EFF那个不用IP或者cookie追踪用户的新闻大家可能都看了，但是估计好多人没有亲自去试过

我去玩了下，还是很能启发人的。EFF这个panopticlick技术是通过下面几个特征来区分浏览器指纹的

• User Agent
• HTTP_ACCEPT Headers 这个其实可以把所有HTTP头都算进来
• Browser Plugin Details 这个是通过DOM里一个接口enum的（貌似是displayComponent？）。貌似IE和Mozilla里还有更多私有接口
• Time Zone 这个还少了一堆 toLocal*() 方法
• Screen Size and Color Depth
• System Fonts 这个是通过Flash得到的。Flash被禁用了会尝试Java applet
• Are Cookies Enabled?
• Limited supercookie test 这个还少了一个HTC Behavior里的存储方法

我觉得这里面最有趣的就是搜集系统字体这个技术了。。。呵呵。。。假如Flash和Java applet都被禁用了，我们就安全了吗？

错。我们依然有办法搜集和遍历系统系统字体，通过纯JS+CSS就可以判断系统是否已经安装一个字体（我以前写过这个猥琐的技术）：

这个结合18摸的猥琐技术来做盗号预防很爽。

see more discussions on reddit