Идентификация пользователей

[CoderX]

Интересует "скрытая" идентификация пользователей. Я не о класике типа куки, сессии. Как известно есть гораздо больше способов идентификации, которые позволяет "узнавать" даже посетителя, который специально удалил куки, сменил браузер и перешел на другой IP

В частности один из вариантов над которым сейчас работаю состоит в определении операционной системы, разрешения экрана, глубины цвета, установленных в системе шрифтов - на основании этого формируется цифровой отпечаток и при входе посетителя на сайт этот отпечаток логируется. Таким образом даже если пользователь намеренно поменяет ip, возьмет другой браузер то все равно будет видно кто это пришел и что он делал раньше.

Вопрос кто делал подобное, какие есть наработки, какую возможно еще информацию предоставляемую любым браузером и которая не меняется с изменением браузера можно было бы использовать для идентификации? Возможно есть какие то готовые наработки?

 

[Фанат]

нету никакой, расслабься.

разрешение - это смешно. глубина цвета - ещё смешнее.
все, что у тебя есть - это юзер-агент. Который сменить проще, чем куки стереть.
в общем, не майся дурью.

 

[CoderX]

тем не менее большинство доморощенных школохакеров вычисляются и очень удивляются а как же это их определили и забанили снова, хотя он зашел через "тор" и завел твинка под ником "вася222".

Ну и собственно вот эти ресурсы https://panopticlick.eff.org/ и http://samy.pl/evercookie/ говорят что в этом есть смысл

 

[Фанат]

evercookie - хрень господня
отключение яваскрипта делает все его 100500 способов идентификации бессмысленными.
как и смена браузера и анонимный просмотр.
в любом случае, он никакой информации не о клиенте собирает, а тупо пытается сохранить на клиенте свою.
первое не смотрел, но наверняка такие же фокусы.

расслабься, чувачок.
рулить форумом надо более тонкими методами, а ну тупорылым банхаммером

 

[CoderX]

это не форум ) и бан там применяется не для "руления" а в несколько других целях
а для форумов от обычных спамеров помогает stopforumspam.com - даже капчу уже не ставлю, за полгода ни одного спамера не пролезло.

спасибо за дружеское пожелание расслабиться, правда особо и не напрягался. Данный вопрос интересует так как есть задача создать инструментарий пускай не 100% определения, но сбора данных которые хотя бы на 80-90% будут давать какие то сходства и далее по ним уже в ручном режиме что то думать.

К тому же я уверен что это не так безапеляционно бессмысленно как Вы говорите, исходя из следуююего: где то в 2009 гугл закрыл мне аккаунт в AdSense и сообщили что в дальнейшем я не могу размещать их рекламу на своих ресурсах ввиду нарушения их правил. ну казалось бы и ладно.но вот сейчас один из проектов вырос немного до большей посещаемости и решил было попроботь создать новый аккаунт адсенса. (замечу ресурс не размещался тогда еще). с тех пор у меня сменился айпи, переустановлена была система, новый аккаунт был зареган на данные товарища. единственно что не менялось ... это наверное железо компа. И знаете спустя недели 2 новый аккаунт тоже забанили. Значит как то определили?

и да кроме яваскриптом ту же ОС можно определять на основе анализа tcp пакетов - http://lcamtuf.coredump.cx/p0f3/

Так все таки что посоветуете уважаемый Фанат ) или все таки расслабиться? но хотелось бы все таки над чем то поработать, тем более что в этом видят потребность и платят деньги )

 

[Фанат]

посоветую отправиться на форум журнала ксакеп, общаться с такой же школотой
там тебя поддержат в твоих фантазиях

на нормальном сайте надо исходить из того, что универсальный бан невозможен.
и при рулении не доводить ситуацию до бана.

 

[thunder-spb]

panopticlick очень хочет запустить java

 

[CoderX]

я к вам не с вопросом "а почему у меня include не инклудит или как работает strlen" пришел, но похоже что на какие то более серьезные теоретические размышления Вы не способны,кроме как в стотысячный раз объяснять своей школоте прописные истины.
и манера общения у вас смотрю за год не изменилась так хамом и остались
Всего хорошего

 

[Фанат]

LOL, "серьезные теоретические размышления"
слава богу, хоть в теорию не запостил

 

[Фанат]

делать тут нечего

делать тут есть чего.
главное, приходить с нормальными вопросами.
фантазии, пусть даже за них и платят деньги, остаются фантазиями.

 

[MiksIr]

Все способы анализа данных доступных из браузера дают очень большой false positives и при этом, увы, совершенно не защищают от false negatives.
Исправлять это можно только более глубоким анализом компьютера, на JS не доступным (тем более кроссбраузерно).
Для нубов хватит evercookie - там используются все доступные методы на сегодня. Вот только он совершенно не спасет от банального режима "инкогнито" всех современных браузеров.
Так что задача не решаема.

 

[c0dex]

Подобный анализ возможен только в теории, если учитывать поведение юзера, где и как он задерживается, как кликает и куда, как проматывает страницы. Все это не меняется с сменой браузера. Но вот только анализировать это - пустая трата времени.

 

[CoderX]

cкажу так - возможно и на практике. в частности скажу что вижу сейчас.:
-есть сайтец по обмену-продаже лайки/подписками в соцсети.. ))
-есть среднестатистический пользователь (коих кстати в общей сложности овер 200к), который регистрируется, выполняя определенные действия получает на баланс балы, потом переводит их в свой (или не свой) аккаунт соцсети в виде лайков, подписок ит.д.
- через какое то время этот пользователь решает что он хочет больше балов а платить за них кешем неохота. Он создает аки твинки. При этом он прочитал, что если он возьмет прокси и почистить куки то его "никто не узнает"

что есть у админа/модератора: есть статистика: ip, данные из юзер-агент, fingerprint( это своего рода хеш сформированный из ряда параметров перечисленных в первом посту:ос,разрешение экрана, список системных шрифтов и еще ряд параметров), evercookie

обычно fingerprint сужает круг поиска с десятков и сотен тысяч до 1-2 десятков, а если evercookie не заметили (а обычно вышеописанный среднестатистический пользователь даже не знает что это) то и сразу дает результат совпадений.
и задача не стоит моментально кого то вычислить. пользователь создавший твинка заходит день, другой, на третий он забудет айпи сменить, или куки почистить, или еще чего и выдаст себя.

Вот над усовершенствование этой системы я и работаю, а мне при создании темы сразу в лоб сказали "нет невозможно", потому что подумали что это стопиццотый топик на тему " а как работают куки"

и это не теория. это работает. и это возможно.

 

[craz]

Фанат не всегда прав
35.973
сообщений, даже по статистике, при условии, что он бот, или мультиакк анонов-хакеров каких нить) погрешность будет...

 

[WMix]

a еще баннером оставить повторно эту инфу для другого domain...
среднестатистический пользователь ходит одним браузером, с включенным js..

можно даже аутификацию через js написать, где очень сложно будет пройти не имея ключика который подгрузился в hidden поле аяксом

	var _gaq = [['_setAccount', 'UA-1377517-1'], ['_trackPageview']];
	!function(d, t)
	{
		var g = d.createElement(t),
			s = d.getElementsByTagName(t)[0];	
		g.async = true;
		g.src = ('https:' == d.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
		s.parentNode.insertBefore(g, s);
	}
	(document, 'script');

а этот код давно говорит мне что мы сдали себя с потрахами

 

[Фанат]

WMix
Здесь мы сталкиваемся с классической проблемой форумов, о которой я не раз говорил. Люди, которые никогда не сталкивались на практике с подобной задачей, высасывают на ходу из пальца возможные решения. Исходя из каких-то своих теоретических соображений.
Но слабость человеческого мозга в том, что он не в состоянии оценить все участвующие в задаче условия. Скорее наоборот, человеческой психике свойственно отметать в сторону неудобные условия, и работать только с удобными. А вот на практике все косяки и вылезают. Именно поэтому она бесценна. Именно поэтому на форуме надо рот открывать только если ты реально решал подобные задачи, а не просто язык почесать вышел, исходя из своего уровня теоретических представлений о предмете (которые ниже плинтуса). Хотя, конечно, приятно почувствовать себя большим специалистом, с умным видом рассуждающим о волнующих проблемах современности.

Ладно. Вслед за аффтаром допустим, что все эти накрутки делаются руками. Прыщавыми подростковыми руками в темноте под одеялом с папиного компьютера. Решим, что по условиям нашей задачи компьютер в распоряжении коварного накрутчика один и только один (может сам аффтар из деревни и в его реальности это так). А системы виртаулизации и с страшное слово курл вообще не существуют в природе.

Но даже в этом случае тупой приватный режим просмотра в браузере стирает все твои "потрахи" после того, как ты закроешь приватную вкладку. Вместе с хитроумными хранилищами html5, вместе 3-rd party cookie и любыми другими чудесами.

Остаётся тот самый "отпечаток пальцеф", который ни разу не отпечаток, а смутный образ, совпадающий отпечатками 100500 компьютеров - о чем говорил MiksIr.
И что у нас остаётся в итоге? Правильно, надежда на то, что "среднестатистический пользователь даже не знает что это" - т.е., система, рассчитанная на дебилов. И абсолютно беззащитная перед минимально технически подкованным подростком.

Но самое смешное во всей этой истории - сама система, которая тебе начисляет какие-то там "балы" за "лайки" и "подписки".
иногда мне хочется, чтобы снова война.
чтобы всю эту шелупонь - на фронт. а которые не доросли - к станкам.
потому что учиться они не хотят, к делу ни к какому не приспособлены, и вся их жизнь - виртуальные фантики.
и они в неё на полном серьёзе играют.

 

[Beavis]

WMix
И что у нас остаётся в итоге? Правильно, надежда на то, что "среднестатистический пользователь даже не знает что это" - т.е., система, рассчитанная на дебилов.

Т.е. все кто не знает что такое куки - дебилы?)
А вообще, большинство систем и расчитано на дебилов, это нормально. Если б всё было спроектировано для таких как ты, нормальные люди не смогли бы этим пользоваться

 

[CoderX]

смутный образ, совпадающий отпечатками 100500 компьютеров

а вот практика как раз показывает, что этот смутный образ обычно совпадает с несколькими десятками единиц из 100 тысяч.

самое смешное во всей этой истории - сама система, которая тебе начисляет какие-то там "балы" за "лайки" и "подписки".

это Вам смешно, потому что Вы хоть и возможно хороший специалист, но застряли в древних стереотипах. Тупо следуете тому что написано в старых учебниках и все что там не написано говорите что так не может быть потому что быть не может и потому что вся ваша практика с 1917 года говорит что так не было - поэтому снова быть не может

 

[AmdY]

Фанат
я так понимаю в твоей квартире замок не стоит, ведь медвежатника он не остановит, а отряд омона так и вовсе его вынесет вместе с дверью.

Но самое смешное во всей этой истории - сама система, которая тебе начисляет какие-то там "балы" за "лайки" и "подписки".
иногда мне хочется, чтобы снова война.

А мне нравится когда в поиске предлагают не голых тёток, а таргетированный контент. Даже аккаунт имею на имхонетеах и ластфм, потому что нравится читать книги и слушать музыку незнакомых авторов, которая подходит под мой вкус. А ты прелагаешь геноцид....

 

[Фанат]

глупо отвечать на такой толстый троллинг, но всё же.
Во-первых, в контексте моего сообщения приведенная цитата принципиального значения не имеет.
В контексте же исходной задачи аффтар подменяет понятия. Накрутчик же, по определению, никак не попадает в категорию стреднестатистических пользователей.

Во-вторых, чтобы воспользоваться вкладкой приватный просмотр не нужно вообще ничего знать, ни про обычные куки, ни про вечные.

В-третьих, вся эта мышиная возня с "балами за деньги" не стоит того, чтобы её обсуждать. Можете раздувать щеки дальше. Возможно, кто-то даже купится.