¿Cuáles son las técnicas de seguimiento web más utilizadas y conocidas o menos conocidas? [cerrado]

5

Sé de cookies HTTP, flash flash, ETag cuando se trata del seguimiento de usuarios en la web.

¿Existen otras tecnologías, conocidas o menos conocidas?

Gracias.

    
pregunta Andy K 13.12.2015 - 22:50
fuente

4 respuestas

8

Menos conocidos son:

  • Usando el supercookie de Verizons: Verizon agrega un encabezado HTTP en cada solicitud HTTP con una identificación única para cada cliente, incluso después de cambiar su dirección IP, borrar sus cookies, ...
  • usando "Coincidencia de cookies": los rastreadores A y B le rastrean. Borra las cookies de A. B logra identificarlo (a través de cookies, ETag, ...) e inserta un píxel de seguimiento cargado de A que contiene su Identificación para que A identifique que establece la cookie, etc. de nuevo. A redirige el píxel a B que contiene su ID para que luego puedan hacerlo nuevamente. A menudo existe una red de intercambio de Coincidencia de cookies de más de 100 rastreadores diferentes.
  • Uso de inicio de sesión de usuario: muchos usuarios permanecen conectados en Facebook mientras navegan e incluso desconectándose no eliminan la cookie. Los botones me gusta de Facebook están en casi todas las páginas. Combínalo con Cookie Matching y llegarás muy lejos. Lo mismo para la cuenta de Google / "doble clic" (inicio de sesión predeterminado en el navegador Chrome y en Android)
  • Almacenamiento local HTML5: javascript puede almacenar y recuperar datos en el cliente en el almacenamiento local HTML5. Similar a las cookies, pero no se envía con cada solicitud por defecto. No se elimina cuando un usuario solo elimina las cookies. enlace
respondido por el H. Idden 14.12.2015 - 00:33
fuente
4

Hay muchas formas diferentes de almacenar datos locales a través de javascript (local storage / indexeddb, ...) y también algunas formas desagradables como abusar de HSTS (Seguridad de transporte estricta de HTTP) .
En general, hay muchas formas de crear una huella digital confiable, pero casi todas las formas (más) confiables requieren la activación de JavaScript.

HSTS
El método más confiable en el que puedo pensar (excepto las cookies) es, de hecho, abusar del encabezado HSTS.
El problema con este enfoque es que necesita un certificado válido (no autofirmado) para n (sub) dominios (o un certificado comodín) para guardar un número de hasta 2 ** n.
Este método no requiere que javascript esté activo, pero puede desarmarse si el usuario está usando la extensión del navegador como uMatrix o RequestPolicy, que solo permite la carga de datos de otros dominios si están en la lista blanca.
No sé si esta técnica se usa hoy, pero supongo que no.
Aquí es un POC que utiliza HSTS para fines de seguimiento. ( Descargo de responsabilidad: mi código )

Vea algunas técnicas diferentes "avanzadas / experimentales" aquí:
enlace
Ejemplo con la mayoría de las pruebas aquí

    
respondido por el SleepProgger 14.12.2015 - 00:26
fuente
1
  • Similar a Etag, el encabezado Last-Modified se puede usar para el seguimiento.
  • El elemento de lienzo HTML se puede usar para crear huellas digitales en una computadora.
  • JavaScript se puede utilizar para todo tipo de seguimiento. P.ej. identifique a un usuario mediante la toma de huellas dactilares de la tasa de descarga promedio de su batería (requiere Firefox).

Para obtener una buena lista de "ideas" de seguimiento, eche un vistazo a Panopticlick de la EFF. Enumera algunas fuentes interesantes de información de identificación, como verificar las fuentes del sistema, las dimensiones de la pantalla y la zona horaria. La mayoría de los que requieren JavaScript.

    
respondido por el tarleb 14.12.2015 - 00:03
fuente
1

HTTP es un protocolo sin estado, las cookies se utilizan para ofrecer persistencia. Si bien se utilizará una misma cookie para un sitio web específico, se generará una cookie diferente para un sitio web diferente.

A un nivel superior (ISP, corporaciones, gobierno), su dirección IP pública + inicio de sesión en los servicios web (Dropbox, Gmail, Office 365, Evernote) utilizando sus credenciales + analítica web, incluidas las cookies, los encabezados http (agente de usuario, referer) permitiría que cualquier persona con acceso a estos datos monitoree su actividad.

    
respondido por el Florian Bidabe 14.12.2015 - 00:05
fuente

Lea otras preguntas en las etiquetas