¿Debo pedirle a un usuario que vuelva a autenticarse si la huella digital del navegador cambia? ¿Hay una biblioteca del lado del servidor disponible?

Muchas cosas en las que se define la huella digital pueden cambiar con bastante frecuencia. Por ejemplo, la lista de fuentes compatibles. Además, algunos navegadores implementan actualizaciones transparentes; Chrome es notorio por eso : algunas actualizaciones pueden aplicarse incluso sin necesidad de que el usuario para reiniciar su navegador web. Cualquier actualización de este tipo puede cambiar la huella digital.

Como usuario de un sitio "seguro" (es decir, un sitio donde existe una necesidad evidente de seguridad, como la banca en línea), cualquier "restablecimiento de seguridad" aparentemente espúreo me pondría nervioso y nervioso. No creo que poner nervioso a tu usuario sea algo bueno; Además, esto los capacitaría para volver a ingresar sus credenciales en momentos aleatorios, lo que está destinado a hacerlos descuidados y vulnerables al phishing.

Por lo tanto, le aconsejo a no que desactive una sesión debido a un cambio en la huella digital. De todos modos, si un atacante puede robar una sesión, es probable que también pueda imitar la huella del pulgar, por lo que la característica de seguridad prevista solo detectaría a los no atacantes, lo que es de una eficacia general cuestionable.

Sí, hay un posible beneficio. Un cambio en la huella digital significa un posible cambio en la máquina que está accediendo al sitio. Ese es un síntoma de la conexión de sniffing / hijacking y el famoso FireSheep . El inconveniente es los falsos positivos que requieren que un usuario vuelva a iniciar sesión. Eso es molesto para el usuario si sucede mucho.

Es posible que desee filtrar los cambios comunes (actualizaciones menores del sistema operativo o del navegador, cambios en la resolución de la pantalla para los usuarios de computadoras portátiles que usan monitores), pero si las credenciales van de IE a Mozilla o Mac a Windows, probablemente valga la pena marcarlas.

Todavía hay un caso de ventaja para el usuario que camina con el perfil de su navegador en una unidad USB, pero ese es un caso de borde que probablemente ignoraría.

No confiaría en las huellas digitales del navegador como un método de seguridad sólido; es solo seguridad por oscuridad (lo que puede ayudar a mantener a tu hermana pequeña fuera de tus datos; pero no mantendrá alejados a adversarios fuertes a los que solo será un poco molesto derrotar). Utilice SSL y cookies seguras.

Parece bastante trivial modificar un navegador web para modificar su huella digital para imitar la huella digital de otro navegador; por ejemplo, cambie la cadena de agente de usuario / zona horaria / tamaño de pantalla / etc.

No estoy seguro de que haya herramientas disponibles para falsificar listas de complementos / listas de fuentes del sistema, pero en principio esto no es difícil de falsificar y, como las huellas dactilares del navegador se realizan en JavaScript, no sería tan difícil descifrarlo. exactamente lo que está verificando y haciendo que su navegador personalizado reproduzca la configuración correcta desde el otro navegador.