Canvas Fingerprinting in Chrome

8

Ich habe mit Canvas Fingerprinting experimentiert, um eine weitere Ebene der Benutzeridentifikation für meine Datenbank bereitzustellen ... Es ist eine Schicht, von der ich weiß, dass ein erfahrener Hacker herumkommen kann, da der Fingerabdruck auf der Clientseite erstellt wird, aber, je mehr Sicherheitsschichten desto besser, oder?

Leider erzeugt jeder Windows 7-Computer, auf dem ich den Fingerabdruck für Google Chrome ausprobiere, denselben Fingerabdruck. Zum Beispiel, gehen Sie zu diesem jsfiddle: Ссылка Alle von mir verwendeten Win7 / Chrome-Maschinen führen zu einem Hash von 503251348. Wenn so viele verschiedene Benutzer den gleichen Hash erhalten, ist der Fingerabdruck nutzlos.

Ich habe versucht, alle möglichen zufälligen Dinge auf die Leinwand zu zeichnen, damit jeder Computer ein etwas anderes Ergebnis erzielt - wie es die Theorie ist - aber bei allem, was ich versuche, liefert jeder Chrome-Browser die gleichen Ergebnisse.

>

Wer weiß, warum Chrome sich so verhält, wenn andere Browser auf anderen Computern (wie erwartet) andere Ergebnisse liefern?

Oder jemand weiß etwas, das ich in die Leinwand aufnehmen kann, um unterschiedliche Ergebnisse zu fördern?

ODER kennt jemand eine andere Metrik, die ich verwenden kann, um zwischen Computern zu unterscheiden? Ich betrachte zum Beispiel das navigator.mimeType-Array als einen möglichen Weg, um einen halb-eindeutigen Indikator für einen bestimmten Browser zu haben.

Hier ist meine Fingerabdruck-Funktion:

%Vor%     
rgbflawed 26.08.2014, 14:55
quelle

1 Antwort

5

Es gibt eine Bibliothek namens fingerprint.js , die ziemlich gut zu funktionieren scheint.

  • Es wird ein Fingerabdruck für Nicht-HTML-5-Clients
  • erhalten
  • Durch die Aktivierung der Arbeitsfläche wird die Genauigkeit erhöht, wenn sie verfügbar ist
  • Wenn aktiviert, kann ein eindeutigerer Fingerabdruck basierend auf den im Browser installierten Plugins erstellt werden (obwohl nicht sicher, warum Sie das brauchen würden)

Ich habe dieses Skript auf meiner Website eingebettet und Sie können hier Fingerabdrücke erhalten , um es zu testen. Es funktioniert im Inkognito-Modus im selben Browser und Chrome wird auf anderen Computern anders abgetippt.

Ich werde versuchen, an der Geschäftslogik zu arbeiten, um zu versuchen, Fingerabdrücke mit denselben Leuten zu verknüpfen. Offensichtlich ist es schwierig auf einer toten Seite wie meiner, wo es nur wenige Anfragen gibt, aber es lohnt sich. "

Sie könnten versuchen, das 32-Bit-CRC auf PNG als auf dieser Seite zu verwenden. atob wird in IE nicht unterstützt & lt; = 9.

%Vor%

Meine Unterschrift war FE72FC19 basierend auf dieser Methode.

    
ppumkin 27.08.2014 09:43
quelle

Tags und Links