Комментарии 27
НЛО прилетело и опубликовало эту надпись здесь
> Оказывается — да. Это кэш браузера.
Ну это не новость совсем.
Вот, например, статья от 2003 года, где рассматривается эта техника: www.arctic.org/~dean/tracking-without-cookies.html
Всё новое — хорошо забытое старое.
Ну это не новость совсем.
Вот, например, статья от 2003 года, где рассматривается эта техника: www.arctic.org/~dean/tracking-without-cookies.html
Всё новое — хорошо забытое старое.
обычно ставят проверки, и юзер которого нельзя идентифицировать получит об этом сообщение. Подумал-подумал и не нашел применения я этой фичи
Это один из восьми способов, которым пользуется evercookie, которым уже несколько лет как )
НЛО прилетело и опубликовало эту надпись здесь
Упоминается в оригинале, в том контексте что даже там такой идентификации не предусмотрено.
У ip-check.info более подробная проверка, включая кэш браузера.
От этого спасает использование portable версий браузеров, в каждом из которых будет свой кэш, своя кука и т.д.
Но тема интересная. Теперь кроме кук, еще и файловый кэш чистить придётся :)
Но тема интересная. Теперь кроме кук, еще и файловый кэш чистить придётся :)
А еще есть хак с историей.
Например, сохраняем строку abc.
Совершается 3 запроса:
http:/url/a
.../ab
.../abc
затем есть функция, умеющая отличать посещённую ссылку от непосещенной, и она перебирает нужные данные, пока не встретит завершающий символ.
И да… это все делается без запросов к серверу, поскольку идет работа с историей браузера
Например, сохраняем строку abc.
Совершается 3 запроса:
http:/url/a
.../ab
.../abc
затем есть функция, умеющая отличать посещённую ссылку от непосещенной, и она перебирает нужные данные, пока не встретит завершающий символ.
И да… это все делается без запросов к серверу, поскольку идет работа с историей браузера
НЛО прилетело и опубликовало эту надпись здесь
Есть еще один гораздо более близкий к кукам механизм, который активно используется трекерами типа TNS, но о котором почему-то мало бузят. Это TLS Session Ticket которые описаны в www.ietf.org/rfc/rfc5077 и поддерживаются и в Chrome и в Firefox. Суть весьма простая — фактически, это та же самая кука, но на уровне TLS, сервер скармливает любые данные и клиент их возвращает при следующем TLS-коннекте. Напишите статейку о нем, окружающим будет полезно знать.
А вы не занимались вплотную? Резим Incognito хрома подвержен такой идентификации (остальные вроде не работают)?
Судя по комментариям подвержен частично, т.к. для режима инкогнито используется отдельный кэш (net: split the SSL session cache between incognito and normal) хотя изначально патч предполагал полный отказ от идентификаторов сеанса (Incognito mode does not use TLS Session IDs at all — support for TLS Session Resumption is disabled completely). Причем до сих пор нет возможности сбросить кэш.
Можно, кстати, генерировать не просто img с именем контрольной суммы, а, еще само изображение дополнить шифродатой (0 — белый, 1 — черный пиксель) — старый достаточно трюк.
ip-check.info тоже годен
> У технологии есть недостатки — картинка грузится после того, как загрузится страница, поэтому пользователь увидит информацию от своего предыдущего посещения.
А нельзя на саму страницу вешать ETag и менять его каждый раз, обновляя соответствие в своей базе ID Пользователя <-> ETag?
А нельзя на саму страницу вешать ETag и менять его каждый раз, обновляя соответствие в своей базе ID Пользователя <-> ETag?
Отлично. Вы узнали, что в запросе на отдачу это такой-то пользователь. И вот он заходит на другую страницу, которую ещё не загружал, запрашивает /GET index2.html, как вы узнаёте, что это он же? Если даже поместить в этот index2.html ту же картинку, на неё следом, после получения index2.html пойдёт отдельный запрос. И будет уже поздно вписывать в страницу «Дорогой пользователь такой-то, мы вас узнали», потому что от кого именно пришёл запрос на index2.html — не понять. Если вы, конечно, не хотите в адресную строку добавлять ?_session_id=.
Аналогично с local storage, это локальный механизм хранения на пользовательской стороне, а не передачи состояния.
Так что такая штука пойдёт разве что для дополнительной защиты параноиков. Которые уже наверняка сидят из shell'а lynx'ом.
Аналогично с local storage, это локальный механизм хранения на пользовательской стороне, а не передачи состояния.
Так что такая штука пойдёт разве что для дополнительной защиты параноиков. Которые уже наверняка сидят из shell'а lynx'ом.
Баннерная сеть (баннер которой встроен во множество сайтов) может быстро изучить ваши предпочтения и показывать релевантную рекламу, даже если у пользователя выключены third-party cookies.
Не знаю, что там делает средний параноик, но полезно представлять себе все возможные пути идентифицирующей информации.
В моей молодости на местном форуме некто написал из-за прокси нехорошее сообщение.
У него оказался достаточно уникальный User-agent, поэтому располагая даже только логами со стороннего ресурса (хостинг картинки для подписи итд) обнаружить негодяя не составило труда.
Не знаю, что там делает средний параноик, но полезно представлять себе все возможные пути идентифицирующей информации.
В моей молодости на местном форуме некто написал из-за прокси нехорошее сообщение.
У него оказался достаточно уникальный User-agent, поэтому располагая даже только логами со стороннего ресурса (хостинг картинки для подписи итд) обнаружить негодяя не составило труда.
Я думаю, еще можно идентифицировать по паттернам поведения большинство постоянных пользователей сайта… :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Cookie без куков