你们中的许多人可能都知道,如今的网上银行有一个安全系统,在您输入密码之前,您会被问到一些个人问题。回答完毕后,您可以选择让银行“记住这台电脑”,这样以后您只需输入密码即可登录。
“记住这台电脑”部分是如何工作的?我知道它不可能是 cookie,因为尽管我清除了所有 cookie,但该功能仍然有效。我认为这可能是通过 IP 地址,但我的动态 IP 的朋友声称它也适用于他(但也许他错了)。他以为是MAC地址什么的,但我强烈怀疑!那么,是否存在我不清楚的仅限 https 的 cookie 的概念?
最后,问题的编程部分:我自己如何在 PHP 中做类似的事情?
事实上,他们很可能使用 cookie。他们的另一种选择是使用“ flash cookies ”(官方称为“本地共享对象”)。它们与 cookie 类似,因为它们与网站相关联并且有大小上限,但它们由 Flash 播放器维护,因此它们对任何浏览器工具都是不可见的。
要清除它们(并测试此理论),您可以使用Adobe 提供的说明。另一个漂亮(或者可能令人担忧,取决于您的观点)功能是 LSO 存储由所有浏览器共享,因此使用 LSO 您可以识别用户,即使他们切换了浏览器(只要他们以同一用户身份登录) .
我感兴趣的特定银行是美国银行。
我已经确认,如果我只清除我的 cookie 或我的 LSO,该网站不需要我重新输入信息。但是,如果我清除了两者,我必须通过额外的身份验证。因此,在我的特殊情况下,这似乎是答案!
但是感谢大家对其他银行的提醒,以及包括 User-Agent 字符串等可能性。
这种会话跟踪很可能通过结合使用带有唯一 ID 的 cookie 来识别您当前的会话,以及将该 ID 与您用于连接其服务器的最后一个 IP 地址配对的网站。这样,如果 IP 更改,但您仍然拥有 cookie,则您已被识别并登录,如果 cookie 不存在但您与服务器上保存的 IP 地址相同,那么他们将您的 cookie 设置为与该 IP 配对的 ID。
真的,第二种可能性很难正确处理。如果 cookie 丢失,而您只有 IP 地址可供识别,那么仅基于此来登录某人是非常不安全的。所以服务器可能会存储关于你的额外信息,LSO 似乎是一个不错的选择,地理 IP 也是,但是用户代理,并不是因为他们并没有真正说出你的任何信息,每个人都使用与你相同版本的浏览器有相同的。
顺便说一句,上面已经提到它可以与 MAC 地址一起使用。我强烈反对!您的 MAC 地址永远不会到达您银行的服务器,因为它们仅用于识别以太网连接的两侧,并且要连接到您的银行,您需要建立一堆以太网连接:从您的计算机到您的家庭路由器或您的 ISP,然后从到你通过的第一个互联网路由器,然后到第二个,等等......每次建立新连接时,每一侧的每台机器都会提供自己的 MAC 地址。因此,只有通过交换机或集线器直接连接到您的机器才能知道您的 MAC 地址,因为路由您的数据包的任何其他设备都会用它们自己的 MAC 替换您的 MAC 地址。只有 IP 地址始终保持不变。如果 MAC 地址确实一路走来,那将是一场隐私噩梦,因为所有 MAC 地址对于单个设备来说都是唯一的,因此对于一个人来说也是如此。
这是一个稍微简化的解释,因为这不是问题的重点,但澄清看起来像是误解的东西似乎很有用。
它可能是 cookie 和 IP 地址记录的组合。
编辑:我刚刚检查了我的银行并清除了 cookie。现在我必须重新输入我的所有信息。
我认为这取决于银行。我的银行确实使用了 cookie,因为我在擦拭 cookie 时会丢失它。
闪存文件可以在您的计算机上存储少量数据。银行也有可能使用这种方法来“记住”您的计算机,但是依赖拥有(并且没有禁用)闪存的用户是有风险的。
每次发布新版本的 Firefox 时,我的银行网站都会让我重新进行身份验证,因此其中肯定有用户代理字符串组件。
你在用笔记本电脑吗?如果您从不同的 WiFi 网络访问,它会在您删除 cookie 后记住您吗?如果是这样,IP/物理位置映射是极不可能的。
基于所有这些帖子,我得出的结论是(1)它取决于银行和(2)可能涉及不止一个数据,但请参阅(1)。
MAC地址是可能的。
IP 到物理位置的映射也是一种可能性。
用户代理和其他 HTTP 标头对于每台机器也都是独一无二的。
我正在考虑那些阻止您使用加速下载管理器的网站。一定有办法的。