Я некоторое время изучал дактилоскопию браузера и получил некоторые знания в этой области.Демонстрацию снятия отпечатков в браузере можно найти по адресу panopticlick.eff.org .Однако меня беспокоит то, насколько легко ими можно манипулировать, или я так думаю.Из того, что я понимаю, есть 2 способа, которыми они могут манипулировать.
1.Манипулирование ими напрямую
Это дано, чтобы изменить отпечаток пальца, вы просто подделываете значения в вашем браузере, которые собирают такие сценарии снятия отпечатков пальцев.Например, вы можете подменить:
a) User-Agent строк среди других заголовков.
b) JS-Elements-and-API с помощью ObjectDefineProperty для редактирования их значений
c) Более конкретные методы снятия отпечатков, такие как Canvas fingerprinting, путем установки расширения который манипулирует отпечатком
и т. д. ......
Этот метод, однако, не очень эффективен против активных методов снятия отпечатков, таких как WebGL-снятие отпечатков пальцев поскольку они не могут быть легко подделаны.
Но второй метод немного более интересен, и, к сожалению, нет большой информации о том, правдоподобно это или нет.
2.Редактирование данных перед их отправкой на сервер
Таким образом, в основном, после того, как скрипт собрал всю информацию, он либо (я предполагаю здесь) создает хеш-код тут же и затем отправляет егона сервер, или он отправляет данные на сервер, и там создается хэш.Теперь, если я полон решимости победить отпечатки пальцев браузера на определенном сайте, для злонамеренных целей все, что мне нужно сделать, это запустить приложение типа Fiddler , найти (предположительно) POST, через который отправляются данныена сервер, и отредактируйте данные.Для тех, кто не знает, что такое Fiddler, это приложение, которое маршрутизирует все запросы и ответы, сделанные через вашу сеть, через прокси-сервер, поэтому вы можете просматривать и редактировать любые запросы перед их отправкой в браузер / сервер.Кажется, достаточно просто.
Мои вопросы
Теперь, поскольку я не обладаю большими знаниями по всем вопросам запроса-ответа, это заставляет меня сомневаться в моем методе 2.Итак, наконец, я хочу спросить:
1) Верны ли мои знания о том, как отпечатки браузера отправляются на сервер правильно?т.е. через POST.Я полагаю, что так должно быть, потому что это единственный способ, как вы можете передавать данные на сервер?
2) Если это возможно, то какие контрмеры могут реализовывать сайты (иливнедрили), чтобы убедиться, что данные не изменяются перед отправкой на сервер, или, по крайней мере, усложняют выполнение этого?
3) Есть верный способ поймать такие методы?