https - ¿Cómo recuerdan los bancos a "su computadora"?
onlinebanking sessiontracking (10)
Como muchos de ustedes probablemente saben, los bancos en línea hoy en día tienen un sistema de seguridad mediante el cual se le hacen algunas preguntas personales incluso antes de ingresar su contraseña. Una vez que los haya respondido, puede elegir que el banco "recuerde esta computadora" para que en el futuro pueda iniciar sesión solo ingresando su contraseña.
¿Cómo funciona la parte de "recordar esta computadora"? Sé que no pueden ser cookies, porque la función aún funciona a pesar de que borro todas mis cookies. Pensé que podría ser por una dirección IP, pero mi amigo con una IP dinámica afirma que también funciona para él (pero quizás esté equivocado). Pensó que era una dirección MAC o algo así, pero lo dudo mucho. Entonces, ¿hay un concepto de cookies https-only que no borro?
Finalmente, la parte de programación de la pregunta: ¿cómo puedo hacer algo similar en, por ejemplo, PHP?
¿Estás usando una computadora portátil? ¿Te recuerda, después de eliminar tus cookies, si accedes desde una red WiFi diferente? Si es así, la asignación de IP / ubicación física es altamente improbable.
Con base en todas estas publicaciones, las conclusiones a las que llego son (1) depende del banco y (2) probablemente haya más de una información involucrada, pero vea (1).
Creo que depende del banco. Mi banco usa una cookie ya que la pierdo cuando borro las cookies.
De hecho, es muy probable que usen cookies. Una alternativa para ellos sería usar " flash cookies " (oficialmente llamados " Local Shared Objects "). Son similares a las cookies porque están vinculadas a un sitio web y tienen un límite de tamaño superior, pero el reproductor flash las mantiene, por lo que son invisibles para cualquier herramienta del navegador.
Para borrarlos (y probar esta teoría), puede usar las instrucciones proporcionadas por Adobe . Otra característica ingeniosa (o tal vez preocupante, según su punto de vista) es que el almacenamiento LSO es compartido por todos los navegadores, por lo que con LSO puede identificar a los usuarios aunque cambien de navegador (siempre que inicien sesión como el mismo usuario) .
El banco en particular en el que estaba interesado es Bank of America.
He confirmado que si solo borro mis cookies o mis LSO, el sitio no requiere que vuelva a ingresar la información. Sin embargo, si borraba ambos, tenía que pasar por una autenticación adicional. Por lo tanto, esa parece ser la respuesta en mi caso particular!
Pero gracias a todos por el aviso con respecto a otros bancos, y posibilidades tales como la inclusión de la cadena de User-Agent.
El sitio de mi banco me vuelve a autenticar cada vez que sale una nueva versión de Firefox, por lo que definitivamente hay un componente de cadena de agente de usuario en algunos.
Es muy probable que este tipo de seguimiento de sesión se realice utilizando una combinación de una cookie con un ID único que identifica su sesión actual y el sitio web que vincula esa identificación con la última dirección IP que utilizó para conectarse a su servidor. De esta forma, si el IP cambia, pero usted todavía tiene la cookie, se lo identifica y se registra, y si la cookie está ausente pero tiene la misma dirección IP que la que se guardó en el servidor, entonces configuran su cookie para la identificación emparejada con esa IP.
Realmente, es esa segunda posibilidad que es complicado acertar. Si falta la cookie, y usted solo tiene su dirección IP para mostrar para su identificación, no es seguro registrar a alguien simplemente por eso. Así que los servidores probablemente almacenen información adicional sobre usted, LSO parece una buena opción, geo IP también, pero User Agent, no tanto porque realmente no dicen nada sobre usted, cada cuerpo usa la misma versión del mismo navegador que usted tiene el mismo.
Como comentario adicional, se ha mencionado anteriormente que podría funcionar con direcciones MAC. ¡Estoy totalmente en desacuerdo! Su dirección MAC nunca llega al servidor de su banco, ya que solo se utilizan para identificar lados de una conexión Ethernet, y para conectarse a su banco puede hacer varias conexiones Ethernet: desde su computadora hasta su enrutador doméstico, o su ISP, luego desde allí al primer enrutador de Internet que atraviesa, luego al segundo, etc ... y cada vez que se realiza una nueva conexión, cada máquina de cada lado proporciona sus propias direcciones MAC. Por lo tanto, su dirección MAC solo puede ser conocida por las máquinas conectadas directamente a usted a través de un conmutador o concentrador, ya que cualquier otra cosa que enrute sus paquetes reemplazará su MAC por la suya. Solo la dirección IP permanece igual todo el tiempo. Si las direcciones MAC llegaron hasta el final, sería una pesadilla de privacidad, ya que todas las direcciones MAC son únicas para un solo dispositivo, por lo tanto, para una sola persona.
Esta es una explicación ligeramente simplificada porque no es el objetivo de la pregunta, pero me pareció útil aclarar lo que parecía un malentendido.
Es posible que los archivos flash almacenen una pequeña cantidad de datos en su computadora. También es posible que el banco use ese enfoque para "recordar" su computadora, pero es arriesgado confiar en que los usuarios tengan flashes (y no los hayan deshabilitado).
La dirección MAC es posible.
La asignación de IP a la ubicación física también es una posibilidad.
Los agentes de usuario y otros encabezados HTTP son silenciosamente únicos para cada una de las máquinas.
Estoy pensando en esos sitios web que le impiden usar un administrador de descargas acelerado. Debe haber una forma.
Podría ser una combinación de cookies y el registro de direcciones IP.
Editar: Acabo de consultar mi banco y borrar las cookies. Ahora tengo que volver a ingresar toda mi información.