银行如何记住“你的电脑”?
https://stackoverflow.com/questions/33034
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
你们中的许多人可能知道,现在的网上银行有一个安全系统,在您输入密码之前,系统会询问您一些个人问题。回答完后,您可以选择让银行“记住这台电脑”,这样以后您只需输入密码即可登录。
“记住这台计算机”部分如何工作?我知道它不可能是 cookie,因为尽管我清除了所有 cookie,该功能仍然有效。我认为这可能是通过 IP 地址实现的,但我的拥有动态 IP 的朋友声称这也适用于他(但也许他错了)。他以为是MAC地址什么的,但我强烈怀疑!那么,是否有一个我不清楚的 https-only cookie 的概念?
最后,问题的编程部分:我怎样才能在 PHP 中做类似的事情?
解决方案
事实上,他们很可能使用cookie。他们的另一种选择是使用“闪存饼干”(正式名称为“本地共享对象”)。它们与 cookie 类似,都与网站绑定并具有大小上限,但它们由 Flash 播放器维护,因此对任何浏览器工具都是不可见的。
要清除它们(并测试这个理论),您可以使用 Adobe 提供的说明. 。另一个漂亮(或者可能令人担忧,取决于您的观点)的功能是 LSO 存储由所有浏览器共享,因此使用 LSO 您可以识别用户 即使他们更换了浏览器 (只要他们以同一用户身份登录)。
其他提示
我感兴趣的银行是美国银行。
我已确认,如果我只清除 cookie 或 LSO,该网站不需要我重新输入信息。但是,如果我清除了两者,则必须进行额外的身份验证。因此,这似乎是我的具体情况的答案!
但感谢大家对其他银行的提醒,以及包括用户代理字符串等可能性。
这种会话跟踪很可能是通过结合使用 cookie 和识别当前会话的唯一 ID 以及将该 id 与您用于连接到其服务器的最后一个 IP 地址配对的网站来完成的。这样,如果 IP 发生变化,但您仍然拥有 cookie,您就会被识别并登录,如果 cookie 不存在,但您的 IP 地址与服务器上保存的 IP 地址相同,那么他们会将您的 cookie 设置为与该 IP 配对的 ID。
确实,第二种可能性很难正确解决。如果 cookie 丢失,并且您只能显示您的 IP 地址以供识别,那么仅凭该地址登录某人是相当不安全的。因此,服务器可能会存储有关您的其他信息,LSO 似乎是一个不错的选择,地理 IP 也是如此,但用户代理则不然,因为他们并没有真正透露有关您的任何信息,每个人都使用与您相同版本的同一浏览器有相同的。
顺便说一句,上面已经提到它可以与 MAC 地址一起使用。 我强烈不同意! 您的 MAC 地址永远不会到达银行的服务器,因为它们仅用于识别以太网连接的两端,并且要连接到您的银行,您需要建立一堆以太网连接:从您的计算机到您的家庭路由器或您的 ISP,然后从那里到您经过的第一个互联网路由器,然后到第二个,依此类推...每次建立新连接时,每一侧的每台计算机都会提供自己的 MAC 地址。因此,只有通过交换机或集线器直接连接到您的计算机才能知道您的 MAC 地址,因为路由您的数据包的任何其他设备都会用它们自己的 MAC 地址替换您的 MAC 地址。只有 IP 地址始终保持不变。如果 MAC 地址确实一直存在,那将是一场隐私噩梦,因为所有 MAC 地址对于单个设备来说都是唯一的,因此对于一个人来说也是唯一的。
这是一个稍微简化的解释,因为这不是问题的重点,但它似乎有助于澄清看似误解的内容。
闪存文件可以在您的计算机上存储少量数据。银行也有可能使用这种方法来“记住”您的计算机,但依赖用户拥有(且未禁用)闪存是有风险的。
每次新版本的 Firefox 发布时,我的银行网站都会要求我重新进行身份验证,因此某些网站中肯定存在用户代理字符串组件。
它可以是 cookie 和 IP 地址记录的组合。
编辑:我刚刚检查了我的银行并清除了cookie。现在我必须重新输入我的所有信息。
我认为这取决于银行。我的银行确实使用 cookie,因为当我擦除 cookie 时我会丢失它。
您使用笔记本电脑吗?在您删除 cookie 后,如果您从不同的 WiFi 网络访问,它还会记得您吗?如果是这样,IP/物理位置映射的可能性极小。
根据所有这些帖子,我得出的结论是(1)这取决于银行,(2)可能涉及不止一项数据,但请参阅(1)。
MAC地址是可以的。
IP 到物理位置的映射也是一种可能。
用户代理和其他 HTTP 标头对于每台计算机来说也是唯一的。
我正在考虑那些阻止您使用加速下载管理器的网站。一定有办法的。
