¿Cómo identifica este sitio un dispositivo de manera única?

No puedo reproducir ninguno de los comportamientos que describe, por lo que esta publicación será un poco más teórica.

La capacidad que te deja perplejo parece ser la capacidad de reconocer el origen de una solicitud HTTP incluso cuando se usa una VPN y se usa un agente de usuario sin funciones como CURL. Eso sería realmente desconcertante.

Las súper cookies o los métodos de toma de huellas dactilares que conocemos dependen de algún tipo de característica (como HSTS, Flash o JavaScript para informar el tamaño de la pantalla o las fuentes instaladas). CURL no admite ninguno de esos featers, ni siquiera analiza la respuesta por ti. Por lo tanto, seguir siendo capaz de identificar al usuario sería realmente mágico, o al menos una señal de una VPN defectuosa.

Sin embargo, la prueba que describe en su pregunta no demuestra la capacidad propuesta. Hay una gran cantidad de explicaciones alternativas que aún no ha descartado. Solo por nombrar algunos:

• La IP de las VPN: s conocidas están listadas y bloqueadas.
• La IP de la VPN está en una geolocalización bloqueada.
• El botón está activado por JavaScript, ese CURL no se ejecutará.
• El comportamiento es aleatorio.

La prueba que haría sería utilizar CURL (con la misma solicitud) y una VPN para el primer y el segundo intento, pero con diferentes nodos de salida, es decir, diferentes direcciones IP. Si las pruebas repetidas de ese tipo demostraran que funcionaba algún tipo de super cookie, estaría realmente perplejo, pero no hasta entonces.

Hay varias posibilidades que puedo ver.

• error de usuario : el sitio realmente necesita Javascript o lo que sea, que curl no proporciona. El sitio no se ve diferente porque te ha reconocido ; lo hace porque el segundo navegador no funciona.
• super-cookies : hay formas de obtener / configurar información, llamadas " super-cookies ", que no dependerán del navegador. También otra información que puede ser recuperada por un navegador, como el sistema operativo, las fuentes instaladas, la resolución de la pantalla, etc., puede ser compartida por diferentes navegadores en diferentes direcciones IP. Si el sitio ve dos conexiones con exactamente la misma huella digital, se ríe maliciosamente y rechaza la segunda conexión.
• ingeniería social : el sitio es en realidad siempre el mismo. No hay algoritmo avanzado y nunca hubo. Solo está configurando la pregunta (y un perfil de usuario recién unido para hacerlo) de modo que las personas sigan el enlace y acumulen puntos, felicitaciones, reputación o lo que sea de este tipo "aid = 1133" ( espere - o fue 1100? ).
• lista blanca del navegador : el sitio solo "reacciona" a ciertos navegadores, posiblemente provenientes de un rango de direcciones IP. Si estuviera construyendo un sitio de votación y deseara implementar algunas comprobaciones de fraude, tendría mucho sentido ejecutar algunos informes y posiblemente aceptar solo los votos de algunos países, utilizando algunos de los posibles Usuarios-Agentes.

Además, con respecto a los controles de fraudes, una parte importante de este tipo de trabajo es convencer al atacante que ha tenido éxito , o al menos no subrayar el hecho de que se ha detectado . Esto retrasará el momento en que intentará cualquier otra cosa. Aquí, aparentemente, el proceso de votación siempre tiene éxito, que es exactamente lo que una defensa exitosa nos haría creer. Lo que en realidad son los votos acumulados, no lo sabemos.

Entonces, lo que pudo sucedió es que alguien (ya sea humano o programa) está manejando las defensas, y recientemente algo, como una tormenta de intercambio de Stack Stack: -) - sucedió, eso hizo que "aplanar las escotillas" parezca recomendable. El botón desactivado fue la última vez que el sitio le dijo a alguien "¡Hey, estás votando dos veces!". Ahora, tal vez el sitio aún lo sepa, o tal vez ya no les importe, pero en todos los casos, simplemente ya no deja que nadie lo sepa.