指尖上的战争：指纹识别公司汇顶科技如何反超瑞典FPC
> 指尖上的战争：指纹识别公司汇顶科技如何反超瑞典FPC
指尖上的战争：指纹识别公司汇顶科技如何反超瑞典FPC
　　2017年上半年即将结束，此时间段延续了2016年国产手机份额占据主流态势。去年，全球市场出货前五的厂商当中，中国厂商占据三家。手机行业向上发展之时，上游人机交互入口之一&&指纹识别芯片出货量一路猛增，其中深圳公司是这一股潮流的最大受益者，于去年登陆A股。本文引用地址：
　　借助中国大陆市场的快速增长以及A股市场的高溢价，在2016年上市后，其市值曾一度达到800亿元，超越了联发科，确立了自己在指纹芯片领域的江湖地位。
　　指纹识别安全需求在国内自2014年9月份由华为出厂的Mate7手机开始流行。华为当时找遍了国内多家指纹识别方案提供商，最终选择了瑞典公司方案和产品。尽管此芯片每颗增加了成本100元人民币左右，但是由此获得支撑的用户体验和安全需求的满足，让当年的Mate7大卖，成为此后一段时间里竞相模仿的对象。
　　来自瑞典的公司，凭借Mate7的大卖，迅速拿下国内多数市场份额，自身体量两年内实现了20倍增长。
　　同样是2014年，看到市场机会，调整重心，集中指纹识别业务，利用本土之便与近身肉搏。今年6月初，在台北Computex展会期间，汇顶科技董事长张帆告诉腾讯科技，汇顶科技目前已经获得中国华为、vivo、中兴、小米、魅族和韩国LG、Nokia、华硕等公司客户。其中进入华为最新手机P10具有里程碑意义。在中高端主流安卓品牌手机里，汇顶科技打破了FPC的一家独大。
　　今年第一季度结束，汇顶科技已超越FPC成为全球安卓阵营最大指纹IC提供商。根据双方公司公布的财报数据分析，第一季度，汇顶科技营收7.31亿元，同比增长90.21%，净利润达到1.75亿，同比增长150.04%。同期FPC 营收约为5.36亿元人民币(685.9 百万瑞典克朗)，较去年同期下降 54%，利润同比下降88%，仅剩约合0.42亿人民币。
　　尽管完成了一次逆袭。汇顶科技董事长张帆看起来并未有过多的兴奋之情，公司业务延伸到PC，另外还在研发供车载使用环境的产品和持续检测心率的芯片。
　　在手机指纹芯片领域，张帆说也不敢懈怠。在他眼里，下一个竞争热点是全面屏可能兴起，由此会带来&显示屏内指纹识别技术&市场机会。不过，FPC并未闲着，他们研制在屏幕任何一处都可以解锁识别的技术方案，作为应对。
　　竞争仍在继续。
　　本土近战优势
　　与张帆交流之后，总结下来，汇顶科技成长迅速的原因主要有靠两点，巧干加苦干。从功能机向智能手机转变过程中，汇顶科技抓住的第一次机会是触控。2014年以后，张帆称很幸运地在智能手机领域抓住了第二次机会&&细分的指纹识别领域增长。&你不停地投入，不停地听客户的意见，总有一些成果出来。&张帆说。
　　有时得忍受公司利润短暂回调。2015年，因为投入增加，公司利润与2014年相比有所下滑，张帆相信投入值得。
　　2016年全年，公司实现营业收入30.79亿元，同比增长175.04%，归属于上市股东净利润8.57亿元，同比增长126.46%，扣非后净利润8.51亿元，同比增长126.52%。目前，指纹芯片成为汇顶科技最大业务板块，2016年营收占比已达75.21%。
　　连续三四年高速成长，技术积累是必要前提。汇顶科技在指纹行业专注的结果是研制出活体指纹识别方案、IFS指纹识别方案、盖板指纹识别方案(可支持玻璃、陶瓷、蓝宝石盖板)和Coating指纹识别方案的全系列指纹识别解决方案。这些都是苦干的结果。
　　&客户说老外夏天要度暑假，我们没暑假，会比老外服务更好，中国人更勤奋。&张帆说。汇顶科技生物识别产品线总经理邓耿淳告诉腾讯科技一个例子，去年在江苏昆山一个客户那里，汇顶的人&连着四个月，从夏天干到了冬天，没有带衣服，不得不给员工放半天假去买衣服，换季了。&白天和客户上生产线，晚上12点开会总结也是常事。
　　苦干加上地利之便，汇顶科技拿下很多中国客户。在手机厂商供应体系里，作为后来者汇顶的技术一开始并不能获得大厂商认可。2014年，在FPC拿下华为的时候，汇顶科技产品所上的第一款旗舰机是魅族MX4 Pro。
　　汇顶科技独有的&活体指纹检测技术&，通过指纹、血液流动以及心率信号等用户的生物特征来验证用户的真实身份，从而识别并拒绝伪造或克隆的假指纹，推动移动支付安全迈上新台阶。即便优势很明显，居于前列的大厂商仍然比较谨慎，汇顶科技只得迂回前进，从愿意冒险创新的魅族、中兴等公司入手，将活体指纹技术应用到魅族PRO 6 Plus、中兴天机7MAX、金立M2017 等机型上。
　　另外，成熟的前置指纹方案，因为过去在固定电话芯片时代与vivo公司合作积累的信誉，汇顶获得了vivo主销机型X9和旗舰机Xplay 6的订单。紧随其后的是华为。华为虽然有了FPC供货，但是这家公司一直警惕着对独家供应商依存度过高所暗藏的风险。至于另外一家大厂家，OPPO仍然采购FPC为主。OPPO的风格自成一体，它选定一家供应商之后，会追求长期共同发展，行业低谷时甚至共担风险。
　　实际上，随着手机行业集中度提高，中小手机创业公司越来越难，整个行业迅速进入成熟期，趋于固化，很难再有新的市场机会。这是汇顶科技不得不面对的一个巨大挑战，同时还得面对一些中小竞争对手价格战。
　　张帆寄希望于客户小米和锤子今年能做大，给行业一些活力。同时，他将眼光瞄向了海外客户。第一个拿到的海外订单来自韩国LG。&从海外客户来讲，他从来没有遇到过一个中国公司真正地拥有领先的技术，是真还是假?&张帆很清楚走出国门的挑战所在。&风险评估要花更长时间，这是很自然的。&
　　国内已经升级的活体指纹技术，因为苹果手机并未像接受国产安卓手机双摄像头一样接受，还未能普及。让国外公司相信中国公司的技术，汇顶还有很长的路要走。
　　备战全面屏内指纹
　　在台北Computex展上见到汇顶科技邓耿淳的时候，他正在摆弄一款改装后的三星S7手机。他将手机电池改小了一些，然后放进了汇顶研发的一个芯片，可以在手机下端实现在屏幕上按下指纹解锁。&腾出一点空间来给我们放传感器。&
　　空间不是唯一挑战，还需要做到很薄很薄，置于玻璃盖板之下，利用AMOLED屏幕本身一些间隙的透光，实现控制。技术方案本身限制其只能用于AMOLED屏，LCD屏幕做不到。如果这个方案成熟，稳定性提升，将会用于现在业内都很看好的手机全面屏方案上。
　　自去年底小米发布MIX手机之后，张帆就比较关注。现在，他确认全面屏将是下一轮手机竞争热点。全面屏指纹识别放在正面而不是背面，手机将显得更加一体化。今年2月，在西班牙巴塞罗那MWC 2017上，汇顶科技首先发布了这一显示屏内指纹识别技术。
　　相较于传统方案需要独立实体按键或虚拟按键进行指纹识别的设计，全新显示屏内指纹识别方案可以大幅提高移动设备的屏占比，为用户带来新的使用体验。三星最新的 Galaxy S8，把指纹识别放置在后置摄像头的旁边，引来了各种关于指纹和位置的讨论，并未让大家满意。业内普遍预计2018年年中，屏内技术将稳定，届时全面屏手机将成主流。
　　这引起很多大的手机厂商关注。毕竟，在手机创新缺乏、同质化严重的时候，率先实现全面屏这种级别的创新，或有可能影响到自家的市场销量排名。张帆同样对此颇为期待。据称，汇顶科技的屏内指纹方案已经可以实现0.15秒解锁。
　　前景是美好的，但是需要等。在手机指纹识别技术提升的过度阶段，张帆瞄向了PC和更多人机交互入口领域。
　　2016年开始，汇顶科技的指纹芯片扩展到PC领域。今年5月23日，华为在德国柏林发布的新一代MateBook X笔记本电脑首次搭载了汇顶科技的指纹芯片。
　　MateBook X笔记本采用了汇顶科技提供的Power Button指纹识别方案，可以做到一键开机、防误触功能，直达Windows界面，与过去相比，安全便捷体验有所上升。另外，5月29日发布的华硕ZenBook Flip S旗舰笔记本电脑也采用了汇顶科技指纹方案。
　　目前，惠普在全球PC行业的排名升至第一，联想对于丢掉王座的不安，华为、小米等新进入者急于突破，华硕和戴尔等传统厂家不甘落后，安静了一段时间的PC行业似乎要风云再起。因为PC行业中指纹识别的新动向，智能手机行业装备最强指纹识别芯片的竞争，似乎要在PC领域重演。
分享给小伙伴们：
我来说两句……
最新技术贴
微信公众号二
微信公众号一当前位置： >
被黑产盯上的电商：差点破产，后来被顶象挽救
09:25:21 & & & 来源：中国网
又一年的双11购物狂欢季将至，某电商平台负责人李先生却高兴不起来。经过多年辛苦打拼，李先生负责的电商平台在业内小有名气，然而隐匿网络之下的黑色势力疯狂威胁着电商平台安全，辛苦策划出来的活动不仅没有吸引来真实的用户，反倒招来了职业&羊毛党&，让巨额促销资金打了水漂!
　　100多万促销费用打了水漂
　　李先生告诉记者，他们是一家特色食品互联网电商企业，成立于2015年1月。该平台的服务宗旨是为辖区内的农业龙头企业服务，帮助他们在网上销售优质农产品，彻底解决优质农产品难卖问题。
　　截至2015年年底，该电商平台已经吸纳本地企业60多家，上线农产品200多种，年销售额达到500多万元，在服务的企业中建立了良好声誉。但是由于平台规模小、知名度不高、投资额度有限等多种原因，也受到国内京东、淘宝等知名电商大鳄的激烈竞争。
　　李先生表示：为了能够在激烈的市场竞争中存活，我们使尽浑身解数，采取打折、秒杀、赠送、抵用券等促销活动，来获取更多的客户。
　　然而令人没有想到的是，这些优惠活动一旦上线，就被&网络黑产&团伙盯上，利用软件瞬间秒杀，再转手售出。网络黑产的秒杀爆品的刷单行为，使普通用户无法享受到优惠，不仅影响了用户的购物体验，更是严重影响了电商平台的良性发展。
　　近期，平台推出了一次&周年庆&的1元购活动，该活动主要针对平台会员及微博粉丝，希望投入真金白银的福利回馈广大用户。然而，活动开始不久后，平台就接到消费者反馈&促销活动页面登录困难&，给会员准备的礼品在15分钟内便被&网络黑产&团伙清洗一空。
　　&为了这次网络大促，我们已经先后投入100多万的营销经费，眼看打了水漂，所有的努力都付之东流。&李先生沮丧又无助的表示。
　　&羊毛党&差点让他破产
　　对于一家电商平台来说，流量非常重要。事实上，任何促销和优惠，都是为了流量、为了导流。&每一次优惠活动，负责促销活动的部门会都根据需求，制定相对宽松的规则。&李先生称，在活动执行过程中不断权衡，就是为了在流量和风控之间，找到一个平衡点。
　　然而，如果制定过严的风控规则，必然会导致用户体验差，&让用户觉得我们没有诚意&;如果为了保证流畅的体验，规则放宽，又势必会被&网络黑产&团伙盯上。
　　为了让羊毛党无毛可撸，该电商平台还为会员量身定制了一系列推广活动。通过IP、收货地址、身份证、手机号、绑定邮箱等全方位检测判断对方是否为羊毛党。然而，就算是经过清洗，还是有漏网之鱼。
　　&任何优惠活动都有这些羊毛党，我快要破产了。&李先生无奈的说。
　　原来，为了支撑公司正常运营实施，李先生抵押了唯一自有住房，来换取运营资金和支付职员工资。在此万分紧迫的时候，经人提醒，李先生联系了专门做业务安全的顶象技术。
　　一个求救电话带来的转机
　　在收到了李先生的求救后，顶象技术安全专家与李先生进行了详细沟通，然后对李先生的电商网站做了整体的安全分析，并很快出具了一份详实的业务风险报告，列出了遭遇到的业务威胁类型和现状。
　　顶象技术安全专家小科表示，分析发现，李先生的电商网站最大的业务风险是账户注册和登录缺乏有效验证机制，导致很多垃圾注册，在优惠券领取和使用上也存在逻辑漏洞，再就是没有专业的风控标准和灵活的防控机制，&黑产甚至比运营人员还精通网站的交易规则，导致羊毛党的肆虐&。
　　小科建议，在注册、登录环节接入人机识别和账号被盗检测。在没有数据积累和垃圾注册模型的阶段，可以通过设备指纹、ip聚合度，验证码，常用登陆地和用户活跃度情况，来识别异常用户，在领优惠券的活动中也可以通过行为事件发生的时间点、名单等维度来防止羊毛党。
　　李先生表示，我们在体验了顶象的风控产品后，发现防控效果超出预期，&要是早知道有这么专业的公司能防御黑产，那100多万运营费用就不会浪费了。&他说，目前正与顶象沟通具体的部署细节，马上要将顶象风控体系部署到网站和APP客户端上，&顶象公司有一个安全双11活动，现在申请免费使用风控产品，还有技术人员服务，这又为我们省了一笔钱。&
　　被网络攻击、黑客入侵、恶意刷单等不法行为步步紧逼的电商网站，在双11等节日促销的重要节点上面临更加严峻挑战。通过顶象技术专业的风控产品和服务，能够有效阻挡羊毛党、盗号党、黄牛党、炒信等职业刷客和专业黑客，真正把优惠和福利传递给消费者，让企业把更多资源、精力投入在电商平台的核心业务中去。“我凭本事撸的钱为什么要还？”顶象专家三个建议防范疯狂羊毛党
“我凭本事撸的钱为什么要还？”顶象专家三个建议防范疯狂羊毛党
随着趣店的上市，现金贷成为全社会关注的焦点。现金贷，就是现金贷款，由于不用担保、不用抵押、放款快、灵活方便而备受关注。“我凭本事撸的钱为什么要还？”近日，有人在网上提了这样一个问题：欠了网贷两三万还不起了怎么办？下面的一则回复引让一个藏在地下的群体浮出水面。这位匿名网友自称，从55家网贷平台共贷出了18万7千元，用他自己的话说“撸出在本地首付买了房”。他还大言不惭地表示：“这辈子都不可能还钱的。”并面对催收人员说出了那句振聋发聩的话：“我凭本事撸的钱为什么要还？”这位匿名网友不但赖账为荣，还把亲戚和村人都带上了骗贷的歪路上，更令人惊讶的是，在这一问题下，更多的网友对这种骗贷、赖账行为表示理解和赞许。甚至有人提议，发动更多人一起把网贷平台“撸死骚扰死，这样就没人讨债了。”这样的人真不少，其实他们被称为“羊毛党”，就是以“薅羊毛”为追求、甚至恶意骗贷不还，并以此为收入来源的人群。据媒体报道，河南的一个“羊毛党”通过这种方式赚了一亿，甚至有现金贷公司被“羊毛党”彻底玩垮的先例。用技术对抗“羊毛党”“羊毛党”团伙手段五花八门，攻击方式更是层出不穷。据说，“羊毛党”搞现金贷主要有两种操作方式，第一种是把一群把本来就没打算还钱的人组织起来，一起薅羊毛，并从中赚取中介费；第二种是在黑市上购买个人资料，然后通群控平台等方式操控，直接申请现金贷。顶象技术安全专家泮晓波说，“羊毛党”源于人们内心的原始欲望，然后根据平台的业务漏洞，利用各种人工+技术的手法获取利益，“人非圣贤，孰无贪欲，所以全面杜绝几无可能”。他认为，目前单点防护依赖黑名单或者用户认证，已经无法对抗黑灰产的日新月异的攻击手段了，需要利用体系化风控解决方案，一方面通过黑名单共享+验证码等反欺诈技术+机器深度学习等技术手段，另一方面针对自身的业务实现安全数据的积累，从而在更大程度上做好“羊毛党”的防御。泮晓波以设备指纹举例，讲述了技术手段反“羊毛党”的作用。他说，设备指纹是风控系统的重要模块之一，包含400多项指标，通过用户环境的非敏感设备特征细信息，再与服务端的设备特征匹配，从而建立一套唯一性的账号标识，能够精准甄别操作者身份，从蛛丝马迹中识别风险、预警风险，准确追踪定位风险产生的账号主体以及关联的所有账号。据《2017年金融反欺诈行业报告》显示，中国互联网欺诈风险在全球排名前三，网络欺诈导致的损失已达GDP的0.63%——如果按照2016年中国GDP总量74.4万亿元计算，网络欺诈导致损失高达4687.2亿元。除了现金贷等互联网金融，电商、航空、游戏领域更是重灾区。像阿里巴巴、腾讯等大公司，每年会投入数十亿元、几千人的专职团队去构建专属风控体系。但是大部分企业并没有这样的实力，而且风控体系技术门槛和专业度很高，单独构建也不现实，这就需要顶象技术这样的专业风控服务商做好“羊毛党”的防御。
本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。
百家号 最近更新：
简介: 明天的希望，让我们忘了今天的痛苦。
作者最新文章什么是浏览器指纹？它是如何泄露我们的隐私？
靠谱的软件下载站
当前位置: &//
什么是浏览器指纹？它是如何泄露我们的隐私？
阅读(9295)
之前跟大家分享了，对于&隐私要求不高并且技术水平也不高&的同学，看完这篇文章基本上够了。下面继续谈谈浏览器方面的问题， 面向的是那些&对隐私要求较高，同时也具有一定折腾能力&的同学。今天这篇文章将详解浏览器的&指纹&是如何暴露你的隐私，顺便分享一些防范技巧。
什么是&指纹&？
说到&指纹&可能大家都知道是手指头的纹理，而且每个人的指纹都是唯一的。
如果你时常接触信息安全领域的一些资料，也会听到&指纹&这个形象的说法（比如：操作系统指纹、网络协议栈指纹、等等）。IT 领域提到的&指纹&一词，其原理跟&刑侦&是类似的&&&当你需要研究某个对象的类型/类别，但这个对象你又无法直接接触到。这时候你可以利用若干技术来获取该对象的某些特征，然后根据这些特征来猜测/判断该对象的类型/类别。&
什么是&指纹&的&信息量&？
在 IT 领域有各种各样的特征可以用来充当&指纹&。这时候就需要判断，用哪个特征做指纹，效果更好。为了讨论这个问题，就得扫盲一下&指纹的信息量&。
为了帮助大伙儿理解，先举一个例子：
假设你要在学校中定位某个人，如果你光知道此人的性别，你是比较难定位的（只能排除 1/2 的人）；反之如果你不知道性别，但是知道此人的生日，就比较容易定位（可以排除掉大约 364/365 的人，只剩大约 1/365 的人）。为什么？因为&生日&比&性别&更加独特，所以&生日&比&性别&能够提供更多的信息量。
从这个例子可以看出：某个特征越独特，则该特征的信息量越大；反之亦然。信息量越大的特征，就可以把对象定位到越小的范围。
&指纹&的&信息量&如何度量&&关于指纹的比特数？
（本节涉及到中学数学，数学很差的或者对数学有恐惧感的读者，请直接无视）
在 IT 领域中，可以用【比特数】来衡量某个指纹所包含的信息量。为了通俗起见，先以前面提到的&性别&来说事儿。性别只有两种可能性&&&男&或者&女&，并且男女的比例是大致平均的。所以，当你知道了某人的性别，就可以把范围缩小到原先的 1/2。用 IT 的术语来讲，就是：&性别&这个特征只包含一个比特的信息量。以此类推：
当我们说：&某特征包含3比特信息量&，意思就是：该特征会有8种大致平均的可能性（8等于2的3次方）。一旦知道该特征，可以把目标定位到八分之一。
当我们说：&某特征包含7比特信息量&，意思就是：该特征会有128种大致平均的可能性（128=2^7）。一旦知道该特征，可以定位到 1/128。
再来说&生日&。（不考虑闰年的情况下）生日有365种可能性（并且也是平均分布的），所以生日包含的比特数大约是 8.51。为什么是 8.51 捏，因为 2 的 8.51 次方 约等于 365。因此，知道了某人的生日就可以把范围缩小到 1/365
通过上述举例，大伙儿对于指纹的信息量，应该有一些粗浅的认识了吧？
多个指纹的综合定位
如果能同时获取【互不相关】的若干个指纹，就可以大大增加定位的精确性。
比如要在某个公司里面定位某人，如果你知道此人的&生日&和&生肖&，那么就可以达到 1/0 = 1/12 * 1/365） 的定位精度。因为综合定位之后，比例之间是【乘法】的关系，所以范围就被急剧缩小了。
为什么要特别强调&互不相关&呢？假如你同时知道的信息是&生日&和&星座&，那么定位的精度依然是 1/365&&因为生日的信息已经包含了星座的信息。所以，只有那些相互独立的特征（所谓的相互独立，数学称为&正交&），在综合定位的时候才可以用【乘法】。
什么是&浏览器的指纹&？
当你使用浏览器访问某个网站的时候，浏览器【必定会暴露】某些信息给这个网站。为什么强调&必定&呢？因为这些信息中，有些是跟 HTTP 协议相关的（本章节说的 HTTP 协议是广义的，也包括 HTTPS）。只要你基于 HTTP 协议访问网站，浏览器就【必定】会传输这些信息给网站的服务器。
再罗嗦一下：HTTP 协议是 Web 的基石。只要你通过浏览器访问 Web，必定是基于 HTTP 协议的。因此，Web 网站的服务器必定可以获取到跟你的浏览器相关的某些信息（具体是哪些信息，下面会说到）。
&浏览器指纹&如何暴露隐私？
&浏览器指纹&的机制跟 cookie 有点相似。关于 cookie 的作用，建议那些健忘的同学先去&&复习一下。
对于&浏览器指纹&导致的隐私问题，这里举2个例子来说明其危害。
对于无需登录的网站
如果你的浏览器允许记录 cookie，当你第一次访问某网站的时候，网站会在你的浏览器端记录一个 cookie，cookie 中包含某个&唯一性的标识信息&。下次你再去访问该网站，网站服务器先从你的浏览器中读取 cookie 信息，然后就可以根据 cookie 中的&唯一标识&判断出，你之前曾经访问过该网站，并且知道你上次访问该网站时，干了些什么。对付这种 cookie 很简单，你只需要在前后两次访问之间，清空浏览器的 cookie，网站就没法用 cookie 的招数来判断你的身份。
但是&清空 cookie&这招对&浏览器指纹&是无效滴。比如说你的浏览器具有非常独特的指纹，那么当你第一次访问某网站的时候，网站会在服务器端记录下你的浏览器指纹，并且会记录你在该网站的行为；下次你再去访问的时候，网站服务器再次读取浏览器指纹，然后跟之前存储的指纹进行比对，就知道你是否曾经来过，并且知道你上次访问期间干了些什么。
对于需要登录的网站
假如网站没有采用&指纹追踪&的技术，那么你可以在该网站上注册若干个帐号（马甲）。当你需要切换身份的时候，只需要先注销用户，清空浏览器的 cookie，然后用另一个帐号登录。网站是看不出来的。
一旦网站采用&指纹追踪&的技术，即使你用上述方式伪造马甲，但因为你用的是同一个浏览器，浏览器指纹相同。网站的服务器软件可以猜测出，这两个帐号其实是同一个网民注册的。
&浏览器指纹&比&cookie&更隐蔽，更危险
刚才对比了&浏览器指纹&和&cookie&两种身份追踪技术。两者的原理类似&&都是利用某些特殊的信息来定位你的身份。两者的本质差异在于：
cookie 需要把信息保存在浏览器端，所以会被用户发现，也会被用户清除。
而&浏览器指纹&无需在客户端保存任何信息，不会被用户发觉，用户也无法清除（换句话说：你甚至无法判断你访问的网站到底有没有收集浏览器指纹）。
&浏览器指纹&包含哪些信息？
浏览器暴露给网站的信息有很多种，常见的有如下几种：
User Agent
关于 User Agent 是什么，已经在本系列前面的中有简单的说明，已了解的同学可以继续往下看。
屏幕分辨率
这个比较通俗易懂。稍微补充一下：这一项不仅包括屏幕的尺寸，还包括颜色深度（比如你的屏幕是16位色、24位色、还是32位色）。
这个也比较通俗。我们应该都是&东8区&。
浏览器的插件信息
也就是你的浏览器装了哪些插件。
再罗嗦一次：浏览器的&插件&和&扩展&是两码事儿，别搞混了。本系列前面的博文扫盲了两者的差异，链接在&&。
浏览器的字体信息
和浏览器相关的一些字体信息。
如果你的浏览器安装了 Flash 或 Java 插件，有可能会暴露某些字体信息。所以在&&一文中就警告了浏览器插件的风险。
HTTP ACCEPT
这是 HTTP 协议头中的一个字段。考虑到列位看官大都不是搞 IT 技术的，这里就不深入解释这项。
以上就是常见的浏览器指纹。当然啦，还有其它一些信息也可以成为&浏览器指纹&，考虑到篇幅就不一一列举并解释了。有兴趣的同学，请自行阅读 Mozilla 官网的。
如何看自己浏览器的指纹？
关于浏览器指纹导致的隐私问题，可能是由&&（简称 EFF）率先在2010年曝光的。后来 EFF 提供了一个页面，帮助网友看自己浏览器的指纹（请点击&&）。
打开此页面之后，当中有一个大大的，红色的&TEST ME&按钮。点一下此按钮，稍等几秒钟，会显示出一个表格，里面包含你当前的浏览器的指纹信息。
在这个表格中会列出每一项指纹的&信息量&以及该指纹的&占比&。关于&信息量&的含义，本文前面已经扫盲过，此处不再说明。你只需记住，某项的信息量越大，就说明该项越独特。而越独特的指纹，对隐私的威胁也就越大。
考虑到篇幅有点长，今天先聊到这里。下次跟大家分享如何防范&浏览器指纹&导致的隐私风险。海中捞针：从《最强大脑》里“水哥”的绝技到设备指纹 -
| 关注黑客与极客
海中捞针：从《最强大脑》里“水哥”的绝技到设备指纹
共394001人围观
，发现 3 个不明物体
最近”水哥”很是火了一把，一招微观辩水技惊四座，粘贴下其对其如何做到的描述如下：
&王昱珩：多信息匹配，看水的时候所有信息抓住，从上往下看，亚克力杯子是没有什么细节的，工业产品很难看(辨识)。但杯子有水之后，就有了生命，有了不一样的地方，每杯水都是独立的。
记者：魏坤琳说你是通过水的综合特征进行辨识的，除了气泡等我们常人能看到的，还结合了哪些特征？
王昱珩：气泡是依据但不是可靠依据，时间长了它会变大变小甚至掉落。看水看第一眼，给我整个的感觉，就像一个星座。中心点的时候看到一张脸，形象化。每一次闭眼都是在做一次记忆的整理。现场找那杯水，就像拿着照片找人一样，像在茫茫人海找到你爱的人一样，一眼就能看到。
在网络中，你所不知道的角落里，也有很多很多的“水哥”在注视着你们，静静的看着你们的所有活动，并默默把每一幕记了下来。并按照他自己的意愿，或好好坏的使用这些数据。
它们所使用的方法与“水哥”基本一致：每个人根据其综合特征进行辨识，都是可唯一的。通过对这些综合特征的识别，就可以把你从千万人中识别出来。
设备指纹是什么
对于某些网站来说，能够精确的识别某一用户、浏览器或者设备是一个很有诱惑性的能力，同时也是一个强需求。
它有什么用
例如，对于广告联盟或者搜索引擎来说，可以利用设备指纹知道这个用户之前搜索过什么、爱好是什么，从而在搜索结果中更好的贴合用户需求展示搜索结果；对于银行、电商等对于安全需求更高的组织来说，可以利用该技术，发现正在登陆的用户环境、设备的变化，从而阻止账号盗取、密码破解等恶意请求；当然，对于某些恶意组织，也可以利用这种技术，用于对用户进行追踪。
它的基本原理是什么
这里，姑且给出会被拍砖的结论：
服务器通过在客户端收集以下数据：
A.浏览器或设备对于特定标准的不同实现（如标准api使用情况）
B.服务器曾经下发给客户端的特定数据
C.浏览器或设备对特定事件的不同反应（如已缓存的文档）
D.浏览器用户个人特有设置
E.浏览器用户个人特有的其他信息（如浏览器历史）
通过对以上数据进行组合，并进行hash即可得到一个该设备的唯一识别码。
同时，为了保证数据的稳定性和精确度，设备指纹还需保证这些数据的不变性和稳定性（针对现在很多用户会用隐私模式/清理cookie），于是又引出了其他的一些相关性技术，如持久化cookie等。
它是如何精确的找出你的呢？
举个例子，以下是我的数据，数据来源：：
1.我使用chrome，在某网站上的所有用户中，我是34.46 %之一
2.我使用的浏览器是chrome48.0，占比2.46%
3.我的操作系统是mac，占比13.9%
4.我的mac版本是mac 10.10,占比7.25%
5.我设置的语言是中文，占比0.56%
6.我浏览器设置的时区是UTC+8，占比1.58%
将以上的百分比进行相乘，你会发现要找到一个跟你完全一幕一样的设备，概率是很低的。
当然，如果你的设备、操作系统、浏览器等足够”平庸”，设备指纹不能保证找到你，它只能得出一个结论：现在我发现了一批人，这批人中有你。
如果你的设备、操作系统或浏览器足够特别，它就会像”水哥”一样马上把你找出来。
你到底有多特别
有人说，我用的是大众的操作系统，直接从某度下的最新版本浏览器，没有做任何额外配置，我本身还经常做清理cookie操作，我应该跟很多大众一样，为什么我会像黑暗中的萤火虫一样，如此容易被识别呢。在此简单给出理由，具体可以到相关技术中看详细实现。
1.浏览器在使用过程中，所使用的缓存机制会暴露。
你最近访问过支付宝，那么在缓存期间，访问支付宝的响应速度会很快。这些对于不同网站的访问速度，可以得出类似用户访问历史的数据，而每个人这份数据都是不同的，你爱淘宝我爱天猫就是如此。
2.浏览器的实现机制、设备的性能会暴露。
用i7内核的电脑和酷睿2的电脑对同一段计算任务的计算时间，会暴露你的硬件差异。
3.你所安装的插件和字体会暴露你。
4.你清除了cookie，然而根本没有清理干净。
5.历史上的数据会暴露你。
如果一个部署了设备指纹的网站，可以完美的拿到上述的这些数据，那么它基本上可以百分百的断定你是谁，然后捞出你在某天某月看小电影的记录。
它具体包含哪些技术
首先，基于相关技术的时间点和其对抗的难度，整理如下图所示。
session/cookie
这是实现方式最简单，也是应用最普遍的方式。
通过浏览器set-cookie存储数据（UUID）到客户端，然后在其他请求时候附在头部里即可完成。
缺点是，通过手动清理、禁止写入等可以很简单的阻拦，导致数据稳定性降低。
window.name等dom操作
window.name可以存储最多2MB的数据，可以用于一些特殊的场合进行数据传递，不过这种方法比较trick，没有太多人使用。
基于缓存的识别
基于缓存的识别大致上可以分为几类：
1.每人一份特有的缓存文件
比如服务器返回给每个用户的html中，隐含一个特殊的div，id直接用UUID生成。用户下载一次以后，因为缓存的缘故，这个id就会和其浏览器、设备绑定。
2.加载速度区分
有缓存数据肯定比没缓存的数据下载速度快。
具体做法通常是：访问一个很少不会有人访问的地址，得到一个下载的基准值，然后再访问一次，得到缓存的一个基准值。然后访问一个准备好的常见网站的列表，看处于缓存状态的有哪些网站。
3.ETAG/LastModify
通过滥用这两个header，比如设置ETAG超时时间超长，并且把UUID写在ETAG中（ETAG支持最高81864比特），那这个用户就可以在超时前被一直锁定跟踪
该技术与加载速度区分并无本质区别，只是dns缓存是利用dns查询时间查询的长短等进行的，在此不做赘述。
如果可以完美的得到每个用户最近访问的网站，那基本可以完成精准定位了。
这里先贴一个2010的css历史记录嗅探的问题：
持久化cookie/Flash cookie/evercookie/h5 stroage/webDB
该技术其实是对cookie技术的一个补充。因为，越来越多的普通用户会清理cookie，因此导致无法对用户进行识别，因为每次看到用户都是全新的用户。
所谓的持久化cookie，无非就是将数据尽可能的藏在了更多的猥琐的地方。比如flash中（flash可做到多个浏览器、多域下的数据共享，因此被广泛使用），h5的各种生命周期的storage中，webDB中、IE的userdata中等。
如果用户不能事无巨细的清理干净。一旦有一个地方未清理完，就会把清理的部分完全覆盖回来。
简单流程图如下：?
这是较新的一种技术，是利用不同浏览器不同的设别实现会在canvas绘图这以功能中，同样的内容，会绘制出具有细小细节差别的图片。
通过对这些图片数据进行hash，可以得到一个粗略的指纹。该指纹能够识别出了某种GPU在安装了某种字体下的群体。但是单一使用该数据进行判断误判较高，一般还会结合其他技术综合判断。
如下，即是对同样的一段带表情带背景文字在不同设备上渲染出的图像显示。
利用不同设备上的默认字体和显示的不同，笑脸表情在各个系统上作图如下：
具体生成方法如下：
1.创建cavas环境，该canvas可以是不可见的，因此对用户完全无感知。
2.设置要作图的类型，字体等，调用api：fillRect、fillText、fillStyle等
3.对已经完成的图，调用api：canvas.toDataURL()，即可得到图的base64表示，采用一种hash算法，即可完成hash计算
4.将这个hash即可作为该设备设备指纹的一个组成部分。
Flash/Java/JAVASCRIPT等 基本数据采集
设备指纹也需要采集尽量多的数据进行区分，数据采集方式可以通过Flash、java applet（现在基本没有了）、js。
采集包括：
1.操作系统类型、操作系统版本
2.浏览器useagent、浏览器的平台
3.webgl Vendor 、webgl render
4.是否支持image、是否支持js
5.内容编码、设置的时区、设置文本语言、设置接受压缩格式
6.屏幕分辨率、color depth
7.浏览器安装的插件、安装的字体
8.http请求发起时的头部
9.webRTC 等等
最后，还是表达下我对“水哥”的憧憬，附上我喜欢的一个图：
引用和参考：
1. Mowery, Keaton, et al. “Fingerprinting information in JavaScript implementations.” Proceedings of W2SP 2 (2011).
2. Bujlow, Tomasz, et al. “Web Tracking: Mechanisms, Implications, and Defenses.” arXiv preprint arXiv: (2015).
4. Acar, Gunes, et al. “The web never forgets: Persistent tracking mechanisms in the wild.” Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. ACM, 2014.
5. Mowery, Keaton, et al. “Fingerprinting information in JavaScript implementations.” Proceedings of W2SP 2 (2011).
6. Laperdrix, Pierre, Walter Rudametkin, and Benoit Baudry. “Beauty and the Beast: Diverting modern web browsers to build unique browser fingerprints.”37th IEEE Symposium on Security and Privacy (S&P 2016). 2016.
7. Acar, Gunes, et al. “The web never forgets: Persistent tracking mechanisms in the wild.” Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. ACM, 2014.
8. Fifield, David, and Serge Egelman. “Fingerprinting web users through font metrics.” Financial Cryptography and Data Security. Springer Berlin Heidelberg, 4.
9. Sánchez-Rola, Iskander, et al. “Tracking Users Like There is No Tomorrow: Privacy on the Current Internet.” International Joint Conference. Springer International Publishing, 2015.
10. Mowery, Keaton, and Hovav Shacham. “Pixel perfect: Fingerprinting canvas in HTML5.” Proceedings of W2SP (2012).
* 作者：阿里云誉反欺诈（企业账号），转载请注明来自FreeBuf黑客与极客（）
我是蒋韬，阿里的小伙伴们你们好！哈哈……/security/umscript/3.2.1/um.js/service/um.json
必须您当前尚未登录。
必须（保密）
阿里云反欺诈服务官方账号
关注我们 分享每日精选文章