Detectando un usuario anónimo “único”

Es imposible identificar a un usuario o solicitarlo como unique ya que el engaño es trivial.

Sin embargo, hay un puñado de métodos que, combinados, pueden obstaculizar los bashs de fraude y otorgar a un usuario un estado casi único.

Sé de lo siguiente:

  1. Dirección IP: almacena la dirección IP de cada visitante en una base de datos de algún tipo
    • Puede ser falso
    • Múltiples computadoras / usuarios pueden tener la misma dirección
    • Usuarios con direcciones IP dinámicas (algunos ISP los emiten)
  2. Seguimiento de cookies: almacene una cookie por visitante. Los visitantes que no lo tienen se consideran “únicos
    • Puede ser falso
    • Las cookies se pueden bloquear o borrar a través del navegador

¿Hay más formas de rastrear a los visitantes del sitio web no autorizados (que no inician sesión, que no son de autenticación)?

En realidad, hay muchas maneras de detectar un usuario “único”. Muchos de estos métodos son utilizados por nuestros amigos de marketing. Se vuelve aún más fácil cuando tienes complementos habilitados como Java, Flash, etc.

Actualmente, mi presentación favorita del seguimiento basado en cookies es evercookie ( http://samy.pl/evercookie/ ). Crea una cookie “permanente” a través de múltiples mecanismos de almacenamiento, el usuario promedio no puede descargar, específicamente utiliza:

  • Cookies HTTP estándar
  • Objetos compartidos locales (cookies Flash)
  • Almacenamiento aislado Silverlight
  • Almacenamiento de cookies en valores RGB de PNG generados automáticamente y en caché forzada mediante la etiqueta HTML5 Canvas para leer los píxeles (cookies) volver a salir
  • Almacenamiento de cookies en el historial web
  • Almacenamiento de cookies en HTTP ETags
  • Almacenamiento de cookies en caché web
  • caché window.name
  • Almacenamiento de datos de usuario de Internet Explorer
  • Almacenamiento de sesión HTML5
  • Almacenamiento local HTML5
  • Almacenamiento Global HTML5
  • Almacenamiento de base de datos HTML5 a través de SQLite

No recuerdo la URL, pero también hay un sitio que le dice cómo se basa “anónimo” en todo lo que puede recostackr desde su navegador web: qué complementos ha cargado, qué versión, qué idioma, tamaño de pantalla, … Entonces puede aprovechar los complementos de los que estaba hablando antes (Flash, Java, …) para obtener más información sobre el usuario. Voy a editar esta publicación cuando encuentre que la página que te mostró “qué tan único eres” o quizás alguien sabe »» ¡en realidad parece que cada usuario es en cierto modo único!

EDITAR

Encontré la página de la que estaba hablando: Panopticlick: “Qué único y rastreable es tu navegador” .

Recostack material como User Agent, encabezados HTTP_ACCEPT, complementos del navegador, zona horaria, tamaño de pantalla y profundidad, fonts del sistema (a través de Java?), Cookies …

Mi resultado: la huella digital de su navegador parece ser única entre las 1.221.154 probadas hasta el momento.

Panopticlick tiene un método bastante refinado para buscar usuarios únicos que usen huellas dactilares. Además de la dirección IP y el agente de usuario, utilizaba elementos como la zona horaria, la resolución de pantalla, las fonts instaladas en el sistema y los complementos instalados en el navegador, etc., lo que proporciona una identificación muy clara para cada usuario sin almacenar nada en su computadoras . Los falsos negativos (encontrar dos usuarios diferentes con la misma huella digital) son muy raros.

Un problema con ese enfoque es que puede arrojar algunos resultados falsos positivos, es decir, considera que el mismo usuario es uno nuevo si ha instalado una fuente nueva, por ejemplo. Si esto está bien o no depende de su aplicación, supongo.

Sí, es imposible distinguir a los visitantes anónimos con 100% de certeza. Lo mejor que puede hacer es recostackr la información que tiene y tratar de diferenciar a todos los visitantes que pueda.

Hay una pieza más de información que puede usar:

  1. Cadena del navegador
    • No es único, pero en combinación con la otra información, aumenta la resolución.

Si necesita distinguir a los visitantes con 100% de certeza, entonces debe hacer que inicien sesión.

No hay una manera segura de lograr esto, desde mi punto de vista. De sus opciones, es más probable que las cookies arrojen un número razonablemente realista. Los servidores nativos y proxy pueden enmascarar las direcciones IP de una gran cantidad de usuarios, y la asignación dinámica de la dirección IP confundirá los resultados de muchos otros.

¿Ha considerado usar, por ejemplo, Google Analytics o similar? Hacen un seguimiento exclusivo de visitantes como parte de su servicio, y probablemente tengan mucho más dinero para arrojar en la búsqueda de soluciones heurísticas para este problema que tú o yo. ¡Solo un pensamiento!