Подтвердить что ты не робот

Какая идентифицирующая информация может захватить сайт?

Если владелец веб-сайта хочет отслеживать, кто их пользователи как можно больше, какие вещи они могут захватить (и как). Возможно, вам захочется узнать об этом, чтобы захватить информацию на созданном вами сайте или, как пользователь, чтобы предотвратить захват данных на вас.

Вот стартовый список, но я уверен, что пропустил некоторые важные из них:

  • Referrer (на какой веб-странице была ссылка, которую вы следили, чтобы получить здесь). Это HTTP-заголовок.
  • IP-адрес машины, с которой вы просматриваете. Это доступно с заголовками HTTP.
  • Пользовательский агент (какой браузер вы используете). Это HTTP-заголовок.
  • Cookie, помещенный в предыдущий визит. Это заголовок, доступный только в том случае, если cookie был помещен ранее и не был удален пользователем.
  • Flash Cookie, размещенный в предыдущем посещении. Некоторые пользователи отключили файлы cookie, но очень немногие знают, как отключить Flash файлы cookie. Работает как обычный файл cookie, хотя он зависит от Flash.
  • Веб-ошибки. Поместите что-то маленькое (например, прозрачный однопиксельный GIF) на страницу, которая подана от третьего лица. Некоторые третьи стороны (например, DoubleClick) будут иметь свои собственные файлы cookie и могут коррелировать с другими посещениями, которые пользователь делает (за плату!).

Это те общие, о которых я думаю, но должны быть много необычных. Например, это:

..., о котором я никогда не слышал, прежде чем читать его здесь.

ADDED LATER (после чтения this):

Пожалуйста, постарайтесь разместить только один элемент за каждый ответ, тогда мы сможем использовать голосование, чтобы разобраться в лучших/более интересных. Ниже приведен список ниже, который, вероятно, менее эффективен.

А хорошо... В следующий раз я задаю такой вопрос, я постараюсь лучше.

И вот некоторые из лучших ответов, которые я получил:

  • Джеймс указывает, что IE передает версию платформы .NET.
  • AviewAnew указывает, что найти, какие сайты вы посетили.
  • Mecki указывает, что разрешение экрана можно определить.
  • Mecki также указывает, что любую информацию автозаполнения, которую ваш кеш-сервер кэширует, можно определить, создав скрытое поле, а затем прочитав его с помощью JavaScript.
  • jjrv указывает, что Flash может отображать шрифты на пользовательской машине.
  • Kent указывает, что вы можете узнать какие сайты посетил человек.
  • Silver Dragon указывает, что вы можете определить местоположение мыши в окне просмотра с помощью Flash и AJAX.
  • Джим указывает, что вы можете указать, какой язык пользователь настроил в своем браузере из HTTP-заголовка.
  • Джим также упоминает, что вы можете определить, используют ли люди Greasemonkey или что-то похожее на изменение страницы.
4b9b3361

ОТВЕТЫ

Ответ 1

Модификации оригинала:

  • может быть экранировано (я думаю, что это вариант в некоторых браузерах)
  • можно избежать только с помощью прокси (javascript может противоречить этому, однако, с умным поиском)
  • ненадежна, легко подделана.
  • И если предположить, что он не был очищен закрытием браузера (cookie сеанса), а файл cookie находится в том же домене/пути

Реальные неприятные

  • Использование javascript для проверки вашей сети /lan
  • Использование javascript для доступа к вашему брандмауэру из-за брандмауэра и настройки его настроек (без шуток)
  • Использование функции "посещенной ссылки" для определения того, какой из списка URL-адресов был посещен. (глубокое исследование истории!)
  • Доверия знает, что, если у пользователя есть Windows/IE/ActiveX

Ответ 2

  • Здесь заголовок, который может содержать информацию о прокси-сервере, который использует пользователь, и который также может включать в себя IP-адрес пользователя (в этом случае другой IP-адрес является прокси-сервером)
  • Разрешение экрана, операционная система, глубина цвета, размер панели задач (сравните максимальное и текущее разрешение), если включена Java, сглаживание шрифтов, плагинов, установленных через Javascript
  • Java-апплет также может дать вам кучу информации, но я не знаю, что.
  • Сайты, которые вы посетили
  • Сведения о вашей локальной сети, такие как активные хосты, веб-серверы. Бумага. Обозначает печать на диске, изменение маршрутизатора.

И все это предполагает, что злоумышленник не выполняет произвольное выполнение кода

Ответ 3

Javascript может получить больше информации, чем просто время. Например. разрешение экрана (+ глубина цвета) является одним из них.

См. Получение разрешения экрана с помощью JS

Все, что JS может захватывать, может передаваться с использованием AJAX без взаимодействия с пользователем. Другие примеры (не все будут работать в каждом браузере):

  • Он может просматривать историю вашего браузера, например. какой URL-адрес будет отображаться в вашем браузере, если вы нажмете назад или вперед.

  • Язык вашего браузера ( Примечание: обычно HTTP-запрос также будет содержать список предпочтительных языков для запрашиваемой вами страницы. Однако этот список доступен для пользователей в префиксах многих браузера, в то время как JS может действительно узнать, что язык перевода вашего браузера использует в интерфейсе)

  • Если ваш браузер автоматически заполняет поля формы (например, адрес электронной почты, имя пользователя и т.д.), JS может на самом деле уже прочитать, что ваш браузер ввел в поля перед отправкой формы (таким образом, он может даже читать, что ваш браузер предварительно заполнен там, даже если вы никогда не отправляете форму вообще).

Апплет Java может также собирать некоторую информацию и передавать ее, хотя информации, которую вы еще не получили в другом месте, не так много. Поскольку легко получить IP-адрес посетителя, можно узнать, какой онлайновый сервис он использует (просматривая IP-адрес в адресных сервисах, таких как IANA для США или RIPE для Европы и т.д.), И есть службы, которые переводят IP-адреса в страну, чтобы можно было узнать, где именно находится пользователь.

Ответ 4

Дополнительная информация, которая может представлять интерес:

  • Используя ip-адрес, можно разрешить имя хоста, поставщика/организацию сети, к которой принадлежит IP, и грубое географическое местоположение.
  • Используя референт, список запросов, заданных клиентом, и надежный механизм cookie, можно решить путь, который делает посетитель (даже клики по другим сторонам, с помощью AJAX и/или страницы пересылки).
  • Использование flash, с комбинацией AJAX, можно зафиксировать местоположение мыши в окне просмотра.
  • Пользовательский агент может содержать информацию об операционной системе, установленных платформах .NET и других курьезов.

Ответ 5

версии .NET Framework передаются в IE в User Agent.

Ответ 6

  • Может ли браузер поддерживать JS
  • Может ли браузер поддерживать flash
  • Платформа операционной системы
  • Разрешение экрана
  • Поддержка CSS
  • Поддержка таблиц

Ответ 7

Flash может предоставить вам список шрифтов на машине пользователя, среди прочего. Javascript может отправлять информацию, когда мышь останавливается над объявлением, не нажимая на нее. Вы также можете получить размер окна, независимо от того, открыт ли сайт в фрейме, если всплывающие окна или определенные плагины заблокированы, поиск функций Javascript может определить правильность или подделку заголовка агента пользователя...

Ответ 8

  • Обычно вы можете определить, на каком языке пользователь говорит через HTTP-заголовок Accept-Language.
  • Вы можете определить, установлены ли определенные приложения и плагины браузера, просмотрев заголовок Accept HTTP.
  • Версия браузера /patchlevel и версия .NET Framework через HTTP-заголовок User-Agent.
  • Ваш провайдер/работодатель и географическое расположение через IP-адрес.
  • Посещали ли вы определенные URL-адреса с помощью событий CSS и/или синхронизации. Если на конкретном веб-сайте есть пользовательские URI, это может раскрыть, являетесь ли вы определенным пользователем на этом сайте или нет.
  • Какие шрифты доступны через измерение ems и/или Flash.
  • Разрешение экрана, размер окна, часовой пояс через JavaScript.
  • Где вы перемещаете мышь и нажатие клавиш с помощью JavaScript. Например, вы можете видеть, что люди печатают в текстовые поля, даже если они не попадают в submit.
  • Многие файлы утечки UserJS/Greasemonkey (например, если вы отфильтровываете определенных людей, сайты, на которые он настроен, могут узнать, кто).

Ответ 9

Если вас беспокоит ваша личная безопасность (я не уверен, что это то, что вы действительно получаете после этого, так что мои извинения, если это ошибочно), вы всегда можете использовать сеть Tor. Если вы используете Firefox, вы можете использовать Torbutton для активации одного щелчка. Это имеет преимущество (недостаток, для некоторых) отключение Flash, потому что в противном случае невозможно защитить от утечки информации Flash.

Ответ 10

Мне нужно выкопать ссылку, но если пользователь использует IE, с установленными стандартными названиями программного обеспечения, определение того, какие из них установлены, возможно.

Ответ 11

Насколько я знаю, можно получить данные буфера обмена через javascript. Не уверен, насколько это возможно по умолчанию в наши дни, но это было всего лишь ярость не так давно. Я действительно верю, что IE все еще позволяет это.

У людей есть привычка оставлять очень важные данные в своем буфере обмена, так что это довольно плохо.