Как банки помнят "ваш компьютер"?

Question

Как многие из вас, вероятно, знают, в настоящее время онлайн-банки имеют систему безопасности, в которой вам задают несколько личных вопросов, прежде чем вы даже введете свой пароль. После того, как вы ответили на них, вы можете выбрать для банка «запомнить этот компьютер», чтобы в будущем вы могли войти в систему, только введя свой пароль.

Как работает часть "запомнить этот компьютер"? Я знаю, что это не могут быть куки, потому что эта функция все еще работает, несмотря на то, что я удаляю все свои куки. Я думал, что это может быть по IP-адресу, но мой друг с динамическим IP-адресом утверждает, что это работает и для него (но, возможно, он ошибается). Он думал, что это MAC-адрес или что-то в этом роде, но я сильно сомневаюсь в этом! Итак, есть ли концепция файлов cookie только для https, которые я не очищаю?

Наконец, вопрос программирования: как я могу сделать что-то подобное, скажем, в PHP?

Answer 1

На самом деле они, скорее всего, используют куки. Альтернативой для них было бы использование « flash cookie » (официально называется « Local Shared Objects »). Они похожи на куки в том, что они привязаны к веб-сайту и имеют верхний предел размера, но они поддерживаются флеш-плеером, поэтому они невидимы для любых инструментов браузера.

Чтобы очистить их (и проверить эту теорию), вы можете использовать инструкции, предоставленные Adobe . Другая изящная (или, возможно, беспокоящая, в зависимости от вашей точки зрения) функция заключается в том, что хранилище LSO совместно используется всеми браузерами, поэтому с помощью LSO вы можете идентифицировать пользователей , даже если они переключили браузер (при условии, что они зарегистрированы в качестве того же пользователя).

Answer 2

Конкретный банк, который меня интересовал, - Банк Америки.

Я подтвердил, что если я только очищаю свои куки или мои LSO, сайт не требует от меня повторного ввода информации. Если, однако, я очищаю оба, мне пришлось пройти дополнительную аутентификацию. Таким образом, это, кажется, ответ в моем конкретном случае!

Но спасибо вам всем за информацию о других банках и за такие возможности, как включение строки User-Agent.

Answer 3

Этот вид отслеживания сеансов, скорее всего, будет выполняться с использованием файла cookie с уникальным идентификатором, идентифицирующим ваш текущий сеанс, и веб-сайта, связывающего этот идентификатор с последним IP-адресом, который вы использовали для подключения к их серверу. Таким образом, если IP-адрес изменяется, но у вас все еще есть файл cookie, вы идентифицированы и вошли в систему, и если файл cookie отсутствует, но у вас тот же IP-адрес, что и у сервера, сохраненного на сервере, тогда они устанавливают для вашего файла cookie значение идентификатор в паре с этим IP.

На самом деле, это вторая возможность, которую сложно сделать правильно. Если файл cookie отсутствует, и у вас есть только свой IP-адрес, который нужно показать для идентификации, входить в систему кого-либо только на этом основании небезопасно. Так что серверы, вероятно, хранят дополнительную информацию о вас, LSO кажется хорошим выбором, географический IP тоже, но User Agent, не так много, потому что они ничего не говорят о вас, каждый использует ту же версию того же браузера, что и вы. имеет то же самое.

Кроме того, было упомянуто выше, что он может работать с MAC-адресами. Я категорически не согласен! Ваш MAC-адрес никогда не достигает сервера вашего банка, так как они используются только для идентификации сторон соединения Ethernet, а для подключения к вашему банку вы делаете множество соединений Ethernet: от вашего компьютера до ваш домашний маршрутизатор или ваш Интернет-провайдер, затем оттуда к первому интернет-маршрутизатору, через который вы проходите, затем ко второму и т. д. ... и каждый раз, когда устанавливается новое соединение, каждая машина на каждой стороне предоставляет свои собственные MAC-адреса. Таким образом, ваш MAC-адрес может быть известен только машинам, напрямую подключенным к вам через коммутатор или концентратор, потому что все, что маршрутизирует ваши пакеты, заменит ваш MAC своим собственным. Только IP-адрес остается неизменным. Если бы MAC-адреса шли полностью, это было бы кошмаром конфиденциальности, поскольку все MAC-адреса уникальны для одного устройства, следовательно, для одного человека.

Это немного упрощенное объяснение, потому что не в этом суть вопроса, но казалось полезным прояснить то, что выглядело как недоразумение.

Answer 4

Сайт моего банка заставляет меня проходить повторную аутентификацию каждый раз, когда выходит новая версия Firefox, поэтому в некоторых, безусловно, есть строковый компонент user-agent.

Answer 5

Флэш-файлы могут хранить небольшое количество данных на вашем компьютере. Также возможно, что банк использует этот подход, чтобы «запомнить» ваш компьютер, но рискованно полагаться на пользователей, имеющих (и не отключивших) флеш-память.

Answer 6

Я думаю, это зависит от банка. Мой банк использует куки, так как я теряю их, когда стираю куки.

Answer 7

Это может быть комбинация файлов cookie и регистрация IP-адресов.

Редактировать: Я только что проверил свой банк и очистил куки. Теперь мне нужно повторно ввести всю мою информацию.

Answer 8

Исходя из всех этих постов, я пришел к следующим выводам: (1) это зависит от банка и (2), вероятно, задействовано более одного фрагмента данных, но см. (1).

Answer 9

Вы используете ноутбук? Помнит ли он вас после удаления файлов cookie, если вы получаете доступ из другой сети WiFi? Если это так, сопоставление IP / физического местоположения маловероятно.

Answer 10

MAC-адрес возможен.

Также возможно сопоставление IP с физическим местоположением.

Пользовательские агенты и другие заголовки HTTP также уникальны для каждой из машин.

Я думаю о тех сайтах, которые мешают вам использовать ускоряющиеся менеджеры закачек. Должен быть способ.