Может ли сайт идентифицировать компьютер с чистым браузером и vpn?

Question

[alkompot]

Сайт не может определить mac адрес компьютера и роутер. Может ли он ЕЩЕ как-то идентифицировать устройство если я буду использовать чистый браузер (новая установка) и vpn? Нужно для повторных регистраций на сайте где они запрещены.

Answer 1

[rPman]

Основная идея - собирать косвенные данные, доступные из браузера, до куда дотянешься.

* обход прокси и vpn (частично) - webrtc, позволяет получить данные о локальном ip адресе и даже попытаться подключиться к своему веб-приложению, запущенному в другом браузере на этом же компьютере или в локальной сети (т.е. если у вас запущено два браузера, один анонимный а другой нормальный, то webrtc позволит это отследить)

* данные о машине - webgl (данные о видеокарте, в т.ч. внутри виртуальной машины или нет), битность операционной системы и в принципе саму операционную систему, размер экрана (разрешение монитора), размер шрифтов (размер пиксела для retina-like экранов)

* наличие и отсутствие плагинов в браузере, каждый плагин кстати может дать индивидуальные данные (можно попытаться вызвать публичные методы плагина, интерпретировать результат и т.п. многие разработчики очень безалаберно относятся к информации)

* кеш (в пределах одного браузера) и тайминги (наличие кеширующего прокси)

* данные о локальной сети (часто vpn на локальном компьютере не закрывает доступ этого компьютера в локальную сеть), например при типичных конфигурациях, у 99.(9) частников роутер это 192.168.0.1 или 192.168.1.1, к нему можно делать get/post ajax запросы, определить модель версию прошивки и даже попытаться подобрать пароль (взломанный роутер это вообще джекпот), помимо роутера есть много много http служб на нестандартных портах, которые запускают различные не шибко умные разработчики сервисов, часто в windows экосистеме, даже антивирусы этим балуются - наличие таковых уже четкий маркер, то же самое для других машин в сети, само наличие или их отсутствие уже маркер...

Comments

[alkompot]

круто спасибо. Теперь я точно понял, что мне стоит использовать новое устройство)

[rPman]

alkompot, достаточно виртуалку но со своей сетью, причем локальная сеть виртуалки никак не подключенная к хосту, только через перенаправления выход к vpn (еще вариант - настраиваете проброс usb контроллера и подключете к нему usb-модем, персональный интернет готов)

[alkompot]

rPman, виртуалка - это vps? Я думаю взять vps с windows и через него уже регистрироваться

[rPman]

alkompot, тоже можно, если вас тормоза не смутят, не обязательно с windows, можно и linux настроить, вам же только браузер нужен, зато дешевле будет.

виртуалка - это приложение виртуальная машина, virtualbox/qemu/vmware/xen/... позволяет симулировать полноценный компьютер, диск - в файле, сети либо бридж либо nat либо вообще своя собственная или без нее и т.п.

Современное железо уже давно поддерживает аппаратную виртуализацию, при которой почти не понижается производительность приложений внутри виртуалки по сравнению с обычной, зато удобство такой изоляции неоспоримо, можно хоть десяток запустить, пока оперативной памяти хватает, плюс игры со снапшотами дисков (можно записать текущее состояние машины на диск, продолжить выполнение а потом откатиться на момент снапшота) и многое другое

[Antonio Solo]

то есть ты хочешь сказать что чужой сайт через ajax может безнаказанно слать запросы на сторонние IP ????

может у тебя есть пример ?

[rPman]

Antonio Solo, get - легко, post нет, для этого нужно уже flash applet городить

Answer 2

[xmoonlight]

Устройство - нет.
Браузер + ОС - частично по "отпечатку".
А вот схожее поведение (или необычное поведение, относительно других сессий) - да, почти на 100%.

PS: сайт также может блокировать (или выдавать ошибку на конкретное действие) доступ по странам, диапазонам IP VPN-сетей и т.д.

Comments

[alkompot]

Просто название браузера и версию windows или конкретные индивидуальные идентификаторы, которые у меня где-то сохранены? Браузер будет новый. Windows не менял. ОС могут как-то сопоставить со старым аком или просто версию узнать? версию не страшно, она у всех w10

[xmoonlight]

alkompot, могут получить устойчивый хеш отпечатка. Проверьте ДО и ПОСЛЕ через тест на FP2.

[alkompot]

xmoonlight, судя по описанию используется с браузерами. Значит для меня не актуально т.к. бразуер будет новый (чистая установка с нуля на данном устройстве еще ни разу не использовался). Компьютер с чистым браузером и vpn еще как-то могут идентифицировать?

[xmoonlight]

alkompot,

Значит для меня не актуально т.к. бразуер будет новый

не факт! Проверьте!

Компьютер с чистым браузером и vpn еще как-то могут идентифицировать?

Если браузер ничего не передаёт сайту лишнего сразу после инсталляции (не должен, но лучше удостовериться!) - то нет.

[alkompot]

xmoonlight, как я могу в этом удостовериться?

[xmoonlight]

alkompot,
По п.1:
1. Прочитать документацию по формированию стойкого отпечатка в FP2.
2. Создать HTML-страницу с FP2 и запустить в браузере (желательно - также добавить вывод всех полученных данных раздельно, в виде списка/таблицы)
3. Сформировать отпечаток библиотекой и сохранить его в текстовик.
4. Переставить систему и снова запустить эту же HTML-страницу.
5. Сравнить полученный отпечаток с отпечатком из текстовика.

По п.2:
Установить любой сниффер. Например, Wireshark.

[alkompot]

xmoonlight, я все это не буду делать т.к. не разбираюсь настолько глубоко. Подскажите, получается абсолютно новый и чистый браузер все таки имеет шансы попасть в детект сайта?

[xmoonlight]

alkompot, именно это я и пытаюсь до Вас донести..

[alkompot]

xmoonlight, понятно просто люди абсолютно разные мнения на данный счет пишут. Получается браузер может сливать инфу о моем устройстве? И самым надежным способом будет все таки устройство сменить?

[Antonio Solo]

alkompot,

да, у браузера есть ряд функций, которые выдают настройки/характеристики вашего железа (аудио, видеокарты). но это касается только windows - на маках все устройства как близнецы.

на практике я не встречал на серьезных сайтах работу с отпечатком.

я обхожу множественные регистрации при помощи профайлов в ФФ, смены IP и подмены строки браузера при помощи простого плагина.

но массовые действия будут вычисляться по вашему поведению.

[xmoonlight]

alkompot, Antonio Solo ответил всё верно!

[alkompot]

Antonio Solo, у меня как windows 10. Думаю использовать vps с windows 10. Если исключить поведение, vps надежный способ? По идее это совсем другое устройство.

[Antonio Solo]

alkompot, нет VPS вычисляется "на раз". то есть если ты пришел с VPS/proxy ты уже изначально попадаешь в "неблагонадежные"

но универсального метода нет. каждый сайт защищается по-своему. и тут вопрос ущерба от спамеров и затрат на борьбу.

например циан требует паспорт - и куча народу там не регается только из-за этой идиотской причуды, а мне пришлось пол-часа фотошопить что бы там зарегаться.

[alkompot]

Antonio Solo, если виртуальный рабочий стол c windows 10, который можно взять в аренду?

[Antonio Solo]

alkompot, будь проще. купи симку и меняй IP

[alkompot]

Antonio Solo, ты имеешь ввиду с телефона регистрироваться?

[Antonio Solo]

alkompot, я имею ввиду использовать телефон как модем . и отслеживать IP не допуская повторений.

[alkompot]

Antonio Solo, так если браузер передает различную информацию об устройстве то какая разница какой ip. Я поэтому и думаю устройство поменять. Виртуальный стол windows 10 детектится как впс или нет? по идее это тот же сервер только с w10

[Antonio Solo]

alkompot, все зависит от того сайта который ты хочешь обмануть. универсальных советов нет. попробуй этот сервис, я не думаю что он дорого стоит.

если бы _Я_ делал защиту то прежде всего я бы сверял IP запроса с данными указанными пользователем. Я бы проверял IP базам "плохих IP" вплоть до спамерских блеклистов. Я бы поставил идентификацию по телефону. и как только пользователь попадает в "зону риска" все его действия идут под ручную модерацию.

[alkompot]

Antonio Solo, проблем с ручной модерацией, данными и подозрительным отношением сервиса у меня нет. Единственная задача – чтобы не сопоставили аккаунты. Ладно, попробую виртуальный стол, играть на оскар и т.д. Спасибо

[xmoonlight]

alkompot, Если на сайте есть автоматическая система формирования "скелета" стратегии игры для каждого аккаунта - то это не поможет. В этом случае Вам нужно иметь разные стратегии со средним одинаковым шансом на победу.

[Antonio Solo]

alkompot, " чтобы не сопоставили аккаунты" - этим и занимается модератор. автоматика просто относит тебя в разряд подозреваемых той или иной степени.

[alkompot]

xmoonlight, мне кажется не так сложно будет изобразить новичка в сервисе и потупить несколько дней над простыми вещами, которые уже знаешь. Врядли у них там настолько продвинутая система, которая может учитывать что-то большее

[xmoonlight]

alkompot, кто знает! недооценка врага - поражение без боя! ;)

[alkompot]

Antonio Solo, там тысячи аккаунтов. Если скрипт не поможет, модератор врядли что-то найдет

[alkompot]

xmoonlight, с вашей помощью будем стараться)

[xmoonlight]

alkompot, Желаю не попасться! Удачи! ))

Answer 3

[АртемЪ]

В общем да.
Не все и не всегда - сильно зависит от того какие инструменты используются.
Но в общем случае может.

Надо понимать что он не может узнать ваш мак адрес, или серийные номера и характеристики оборудования, но есть множество достаточно точных признаков позволяющих идентифицировать компьютер и без них.

Answer 4

[Stanislav]

В интернете достаточно много ресурсов по проверке "fingerprint" браузера.
Например https://www.deviceinfo.me/
Можно посмотреть, что именно передает браузер сайтам.