网站可以捕获哪些识别信息?

时间:2008-09-17 20:36:00

标签: security browser

如果网站的所有者想要尽可能多地跟踪他们的用户,他们可以捕获哪些内容(以及如何)。您可能想要了解这一点,以便捕获您创建的网站上的信息,或者作为用户,阻止网站捕获您的数据。

这是一个起始列表,但我确定我错过了一些重要的内容:

  1. 推荐人(什么网页有您到达此处的链接)。这是一个HTTP标头。
  2. 您正在浏览的计算机的IP地址。这可以通过HTTP标头获得。
  3. 用户代理(您正在使用的浏览器)。这是一个HTTP标头。
  4. Cookie上次访问。这是一个标题,仅在先前放置了一个cookie并且未被用户删除时才可用。
  5. Flash Cookie已放置在之前的访问中。有些用户关闭了Cookie,但非常很少知道如何关闭Flash Cookie。像普通的cookie一样工作,虽然它取决于Flash。
  6. Web Bug。在第三方提供的页面上放置一些小的(如透明的单像素GIF)。某些第三方(例如DoubleClick)将拥有自己的Cookie,并且可以与用户进行的其他访问相关联(需要付费!)。

    7. 这些是我想到的常见问题,但必须有很多不同寻常的问题。例如,这个:

    1. 用户时钟的时间。 Use JavaScript传送它。

      2. ......在这里阅读之前我从未听说过。

      稍后添加(阅读this后):

      请尝试每个答案只放一个项目,然后我们可以使用投票来整理更好/更有趣的。下面的列表可能效果不佳。

      好啊......下次我问这样的问题我会更好地设置它。

      以下是我得到的一些最佳答案:

      1. James指出IE传输.NET框架版本。
      2. AviewAnew指出可以find what sites you have visited
      3. Mecki指出可以确定屏幕分辨率。
      4. Mecki 指出,您可以通过创建隐藏字段,然后使用JavaScript阅读来确定浏览器缓存的所有自动填充信息。
      5. jjrv指出Flash可以在用户的​​计算机上列出字体。
      6. Kent指出您可以找到what websites a person has visited
      7. Silver Dragon指出您可以使用Flash和AJAX确定鼠标在浏览窗口中的位置。
      8. Jim指出您可以通过HTTP标头告诉用户在浏览器中配置的语言。
      9. Jim还提到您可以检测人们是否使用Greasemonkey或类似的内容来修改页面。

12 个答案:

答案 0 :(得分:3)

对原作的修改:

  1. 可以转义(我认为它在某些浏览器中是一个选项)
  2. 只能通过代理来避免(javascript可以通过智能环境来解决这个问题)
  3. 不可靠,容易伪造。
  4. 并假设它没有被浏览器关闭(会话cookie)擦除且cookie位于同一域/路径中

    5. 真正令人讨厌的是

    1. 使用javascript探测您的网络/局域网
    2. 使用javascript从防火墙后面访问防火墙并调整其设置(不开玩笑)
    3. 使用“访问过的链接”的功能来确定访问过的网址列表中的哪一个。 (深刻的历史探索!)
    4. Goodness知道如果用户有Windows / IE / ActiveX

答案 1 :(得分:2)

  • 有一个标题,可以包含有关用户正在使用的代理服务器的信息,还可以包括用户的IP地址(在这种情况下,其他IP是代理服务器之一)
  • 屏幕分辨率,操作系统,颜色深度,任务栏大小(比较最大和当前分辨率),如果启用了Java,则通过Javascript安装所有抗锯齿字体,插件
  • Java applet也可以为您提供大量信息,但我不知道是什么。
  • Sites you've visited
  • Details of your local network,例如活动主机,Web服务器。论文还概述了偷渡式打印,路过路由器修改

这就是假设攻击者没有完成任意代码执行

答案 2 :(得分:2)

Javascript可以获得更多信息,而不仅仅是时间。例如。屏幕分辨率(+颜色深度)就是其中之一。

请参阅Getting Screen Resolution with JS

JS可以捕获的所有内容,都可以使用AJAX进行传输,而无需用户执行任何交互。其他示例(并非所有示例都适用于每个浏览器):

  • 它可以查看您的浏览器历史记录,例如如果你回击或前进,你的浏览器将会是什么URL。

  • 浏览器的语言(注意:通常,HTTP请求还会包含您请求的网页的首选语言列表。但是此列表是用户可在许多人的首选项中编辑的浏览器,而JS实际上可以找到您的浏览器在界面中使用的语言翻译)

  • 如果您的浏览器自动填写表单字段(例如电子邮件,用户名等),JS实际上已经可以在您提交表单之前阅读您的浏览器在字段中输入的内容(因此它甚至可以读取您的内容)浏览器预先填写,即使您根本没有提交表格。

Java applet也可以收集一些信息并进行传输,尽管没有太多信息你不会在其他地方获得。由于很容易获得访问者的IP,因此可以找出他正在使用的在线服务(在IANA for USA或RIPE for Europe等地址服务中查找IP)以及有IP服务将IP转换为国家/地区,因此可以找出用户最有可能的位置。

答案 3 :(得分:1)

可能感兴趣的一些其他信息:

  • 使用IP地址,可以解析IP所属的主机名,网络提供商/组织以及粗略的地理位置。
  • 使用referer,指定客户端发出的查询列表以及可靠的cookie机制,可以解析访问者创建的路径(甚至通过AJAX和/或转发页面点击其他方面)
  • 使用Flash,结合使用AJAX,可以捕获浏览窗口中的鼠标位置
  • 用户代理可能包含有关操作系统,已安装的.NET框架和其他好奇心的信息

答案 4 :(得分:0)

.NET框架版本在IE中的用户代理中传输。

答案 5 :(得分:0)

  1. 浏览器可以支持JS
  2. 浏览器是否支持闪存
  3. 操作系统平台
  4. 屏幕分辨率
  5. 支持CSS
  6. 支持表格

答案 6 :(得分:0)

Flash可以为您提供用户机器上的字体列表等。当鼠标停留在广告上而不点击它时,Javascript可以发送信息。您还可以获取窗口大小,无论网站是否在框架中打开,弹出窗口或特定插件是否已被阻止,查找Javascript功能可以判断用户代理标头是正确还是伪造...

答案 7 :(得分:0)

  • 您通常可以通过Accept-Language HTTP标头确定用户说的语言。
  • 您可以通过查看Accept HTTP标头来确定是否安装了某些应用程序和浏览器插件。
  • 浏览器版本/补丁级别和.NET框架版本通过User-Agent HTTP标头。
  • 您的ISP /雇主和地理位置,通过IP地址。
  • 您是否通过CSS和/或计时加载事件访问了特定的URL。如果特定网站具有特定于用户的URI,则可能会披露您是否是该网站上的特定用户。
  • 通过测量ems和/或Flash可以使用哪些字体。
  • 屏幕分辨率,窗口大小,时区通过JavaScript。
  • 通过JavaScript移动鼠标和击键的位置。例如,您可以看到人们在文本框中键入的内容,即使他们没有点击提交。
  • 许多UserJS / Greasemonkey脚本泄露信息(例如,如果您筛选出某些人,则其配置的网站可能能够找出谁)。

答案 8 :(得分:0)

如果您担心自己的人身安全(我不确定这是不是您真正想要的,那么如果这被误导,我很抱歉),您可以随时使用Tor网络。如果您使用Firefox,则可以使用Torbutton一次启用。它具有禁用Flash的好处(对某些人来说是个缺点),因为它不可能防止Flash信息泄漏。

答案 9 :(得分:0)

我需要挖掘链接,但如果用户使用IE,安装了常用软件,则可以确定安装了哪些软件。

答案 10 :(得分:0)

据我所知,可以通过javascript获取剪贴板数据。这些天不确定它是多么可能,但不久前它就是风靡一时。我相信IE仍然允许它。

人们习惯将非常重要的数据留在剪贴板中,所以这很糟糕。

答案 11 :(得分:0)

在这里参加聚会,该网站还可以扫描您的端口,以查找您正在运行的软件!

相关问题
最新问题