Цитата ES:
|
какую еще информацию о моем компьютере, кроме IP-шника, могут увидеть на форуме? »
|
Теоретически можно собрать очень много информации. Наиболее распространенная включает в себя сведения о Вашей ОС и версии браузера ($HTTP_USER_AGENT). Если разрешено выполнение javascript (а оно на фоорумах почти всегда разрешено, поскольку многие форумы либо отдельные возможности на них без этого недоступны), можно узнать разрешение экрана Вашего монитора. Или выяснить, посещали ли Вы какую-нибудь страницу в интернете. Последнее можно сделать и без использования javascript, если разрешено использование каскадных таблиц стилей (CSS).
Соответственно легко установить скрытый аналог cookie - динамически создавать для каждого пользователя страницу с уникальным именем, а потом проверять, посещал ли другой пользователь такую страницу или нет. Правда имя для страницы придется использовать весьма оригинальное. К примеру, если Вы хотите присвоить пользователю числовой идентификатор "123456", нужно будет использовать структуру директорий с односимвольным именем: "1/2/3/4/5/6". Без использования вложенных директорий серверу нужно было бы проверять до миллиона вариантов чтобы найти правильный. С использованием односимвольных имен это количество сокращается до 60.
Может показаться странным, что сервер получает доступ к истории Ваших посещений. На самом деле, ничего странного тут нет - Вы неоднократно видели, что гиперссылки на посещенные и не посещенные страницы выводятся разными цветами.
Эти цвета задаются сервером. Например:
<style type="text/css">
A { color: red; }
A:visited {color: green; }
</style>
Если javascript разрешен, сервер может воспользоваться функцией GetComputedStyle для проверки, какой стиль будет использован при отображении гиперссылки. И, следовательно, выяснить, была ли она посещена.
(Эта уязвимость была обнаружена три года назад и с тех пор я не интересовался её судьбой - возможно, её давным-давно закрыли).
Ну и конечно сервер может получить список обрабатываемых браузером типов MIME (они могут передаваться даже в заголовке ACCEPT), что позволяет получить некую "цифровую подпись" достаточно уникальную для конкретного экземпляра браузера.
