我一直在研究browser fingerprinting一段时间,并且在该领域获得了一些知识。可以在panopticlick.eff.org找到浏览器指纹识别的演示。然而,我的一个问题是它们是如何容易被操纵的,或者我认为。据我所知,有两种方法可以操纵它们。
1。直接操纵
这是一个给定的,为了更改指纹,你只需欺骗浏览器中这些指纹脚本收集的值。例如,你可以欺骗:
a) User-Agent其他标题中的字符串。
b) JS-Elements-and-API's使用ObjectDefineProperty编辑其值
c)通过安装操作指纹的extension,更具体的指纹识别方法,如Canvas指纹识别
依旧......
然而,这种方法对于WebGL-fingerprinting这样的主动指纹识别方法效果不是很好,因为它们不容易被欺骗。
但第二种方法更有趣,而且令人失望的是,关于它是否合理还没有太多信息。
2。在将数据发送到服务器之前编辑数据
所以基本上,在脚本收集了所有信息之后,它(我在这里猜测)在那里创建一个哈希并将其发送到服务器,或者它将数据发送到服务器并创建一个哈希那里。现在如果我决定在某个特定网站上打败浏览器指纹,出于恶意目的,我所要做的就是启动Fiddler这样的应用程序,找到(可能)POST,通过该POST发送数据到服务器,并编辑数据。对于那些不知道Fiddler是什么的人来说,它是一个应用程序,它通过您的网络从代理路由所有请求和响应,因此您可以在将任何请求发送到浏览器/服务器之前查看和编辑任何请求。似乎很容易。
我的问题
现在,因为我对所有请求 - 响应内容都不了解,这让我怀疑我的方法2.所以最后我要问的是:
1)我是否知道如何将浏览器指纹发送到服务器?即,通过POST。我认为应该是因为这是您将数据传输到服务器的唯一方法吗?
2)如果可能,那么网站可以实施(或已实施)哪种对策来确保数据在其之前不被更改发送到服务器,或者至少,使它更难完成?
3)有没有可靠的方法来捕捉这些方法?