ご存知の方も多いと思いますが、最近のオンライン バンクにはセキュリティ システムがあり、パスワードを入力する前に個人的な質問をするようになっています。それらに答えたら、銀行が「このコンピュータを記憶する」ことを選択できます。これにより、将来はパスワードを入力するだけでログインできるようになります。
「このコンピューターを記憶する」部分はどのように機能しますか? すべての Cookie を消去しても機能は引き続き機能するため、Cookie ではないことはわかっています。IPアドレスによるものかもしれないと思ったのですが、動的IPを持つ私の友人は、それが彼にも有効であると主張しています(しかし、彼は間違っているかもしれません). 彼はそれがMACアドレスか何かだと思っていましたが、私はそれを強く疑っています! では、私がクリアしていない https 専用 Cookie の概念はありますか?
最後に、質問のプログラミング部分です。たとえば、PHP で同様のことを行うにはどうすればよいでしょうか。
実際、彼らはおそらくクッキーを使用しています。それらの代替手段は、「フラッシュ クッキー」(正式には「ローカル共有オブジェクト」と呼ばれます) を使用することです。Cookie は Web サイトに関連付けられており、サイズの上限があるという点で Cookie に似ていますが、Flash Player によって維持されるため、ブラウザー ツールからは見えません。
それらをクリアする (そしてこの理論をテストする) には、Adobe が提供する手順を使用できます。もう 1 つの気の利いた (または、見方によっては心配かもしれません) 機能は、LSO ストレージがすべてのブラウザーで共有されるため、LSO を使用すると、ユーザーがブラウザーを切り替えても(同じユーザーとしてログインしている限り)ユーザーを識別できることです。 .
私が興味を持った特定の銀行はバンクオブアメリカです。
CookieまたはLSOのみをクリアした場合、サイトで情報を再入力する必要がないことを確認しました。ただし、両方をクリアした場合は、追加の認証を行う必要がありました。したがって、それが私の特定のケースでの答えのようです!
しかし、他の銀行に関するヘッズアップと、User-Agent文字列を含めるなどの可能性に感謝します。
この種のセッション追跡は、現在のセッションを識別する一意の ID を持つ Cookie と、その ID とサーバーへの接続に最後に使用した IP アドレスを組み合わせた Web サイトの組み合わせを使用して行われる可能性が非常に高くなります。そうすれば、IP が変更されても Cookie が残っている場合、識別されてログインし、Cookie がなくてもサーバーに保存されているものと同じ IP アドレスを持っている場合は、Cookie が次のように設定されます。その IP とペアになっている ID。
実際、正しく理解するのが難しいのは、その 2 番目の可能性です。Cookie がなく、識別のために表示する IP アドレスしかない場合、その情報だけに基づいて誰かをログインさせるのは非常に安全ではありません。したがって、サーバーはおそらくあなたに関する追加情報を保存します.LSOは良い選択のように思えます.geo IPもですが、ユーザーエージェントはそれほどではありません.は同じです。
余談ですが、MACアドレスで動作する可能性があることは上で述べました。私は強く反対します!MAC アドレスは、イーサネット接続の両側を識別するためにのみ使用されるため、銀行のサーバーに到達することはありません。銀行に接続するには、コンピュータからホーム ルーターまたは ISP へ、そしてそこから最初のインターネット ルーターに接続し、次に 2 番目のルーターに接続し、新しい接続が確立されるたびに、両側の各マシンが独自の MAC アドレスを提供します。したがって、MAC アドレスは、スイッチまたはハブを介して直接接続されているマシンにのみ認識されます。これは、パケットをルーティングする他のすべてのマシンが MAC を独自のものに置き換えるためです。IPアドレスだけはずっと同じままです。すべての MAC アドレスが 1 つのデバイス、つまり 1 人の個人に固有であるため、MAC アドレスが完全に使用された場合、プライバシーの悪夢となります。
質問の趣旨ではないので少し簡略化した説明ですが、誤解のように見える点をクリアするのに役立ちそうでした。
これは、Cookie と IP アドレス ロギングの組み合わせである可能性があります。
編集: 銀行を確認し、Cookie をクリアしました。ここで、すべての情報を再入力する必要があります。
銀行にもよると思います。Cookie を消去すると Cookie が失われるため、私の銀行では Cookie を使用しています。
フラッシュ ファイルがコンピュータに少量のデータを保存する可能性があります。銀行があなたのコンピュータを「記憶」するためにそのアプローチを使用する可能性もありますが、ユーザーがフラッシュを持っている (そして無効にしていない) ことに頼るのは危険です。
私の銀行のサイトでは、新しいバージョンの Firefox がリリースされるたびに再認証を求められるため、一部のサイトには間違いなくユーザー エージェント文字列コンポーネントがあります。
ラップトップを使用していますか?別の WiFi ネットワークからアクセスした場合、Cookie を削除した後、あなたを覚えていますか? その場合、IP/物理的な場所のマッピングはほとんどありません。
これらすべての投稿に基づいて、私が到達している結論は、(1) 銀行に依存し、(2) 関連するデータはおそらく複数ありますが、(1) を参照してください。
MACアドレスは可能です。
IP から物理的な場所へのマッピングも可能です。
ユーザー エージェントやその他の HTTP ヘッダーも、各マシンに固有のものです。
高速ダウンロード マネージャーの使用を妨げている Web サイトについて考えています。方法があるはずです。