¿Es una buena o mala práctica falsificar el agente de usuario?

Las herramientas que permiten cambiar el User-Agent son simplemente herramientas de depuración que permiten a los webmasters verificar fácilmente cómo los sitios web manejan las solicitudes enviadas por algunos clientes (por ejemplo, simulando un bot de Google o un cliente móvil).

Sin embargo, hay muy pocos casos en los que el uso de estas herramientas puede estar vinculado a la seguridad de TI, pero es de esperar que sean simplemente excepciones (muy pobres):

• Algunas autenticaciones del enrutador D-Link se pueden omitir usando un agente de usuario especialmente diseñado debido a una puerta trasera presente en el firmware ,
• Algunos sitios web mal desarrollados utilizan el agente de usuario para autorizar el acceso a algunos contenidos. Recuerdo de un sitio web que muestra contenido pagado a los bots de Google con fines de referencia pero que lo oculta para usuarios no autenticados normales, otro que muestra contenido limitado a teléfonos móviles y que requiere una tarifa de suscripción para acceder desde un escritorio, etc.

Por último, algunos sitios web (también mal desarrollados) no ofrecen al usuario la posibilidad de elegir entre la versión móvil y la de escritorio, y confían en que el usuario-agente elija automáticamente una versión en lugar del usuario. Falsear el agente de usuario le da el control al usuario para elegir qué versión quiere navegar.

Según el malware, si se incluye algún malware en la página web que visita, se descargará e intentará ejecutarse sin importar el agente de usuario que muestre. Es la forma en que puede terminar con un Firefox en Linux preguntándole amablemente cómo abrir este archivo .exe que acaba de descargar de alguna URL china: el malware se ejecutó solo, la parte de Firefox funcionó y la carga útil se descargó, pero la carga útil fue una de Windows que solo es basura en un host de Linux;).

El único último objetivo del cambio usuario-agente podría ser el seguimiento del problema. El seguimiento generalmente se realiza de manera más efectiva utilizando cookies y direcciones IP, por lo que, a menos que ya haya abordado estos dos, ni siquiera me molestaría en esto. Incluso si lo hace, como William explicó correctamente en su otra respuesta, la falsificación de usuario-agente cuando no se realiza correctamente también puede ser contraproducente.

En la mayoría de los casos, los exploits no intentarán determinar si un navegador es explotable antes de intentar ejecutarlo, por lo que la seguridad adicional de la suplantación de identidad es, en el mejor de los casos, insignificante. En lo que respecta a la privacidad, la suplantación de identidad del agente de usuario puede ser realmente dañina, ya que te haría casi un 100% único si fuera una combinación imposible, como un navegador web de escritorio con alguna resolución extraña del teléfono. Si tiene una resolución de navegador web común y deshabilita otras cosas que pueden causar combinaciones que generalmente son imposibles (fuentes, etc.), es posible que pueda reducir las posibilidades de que los sitios lo rastreen en base a una huella digital, pero de lo contrario será haciéndolo realmente fácil.