这是一个创建于 2241 天前的主题,其中的信息可能已经有所发展或是发生改变。
发现现在可以在不通过 IP、Cookie 的情况下靠浏览器指纹就可以辨认用户了?
https://www.appinn.com/browserprint/
https://www.appinn.com/browserprint/
 |
1
mytry 2018-09-26 14:07:02 +08:00
最好禁用 WebRTC。
|
 |
2
marcong95 2018-09-26 15:32:33 +08:00
https://i.loli.net/2018/09/26/5bab34617fec1.png
我感觉这种东西能够唯一辨认用户不太靠谱,感觉是它的样本本来就少吧,才 80 几 w。 我看 view more detail 里面,只有 3 个东西是<0.1%的,UA、Content-Language 还有 Canvas Content-Language 我设置了 zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,ja;q=0.6 至于 Canvas,不同浏览器之前还能有啥不同么,怎么就<0.1%了。。。 |
 |
3
PP 2018-09-26 18:51:17 +08:00
楼主问的问题不够准确,浏览器指纹的唯一性是多重特征汇总的结果,并不是肯定唯一,视交集范围大小而定。
楼上提到的帆布识别也很隐蔽,起码目前 EFF 的隐私獾就不支持屏蔽,要对 JS 进行专门修改或用特殊插件屏蔽。很多站点上的帆布识别是外部调用带来的,比如 V 站就有 1 个。有些站点的帆布识别时开时不开,比如百度网盘的分享页面就是,前些天关了,这几天包括今天又开了,数量也是 1 个。有些站点调用了 cnzz 或百度,数量一般还是 1 个。搞笑的是,前面楼主引述文章的网站“小众软件”,今天首页上的帆布识别是 25 个,惊不惊喜?意不意外? |
 |
4
imn1 2018-09-26 19:04:15 +08:00
首先,fingerprint 针对是非注册用户,登录了没必要靠这个
如果有足够长的 timeline,是比较精准的 桌面的话,chrome 商店有拦截、干扰的扩展,搜 fingerprint 就能找到 手机的话,建议给越少权限越好,尤其是读取应用列表这种,已 root 的选用能随机伪造信息的方法最好 注意,随机伪造要比拦截更好,因为 timeline 足够长,只要每次一样(相同的拦截),还是一种 fingerprint 例如每天不登录刷某宝,就算某宝获得很少项目信息,持续几个月你也是唯一的 |
 |
5
zenxds 2018-09-26 19:12:54 +08:00
禁用 cookie、localStorage 等各种客户端存储,禁用第三方 cookie,禁用 webrtc。依靠目前在客户端采集的信息,是无法计算出唯一指纹的
|
 |
6
azh7138m 2018-09-27 00:05:08 +08:00 via Android
@marcong95 https://en.wikipedia.org/wiki/Canvas_fingerprinting
你用 tor 的话会有警告,同时也会警告你不要浏览器全屏,这也可以用来区分用户 |
|
7
PP 2018-09-27 00:27:55 +08:00
目前比较谨慎的做法是选用非微软的主流浏览器,设比较严的隐私安全设置,改 UA,禁 COOKIE,装隐私獾、NoScript 和 ublock,尽量少装其他扩展特别是非热门扩展,屏蔽帆布,非全屏,随时清缓存。注意,我这么做了,但是还是能够被检测出浏览器指纹唯一,显然仅仅是上面的防范还不够。
最近几周遇到的最大的问题是很多 API 调用突然改变了工作逻辑,如果屏蔽帆布,会产出诸如控件不能加载、图片不能加载、查询功能无法使用等问题,以前是很少出现这些状况的。 期待有系统性的解决方案,目前靠自己是很吃力的。 |
 |
8
877512439a 2018-09-27 08:47:44 +08:00  1
|
 |
9
hanguofu 2018-09-27 15:11:52 +08:00 via Android
|
|
10
PP 2018-09-27 19:04:22 +08:00
@877512439a 声纹跨浏览器识别的事好象几个月前在 solidot 上看到过,我当时的想法是未来的硬件需要增加一些物理开关。
|
Select Language