services/platforms 如何唯一标识用户?
How do services/platforms uniquely identify users?
如果您从新设备登录平台(Twitch、暴雪、Steam、大多数加密货币交易所、大多数银行),您通常会收到一封电子邮件,说明是这样。
据我所知,您在请求中可以获得的唯一信息是
- IP 地址
- 设备操作系统和版本
- 浏览器类型和版本
这些平台的“独特”用户是否仅基于这些信息and/or是否有更多信息可以收集?
AFAIK,大多数像这样的系统会在您登录时在您的浏览器中存储一个 cookie(不是会话 cookie,只是一个随机 ID),它也与您在提供商数据库中的帐户相关联,所以当您回来时,您登录,然后他们检查您是否设置了该 cookie,以防 ID 匹配
您可以使用该 ID 做一些更高级的事情,例如基于浏览器的值、OS、过期日期等等
从安全角度来看,最重要的是您的身份或您的身份验证方式。那是国王。我看到电子邮件说“嘿,这是一个新设备”,但每个站点的处理方式都不一样。最常见的是它实际上是浏览器缓存,我看到银行专门使用浏览器缓存来存储这些类型的令牌。否则,每次您的手机连接到新的手机信号塔时,您都可能被标记为不同。它们不一定与身份验证令牌相同,而只是说嘿,我之前已经以该用户的身份在该站点上进行了身份验证。由于它是由服务提供商生成的,因此服务提供商知道信任它,并且几乎不可能破解(假设它已正确实施)。
根据我自己在操作系统和浏览器类型方面的经验,保存记录比可操作的见解更重要,但是您可以构建一个安全系统,考虑来自非常不同地理位置的 IP 地址。 IE。为什么这个美国的家伙从中国登录。他们 3 小时前刚从加利福尼亚登录,这不可能。不过,我不相信大多数网站真的会达到那种程度。我确实看到 MFA 提供者说“嘿,有一个来自中国的登录,你想批准吗?”。该工作流程更有意义。
关于“唯一用户”,你问题的最后一部分很棘手。大多数计算是基于打开的会话数(标签),或者在 Twitch 的情况下(因为你特别提到了它们),是流式传输该视频的标签数。这些开放平台,任何没有帐户的人都可以流式传输content 的处理方式显然不同于 Netflix,它让你进行身份验证,并且每个帐户都可以打开有限数量的会话。
如果您从新设备登录平台(Twitch、暴雪、Steam、大多数加密货币交易所、大多数银行),您通常会收到一封电子邮件,说明是这样。
据我所知,您在请求中可以获得的唯一信息是
- IP 地址
- 设备操作系统和版本
- 浏览器类型和版本
这些平台的“独特”用户是否仅基于这些信息and/or是否有更多信息可以收集?
AFAIK,大多数像这样的系统会在您登录时在您的浏览器中存储一个 cookie(不是会话 cookie,只是一个随机 ID),它也与您在提供商数据库中的帐户相关联,所以当您回来时,您登录,然后他们检查您是否设置了该 cookie,以防 ID 匹配
您可以使用该 ID 做一些更高级的事情,例如基于浏览器的值、OS、过期日期等等
从安全角度来看,最重要的是您的身份或您的身份验证方式。那是国王。我看到电子邮件说“嘿,这是一个新设备”,但每个站点的处理方式都不一样。最常见的是它实际上是浏览器缓存,我看到银行专门使用浏览器缓存来存储这些类型的令牌。否则,每次您的手机连接到新的手机信号塔时,您都可能被标记为不同。它们不一定与身份验证令牌相同,而只是说嘿,我之前已经以该用户的身份在该站点上进行了身份验证。由于它是由服务提供商生成的,因此服务提供商知道信任它,并且几乎不可能破解(假设它已正确实施)。
根据我自己在操作系统和浏览器类型方面的经验,保存记录比可操作的见解更重要,但是您可以构建一个安全系统,考虑来自非常不同地理位置的 IP 地址。 IE。为什么这个美国的家伙从中国登录。他们 3 小时前刚从加利福尼亚登录,这不可能。不过,我不相信大多数网站真的会达到那种程度。我确实看到 MFA 提供者说“嘿,有一个来自中国的登录,你想批准吗?”。该工作流程更有意义。
关于“唯一用户”,你问题的最后一部分很棘手。大多数计算是基于打开的会话数(标签),或者在 Twitch 的情况下(因为你特别提到了它们),是流式传输该视频的标签数。这些开放平台,任何没有帐户的人都可以流式传输content 的处理方式显然不同于 Netflix,它让你进行身份验证,并且每个帐户都可以打开有限数量的会话。