来自 DDOS 2021-12-15 08:17 的文章

服务器高防_免费网站防护_精准

服务器高防_免费网站防护_精准

作者:Martin Gallo在访问在线资源时,高防cdn国际,唯一地标识用户的设备或浏览器在非常不同的上下文中是有用的,并且根据这些上下文的不同,游戏安全,影响也可能不同。关于身份安全,当允许访问资源时,智能可以显著地促进自适应身份验证过程和风险评估。在本文中,我们介绍了浏览器指纹识别的概念,并探讨了业界在以安全和隐私保护的方式使用该工具时所面临的一些挑战。身份世界中的浏览器指纹识别让我们从设置上下文开始,并从身份安全的角度讨论浏览器指纹识别。首先,重要的是要理解,在评估访问请求时,通常会考虑用户的一组大的属性和属性以及请求本身。根据现有身份验证工作流的类型,这些特征可能会有所不同,但对于访问管理解决方案来说,考虑诸如访问日期和时间、用户组成员身份、原始IP地址、浏览器类型、操作系统等属性是非常常见的。先进和自适应的解决方案还利用了附加的上下文、行为和威胁相关属性,随着时间的推移建立了用户的档案,服务器白名单防御ddos,多少cc的防御,最终改善了用户体验和安全性。鉴于此,能够唯一地识别用户的浏览器或从中请求访问的设备至关重要。虽然上述的一些属性可以表示可疑活动的信号,cc攻击防御策略,例如使用未知或恶意标记的IP地址或在一天中不寻常的时间访问文档,但确定给定请求来自用户每天携带的设备是一个积极的信号。虽然它本身不应被视为一个强大的验证者因素,但它通常用于在没有确定其他风险指标的情况下逐步降低并避免请求第二个或额外的因素。它也可以作为一个积极的因素来减少密码在无密码工作流和旅程中的使用。然而,除了使用持久性cookies之外,Web访问模型并没有那么容易地允许这种类型的标识。考虑到这一点,业界开始探索如何识别用户的设备,尤其是其浏览器。其中一个想法是通过捕捉多个属性或"半标识符"的输入,生成用户浏览器本身的唯一标识符,例如配置的语言、底层操作系统、屏幕信息、安装的字体和插件等等。这些独特信息的组合非常接近于重组一个独特用户的数字指纹,这就是所谓的"浏览器指纹"。Mozilla编写了一份非常广泛的此类半标识符列表。Chromium项目也发表了对不同客户识别机制的技术分析。SecureAuth的访问管理解决方案将浏览器指纹识别作为执行设备识别的机制之一,并作为若干创新和增强的一部分,从而为这些创新授予了专利。其他供应商也紧跟这一趋势,声称已经实现了类似的方法,而且还有一些开源解决方案可用于提供浏览器指纹识别。总体思路是,在这些工作流中,拥有有效凭据的用户在试图访问或执行目标系统中的敏感操作时,如果从其浏览器获取的"指纹"与用户已知的指纹不匹配,则将面临额外的身份验证因素的挑战。虽然它不是完美的,我们将在下一节讨论与此方法相关的一些问题,但是当与附加的自适应层结合时,它会带来平滑和安全的登录体验。它也被用作电子商务、加密货币和其他在线平台的安全和反欺诈手段。然而,随着近年来网络威胁和隐私模式开始改变,一些新的挑战开始发挥作用。指纹黑市当某些安全措施到位时会发生什么?好吧,一般的规则是,如果经济激励值得努力,坏的行为者会试图绕过他们。浏览器指纹识别也不例外,近年来我们已经开始看到这一点。创世纪市场就是其中一个最显著的例子,早在2018年11月,威胁参与者就在运营一家按机器人付费的商店。卡巴斯基在2019年4月的"数字Doppelgangers"报告中广泛曝光了这家商店,随后又进行了其他几项分析,利用了使用商品恶意软件进行的数百次感染,如AZORult,不仅偷了证书和Cookie,还获取了受害者的浏览器指纹。然后,市场客户可以使用一个自定义的浏览器扩展来冒充受害者的浏览器并应用被盗的数字指纹。这会导致更高的概率不会触发反欺诈、多因素身份验证提示或其他类型的安全保护,如上一节中提到的那些。最近的一个例子是,IntSights在2019年8月报道了一家新的商店,其模式非常相似,即"Richlogs"。虽然目前还不清楚后端使用的是什么感染方法或恶意软件,但据说这个黑市直接与创世公司竞争,以同样的方式不仅提供了身份证明,还提供了受害者的广泛个人信息。不久,他们甚至添加了网络钓鱼和其他形式的代理拦截机制。这些类型的浏览器和其他类型的恶意植入的出现,再加上数字指纹的货币化,显示了浏览器指纹作为一种防御措施的弱点之一,也是它不能作为一个强大的认证因素而被信任的原因之一。总而言之,尽管一些特定的商店可能会随着时间的推移而起起伏伏,但我们怀疑这些类型的市场不会停止存在,并且会有更多的恶名,因为作为安全或反欺诈解决方案的一部分,基于指纹的机制的使用继续增加。而且,日益增长的泄露证书市场将继续包含浏览器指纹。广告、广告网络与网络货币化另一方面,就在不久前,当出版商开始将他们的业务转移到网上时,他们需要找到一种方法来为他们所创作和出版的内容创造收入。主要的答案是看看大多数出版商习惯于印刷出版时代的收入模式:广告。对于在线出版商来说,广告是最直观、最容易赚钱的方式。如今,广告仍然是主要的在线收入来源之一,没有广告可能很难想象互联网。网络最大的好处之一就是可组合性原则,广告从中受益匪浅。广告生态系统通过整合新的角色和参与者,如供应方和需求方平台、广告交易所、广告网络和其他独立参与者,继续增长。在这种情况下,重要的是要明白,广告包含在一个给定的网页上,不一定是由唯一的网站所有者,而是主要由第三方。作为第三方网站内容的广泛使用,Cookie和其他形式的内容追踪在很大程度上依赖于第三方网站的广泛使用。最近的研究表明,在高流量网站列表中,大约90%的网站执行某种跟踪。公平地说,在相当大的程度上,一些广告商、广告平台、社交媒体和分析公司一直在使用各种各样的技术,例如"超级计算机"和最近的浏览器指纹技术,作为一种纯粹的跟踪机制。原因是在将一个用户的访问与其历史数据相关联时获得更高的成功率,并且大多数情况下避免或绕过任何类型的用户同意。更重要的是,诸如浏览器指纹识别和其他指标相结合的工具可以用来重新生成用户删除的正常cookie,或者帮助生成额外的链接元素,将它们转化为非常强大的技术。众所周知,不受信任的一方会为了自己的经济利益而尝试使用不同的技术来操纵广告指标,从而影响出版商和广告商的收入。获取这些指标的度量是一个持续的挑战,因此需要反欺诈保护。平台开始扩展对用户和访问进行唯一识别的方法。在混合中添加IP地址会有所帮助,但接下来的挑战是,当Cookie不可用时,如何区分同一地址后面的用户(例如在NAT'ed或proxied环境中)。由于基于cookie和IP地址的解决方案不足,许多广告定位工具目前使用相同的浏览器指纹技术来缓解这些情况,并试图获得更可靠的测量结果。因此,正如我们所观察到的,我们目前可以发现浏览器指纹被广告业及其生态系统作为一种反欺诈技术和一种绝对的跟踪方法。接下来的挑战是什么?隐私威胁和浏览器对指纹识别的持续战争随着事态的发展,跟踪技术的使用超越了用户的一些基本权利。大多数时候,用户在访问一个网站时并不知道涉及第三方的数量和范围。更不用说去理解那些第三方对他们的数据做了什么。在一个理想的世界里,用户、出版商、广告商和开发者都不应该为此担忧,而技术应该是有帮助的