問題タブ [evercookie]

Githubで Evercookie プロジェクトを発見しました。

Evercookie は、ブラウザーで非常に永続的な Cookie を生成する Javascript API です。その目標は、クライアントが標準の Cookie、Flash Cookie (ローカル共有オブジェクトまたは LSO) などを削除した後でも、クライアントを識別することです。

これは、Cookie データを可能な限り多くのブラウザ ストレージ メカニズムに保存することによって実現されます。いずれかのストレージ メカニズムから Cookie データが削除された場合、evercookie は、1 つのメカニズムがまだ無傷である限り、各メカニズムでそのデータを積極的に再作成します。

LSO メカニズムが利用可能な場合、Evercookie は同じクライアント マシン上の異なるブラウザ間で Cookie を伝播することさえあります!

このサンプルページでオンラインでテストしました。「Create evercookie」ボタンをクリックして、すべての閲覧データを削除し、ページを更新しました。そこに閲覧データの削除で削除されたCookieが再び戻ってきました。

このことでブラウザのセキュリティはどこにありますか? これは安全ですか？

Evercookie を使用する理由があります。HTML ページでは問題なく動作しますが、ポストバック後にコードビハインドからその値を取得できません。

非表示フィールドを使用して回避策を見つけましたが、ポストバック後に常に値が失われます。

ポストバック後のコードビハインドでは、常にval= '' を取得します:

アラートには値が正しく表示されることに注意してください。

ここで何が欠けていますか？

私はウェブサイトを開発しており、訪問者がこのウェブサイトのように私のサイトにすでに投票したことを覚えておきたい.

私が調査した後、evercookieは訪問者を記憶する方法です。

ウェブサイトでは、標準の Cookie を消去したり、他のブラウザを使用したりしても、歌に投票できるようになったときにのみ保護します...

質問: evercookie 以外に覚えておくべき他の方法はありますか?

サインインする必要のない匿名ユーザー向けの基本的な上下投票システムを作成しようとしています。これにより、訪問者は一度押すだけで投​​票が入力されます。明らかに、人々を 1 票に制限する必要があります。いくつかの調査と djangoratings モジュールの不運の後、 django のevercookieがこの機能への最も有望なアプローチであることがわかりました。ただし、オブジェクトに現在キャストされている投票の evercookies と、考えられる受信コードを比較するコードの一部を記述するには、少し助けが必要です。他にもたくさんのことがわかったと思います。

私の基本的な django モデル オブジェクトの中核は、次のようなものを追跡するための IntegerField を使用して送信された URL です。

テンプレートにこのシンプルなボタン/フォームがあります:

そして、これを実現するための私の見解：

特定のデスクトップに関連付けられた教室のチェックイン システムを実装しています。残念ながら、私が持っているのは、作業する公開 Web サーバーだけであり、学生がチェック URL をコピーしてチェックインを偽造したり、スタッフの資格情報でログインしたり、サイト上の他のツールにアクセスしたりしたくありません。また、コンピューターは DHCP が定期的に IP を再割り当てするネットワーク上にあるため、IP のピン留めはクライアント検証の信頼できる方法ではありません。だから私はevercookiesを考えていました。スタッフメンバーがコンピューターからチェックインWebサイトにログインし、evercookieを設定してからログアウトし、Webサイト上の他のツールにアクセスするためのlat loginの使用を防ぐことができました. チェックイン サイトが読み込まれると、evercookie のチェックが行われ、特定のしきい値が満たされている限り、チェックイン ページが表示されます。これには、php/apache をバイパスするという追加の利点があります。

または、間違ったツリーを吠えているので、承認されたクライアントを特定するより良い方法はありますか?