Comments 6
Про 15% я не понял, ведь близость хешей не гарантирует близость исходных строк.
Повышение внимания к теме фингерпринтов - это хорошо. Но при реализации подобного стандарта есть ряд нюансов.
Стандартные фингерпринты не очень хороши тем, что становится понятно, как их стандартно подменять. Например, если заманить пользователя на страницу, которая собирает данные для фингерпринта, то можно отдавать точный отпечаток пользователя (еще проще, если хэш составляется на фронте) на любом сайте, который использует этот стандарт. То же самое с приложениями, но реализация чуть сложнее.
Технические возможности устройств, операционный систем и браузеров очень быстро меняются. В посте есть ссылка на документ от EMVCo (2019 год), в котором, в частности для Андройда перечислен сбор параметров, которые новые версии ОС собрать не позволяют. По своему опыту скажу, что многие современные мобильные SDK антифрод продуктов заимствуют код из открытых источников и используют методы, которые уже давно не актуальны. А для сбора некоторых данных нужно обосновать необходимость доступа к ним при загрузке приложения в Google Play и App Store.
При реализации сбора некоторых характеристик отпечатка публично доступные алгоритмы недостаточно стабильны. Это значит, что вместо одного отпечатка у вас будет создаваться несколько, случайным (если вы не знаете, в чем причина отклонений) образом.
Точность отпечатка зависит от объема вашей аудитории. На десктопах с точностью ситуация лучше, чем на мобильных. А если у вас два одинаковых iPhone, как вы будете решать проблему коллизий? Для этого есть свои методы, но они не так очевидны.
Для сбора некоторых типов сетевых отпечатков (TCP/IP, SSL/TLS, HTTP/2) потребуется реализовывать собственные решения, что не всегда просто.
Как будет организована работа с расширениями браузеров, которые рандомизируют или противодействуют снятию отпечатков?
Стандарт фингерпринта для финансовых организаций