如何检测用户是否从已识别的计算机进行连接？

Question

在许多银行和投资网站上，该网站会阻止用户在未先回答其他问题或激活该计算机的情况下从无法识别的计算机登录。开发人员通常如何创建此功能？

例如，以下是当我从无法识别的计算机连接到我的帐户时 Salesforce.com 给出的消息：

我们正在尝试从我们的一个应用程序中执行相同类型的操作，但不确定最佳（也是最安全）的方法。

Answer 1

有许多可能的方法可以做到这一点，但通常它们会使用以下内容的组合：

• 连接的 IP 范围
• 您从主机名
• 您的计算机上是否存在成功身份验证后网站留下的 cookie
• 用户代理字符串

如果您与现有的受信任连接之一有太多差异，该机器被视为不受信任。 “太多”的界限是安全性和便利性之间的权衡。

Answer 2

没有真正安全的方法，您可以基于 IP 地址执行此操作，但这通常是动态的，您可以通过 cookie 执行此操作，但它们远非安全，您可以在 MAC 地址上执行此操作，但您需要使用Java（IIRC）来访问它，但这又可能被欺骗......

没有真正的方法来检查他们连接的计算机以前是否曾经连接过。您可能可以找到“黑客”来做到这一点，但它永远不会安全。

Answer 3

您可以在用户计算机上设置 cookie，然后检查该 cookie 是否存在并包含正确的值。如果 cookie 不存在，则这台计算机是一台新计算机，否则这台计算机以前就存在过。

cookies值可以是一些随机散列，具有不同的属性，例如IP地址、用户代理等......

Answer 4

电子前沿基金会 (EFF) 建立了一个演示网站，展示了识别浏览器是多么容易，即使 cookie 被禁用或您从不同的 IP/提供商进行连接：

Panopticlick：您的浏览器有多独特和可追踪

的组合

• 它们使用用户代理字符串
• HTTP 标头
• 安装的浏览器插件-ins
• 时区
• 屏幕尺寸和颜色分辨率
• 系统字体
• Cookie 设置

但是，典型的场景（可能是示例应用程序中使用的场景）是在本地存储 cookie 并通过此 cookie 识别返回的用户。

Answer 5

最安全的方法无疑是颁发客户端证书，并让服务器检查连接上的证书（确保并使用吊销列表！）。这会产生相当多的管理开销，但很有效。

Answer 6

大多数顶级网站都使用 Flash cookie 来跟踪唯一访客。 Flash cookie 与常规浏览器 cookie 类似，但当用户切换浏览器或清除浏览器历史记录时，Flash cookie 不会被清除。

再读一遍：您可以尝试清除历史记录或切换浏览器，甚至使用 Chrome 的“隐身”模式，Flash cookies 仍然会记住您是谁。它们与 Flash 安装相关，而不是与浏览器相关。

《连线》有一篇关于它们的文章：
http://www.wired.com /epicenter/2009/08/you-deleted-your-cookies-think-again/

尽管《连线》杂志对 Flash Cookie 发出了警告，但他们自己还是使用 Flash Cookie 来跟踪访问者。去算算吧。

在 Flash 中，它们被称为“共享对象”。请在此处查看有关如何使用它们的更多信息：
如何在 Flash 中访问 Cookie？