介绍
我不知道是否存在或将永远只有一种方法可以单独使用浏览器来唯一标识计算机。主要原因是:
- 您将需要在用户计算机上保存数据。用户可以随时删除此数据。除非您有一种方法来重新创建此数据,否则对于每台计算机而言,这都是唯一的,那么您的工作就会陷入困境。
- 验证。您需要防止欺骗,会话劫持等。
即使有一些方法可以在不使用Cookie的情况下跟踪计算机,总会有一种绕过计算机的方法,而软件会自动执行此操作。如果您确实需要基于计算机来跟踪某些内容,则必须编写本机应用程序(Apple Store / Android Store / Windows程序/等)。
我可能无法回答您提出的问题,但可以向您展示如何实现会话跟踪。使用会话跟踪,您尝试跟踪浏览会话,而不是计算机访问您的站点。通过跟踪会话,您的数据库架构将如下所示:
sesssion:
sessionID: string
// Global session data goes here
computers: [{
BrowserID: string
ComputerID: string
FingerprintID: string
userID: string
authToken: string
ipAddresses: ["203.525....", "203.525...", ...]
// Computer session data goes here
}, ...]
基于会话的跟踪的优点:
- 对于已登录的用户,您始终可以从用户
username/ password/中生成相同的会话ID email。
- 您仍然可以使用跟踪访客用户
sessionID。
- 即使几个人使用同一台计算机(例如网吧),您也可以在登录后分别跟踪他们。
基于会话的跟踪的缺点:
- 会话是基于浏览器的,而不是基于计算机的。如果用户使用2个不同的浏览器,则将导致2个不同的会话。如果这是一个问题,您可以在这里停止阅读。
- 如果用户未登录,会话将过期。如果用户未登录,则会话将使用访客会话,如果用户删除Cookie和浏览器缓存,则该会话将无效。
实作
有很多实现方法。我想我无法涵盖所有内容,我只会列出我最喜欢的内容,这样可以得出结论。记住这一点。
基本
我将使用称为永远的cookie来跟踪会话。即使用户删除其cookie或更新其浏览器,这些数据也将自动重新创建自己。但是,它无法在用户删除其cookie和浏览缓存的同时幸免。
为了实现这一点,我将使用浏览器缓存机制(RFC),WebStorage API(MDN)和浏览器cookie(RFC和Google Analytics(分析))。
法律
为了利用跟踪ID,您需要将其添加到您的隐私权政策和使用条款中,最好在“ 跟踪 ”小标题下。我们将在document.cookie和 上使用以下键window.localStorage:
- _ga:Google Analytics(分析)数据
- __utma:Google Analytics(分析)跟踪Cookie
- sid:SessionID
确保在所有使用跟踪的页面上都包含指向您的隐私政策和使用条款的链接。
我的会话数据存储在哪里?
您可以将会话数据存储在网站数据库中或用户计算机上。由于我通常在使用第三方应用程序(例如Google Analytics(分析)/ Clicky等)的较小站点(少于1万个连续连接)上工作,因此最好将数据存储在客户端计算机上。这具有以下优点:
- 没有数据库查找/开销/负载/延迟/空间等
- 用户可以随时删除自己的数据,而无需给我写烦人的电子邮件。
缺点:
- 数据必须经过加密/解密和签名/验证,这会在客户端(还不错)和服务器(bah!)上造成cpu开销。
- 用户删除其Cookie和缓存时,数据将被删除。(这是我真正想要的)
- 当用户离线时,数据不可用于分析。(仅适用于当前浏览用户的分析)
单位
- BrowserID:从浏览器用户代理字符串生成的唯一ID。
Browser|BrowserVersion|OS|OSVersion|Processor|MozzilaMajorVersion|GeckoMajorVersion
- ComputerID:从用户的IP地址和HTTPS会话密钥生成。
getISP(requestIP)|getHTTPSClientKey()
- FingerPrintID:基于JavaScript的指纹,基于经过修改的Fingerprint.js。
FingerPrint.get()
- SessionID:用户1st访问站点时生成的随机密钥。
BrowserID|ComputerID|randombytes(256)
- GoogleID:从
__utmacookie 生成。getCookie(__utma).uniqueid
机制
前几天,我和女友一起看温蒂·威廉姆斯的节目,当主持人建议观众至少每月删除一次浏览器历史记录时,我感到非常震惊。删除浏览器历史记录通常具有以下效果:
- 删除访问过的网站的历史记录。
- 删除cookie和
window.localStorage(aww人)。
大多数现代浏览器都使此选项易于使用,但不要害怕朋友。因为有一个解决方案。浏览器具有缓存机制来存储脚本/图像和其他内容。通常,即使我们删除了历史记录,该浏览器缓存仍然保留。我们需要的只是一种在此处存储数据的方法。有两种方法可以做到这一点。更好的方法是使用SVG图片并将我们的数据存储在其标签中。即使使用Flash禁用了JavaScript,仍可以通过这种方式提取数据。但是,由于这有点复杂,因此我将演示另一种使用JSONP(Wikipedia)的方法。
example.com/assets/js/tracking.js(实际上是tracking.php)
var now = new Date();
var window.__sid = "SessionID"; // Server generated
setCookie("sid", window.__sid, now.setFullYear(now.getFullYear() + 1, now.getMonth(), now.getDate() - 1));
if( "localStorage" in window ) {
window.localStorage.setItem("sid", window.__sid);
}
现在我们可以随时获取会话密钥:
window.__sid || window.localStorage.getItem("sid") || getCookie("sid") || ""
如何使tracking.js停留在浏览器中?
我们可以使用Cache-Control,Last-Modified和ETag HTTP标头来实现。我们可以SessionID为etag标头使用as值:
setHeaders({
"ETag": SessionID,
"Last-Modified": new Date(0).toUTCString(),
"Cache-Control": "private, max-age=31536000, s-max-age=31536000, must-revalidate"
})
Last-Modified标头告诉浏览器该文件基本上从不修改。Cache-Control告诉代理和网关不要缓存文档,但告诉浏览器将其缓存1年。
下次浏览器请求文档时,它将发送If-Modified-Since和If-None-Match标头。我们可以使用它们来返回304 Not Modified响应。
example.com/assets/js/tracking.php
$sid = getHeader("If-None-Match") ?: getHeader("if-none-match") ?: getHeader("IF-NONE-MATCH") ?: "";
$ifModifiedSince = hasHeader("If-Modified-Since") ?: hasHeader("if-modified-since") ?: hasHeader("IF-MODIFIED-SINCE");
if( validateSession($sid) ) {
if( sessionExists($sid) ) {
continueSession($sid);
send304();
} else {
startSession($sid);
send304();
}
} else if( $ifModifiedSince ) {
send304();
} else {
startSession();
send200();
}
现在,每次浏览器请求tracking.js我们的服务器时,它都会响应304 Not Modified并强制执行的本地副本tracking.js。
我还是不明白 给我解释
假设用户清除了他们的浏览历史记录并刷新了页面。用户计算机上剩下的唯一内容是tracking.js浏览器缓存中的副本。当浏览器请求tracking.js时304 Not Modified,tracking.js它会收到一个响应,使它执行所接收到的第一个版本。tracking.js执行并恢复SessionID已删除的。
验证方式
假设Haxor X在客户仍然登录时窃取了他们的cookie。我们如何保护它们?密码术和浏览器指纹识别可以营救。记住我们最初的定义SessionID是:
BrowserID|ComputerID|randomBytes(256)
我们可以将其更改为:
Timestamp|BrowserID|ComputerID|encrypt(randomBytes(256), hk)|sign(Timestamp|BrowserID|ComputerID|randomBytes(256), hk)
在哪里hk = sign(Timestamp|BrowserID|ComputerID, serverKey)。
现在,我们可以SessionID使用以下算法来验证:
if( getTimestamp($sid) is older than 1 year ) return false;
if( getBrowserID($sid) !== createBrowserID($_Request, $_Server) ) return false;
if( getComputerID($sid) !== createComputerID($_Request, $_Server) return false;
$hk = sign(getTimestamp($sid) + getBrowserID($sid) + getComputerID($sid), $SERVER["key"]);
if( !verify(getTimestamp($sid) + getBrowserID($sid) + getComputerID($sid) + decrypt(getRandomBytes($sid), hk), getSignature($sid), $hk) ) return false;
return true;
现在,为了使Haxor的攻击起作用,他们必须:
- 一样
ComputerID。这意味着他们必须与受害者(Tricky)拥有相同的ISP提供者。这将使我们的受害者有机会在自己的国家采取法律行动。Haxor还必须从受害者(Hard)获取HTTPS会话密钥。
- 一样
BrowserID。任何人都可以欺骗User-Agent字符串(讨厌)。
- 能够创建自己的假货
SessionID(非常困难)。批量攻击不会起作用,因为我们使用时间戳来生成加密/签名密钥,因此基本上就像为每个会话生成新密钥一样。最重要的是,我们对随机字节进行加密,因此也不可能进行简单的字典攻击。
我们可以通过转发GoogleID和FingerprintID(通过ajax或隐藏字段)并与之匹配来改善验证。
if( GoogleID != getStoredGoodleID($sid) ) return false;
if( byte_difference(FingerPrintID, getStoredFingerprint($sid) > 10%) return false;