Puede una web saber desde que dispositivo me estoy logueando??

Iniciado por hackihoki, 15 Mayo 2015, 17:57 PM

0 Miembros y 3 Visitantes están viendo este tema.

hackihoki

Hola, tengo esa duda.

Supongamos que me logueo en un foro, en Facebook, en Aliexpress, en INGdirect....

Pueden saber estas compañias desde que PC, smartphone, tablet... me estoy conectando??

123456

#1
Claro, el user-agent aporta datos como tu navegador, sistema operativo, etc, además de datos como la dirección de HW (MAC) que se obtiene de la misma conexión, y con esto se pueden conseguir datos como el fabricante de tu tarjeta de red

hackihoki

Cita de: 123456 en 15 Mayo 2015, 18:00 PM
Claro, el user-agent aporta datos como tu navegador, sistema operativo, etc, además de datos como la dirección de HW (MAC)

Vamos que lo saben todo!!

Es que por ejemplo me ha pasado, loguearme desde mi PC con wifi Jazztel, que es el que tengo, y al día siguiente desde mi Galaxy S4 tambien con wifi JAzztel el mismo, y saltarme un mensaje, de que no reconocian el dispositivo, que por seguridad llamase por telefono.

Me sorprendio, sobre todo porque la IP es la misma, la de Jazztel, no sabía que podían rastrear el dispostivo en cuestión

123456

Hay sitios que no toman el user agent, rara vez me he encontrado con alguno, pero sí, es algo que se puede hacer

hackihoki

Cita de: 123456 en 15 Mayo 2015, 18:18 PM
Hay sitios que no toman el user agent, rara vez me he encontrado con alguno, pero sí, es algo que se puede hacer

Supongo que en webs donde pueda haber uso de dinero lo habrá, tipo Ebay, Amazon...

#!drvy

#5
CitarClaro, el user-agent aporta datos como tu navegador, sistema operativo, etc, además de datos como la dirección de HW (MAC) que se obtiene de la misma conexión, y con esto se pueden conseguir datos como el fabricante de tu tarjeta de red

Esto ultimo (en negrita) es un mito falso que no se de donde ha salido. Un navegador web NO proporciona la MAC de ningún dispositivo de red. Solo una aplicación específicamente diseñada para ello o un navegador con alguna extensión (de nuevo, específicamente diseñada) podría subministrar ese dato a un servidor remoto.

CitarHay sitios que no toman el user agent, rara vez me he encontrado con alguno, pero sí, es algo que se puede hacer

Todos los sitios toman el user-agent por defecto. Cuando instalas un servidor HTTP por defecto este tiene los logs activados (access-log) y registra cada visita efectuada, la IP y el user agent (y otros como el documento accedido). Otra cosa es que los usen o los descarten.




Volviendo al tema principal... hay muchas maneras de identificarte. Las principales son la IP, las cookies, flash cookies, local storage, servicios de terceros (facebook), user-agent, correo, plugins java, extensiones especificas, usuarios, incluso por usar la misma contraseña.. y recientemente un canvas fingerprinting.

Si lo que quieres saber es si pueden saber especificamente desde que dispositivo te estas conectando (marca y modelo) es mas dificil aunque algunos tables/smartphones pueden llegar a enviar datos de ese tipo con el user-agent.

De todos modos si te conectas desde tu movil, la resolucion generalmente sera mas pequeña que la de un monitor de escritorio y de ahi puedes ir haciendo mas descartes como la version de android o incluso llegar a scanearte con aplicaciones tipo nmap.. pero eso es irse a ataques muy especificos.

Puedes leer mas aquí : http://en.wikipedia.org/wiki/Device_fingerprint

Saludos

hackihoki

OK, entonces en el caso que me sucedió, supongo que detectó 2 direcciones MAC diferentes, aunque la IP fuese la misma, no?

El primer día el de la tarjeta de red de mi PC, y al día siguiente la dirección MAC de la tarjeta de red del Galaxy S4, no el dispositivo en si. Aunque en la práctica es la mismo, no vamos a estar cambiando cada semana de tarjeta de red al PC, y mucho menos a los moviles.

Saludos

kub0x

Cita de: hackihoki en 15 Mayo 2015, 20:01 PM
OK, entonces en el caso que me sucedió, supongo que detectó 2 direcciones MAC diferentes, aunque la IP fuese la misma, no?

Pobre drvy ya no le hacen caso ... :D La dirección física de tu tarjeta de red (MAC) sólo se utiliza a nivel de enlace, por lo que es imposible que un destino remoto sepa tu MAC, a no ser que tengas una extensión que lo permita.

Quizá te referías al User-Agent que es el identificador del navegador. Si navegas con dos dispositivos distintos el User-Agent difiere.

Salduos.
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate


hackihoki

Cita de: kub0x en 15 Mayo 2015, 20:17 PM
Pobre drvy ya no le hacen caso ... :D La dirección física de tu tarjeta de red (MAC) sólo se utiliza a nivel de enlace, por lo que es imposible que un destino remoto sepa tu MAC, a no ser que tengas una extensión que lo permita.

Quizá te referías al User-Agent que es el identificador del navegador. Si navegas con dos dispositivos distintos el User-Agent difiere.

Salduos.

oops, no leí bien parece.

Que yo sepa no tengo ninguna extensión que permita saber la direccion MAC, aunque tampoco me queda claro si esta extensión la tiene que tener el destinatario o yo.

Thank´s

engel lex

hay información que el dispositivo pasa... a demás del user agent, se puede algunas características (larga lista) que permiten distinguir a los dispositivos como únicos

https://panopticlick.eff.org/index.php

de ellos se puede descartar el sistema operativo y algunas del dispositivo
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.