如果你访问过某个网站,他们当然会知道你的 IP 地址,对吧?但是当你更换宽带连接时该怎么办呢?
他们是否还会知道它来自同一来源或人,因为你使用的是之前用过的“同一台台式计算机”?
答案1
这取决于网站、它使用的技术以及这些技术的可靠性。
当用户更改 IP 地址(或多个用户共享一个 IP 地址)时,识别用户的“官方”方式是通过 Cookie。即网站生成的一些信息,这些信息存储在用户的机器上,每次用户从该网站或密切相关的网站请求页面时,这些信息都会返回到服务器。如果 IP 地址发生变化但 Cookie 相同,则网站会认为您是同一个人。当然,有些网站会将会话“绑定”到 IP 地址,这意味着当他们检测到 IP 地址更改时,他们会让您重新登录,并可能为您提供新的 Cookie。这通常是他们自己的问题确保你是同一个人。他们已经强烈怀疑了,而且他们的怀疑是正确的,他们只是在确认,让别人更难窃取你的 cookie 并劫持你的登录信息。
现在,您可以选择删除该 cookie(例如,您可能将浏览器配置为在关闭时删除 cookie,并且在更改宽带连接的同时重新启动了计算机或至少重新启动了浏览器)。然后网站识别您的任务就变得更加困难,但它可以使用一些技巧。通常它不会承认向您表明它已经识别了您,因为它没有使用“官方”手段,但它可能会尝试识别您,例如因为:
- 它对滥用用户感到困扰,因此它尝试将未知访问者与已知滥用者进行匹配
- 它希望追踪所有用户,并选择不局限于官方认可的追踪方式
主要的识别方法如下,每种方法又包含很多技巧和技术:
- 除 Cookie 之外存储在您的计算机上的数据(https://en.wikipedia.org/wiki/Zombie_cookie,https://en.wikipedia.org/wiki/Evercookie)。有时这或多或少是合法的,例如,Flash 应用程序可能会在没有任何特定意图的情况下使用 Flash Cookie 来避免常规浏览器 Cookie 的限制。有时,这是对用户隐私的公然滥用。
- 您的机器和浏览器的属性,使其能够被唯一地标识(具有一定的可信度),而无需存储任何内容,又称为“指纹识别”:(https://panopticlick.eff.org/,https://en.wikipedia.org/wiki/Device_fingerprint)。这种情况不太可能偶然发生:这样做的网站知道,即使您不想被识别,它也会采取措施尝试识别您。所以这种情况很少见。
- 用户行为(这在原则上是可行的,但很少有实际用途。例如,它可以帮助检测网站想要阻止的自动网络爬虫)。
答案2
如果使用 IP(版本 4)地址来跟踪个人用户,则会出现以下问题:
许多用户使用 ISP,它会为他们提供一个临时的 DHCP 地址,该地址可能随时更改。
许多用户都位于使用 NAT 的路由器后面,以使多个用户看起来来自同一个 IP 地址。
由于其工作场所、ISP 或政府的政策,某些用户可能使用代理服务器访问您的网站。
因此,虽然精心设计的网站在检测到特定 IP 的滥用时仍会在 IP 级别进行阻止等操作,但网站本身会使用 cookie 来区分用户。
如果服务器“设置”了一个 cookie,那么如果客户端“接受”该 cookie,那么之后应该发生的事情是,客户端会在每次将来的 HTTP 请求中(在 HTTP 标头中)发回这些 cookie。
因此,服务器需要做的就是“设置”一个具有随机值的 cookie,最好是随机数- 一个只能出现一次的值。然后客户端不断将其发回,并可用于识别客户端。
因此,此 Cookie 将确定您的会议在服务器上(因此它被称为会话 Cookie),并允许网站将传入的 HTTP 请求与当前登录信息相连接,确定您的登录是否已超时等。
一件有趣但并不完全相关的事情:一些跨站点脚本攻击试图欺骗您的浏览器向其他网站提供这样的会话 cookie,然后使用它来执行操作,就好像攻击者以您的身份登录一样。一个好的网站可以通过使会话 cookie 无效来缓解这种情况,并且如果检测到突然的 IP 变化,可能会发出安全警报。