Как банки запоминают "ваш компьютер"?
как многие из вас, вероятно, знают, интернет-банки в настоящее время имеют систему безопасности, в которой вам задают некоторые личные вопросы, прежде чем даже ввести свой пароль. После того, как вы ответили на них, вы можете выбрать для банка "запомнить этот компьютер", так что в будущем вы можете войти, только введя свой пароль.
Как работает часть "запомнить этот компьютер"? Я знаю, что это не могут быть куки, потому что функция все еще работает, несмотря на то, что я очищаю все свои cookies. Я думал, что это может быть по IP-адресу, но мой друг с динамическим IP утверждает, что он тоже работает для него (но, возможно, он ошибается). Он думал, что это MAC-адрес или что-то в этом роде, но я сильно в этом сомневаюсь! Итак, есть ли концепция файлов cookie только https, которую я не понимаю?
наконец, программная часть вопроса: как я могу сделать что-то подобное сам, скажем, PHP?
10 ответов
на самом деле они, скорее всего, используют cookies. Альтернативой для них было бы использование " flash cookies" (официальное название "Локальные Общие Объекты"). Они похожи на куки в том, что они привязаны к веб-сайту и имеют верхний предел размера, но они поддерживаются flash player, поэтому они невидимы для любых инструментов браузера.
, чтобы очистить их (и проверить эту теорию), вы можете использовать инструкции, предоставленные Adobe. Другой отличный (или, возможно, беспокоясь, в зависимости от вашей точки зрения) особенность заключается в том, что хранилище LSO совместно используется всеми браузерами, поэтому с помощью LSO вы можете идентифицировать пользователей даже если они перешли браузер (если они вошли в систему как один и тот же пользователь).
конкретный банк, который меня интересовал, - это Bank of America.
Я подтвердил, что если я только Очищаю свои куки или мои LSOs, сайт не требует от меня повторного ввода информации. Если, Однако, я очищаю оба, мне пришлось пройти дополнительную аутентификацию. Таким образом, это, по-видимому, ответ в моем конкретном случае!
но спасибо всем за хедз-ап относительно других банков и таких возможностей, как включение строки User-Agent.
этот вид отслеживания сеансов, скорее всего, будет выполнен с использованием комбинации cookie с уникальным идентификатором, идентифицирующим ваш текущий сеанс, и веб-сайта, связывающего этот идентификатор с последним IP-адресом, который вы использовали для подключения к своему серверу. Таким образом, если IP меняется, но у вас еще есть печенье, ты определил и вошел в систему, и, если cookie отсутствует, но у вас же IP-адрес, сохранить на сервере, то они устанавливают свои куки идентификатор в паре с ИНТЕЛЛЕКТУАЛЬНАЯ СОБСТВЕННОСТЬ.
действительно, это вторая возможность, которую сложно получить правильно. Если cookie отсутствует, и у вас есть только ваш IP-адрес для идентификации, довольно небезопасно регистрировать кого-то только на основе этого. Таким образом, серверы, вероятно, хранят дополнительную информацию о вас, LSO кажется хорошим выбором, geo IP тоже, но User Agent, не так много, потому что они ничего не говорят о вас, каждый орган, использующий ту же версию того же браузера, что и вы, имеет то же самое.
As в стороне, было упомянуто выше, что он может работать с Mac adresses. Я категорически не согласен! ваш Mac-адрес никогда не достигает вашего банка-сервер, так как они используются только для определения сторон Ethernet-подключения, и для подключения к вашей банке вы делаете кучу Ethernet подключения: с Вашего компьютера на ваш домашний роутер, или провайдер, потом оттуда в первый вы идете через интернет-маршрутизатор, то на вторую и т. д... и каждый раз, когда новое соединение сделано, каждая машина дальше каждая сторона предоставляет свои собственные MAC-адреса. Таким образом, ваш MAC-адрес может быть известен только машинам, напрямую подключенным к вам через коммутатор или концентратор, потому что все остальное, что маршрутизирует ваши пакеты, заменит ваш MAC на их собственный. Только IP-адрес остается неизменным на всем пути. Если бы MAC-адреса прошли весь путь, это был бы кошмар конфиденциальности, поскольку все MAC-адреса уникальны для одного устройства, следовательно, для одного человека.
Это немного упрощенное объяснение потому что это не суть вопроса, но мне показалось полезным прояснить то, что выглядело как недоразумение.
флэш-файлы могут хранить небольшое количество данных на вашем компьютере. Также возможно, что банк использует этот подход для "запоминания" вашего компьютера, но рискованно полагаться на пользователей, имеющих (и не отключивших) flash.
сайт Моего банка заставляет меня повторно аутентифицироваться каждый раз, когда выходит новая версия Firefox, поэтому в некоторых определенно есть компонент строки пользовательского агента.
Это может быть сочетание файлов cookie и регистрации ip-адресов.
Edit: я только что проверил свой банк и очистил куки. Теперь я должен заново ввести всю свою информацию.
Я думаю, это зависит от банка. Мой банк использует печенье, так как я теряю его, когда протираю печенье.
вы используете ноутбук? Помнит ли он вас, после удаления файлов cookie, если вы получаете доступ из другой сети WiFi? Если это так, сопоставление IP/физического местоположения маловероятно.
основываясь на всех этих сообщениях, выводы, к которым я прихожу, (1) зависят от банка и (2), вероятно, есть более одной части данных, которые участвуют, но см. (1).
MAC-адрес можно.
IP к физическому сопоставлению положения также возможность.
пользовательские агенты и другие HTTP-заголовки также являются уникальными для каждой из машин.
Я думаю о тех веб-сайтах, которые не позволяют вам использовать ускоряющие менеджеры загрузки. Должен быть способ.