Ankündigung

Einklappen
Keine Ankündigung bisher.

User-Tracking ohne Cookie

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • User-Tracking ohne Cookie

    Cookies haben sich inzwischen als Standard etabliert, wenn es darum geht die User einer Seite zu tracken und wiederzuerkennen. In diesem Proof-of-Concept zeigen wir, dass es möglich User auch ohne Cookies wiederzuerkennen.

    Hier kann man es mal testen.
    http://www.akutly.de/lab/no-cookie

    Die Profis werden es aber schon wissen, wie das technisch funktioniert.
    http://www.php-entwickler.de/

  • #2
    Da wäre der Ausgangswert für den Hash (der vermutlich als ID verwendet wird) interessant.
    Machst du einen md5() auf implode($_SERVER-Werte)

    IE:
    PHP-Code:
    <input type="hidden" name="k" value="37f748330ec902c7d0d22f158ac0f4c0"
    FF:
    PHP-Code:
    <input type="hidden" name="k" value="db622c26cee12e0f5221d810dbcd7635"
    Debugging: Finde DEINE Fehler selbst! | Gegen Probleme beim E-Mail-Versand | Sicheres Passwort-Hashing | Includes niemals ohne __DIR__
    PHP.de Wissenssammlung | Kein Support per PN

    Kommentar


    • #3
      Ich bekomm einen 404-Fehler wenn ich mit deaktiviertem Javascript das Formular absende. Bei Cookies passiert mir so etwas nicht.. :P

      Kommentar


      • #4
        Versteh ich nicht. Ich klick auf speichern, lad die Seite neu, und dann? Was soll passieren?
        [URL="http://goo.gl/6Biyf"]Lerne Grundlagen[/URL] | [URL="http://sscce.org/"]Schreibe gute Beispiele[/URL] | [URL="http://goo.gl/f2jR7"]PDO > mysqli > mysql[/URL] | [URL="http://goo.gl/jvfSZ"]Versuch nicht, das Rad neu zu erfinden[/URL] | [URL="http://goo.gl/T2PU5"]Warum $foo[bar] böse ist[/URL] | [URL="http://goo.gl/rrfzO"]SQL Injections[/URL] | [URL="http://goo.gl/Q81WJ"]Hashes sind keine Verschlüsselungen![/URL] | [URL="http://goo.gl/2x0e2"]Dein E-Mail Regex ist falsch[/URL]

        Kommentar


        • #5
          Leider hab ich gerade keine Möglichkeit im FF (via AddOn) den UserAgent zu switchen und nochmals zu versuchen und *vermutlich* einen abweichenden Hash zu bekommen.

          Versteh ich nicht. Ich klick auf speichern, lad die Seite neu, und dann? Was soll passieren?
          Die Werte im Input wurden bei mir hier behalten / wiederhergestellt "gespeichert".

          LG
          Debugging: Finde DEINE Fehler selbst! | Gegen Probleme beim E-Mail-Versand | Sicheres Passwort-Hashing | Includes niemals ohne __DIR__
          PHP.de Wissenssammlung | Kein Support per PN

          Kommentar


          • #6
            Zitat von hausl Beitrag anzeigen
            Die Werte im Input wurden bei mir hier behalten / wiederhergestellt "gespeichert".
            Scheint ja super zu klappen das System, lol... Selbst wenn ich nichts lösche ist der Input nach neu laden wieder leer.

            Heißt das jetzt, dass ich safe bin?
            [URL="http://goo.gl/6Biyf"]Lerne Grundlagen[/URL] | [URL="http://sscce.org/"]Schreibe gute Beispiele[/URL] | [URL="http://goo.gl/f2jR7"]PDO > mysqli > mysql[/URL] | [URL="http://goo.gl/jvfSZ"]Versuch nicht, das Rad neu zu erfinden[/URL] | [URL="http://goo.gl/T2PU5"]Warum $foo[bar] böse ist[/URL] | [URL="http://goo.gl/rrfzO"]SQL Injections[/URL] | [URL="http://goo.gl/Q81WJ"]Hashes sind keine Verschlüsselungen![/URL] | [URL="http://goo.gl/2x0e2"]Dein E-Mail Regex ist falsch[/URL]

            Kommentar


            • #7
              Not Found
              The requested URL /lab/no-cookie-post was not found on this server.

              Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
              [COLOR="#F5F5FF"]--[/COLOR]
              [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
              „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
              [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
              [COLOR="#F5F5FF"]
              --[/COLOR]

              Kommentar


              • #8
                Zitat von ApoY2k Beitrag anzeigen
                Heißt das jetzt, dass ich safe bin?
                Nein. Das heißt das dein IE 6 noch kein Local Storage kann.

                Kommentar


                • #9
                  Fast, Chrome 35.0.1916.153 m ;-P
                  [URL="http://goo.gl/6Biyf"]Lerne Grundlagen[/URL] | [URL="http://sscce.org/"]Schreibe gute Beispiele[/URL] | [URL="http://goo.gl/f2jR7"]PDO > mysqli > mysql[/URL] | [URL="http://goo.gl/jvfSZ"]Versuch nicht, das Rad neu zu erfinden[/URL] | [URL="http://goo.gl/T2PU5"]Warum $foo[bar] böse ist[/URL] | [URL="http://goo.gl/rrfzO"]SQL Injections[/URL] | [URL="http://goo.gl/Q81WJ"]Hashes sind keine Verschlüsselungen![/URL] | [URL="http://goo.gl/2x0e2"]Dein E-Mail Regex ist falsch[/URL]

                  Kommentar


                  • #10
                    Im FF werden normal und anonymer Modus jeweils separat wiedererkannt.
                    Debugging: Finde DEINE Fehler selbst! | Gegen Probleme beim E-Mail-Versand | Sicheres Passwort-Hashing | Includes niemals ohne __DIR__
                    PHP.de Wissenssammlung | Kein Support per PN

                    Kommentar


                    • #11
                      Danke für zahlreiche Reaktionen.
                      @hausl Nein, wir nutzen nicht den MD5 von $_SERVER (implode( ‚‘, $_SERVER ))

                      @Tropi Ohne JavaScript funktioniert das nicht.

                      @hausl User-Agent wird ignoriert. Du kannst das gern mit einem anderen Browser oder im Inkognito-Mod versuchen.

                      Nein, die Werte werden nicht lokal gespeichert. Ihr könnt mal einfach das Fenster schließen und die URL erneut aufrufen.

                      @nikosch Ich weiß nicht, wie auf diese URL, die nicht existiert kommst.
                      http://www.php-entwickler.de/

                      Kommentar


                      • #12
                        Wert eingeben und Button drücken…
                        [COLOR="#F5F5FF"]--[/COLOR]
                        [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
                        „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                        [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
                        [COLOR="#F5F5FF"]
                        --[/COLOR]

                        Kommentar


                        • #13
                          Wir haben das nur mit FF und mit Chrome getestet. Sollte aber eigentlich mit IE und mit Opera auch funktionieren.
                          http://www.php-entwickler.de/

                          Kommentar


                          • #14
                            Ist wohl mehr eine Browsererkennung als eine Usererkennung. Bei mir ein Teilerfolg mit dem Chrome, aber spätestens mit dem Löschen der Browserdaten kommt das k.o.

                            So was ähliches hab ich vor Jahren auch mal versucht (Browser Fingerprint ID)

                            Kommentar


                            • #15
                              @jspit. Nicht ganz, aber das geht schon in die richtige Richtung.
                              http://www.php-entwickler.de/

                              Kommentar

                              Lädt...
                              X