Саша Чекулаев
Admin
- Регистрация
- 23 Авг 2017
- Сообщения
- 832
- Ответов на вопросы
- 8
- Реакции
- 785
Многие слышали про Fingerprint, но не все понимают что это такое и как оно работает.
Давайте попробуем разобраться.
Итак, фингерпринт. Он же FingerPrintJS. Он же скрипт "Отпечатка пальца".
Гениальная разработка буржуйских погромистов и головная боль для шифрующихся арбитражников.
Мало того, что она вообще не пользуется вашими куками, JQuery, да и вообще не использует никаких прочих зависимостей, так эта падла еще и ничего не пишет на ваш жёсткий диск. Грубо говоря, из-за совокупности данных факторов, отследить работу фингерпринта (понять, есть он вообще или нет) дефолтными средствами практически невозможно.
Дальше больше.
Суть работы данной библиотеки состоит в том, что она опрашивает браузер на предмет всех уникальных настроек и данных для этого браузера, для этой системы и для этого компьютера. Все эти данные объединяются в одну огромную строку, после чего подаются на вход функции хеширования, где им присуждается красивый лаконичный идентификатор (XÆA-12, например).
Согласен, них*я непонятно, но очень интересно.
Как это выглядит технически.
Сначала считывается идентификатор и язык вашего браузера. Далее часовой пояс. После этого разрешение экрана, массив и глубина цвета. Затем происходит получение всех html5 технологий, которые поддерживает конкретно ваша версия браузера. При этом опрашиваются не только “сухие” данные типа “поддерживает или нет”, а уже более конкретные - “какую версию поддерживает и как давно \ почему не поддерживает и т.д.”. После этого загружаются такие данные как платформа, CPUclass процессора и стоит ли галочка в “Do not track”. Иронично, что последняя функция “Не отслеживать” тоже используется при отслеживании.
Казалось бы, несмотря на количество запрашиваемых данных, идентифицировать конкретного пользователя до сих пор будет затруднительно. Но здесь на помощь приходит запрос Plugins info, который не только получает список и версии всех имеющихся у вас плагинов, но и информацию о поддерживаемых мультимедиа и доступа к ним у этих дополнений. Вся эта информация объединяется в огромный массив строк, и этот массив тоже конкатенируется (склеивается) и прибавляется к строке отпечатка.
Далее - самое клёвое. К строке добавляется так называемый Canvas Fingerprint и суть его проста, как всё гениальное. На скрытом Canvas элементе сайта рисуется определенный текст с наложенными на него спецэффектами. После чего полученное изображение сериализуется в байтовый массив и кодируется в base64 и также добавляется в конец строки к вашему отпечатку.
Кто не понял, объясняю.
Дело в том, что прорисовка шрифтов, в частности в CanvasAPI очень платформозависима. Внешне абсолютно одинаково отрисованные значения в разных браузерах будут записаны в совершенно разные байтовые массивы. Всё потому, что это зависит от процессора, видеокарты, драйверов видеокарты, системных библиотек типа DirectX, систем отрисовки шрифтов и теней - всё это на каждом компьютере будет своё и именно поэтому FingerPrint на этом этапе всегда получает различные значения.
Что в итоге?
Исследования показали, что точность опознания конкретного пользователя только с помощью данной библиотеки составляет 94%. Добавьте сюда куки вашего браузера, поведенческие конкретного пользователя, авторизации на сторонних сайтах и 10-летнюю бигдату фэйсбук и вы получите самый очевидный из всех возможных ответ.
Вас банят потому, что о вас слишком много известно еще до того, как вы ввели данные от купленного где-то аккаунта.
Банальное палево и никаких секретных секретов.
ТАКИ ШО ДЕЛАТЬ?
Попытаемся ответить на этот вопрос и понять стоит ли бояться антифрод систем в нашем вечернем стриме на Youtube, который пройдет в четверг 28.05.2020 в 19:00.
Ссылка будет во всех наших каналах.
Давайте попробуем разобраться.
Итак, фингерпринт. Он же FingerPrintJS. Он же скрипт "Отпечатка пальца".
Гениальная разработка буржуйских погромистов и головная боль для шифрующихся арбитражников.
Мало того, что она вообще не пользуется вашими куками, JQuery, да и вообще не использует никаких прочих зависимостей, так эта падла еще и ничего не пишет на ваш жёсткий диск. Грубо говоря, из-за совокупности данных факторов, отследить работу фингерпринта (понять, есть он вообще или нет) дефолтными средствами практически невозможно.
Дальше больше.
Суть работы данной библиотеки состоит в том, что она опрашивает браузер на предмет всех уникальных настроек и данных для этого браузера, для этой системы и для этого компьютера. Все эти данные объединяются в одну огромную строку, после чего подаются на вход функции хеширования, где им присуждается красивый лаконичный идентификатор (XÆA-12, например).
Согласен, них*я непонятно, но очень интересно.
Как это выглядит технически.
Сначала считывается идентификатор и язык вашего браузера. Далее часовой пояс. После этого разрешение экрана, массив и глубина цвета. Затем происходит получение всех html5 технологий, которые поддерживает конкретно ваша версия браузера. При этом опрашиваются не только “сухие” данные типа “поддерживает или нет”, а уже более конкретные - “какую версию поддерживает и как давно \ почему не поддерживает и т.д.”. После этого загружаются такие данные как платформа, CPUclass процессора и стоит ли галочка в “Do not track”. Иронично, что последняя функция “Не отслеживать” тоже используется при отслеживании.
Казалось бы, несмотря на количество запрашиваемых данных, идентифицировать конкретного пользователя до сих пор будет затруднительно. Но здесь на помощь приходит запрос Plugins info, который не только получает список и версии всех имеющихся у вас плагинов, но и информацию о поддерживаемых мультимедиа и доступа к ним у этих дополнений. Вся эта информация объединяется в огромный массив строк, и этот массив тоже конкатенируется (склеивается) и прибавляется к строке отпечатка.
Далее - самое клёвое. К строке добавляется так называемый Canvas Fingerprint и суть его проста, как всё гениальное. На скрытом Canvas элементе сайта рисуется определенный текст с наложенными на него спецэффектами. После чего полученное изображение сериализуется в байтовый массив и кодируется в base64 и также добавляется в конец строки к вашему отпечатку.
Кто не понял, объясняю.
Дело в том, что прорисовка шрифтов, в частности в CanvasAPI очень платформозависима. Внешне абсолютно одинаково отрисованные значения в разных браузерах будут записаны в совершенно разные байтовые массивы. Всё потому, что это зависит от процессора, видеокарты, драйверов видеокарты, системных библиотек типа DirectX, систем отрисовки шрифтов и теней - всё это на каждом компьютере будет своё и именно поэтому FingerPrint на этом этапе всегда получает различные значения.
Что в итоге?
Исследования показали, что точность опознания конкретного пользователя только с помощью данной библиотеки составляет 94%. Добавьте сюда куки вашего браузера, поведенческие конкретного пользователя, авторизации на сторонних сайтах и 10-летнюю бигдату фэйсбук и вы получите самый очевидный из всех возможных ответ.
Вас банят потому, что о вас слишком много известно еще до того, как вы ввели данные от купленного где-то аккаунта.
Банальное палево и никаких секретных секретов.
ТАКИ ШО ДЕЛАТЬ?
Попытаемся ответить на этот вопрос и понять стоит ли бояться антифрод систем в нашем вечернем стриме на Youtube, который пройдет в четверг 28.05.2020 в 19:00.
Ссылка будет во всех наших каналах.
Последнее редактирование:
