BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

¿Cómo lo hace fingerprintjs.com para generar un id único por usuario aún en modo incógnito?

Aeri
1

Llevo un buen rato dándole vueltas a cómo funcionan las técnicas actuales de fingerprinting y me he topado por casualidad con esta librería fingerprintjs.com/demo que ofrece una solución gratuita de código abierto y un producto un poco más complejo de pago y de código cerrado. Me he quedado en blanco al ver lo que hace y lo bien que lo hace.

Es súper curioso porque aunque entres en modo privado, borrando todas las cookies, almacenamiento, cambiándo la dirección IP, enmascarando el User-Agent, es capaz de devolver el mismo identificador de la primera petición.

Hay herramientas como Privacy Possum que en reducen el tema del fingerprinting y consiguen hacerlo para la versión gratuita pero no para el FingerprintJs de pago y me está pareciendo casi magia.

¿Tenéis alguna idea de qué mecanismo pueden estar utilizando para poder identificar tu navegador? Entiendo que la gracia es que sea secreto para poder venderlo pero en teoría al final todo se sabe.

BocaDePez
BocaDePez

All final de sabe después de unos años

BocaDePez
BocaDePez

el pro es server-side, así que el primer paso es monitorizar que información se le está mandando. El algoritmo en sí sería difícil de atinar, pero sabrías la "material prima".

rbetancor

Hace unos años, tuvimos una acalorada discusión en el foro, sobre como se podía identificar a los usuarios, aunque estos bloquearan las cookies y los js. Pues aquí está una de las formas.

kotBegemot

Con la info que manda el navegador, version, sistema operativo, etc, mas un poquito de javascript para sacar el tamaño de la ventana y todo lo que te deje. Lo sumas a cosas como el operador que usas, el rango de ips, las horas a las que te conectas, la temática del sitio.

Todas esas variables se las pasas a un random forest y las posibilidades de que acierte se pasan del 99%

🗨️ 2
Aeri

Pues algo de eso debe ser, aunque creo que va a mas y para mí sigue cacheando algo porque cuando entras en modo incógnito no, pero cuando creas un nuevo perfil de Firefox genera un nuevo Id.

🗨️ 1
kotBegemot

Alguna variable que saca del javascript

vukits
imagen.webpimagen.webp

Como ves, en mi ordenador, cambiando de navegador, ya me da una id diferente.

En todo caso, te invito a informarte sobre cómo funcionan distribuciones Linux como Tails

🗨️ 3
Aeri

Ojo, en otro navegador si que me devuelve otro Id, la cosa es que sigue siendo alucinante que borrando todos los datos de sesión y enmascarando todo lo posible las peticiones, el mismo navegador esté fichado. ¿No te parece una locura?

Sigue teniendo que haber algún dato clave que desconocemos, un tema un poco turbio en cuanto a la privacidad y anonimato se refiere.

Había oído hablar de Tails pero no la he llegado a utilizar, parece que está pensada en ser portable y así llevas el sistema contigo, en cuanto a rendimiento igual no es de lo mejor pero en materia de seguridad me parece una pasada. Tengo que echarle un ojo. Imagino que esta no será la distribución que utilices de habitual ¿no?

🗨️ 2
vukits

el mismo navegador esté fichado

en absoluto.

por eso te comento que aprendas cómo funciona Tails.

Hay muchas cosas que te identifican, tales como resolución lenguaje, sistema operativo, rango de IP's, etc.

🗨️ 1
Aeri
1

Acabo de probar Tails con Tor Browser y aún así incluso creando un nuevo circuito de Tor, es capaz de identificarte, lo único que hace que cambie el Id es la opción de nueva identidad, con eso parece que se la lías al fingerprinting (a costa de reiniciar el navegador). ¿Qué rebuscará esa librería para que haya que hacer algo tan extremo?

BocaDePez
BocaDePez
2

En panopticlick.eff.org puedes ver que cosas se pueden sacar de tu navegador para fingerprintearte…

🗨️ 1
Aeri

Muy buena, gracias por la info.