EFF的浏览器指纹追踪技术 +

EFF那个不用IP或者cookie追踪用户的新闻大家可能都看了,但是估计好多人没有亲自去试

我去玩了下,还是很能启发人的。EFF这个panopticlick技术是通过下面几个特征来区分浏览器指纹的

  • User Agent
  • HTTP_ACCEPT Headers 这个其实可以把所有HTTP头都算进来
  • Browser Plugin Details 这个是通过DOM里一个接口enum的(貌似是displayComponent?)。貌似IE和Mozilla里还有更多私有接口
  • Time Zone 这个还少了一堆 toLocal*() 方法
  • Screen Size and Color Depth
  • System Fonts 这个是通过Flash得到的。Flash被禁用了会尝试Java applet
  • Are Cookies Enabled?
  • Limited supercookie test 这个还少了一个HTC Behavior里的存储方法

我觉得这里面最有趣的就是搜集系统字体这个技术了。。。呵呵。。。假如Flash和Java applet都被禁用了,我们就安全了吗?

错。我们依然有办法搜集和遍历系统系统字体,通过纯JS+CSS就可以判断系统是否已经安装一个字体(我以前写过这个猥琐的技术):

这个结合18摸的猥琐技术来做盗号预防很爽。

see more discussions on reddit

This entry was posted on Tuesday, February 2nd, 2010 at 12:25 and is filed under Tech. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

9 Responses to “EFF的浏览器指纹追踪技术”

  1. yinX | February 2nd, 2010 at 15:56 +

    JS+CSS那个太猥琐了……不过我喜欢 :-)

  2. lhb5883 | February 2nd, 2010 at 16:44 +

    看来只有用虚拟机了

  3. lhb5883 | February 2nd, 2010 at 17:15 +

    要想伪装的话,用虚拟机不知道效果如何。

  4. 代理服务器 | February 3rd, 2010 at 10:25 +

    不知道 有没有什么技术可以检测出你是用虚拟机上的?

  5. df | February 3rd, 2010 at 12:08 +

    The font detection one is similar to the css link:visited + javascript browser history reveal, which has better (read:more evil) applications.

  6. ashuai | February 3rd, 2010 at 16:28 +

    用stylish強行使用其他字體的話,這個JS+CSS方法也會失效的吧

  7. twitter存档 » Twitter Updates for 2010-02-03 | February 4th, 2010 at 01:35 +

    [...] http://blog.est.im/archives/964 [...]

  8. 77880099 | February 6th, 2010 at 06:02 +

    字体库那么多 这个有些噱头了 反正我用opera 上测试站点 Flash和Java applet没痕迹 JS可禁用 CSS 就不好办了

  9. http://www.yilufafa.net | June 14th, 2010 at 02:57 +

    路过留名

Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
MARKDOWN is also enabled.