Как проверить, что прислан валидный отпечаток FingerprintJS?

Question

[zkrvndm]

Возможно ли выполнить валидацию отпечатка браузера созданного библиотекой FingerprintJS?
Как мне убедится, что реально прислана строка отпечаток FingerprintJS, а не случайный набор букв и цифр?
Я не спорю, что на вид отпечаток и выглядит как случайный набор букв и цифр, но может в нем есть какая-то структура?

Comments

[modelair]

подозреваю, что вам нужен FingerprintPro

[zkrvndm]

modelair, и чем он мне поможет? Да и вроде он как под Android.

[modelair]

вы почитайте документацию к нему и поймете.

[zkrvndm]

modelair, ладно, попробуем)

Answer 1

[Александр Аксентьев]

Это хеш полученных данных, проверить можно только длину и состав символов.
По сути никак.

Можно вместе с хешем отправлять на сервер все данные из которых он состоит и на бекенде генерировать из них результат для проверки. Но это много данных, тяжелый запрос.

Если кто-то настолько замороченно будет обходить защиту и отправлять фейковый хеш, то он и данные отправит нужные, а точнее будет подменять их в браузере изначально. Т.е. эта проверка на сервере ничего не даст.

Итог такой что пользуйтесь как есть, если не помогает, то остальные варианты тоже не помогут и надо делать так чтобы обход был невыгодным/ненужным. Что как правило влияет на обычных клиентов уже которым доставлять неудобства вообще последнее что хочется делать.

Comments

[zkrvndm]

Да меня не волнует защита, просто убедится, что прислан именно отпечаток. Это как с биткоин кошельками, есть правила формирования биткоин адресов и по этим правилам всегда можно посчитать валидный ли адрес кошелька или не валидный. Вот вы говорите отпечаток это просто хеш от чего... если так, не существует ли способов проверить, что та или иная строка является хешем? Просто проверить сам факт: хеш или не хеш.

[Александр Аксентьев]

Надим Закиров,

проверить можно только длину и состав символов.

Но есть одна проблема

D41D8CD98F00B204E9800998ECF8427E - murmurhash(fingerprintjs)
fd684e482228fd389a38a59fa3abff79 - md5

Это может быть любой хеш. Их таких пара десятков наберется в таком формате.
Какой именно никак не понять только по самому хешу.

[Александр Аксентьев]

Надим Закиров, в самом простом варианте проверять что это строка 32 знака из цифр и букв a-f

[Rsa97]

Надим Закиров, Никак. Это просто 128-bit x64 MurmurHash3, то есть 128-битное значение без какой-либо внутренней структуры или контрольной информации.
Но, в принципе, вы можете самостоятельно канонизировать строки из components и посчитать тот же хэш от полученной строки. Алгоритм канонизации есть в исходниках.

[zkrvndm]

Александр Аксентьев, жаль конечно, тут создатели FingerprintJS недодумали. Например, когда генеришь GUID, то потом всегда можно проверить: в целевой переменной лежит именно GUID или что-то другое. В случае с FingerprintJS таких механизмов похоже не предусмотрено.

[Sanes]

ClientJS генерирует ожидаемый результат.

Get Fingerprint. Return a 32-bit integer representing the browsers fingerprint.

[zkrvndm]

Rsa97, самый толковый ответ) Нельзя так нельзя. Ладно, всем огромное спасибо, что откликнулись и помогли исследовать вопрос. Отмечу всех решением.

[Александр Аксентьев]

Надим Закиров, для этого там существует функция получения данных из которых был построен хеш, которую я туда добавил в 2015 ещё в первую версию fpjs :)

https://github.com/fingerprintjs/fingerprintjs/blo...
components - все данные для сбора хеша

[zkrvndm]

Александр Аксентьев, а вот это уже полезно, т. е. можно самому собрать хеш и внедрить в него контрольную информацию для проверки целостности и валидности.

[Александр Аксентьев]

Надим Закиров, можно.
На авито своя реализация примерно так работает например.
Там не хеш на выходе, а просто некая строка в которой собраны основные параметры в цифровом формате если это возможно. Поэтому по крайней мере частично можно провалидировать на бекенде.

[Vitsliputsli]

Александр Аксентьев, думаю они так делают, чтобы различать типы фингерпринтов по типу собранных данных, быть может даже формируют связи при частичных изменениях. А если такие тонкости не нужны, то просто хеш и валидировать структуру не нужно, т.к. смысла в этом уже нет.
Вопрос к Надим Закиров, какова цель валидации? И, кстати, GUID тоже бывает разный, 4 версия - сплошной рандом, кроме нескольких бит, собственно версию обозначающих. Тут вопрос не в формате, а что и для чего проверяем.
1) гарантировать валидность невозможно. даже если это будет строка, или набор данных, в них тоже легко поменять что-либо.
2) проверять нужный ли формат хеша или другой нет смысла из-за п.1
3) хочется усложнить немного подмену - введите в запрос signature, считайте еще и хеш с солью по всему запросу, тогда взломщику понадобится лезть в код и разбираться как генерируется signature.

[zkrvndm]

Vitsliputsli,

Вопрос к Надим Закиров, какова цель валидации?

Изучить саму возможность валидации: можно ли как-то выполнить проверку целостности входного отпечатка. В принципе, все что я хотел узнал. Спасибо большое =)

Answer 2

[Sanes]

Вы же сами его генерируете. Вот и проверяйте, если где-то храните.

Comments

[zkrvndm]

Отпечаток генерирует библиотека FingerprintJS. Однако если кто-то извне отправит на мой API строку сгенерированную руками (например: aaaaaaabbbbbbbccccccc11111111122), а не полученную в результате работы FingerprintJS, то как я должен понять, что это невалидный отпечаток? Может быть есть там в либе какой-нибудь метод, который проверяет, что на входе отпечаток, а не рандомная строка? Сам ничего найти не могу.

[Sanes]

Надим Закиров, отправляйте значит больше данных. Там же не только отпечаток можно получить. И сравнивайте.

[zkrvndm]

Sanes, мне не нужны никакие данные клиента, мне просто надо вкрутить валидатор отпечатка, чтобы не подсовывали случайные строки. Это ни отчего не защитит, просто так правильно - валидировать каждый тип поступающих данных.

[Sanes]

Может вам больше подойдет https://clientjs.org/ ?

[zkrvndm]

Sanes, повторюсь, у меня нет задачи просканировать устройство клиента до трусов) Просто первичное звено валидации. Когда, например, поступает номера телефона ты его валидируешь по определенным правилам, когда имя, по другим. Отпечаток ничем не отличается, по идее у него тоже должна быть определенная структура и правила составления, соответственно под него тоже имеет смысл замутить первичную валидацию.

[Sanes]

Надим Закиров, ну вот же я вам прислал. Там строка 32 бит. Проверяйте.

[Sanes]

Get Fingerprint. Return a 32-bit integer representing the browsers fingerprint.

[zkrvndm]

Sanes, слабенькая проверка получается, если проверять чисто длинну, ну да ладно.

[Sanes]

Надим Закиров, это не для защиты. Можете ещё какие-нибудь параметры отправлять. Вы же сами говорите, вам просто для валидации.

[Sanes]

Ничего не мешает человеку отправить на ваш API валидный Fgp.

[zkrvndm]

Sanes, да ради бога, пусть отправляет, но только если это Fgp)

[Sanes]

Надим Закиров, ну и зачем вам это? Что вы собираетесь там проверить? Целенаправлено вас обойдут. Прохожие боты вообще не в курсе, что вы от них ожидаете.
Абсолютно бесполезная затея. Вы сначала должны проверить, потом выдать свой ключ. Тогда это будет работать. Хоть логин/пароль, хоть капча, какие-то еще варианты.

[zkrvndm]

Sanes, да вприципе незачем, я полностью осозною, что это ни от чего не защитит. Простое любопытство, хотел копнуть, можно ли здесь как-то дополнительно завалидировать форму, чтобы не сильно накладно было. Все что хотел, узнал. Всем огромное спасибо)

Answer 3

[Vitsliputsli]

Надим Закиров, никак, клиентские данные генерируются клиентом, а значит он может сгенерить все что ему вздумается. Если отправляемые данные будут генерироваться особым образом, то это лишь немного усложнит задачу, клиент сгенерирует и такие данные.

Comments

[zkrvndm]

Да пусть себе генерируют, мне просто убедится, что прислан именно отпечаток. Это как с биткоин кошельками, есть правила формирования биткоин адресов и по этим правилам всегда можно посчитать валидный ли адрес кошелька или не валидный. Вот и здесь хочу просто проверить сам факт: отпечаток это или левая строка.