Как банки помнят "ваш компьютер"?

Как многие из вас, вероятно, знают, онлайн-банки в настоящее время имеют систему безопасности, в которой вам задают некоторые личные вопросы, прежде чем вы даже вводите свой пароль. После того как вы ответили на них, вы можете выбрать для банка "запомнить этот компьютер", чтобы в будущем вы могли войти в систему, только вводя свой пароль.

Как работает часть "запомнить этот компьютер"? Я знаю, что это не может быть куки, потому что функция все еще работает, несмотря на то, что я очищаю все свои файлы cookie. Я думал, что это может быть по IP-адресу, но мой друг с динамическим IP утверждает, что он тоже работает для него (но, возможно, он ошибается). Он думал, что это MAC-адрес или что-то в этом роде, но я сильно сомневаюсь в этом! Итак, существует ли концепция https-only cookie, которую я не понимаю?

Наконец, часть программирования вопроса: как я могу сделать что-то подобное себе, скажем, в PHP?

Ответ 1

На самом деле они, скорее всего, используют файлы cookie. Альтернативой для них было бы использовать flash cookie "(официально называемый Локальные общие объекты "). Они похожи на файлы cookie, так как они привязаны к веб-сайту и имеют ограничение по верхнему размеру, но они поддерживаются флэш-плеером, поэтому они невидимы для любых инструментов браузера.

Чтобы очистить их (и проверить эту теорию), вы можете использовать инструкции, предоставленные Adobe. Другая отличная (или, может быть, тревожная, в зависимости от вашей точки зрения) функция заключается в том, что хранилище LSO используется всеми браузерами, поэтому, используя LSO, вы можете идентифицировать пользователей, даже если они переключают браузер (при условии, что они вошли в систему как один и тот же пользователь).

Ответ 2

В конкретном банке меня интересовал Bank of America.

Я подтвердил, что если я только очищу свои файлы cookie или мои LSO, сайт не требует, чтобы я повторно вводил информацию. Если, однако, я очищаю оба, мне пришлось пройти дополнительную проверку подлинности. Таким образом, это, кажется, ответ в моем конкретном случае!

Но спасибо всем за хедз-ап в отношении других банков и возможности, такие как включение строки User-Agent.

Ответ 3

Такое отслеживание сеансов, скорее всего, будет выполнено с использованием комбинации файлов cookie с уникальным идентификатором, идентифицирующим ваш текущий сеанс, и веб-сайта, связывающего этот идентификатор с последним IP-адресом, который вы использовали для подключения к своему серверу. Таким образом, если IP изменяется, но у вас все еще есть файл cookie, вы идентифицированы и вошли в систему, и если файл cookie отсутствует, но у вас тот же IP-адрес, что и тот, который сохранен на сервере, тогда они устанавливают ваш файл cookie id в паре с этим IP.

Действительно, это вторая возможность, которая является сложной, чтобы получить право. Если файл cookie отсутствует, и у вас есть только ваш IP-адрес для идентификации для идентификации, совершенно небезопасно регистрировать кого-то только в этом основании. Таким образом, серверы, вероятно, хранят дополнительную информацию о вас, LSO выглядит как хороший выбор, geo IP тоже, но User Agent, не так много, потому что они на самом деле ничего не говорят о вас, каждое тело использует ту же версию того же браузера, что и вы имеет то же самое.

Как уже упоминалось выше, он может работать с адресами MAC. Я категорически не согласен! Ваш MAC-адрес никогда не достигает вашего банковского сервера, поскольку они используются только для идентификации сторон Ethernet-соединения и для подключения к вашему банку вы создаете связку Ethernet-соединений: со своего компьютера к вашему домашнему маршрутизатору или вашему интернет-провайдеру, а затем оттуда к первому интернет-маршрутизатору, через который вы проходите, затем ко второму и т.д.... и каждый раз, когда происходит новое соединение, каждая машина с каждой стороны предоставляет свои собственные MAC-адреса, Таким образом, ваш MAC-адрес может быть известен только машинам, напрямую связанным с вами через коммутатор или концентратор, потому что все, что направляет ваши пакеты, заменит ваш MAC своим. Только IP-адрес остается таким же. Если бы MAC-адреса делались полностью, это был бы кошмар для обеспечения конфиденциальности, поскольку все MAC-адреса уникальны для одного устройства, следовательно, для одного человека.

Это немного упрощенное объяснение, потому что это не вопрос, но было полезно очистить то, что выглядело как недоразумение.

Ответ 4

Это может быть комбинация файлов cookie и журнала IP-адресов.

Изменить: я только что проверил свой банк и очистил файлы cookie. Теперь мне нужно повторно ввести всю мою информацию.

Ответ 5

Я думаю, что это зависит от банка. Мой банк использует cookie, поскольку я теряю его, когда я удаляю файлы cookie.

Ответ 6

Файлы флеш-памяти могут хранить небольшой объем данных на вашем компьютере. Также возможно, что банк использует этот подход для "запоминания" вашего компьютера, но он рискует полагаться на пользователей, имеющих (и не отключая) вспышку.

Ответ 7

Мой сайт банка заставляет меня повторно аутентифицироваться каждый раз, когда выходила новая версия Firefox, поэтому определенная часть компонента пользовательского агента в некоторых.

Ответ 8

Вы используете ноутбук? Помнит ли он вас после удаления ваших файлов cookie, если вы получаете доступ из другой сети Wi-Fi? Если это так, сопоставление IP/физического местоположения маловероятно.

Ответ 9

Основываясь на всех этих постах, выводы, которые я нахожу, заключаются в следующем: (1) это зависит от банка и (2) там, вероятно, более одного фрагмента данных, но см. (1).

Ответ 10

Возможно MAC-адрес.

IP для сопоставления физического местоположения также возможно.

Пользовательские агенты и другие HTTP-заголовки являются тихими, уникальными для каждой из машин.

Я думаю об этих сайтах, которые мешают вам использовать ускоряющих менеджеров загрузки. Должен быть способ.