18

Web サイトの所有者が、ユーザーが誰で、何を (どのように) キャプチャできるかを可能な限り追跡したい場合。作成したサイトで情報を収集するため、またはユーザーとして、サイトがあなたのデータを収集するのを防ぐために、これについて知りたい場合があります。

以下は最初のリストですが、いくつかの重要なものを見逃していると確信しています。

  1. リファラー (ここにたどり着くためにたどったリンクがあった Web ページ)。これは HTTP ヘッダーです。
  2. 閲覧元のマシンの IP アドレス。これは、HTTP ヘッダーで使用できます。
  3. ユーザー エージェント (使用しているブラウザー)。これは HTTP ヘッダーです。
  4. 前回の訪問時に配置された Cookie。これはヘッダーであり、Cookie が以前に配置され、ユーザーによって削除されていない場合にのみ使用できます。
  5. 前回の訪問時に配置された Flash Cookie。一部のユーザーは Cookie をオフにしますが、Flash Cookie をオフにする方法を知っている人はほとんどいません。Flash に依存しますが、通常の Cookie と同じように機能します。
  6. ウェブバグ。サードパーティから提供されたページに小さなもの (透明な単一ピクセルの GIF など) を配置します。一部のサード パーティ (DoubleClick など) は独自の Cookie を持ち、ユーザーが行った他の訪問と関連付けることができます (有料!)。

それらは私が考える一般的なものですが、珍しいものはたくさんあるはずです. たとえば、これは次のとおりです。

  1. ユーザーの時計の時刻。JavaScriptを使用して送信します。

...ここで読むまで聞いたことがありませんでした。

後で追加(これを読んだ後):

回答ごとに項目を 1 つだけ入力してください。そうすれば、投票を使用して、より優れた/より興味深いものを選別できます。以下のリストはおそらくあまり効果的ではありません。

ああ、まあ…次はこういう質問をするときは、もっとうまく設定します。

そして、ここに私が得た最良の答えのいくつかがあります:

  1. James氏は、IEが.NETフレームワークのバージョンを送信していると指摘しています。
  2. AviewAnewは、あなたが訪れたサイトを見つけることができると指摘しています。
  3. Mecki 氏は、画面の解像度を判断できると指摘しています。
  4. Meckiはまた、隠しフィールドを作成し、それを JavaScript で読み取ることによって、ブラウザーがキャッシュした自動入力情報を特定できること 指摘しています。
  5. jjrvは、Flash がユーザーのマシン上のフォントを一覧表示できることを指摘しています。
  6. ケント氏は、ある人がどのウェブサイトを訪れたかを知ることができると指摘しています。
  7. Silver Dragonは、Flash と AJAX を使用してブラウジング ウィンドウ内のマウスの位置を特定できると指摘しています。
  8. Jimは、HTTP ヘッダーから、ユーザーがブラウザーで設定した言語を知ることができると指摘しています。
  9. Jimはまた、人々が Greasemonkey などを使用してページを変更しているかどうかを検出できるとも述べています。
4

12 に答える 12

3

オリジナルへの変更:

  1. エスケープできます(一部のブラウザではオプションだと思います)
  2. プロキシでのみ回避可能 (javascript はこれに反する可能性がありますが、スマートなルックアラウンドを使用する場合)
  3. 信頼性が低く、簡単に偽造されます。
  4. そして、ブラウザの閉鎖(セッションCookie)によって消去されておらず、Cookieが同じドメイン/パスにあると仮定します

本当の厄介者は

  1. JavaScript を使用してネットワーク/LAN をプローブする
  2. JavaScript を使用して、ファイアウォールの背後からファイアウォールにアクセスし、その設定を調整します (冗談ではありません)。
  3. 「訪問したリンク」の機能を使用して、URL のリストのどれが訪問されたかを判断します。(深い歴史を探る!)
  4. ユーザーが Windows/IE/ActiveX を使用している場合はどうなるか知っています
于 2008-09-17T20:44:15.637 に答える
2

Javascriptは、時間だけでなく、より多くの情報を取得できます。たとえば、画面解像度(+色深度)はその1つです。

JSでの画面解像度の取得を参照してください

JSがキャプチャできるものはすべて、ユーザーが操作を実行しなくてもAJAXを使用して送信できます。他の例は次のとおりです(すべてがすべてのブラウザで機能するわけではありません):

  • ブラウザの履歴を調べることができます。たとえば、バックまたはフォワードした場合にブラウザがどのURLにアクセスするかなどです。

  • ブラウザの言語(:通常、HTTPリクエストには、リクエストしたページの優先言語のリストも含まれます。ただし、このリストは多くのブラウザの設定でユーザーが編集できますが、JSは実際に言語の翻訳を確認できます。ブラウザはインターフェースで使用しています)

  • ブラウザがフォームフィールド(電子メール、ユーザー名など)に自動入力する場合、JSは、フォームを送信する前に、ブラウザがフィールドに入力した内容を実際に読み取ることができます(したがって、ブラウザが事前に入力した内容を読み取ることもできます。フォームをまったく送信しない場合でも)。

Javaアプレットは、他の場所ではまだ取得できない情報はあまりありませんが、いくつかの情報を収集して送信することもできます。訪問者のIPを取得するのは簡単なので、訪問者が使用しているオンラインサービスを見つけることができ(米国のIANAやヨーロッパのRIPEなどのアドレスサービスでIPを検索)、IPを国に変換するサービスがあります、したがって、ユーザーが現在いる可能性が最も高い場所を見つけることができます。

于 2008-09-17T20:49:45.377 に答える
2
  • ユーザーが使用しているプロキシ サーバーに関する情報を含めることができるヘッダーがあり、ユーザーの IP アドレスも含めることができます (この場合、他の IP はプロキシのものです)。
  • 画面解像度、オペレーティング システム、色深度、タスクバーのサイズ (最大解像度と現在の解像度を比較)、Java が有効な場合、アンチエイリアシング フォント、プラグイン すべて Javascript 経由でインストール
  • Java アプレットも同様に多くの情報を提供してくれますが、私にはわかりません。
  • アクセスしたサイト
  • アクティブなホスト、Web サーバーなどのローカル ネットワークの詳細。ドライブバイ印刷、ドライブバイルーターの変更についても説明

これはすべて、攻撃者が任意のコードを実行しないことを前提としています

于 2008-09-17T20:42:21.273 に答える
1

興味深いかもしれないいくつかの追加情報:

  • IP アドレスを使用して、ホスト名、IP が属するネット プロバイダー/組織、および大まかな地理的位置を解決できます。
  • リファラー、指定されたクライアントが行うクエリのリスト、および信頼できる Cookie メカニズムを使用して、訪問者がたどるパスを解決できます (AJAX および/またはフォワーダー ページを使用して、他のサイドへのクリックスルーも)
  • フラッシュを使用し、AJAX を組み合わせて、ブラウジング ウィンドウ内のマウスの位置をキャプチャできます。
  • ユーザー エージェントには、オペレーティング システム、インストールされている .NET フレームワーク、およびその他の好奇心に関する情報が含まれている場合があります。
于 2008-09-17T20:46:25.930 に答える
0

個人のセキュリティが心配な場合(それが本当に得ているものかどうかわからないので、これが間違っている場合はお詫びします)、いつでもTorネットワークを使用できます。Firefoxを使用している場合は、Torbuttonを使用してワンクリックで有効にすることができます。Flashの情報漏えいから保護することは不可能であるため、Flashを無効にするという利点(一部の人にとっては欠点)があります。

于 2008-09-17T20:52:21.687 に答える
0

私の知る限り、javascript 経由でクリップボード データを取得することは可能です。最近ではデフォルトでどの程度可能かはわかりませんが、少し前までは大流行していました. 私はIEがまだそれを許可していると信じています。

人々は非常に重要なデータをクリップボードに残す習慣があるため、これはかなり悪いことです。

于 2008-09-19T02:57:06.560 に答える
0

リンクを掘り下げる必要がありますが、ユーザーが IE を使用しており、一般的なソフトウェア タイトルがインストールされている場合、どのソフトウェアがインストールされているかを判断することができます。

于 2008-09-19T02:45:52.517 に答える
0
  • Accept-Language通常、 HTTP ヘッダーを介して、ユーザーが話す言語を判別できます。
  • AcceptHTTP ヘッダーを調べることで、特定のアプリケーションとブラウザー プラグインがインストールされているかどうかを判断できます。
  • User-AgentHTTP ヘッダーを介したブラウザーのバージョン/パッチレベルおよび .NET フレームワークのバージョン。
  • IP アドレスによる ISP/雇用主と地理的位置。
  • CSS やタイミング ロード イベントを介して特定の URL にアクセスしたかどうか。特定の Web サイトにユーザー固有の URI がある場合、そのサイトの特定のユーザーであるかどうかが明らかになる可能性があります。
  • ems および/または Flash を測定してどのフォントを使用できるか。
  • JavaScript による画面解像度、ウィンドウ サイズ、タイムゾーン。
  • JavaScript を使用してマウスとキーストロークを移動する場所。たとえば、ユーザーが送信ボタンを押さなくても、テキスト ボックスに何を入力したかを確認できます。
  • 多くの UserJS/Greasemonkey スクリプトは情報を漏らします (たとえば、特定の人を除外すると、設定されているサイトが誰を見つけられる可能性があります)。
于 2008-09-17T20:46:32.653 に答える
0

.NET フレームワークのバージョンは、IE のユーザー エージェントで送信されます。

于 2008-09-17T20:38:59.957 に答える
0
  1. ブラウザは JS をサポートしていますか
  2. ブラウザはフラッシュをサポートしていますか
  3. オペレーティング システム プラットフォーム
  4. 画面の解像度
  5. CSSをサポート
  6. テーブルをサポート
于 2008-09-17T20:41:07.953 に答える
0

Flash は、特にユーザーのマシン上のフォントのリストを提供できます。Javascript は、マウスをクリックせずに広告の上に置いたときに情報を送信できます。また、ウィンドウ サイズ、サイトがフレームで開いているかどうか、ポップアップまたは特定のプラグインがブロックされているかどうか、Javascript 機能を探すことで、ユーザー エージェント ヘッダーが正しいか偽造されているかを知ることもできます...

于 2008-09-17T20:43:25.610 に答える