieviešana rada automātisku veidu kā izsekot katru konkrēto lietotāju pa visām lapām, ko tas ir apmeklējis.

 

Protams, šis ir visai eksperimentāls un zaļš paņēmiens, pret kuru jāizturās ar pienācīgu daļu skepses :)

[2easy]

šāda unikālā identifikatora ieviešana rada automātisku veidu kā izsekot katru konkrēto lietotāju pa visām lapām, ko tas ir apmeklējis

tas jau velk uz totalitāro režīmu un total control. Ķīna būtu sajūsmā par šādiem id :D:D:D

Edited February 1, 2010 by 2easy

[codez]

Your browser fingerprint appears to be unique among the 467,438 tested so far.

 

forši, bet pluginu testēšanas laikā, izleca divi JAVAs paziņojuma logi.

 

Izdzēšot cookiju un ejot otreiz:

 

Within our dataset of several hundred thousand visitors, only one in 233,858 browsers have the same fingerprint as yours.

[Java]

Tikpat labi tad jau var "izsekot" arī, izmantojot šo izgudrojumu "browser fingerprint". Tas ir pirmkārt. Otrkārt, kāda jēga pārbaudīt identitāti pasaules tīmeklī, izmantojot vērtību, kas var nebūt arī unikāla?

 

Secinājums: ja pastāv "izsekošanas draudi", labāk tomēr nevajag vispār šitādas "fīčas"...

[Aleksejs]

Nu te mēs redzam klasisku interešu konfliktu no kura rodas problēmas:

no vienas puses web-izstrādātājiem ir svarīgi būt spējīgiem dažādos veidos identificēt lietotāju

no otras puses lietotājam ir svarīgi, lai viņu būtu maksimāli grūti izsekot

 

Jā, tieši tā, izmantojot šo "browser fingerprint" var (ne 100% precīzi, bet pietiekami tā teikt "operatīvās informācijas" līmenim) atsekot lietotāju pat tad, ja viņš ir atslēddzis gandrīz visu, ko vien var atslēgt. Tas ir tas brīdinājums, ko izsaka šī resursa veidotāji.

[codez]

Ne tieši pa tēmu, bet kaut kad sen radās ideja, ka cilvēka teksta drukāšanas nianses varētu raksturot cilvēku līdzīgi kā rokraksts, tikai šeit parametri būtu: laika intervāli starp burtu kombinācijām, drukas kļūdas, u.c.

Tālāk weblapā vienkārši ir skripts, kurš logo laikus visiem taviem taustiņu nospiedieniem, piem., rakstot komentāru, un nosūta datus uz serveri. Ja tu lapā pavadi pietiekami ilgu laiku un ievadi pāris rindiņas teksta, tad varētu savākties diezgan ievērojams informācijas daudzums.

Ja šādi ir iespējams identificēt lietotāju, tad to varētu identificēt pat pie dažādiem datoriem.

 

Verētu saukties "typing fingerprints"

Edited February 1, 2010 by codez

[Java]

Galu galā, kaut kādā mērā var izsekot lietotāju daļēji var arī pēc IP adreses, protams, tur ticamība mazāka, ka viņš to visu veicis, kas veikts no viņa IP.

Kas attiecas uz weblapu apmeklējumiem - ja vien nav izstrādāts kāds "hakerisks" nelegāls triks ar pārlūku, piespiežot lietotāju sērfot internetā "hakera| izveidotajā rāmī vai softā, tad web-lapas īpašnieks diezvai varētu sīki un smalki izsekot viena lietotāja sērfošanas vēsturei, jo visi lietotāji mēdz apmeklēt dažādas, savā starpā nesaistītas, vietnes. Bet pārlūkprogrammu ražotājiem gan ir iespējams to izdarīt. Ja ar likumu nosaka, ka pārlūkprogrammu ražotāji ir par šiem datiem atbildīgi un tos nedrīkst izmantot lietotājam kaitīgos mērķos + valstis iesaka lietot tikai pārlūkprogrammas, kuras atrodas "atzīto" sarakstā, tad arī tas kļūst patiesībā diezgan vienaldzīgi, jo tāpat tevi var izsekot Microsoft, specdienesti, valsts, "doktors Ļaunums" no facebook utt. Bezjēdzīgi, pats domā, ko dari un viss.

[Aleksejs]

codez, par rakstīšanas stila atpazīšanu:

http://www.schneier.com/blog/archives/2007/04/keystroke_biome.html

http://ha.ckers.org/blog/20070515/biopassword-biometric-password-timing/