WooYun Zone镜像——Web Cookie 将死,指纹识别崛起

admin 7月前 124

NSA棱镜门事件令人对自己的隐私有可能被侵犯而愤怒,但是对于我们大多数人来说,只有营销人员关心自己日常的网上生活。考虑到数十亿美元的生意危在旦夕,各大公司都在不断地求助于越来越复杂的技术,以便识别出潜在客户,定向投放广告。

许多互联网营销人员都要靠cookies来做到这一点。Cookies是指网站为了辨别用户身份、进行会话跟踪而储存在用户本地终端上的数据(通常经过加密)。有些网站在用户访问时会发出多个cookies给用户,以便随后能够跟踪用户的活动(Ghostery、Abine的“DoNotTrackMe”以及Disconnect均可反跟踪)。

这种办法的问题是有些用户会设置浏览器拒绝接收cookie,或者很快就清理cookie。此外,使用量逐步上升的移动手机上网并不使用cookie。

为了克服cookie的缺陷,广告商和出版商正在逐步调整方向,转而使用一种名为指印识别的技术。该技术允许网站归纳计算机的特征(如安装了什么插件、软件、屏幕大小、时区、字体等),从而形成类似指纹那样独一无二的签名。Electronic Frontier Foundation(EFF,电子前沿基金会)发现使用Flash或Java的浏览器中94%者均有独特标识。

就跟踪性而言,指纹识别技术要比cookies更加健壮,因为无论删不删cookie都能识别用户身份。而且软件的变化只会令计算机的身份变得更加可识别。比方说,EFF几年前的一项研究发现,某人更改了档案(如进行软件更新)之后反而更容易跟踪。通过访问这个网站你可以查到自己计算机发送了什么东西出去。

有一家名为TapAd的公司由于指纹技术销售火爆而迅速发展。但是那些采用了指纹技术的营销人员却不愿意谈论该技术的效果,以免引起公众对这项技术的警觉。AdStack的做法透明性更强些。他们的电子邮件营销技术让企业给用户发电子邮件,只有用户打开电子邮件时才提供内容。这种电子邮件有点类似于相框,内容以类似于网页的方式进行交互式分发。其目标是在适当的时机提供个性化的信息。

比方说,如果你早上打开饭店的促销,它可能会提供午餐或晚餐的优惠信息给你。可能对方还知道你喜欢更寿司而不是牛排。用户打开邮件时花店则会根据自己的存货情况推出相应的广告。

通过帮助客户决定电子邮件的广告内容,AdStack还跟Rapleaf 一起合作利用电子邮件掌握更多用户的信息。Rapleaf 拥有庞大的用户信息记录,掌握了80%的美国消费者除电子邮件地址以外至少一项额外信息(如性别、年龄、真实姓名等)。有了这些额外数据,广告主就可以利用AdStack的插件来插入代码到电子邮件中,从而针对用户定向投放最有针对性的广告。取决于投放电子邮件的数量,AdStack的服务收费从1000美元到5万美元不等。

软件工程师Reiser称,指纹识别技术可帮助识别98%的互联网用户。不过他也知道,某些用户会将这种做法视为是对隐私的侵犯,但是他自认为自己还算是好人。他说就跟踪技术而言并无好坏之分,关键是用来干什么。如果广告更具相关性,更像内容而非垃圾邮件的话就没问题。

一家大公司在线广告的负责人说,cookie的逐步衰落以及手机等便携设备的迅猛增长,还有苹果的默认设置都导致了指纹识别技术成为未来在线广告的关键。但是他也知道,公开欢迎指纹识别技术有可能损害自己公司的名声,所以要求不能透露自己公司的名称。

但是他也说,如果你不希望任何人知道你在网上干了什么,那就别上网。如果你要当杀手,那就别在Google上研究武器。

VIA: forbes.com

相关讨论:

webcookie将死的思考

Wdot (马甲小号就别来问邀请码了,留个E-mail的也是,别留了~求你们了!!!!!!!!) | 2013-06-24 17:16

昨天看到个新闻,说webcookie将死。http://www.36kr.com/p/204136.html

文中说到:

这种办法的问题是有些用户会设置浏览器拒绝接收 cookie,或者很快就清理 cookie。此外,使用量逐步上升的移动手机上网并不使用 cookie。

为了克服 cookie 的缺陷,广告商和出版商正在逐步调整方向,转而使用一种名为指印识别的技术。该技术允许网站归纳计算机的特征(如安装了什么插件、软件、屏幕大小、时区、字体等),从而形成类似指纹那样独一无二的签名。Electronic Frontier Foundation(EFF,电子前沿基金会)发现使用 Flash 或 Java 的浏览器中 94% 者均有独特标识。

就跟踪性而言,指纹识别技术要比 cookies 更加健壮,因为无论删不删 cookie 都能识别用户身份。而且软件的变化只会令计算机的身份变得更加可识别。比方说,EFF 几年前的一项研究发现,某人更改了档案(如进行软件更新)之后反而更容易跟踪。通过访问这个网站你可以查到自己计算机发送了什么东西出去。

有没有基友研究过与跟踪相关的东西呢,求些思路

1#

xsjswt | 2013-06-24 17:23

还以为是关于什么可信计算的,结果只不过是在原来的cookie里面引入几个新的校验元素而已。

只要你的数据还是保存在本地浏览器,只要你的数据的直接使用和计算上没有有效的浏览器隔离或者有服务器的参与,那就sayhammer了

2#

无敌L.t.H (:?门安天京北爱我) | 2013-06-24 17:26

安装了什么插件?

等他们看中国的用户,发现各种卫士管家、迅雷快播,就分不出来了。

看来雷布斯、红衣和花藤在下一盘很大的棋。

3#

bittertea (Bittertea.pw) | 2013-06-24 17:36

单独从软件来确定会有重复性

而且你愿意让别人知道你装了什么软件?

4#

网监 (破坏计算机信息系统罪,是指违反国家规定,对计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据和应用程序进行破坏,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。本罪的主体为一般主体,即年满16周岁具有刑事责任能力的自然人均可构成本罪。实际能构成其罪的,通常是那些精通计算机技术、知识的专业人员,如计算机程序设计人员、计算机操作、管理维修人员等。犯本罪的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。) | 2013-06-25 01:20

其实他们不知道“电脑公司版GHOST XP”

5#

GaRY | 2013-06-25 10:30

cookie不会死,这么好用的功能,怎么可能会死?起码与HTTP这个无状态协议同朽。

何况cookie本来就是为了在客户端存放一些状态并且随时和server交互用的,未必只是一个身份识别。此文有点刻意放大化了,哗众取宠。

6#

Wdot (马甲小号就别来问邀请码了,留个E-mail的也是,别留了~求你们了!!!!!!!!) | 2013-06-25 11:36

@GaRY 其实我也觉得,如果不用cookie以及localstrong,如何辨别是否是同一个浏览者,就如每次我开站点都是chrome的隐身模式之类的,浏览器层面,暂时没办法准确的获取我装的软件吧。顶多也就判断浏览器插件,那么重复率太高了

7#

Sunshie | 2013-06-25 12:38

@Wdot @Wdot 给个你平台xss.tw邀请码我 、、、、

8#

kafeivests | 2013-06-25 22:04

@Wdot 我也想要哎。。。为什么没给我额

核攻击 | 2013-06-26 08:36

杞人忧天、哗众取宠

————————————————————————————————————————————————

佚名 @ 2013-06-26 22:31:52

感觉cookie不会死毕竟cookie比那个指纹识别方便很多

本站回复:

指纹识别还得依靠cookie储存指纹信息,所以,指纹识别只是个噱头。

佚名 @ 2013-06-27 00:15:31

有指纹认证服务器,对吧。把服务器搞定,弄明白加密算法,然后伪造指纹,一样轻松。就像盗cookie一样。

本站回复:

这玩意儿就是个噱头。


最新回复 (0)
返回
发新帖