Browser Fingerprint

[Алекс]

Здравейте!

Случайно някой да се е занимавал с Browser Fingerprinting? Трябват ми отговори на няколко въпроса:

1. Ще бъде ли ефективно, ако се помъча да създам някаква логика сам, която в крайна сметка да създава fingerprint?
2. Кой е най-добрият service, който мога да интегрирам относно browser fingerprinting? Спрял съм се на fingerprint.com
3. Къде мога да изгледам някакъв урок, който да ми помогне да създам нещо подобно (собственоръчно)?

Благодаря предварително!

 

[Алекс]

Направих нещо примерно:

https://jsfiddle.net/52jugv0d/

Какво мислите? Със сигурност не мога да разчитам на този Fingerprint ID, но поне като концепция става ли? Тези ли са параметрите, от които реално трябва да създам fingerprint-а? Кои мога да махна/добавя?

 

[uphero]

Каква е идеята кажи първо?

 

[Алекс]

@uphero Идеята е да идентифицирам устойството, от което се вкарва нов запис в базата данни. В моят случай нов запис представлява ревю. Вече предполагам се досещаш - идеята ми е да предотвратя донякъде fake reviews като засичам браузъра. Ако създам някакво уникално ID на браузъра на пишещия и го запиша при ревюто в таблицата - след това лесно ще мога да засичам дали един и същи браузър пише ревюта с различни акаунти (user_id) и обратното.

 

[Blinky]

@uphero Идеята е да идентифицирам устойството, от което се вкарва нов запис в базата данни. В моят случай нов запис представлява ревю. Вече предполагам се досещаш - идеята ми е да предотвратя донякъде fake reviews като засичам браузъра. Ако създам някакво уникално ID на браузъра на пишещия и го запиша при ревюто в таблицата - след това лесно ще мога да засичам дали един и същи браузър пише ревюта с различни акаунти (user_id) и обратното.

То дали ще е достатъчно само по IP? Като джитках преди година една анкета, там имаше още няколко критерии, по които тракваше фейк вотовете - дивайс, OS, браузър (което си писал), и правеше мачове. Малко бяха се изсилили, но рядко, да не кажа никак не влизаше фалшив глас, а ако имаше съмнение се гледаха логове (мрежа, и всичко останало, което писах), отделно бяха подсилили с рекепча, но това е за ботове, все пак се очакват може би хюмън ревю публишъри.

 

[uphero]

Наври го в бекенда само, да не се вижда

 

[Алекс]

Наври го в бекенда само, да не се вижда

PHP e server side, a Javascript - client side. Как да го скрия, като информацията идва от client side-a

 

[Алекс]

То дали ще е достатъчно само по IP? Като джитках преди година една анкета, там имаше още няколко критерии, по които тракваше фейк вотовете - дивайс, OS, браузър (което си писал), и правеше мачове. Малко бяха се изсилили, но рядко, да не кажа никак не влизаше фалшив глас, а ако имаше съмнение се гледаха логове (мрежа, и всичко останало, което писах), отделно бяха подсилили с рекепча, но това е за ботове, все пак се очакват може би хюмън ревю публишъри.

ReCaptcha е вече сложена.

Кои според вас са най-трудно променящите се стойности от тези, които мога да взема от device-a на юзъра, за да мога да използвам само тях за генериране на fingerprint? Като цяло е много лесно да идентифицираш браузъра на потребител, на когото не му пука, че ще го направиш. Но ако потребител не иска да знаеш кой е - със сигурност няма да разбереш.

 

[uphero]

PHP e server side, a Javascript - client side. Как да го скрия, като информацията идва от client side-a

Пращай го към бекенда всичко и там генерирай.
Това ако е така видимо ще ги улесниш максимално.

 

[uphero]

ReCaptcha е вече сложена.

Кои според вас са най-трудно променящите се стойности от тези, които мога да взема от device-a на юзъра, за да мога да използвам само тях за генериране на fingerprint? Като цяло е много лесно да идентифицираш браузъра на потребител, на когото не му пука, че ще го направиш. Но ако потребител не иска да знаеш кой е - със сигурност няма да разбереш.

Регистрация с телефон и потвърждение с смс

 

[Blinky]

Някакво детектване на мрежи може би, защото фейковете най-вече от моя опит идват от мрежи, като за целта най-често се взимат Амазон клауд и OVH някакви сървърчета. Ако имаше някакви AI, което да следи и прави анализи на мрежи, време и периоди на публикуване, с комбинация от браузъри и ОС, лесно може да се правят някакви филтри. Ама това вече отива в една друга графа на защита.

Регистрация с телефон и потвърждение с смс

Бате, за едно ревю няма да се навият. То това беше едно от нещата, които не искаха при гласуването - да им се иска мейл, за да се верифицират. И видяха, че анкетата беше поне с 50%+ по-малко гласове от предни години. Но е най-добрия вариант, спор няма.