1

我们正在构建一个涉及金钱的基于 Web 的系统,我们希望避免欺诈,实施一个能够识别发送请求的 IOS 设备的系统。

这种安全性的原因是因为我们为从移动设备执行操作提供资金,并且我们只希望用户获得一次资金,如果我们无法识别设备,用户可以多次执行操作。

这个唯一标识符可以使用任何 HTML、JS、服务器端技术,但不能使用任何本机 IOS 调用,因为该应用程序是基于 Web 的,并且它在正常的 Safari 实例中运行。

唯一标识符不需要是官方UUID

该系统不需要防弹,只需比普通 cookie 更难作弊。

系统应该在单独的会话中工作,比如用户一周后回来。

欢迎使用基于启发式的系统,也欢迎 LocalStorage 与 Cookie 的任意组合,...

4

1 回答 1

1

您可以在 Web 应用程序中识别唯一用户/设备的唯一方法是使用 cookie 和/或跟踪用户的 IP 地址。

当然,设备的 IP 地址会随着所有者的移动而改变,cookie 可以被清除/禁用或在设定的时间后过期。

让网站访问设备唯一标识符(例如 UDID)将是巨大的安全风险/隐私侵犯。如果您要找到这样的方法,我会说您在 iOS 中发现了一个严重的安全漏洞。

如果您只对在怀疑帐户被盗时触发即电子邮件警报感兴趣,您可以使用基于设备类型(用户代理字符串)和地理 IP 查找的启发式方法来检测用户是否突然更改了设备类型和大陆,并要求用户确认确实如此。我相信这就是谷歌和 Facebook 所做的。

于 2012-10-16T10:06:08.417 回答