我的网上银行网站可以唯一地识别我家庭局域网上的计算机(Windows 操作系统)。
身份确认是针对计算机上的每个 Web 浏览器进行的。也就是说,当我第一次尝试从特定计算机访问他们的网站时,他们会要求我通过向我发送一个我必须在网站上输入的特定代码来确认我的身份。一旦我输入了代码,他们下次就会记住我的计算机/Web 浏览器。这是除提供用户名/密码之外的额外安全措施。
如何完成?
这不是 IP 地址的问题,因为 NAT 会将它们隐藏起来。Cookie 也可以排除。银行网站声称他们使用 Cookie 进行跟踪,但我删除了 Cookie(使用不同的浏览器尝试了几次),它仍然有效。
这可能是我不知道的唯一 HTTP 标头吗?还是像 MAC 地址这样更复杂的底层信息?据我所知,使用 IpV4,MAC 地址不会超出 LAN。
它也可能是一些使用参数组合的独特指纹算法。
答案1
它可能是本地存储。我认为 Firefox 在网站想要使用本地存储时会发出警告。如果银行网站这样做来存储登录会话,那将是一种不好的做法,所以我不认为这是正在发生的事情。但是,您可以使用以下 Firebug 扩展检查本地存储:https://addons.mozilla.org/en-US/firefox/addon/firestorage-plus/
除此之外,还有 Flash cookies,它们可能不会被您的浏览器删除。您可能需要另一个插件来实现这一点。
然后有办法对您的计算机进行指纹识别。有些脚本可以查看您安装了哪些插件和字体。这些脚本加上一些其他设置通常可以很好地识别您的身份,以及您的 IP 地址。
不过,如果我的银行利用这个让我登录我的账户,我会非常生气。使用这些技术对想要跟踪你的网店来说是件好事。除此之外,这还是一个安全问题。
注意:再次阅读问题后,我发现这只是识别计算机的额外措施,而不是让用户登录。只有当有人试图从另一台计算机登录时通过电子邮件向您发出警告,或者在已知计算机上登录后向您发出警告,这才会使事情更安全。