许多人可能都知道,现在网上银行有一个安全系统,在你输入密码之前,你会被问到一些个人问题。一旦您回答了这些问题,您就可以选择让银行“记住这台电脑”,以便将来只需输入您的密码即可登录。
“记住这台电脑”部分如何运作?我知道它不能是cookie,因为尽管我清除了所有的cookie,但该功能仍然有效。我认为这可能是通过IP地址,但我的朋友有一个动态知识产权声称它也适用于他(但也许他错了)。他认为这是MAC地址或其他什么,但我强烈怀疑!那么,是否有一个我不清楚的https-only cookie概念?
最后,问题的编程部分:我如何在PHP中自己做类似的事情?
答案 0 :(得分:20)
事实上,他们最有可能使用cookies。他们的另一种选择是使用“flash cookies”(官方称为“Local Shared Objects”)。它们类似于cookie,因为它们与网站绑定并且具有大小上限,但它们由Flash播放器维护,因此它们对任何浏览器工具都是不可见的。
要清除它们(并测试此理论),您可以使用the instructions provided by Adobe。另一个漂亮的(或者可能令人担忧,取决于你的观点)功能是LSO存储由所有浏览器共享,因此使用LSO即可识别用户即使他们切换浏览器(只要他们是以同一用户身份登录。)
答案 1 :(得分:6)
我感兴趣的银行是美国银行。
我已经确认,如果我只清除我的cookies或我的LSO,该网站不要求我重新输入信息。但是,如果我清除这两个,我必须通过额外的身份验证。因此,在我的特定情况下,这似乎是答案!
但是,谢谢大家关于其他银行的提醒,以及包括用户代理字符串在内的可能性。
答案 2 :(得分:5)
这种会话跟踪很可能是使用cookie与唯一ID标识您当前会话的组合,以及将该ID与您用于连接到其服务器的最后一个IP地址配对的网站。这样,如果IP发生了变化,但您仍然拥有cookie,那么您就会被识别并登录,如果cookie不存在但您的IP地址与服务器上的那个相同,那么他们会将您的cookie设置为id与该IP配对。
真的,第二种可能性很难做到。如果缺少cookie,并且您只显示了您的IP地址以进行身份识别,那么基于此记录某人是非常不安全的。所以服务器可能存储了关于你的其他信息,LSO似乎是一个不错的选择,地理IP也是如此,但是用户代理,不是因为他们没有真正说出任何关于你的事情,每个人都使用与你相同版本的浏览器有同样的。
顺便说一句,上面已经提到它可以与MAC地址一起使用。 我强烈不同意!您的MAC地址永远不会到达您银行的服务器,因为它们仅用于识别以太网连接的侧面,并且连接到您的银行,您可以通过计算机建立以太网连接:到你的家庭路由器,或你的ISP,然后从那里到你经历的第一个互联网路由器,然后到第二个,等等......每次建立新连接时,每一台机器都提供自己的MAC地址。因此,只有通过交换机或集线器直接连接到您的计算机才能知道您的MAC地址,因为路由您的数据包的任何其他内容都将用您自己的MAC替换您的MAC。只有IP地址始终保持不变。 如果MAC地址确实一直存在,那将是一个隐私噩梦,因为所有MAC地址对于单个设备都是唯一的,因此对于一个人来说。
这是一个略微简化的解释,因为它不是问题的重点,但似乎有助于清除看起来像是误解的内容。
答案 3 :(得分:1)
它可能是cookie和ip地址记录的组合。
编辑:我刚刚查看了我的银行并清除了Cookie。现在我必须重新输入我的所有信息。
答案 4 :(得分:1)
我认为这取决于银行。我的银行确实使用了一个cookie,因为当我擦除cookie时我就丢失了它。
答案 5 :(得分:1)
Flash文件可以在您的计算机上存储少量数据。银行也可能使用这种方法来“记住”您的计算机,但依赖拥有(并且没有禁用)闪存的用户是有风险的。
答案 6 :(得分:1)
我的银行网站让我每次新版本的Firefox出现时都会重新进行身份验证,因此某些用户代理字符串组件肯定存在。
答案 7 :(得分:0)
答案 8 :(得分:0)
基于所有这些帖子,我得出的结论是(1)它取决于银行和(2)可能涉及多个数据,但见(1)。
答案 9 :(得分:-1)
可以使用MAC地址。
IP到物理位置映射也是可能的。
用户代理和其他HTTP标头也是每台机器都安静的。
我正在考虑那些阻止您使用加速下载管理器的网站。必须有办法。