我可以從瀏覽器中了解用戶有哪些意想不到的事情？

Question

我正在給一班高中生一個網頁可以通過他們的手機告訴他們的意外事情的演示 - 即使他們沒有登錄或任何東西。 到目前為止，我已經選擇了一些大多數人都知道的事情，比如：

設備操作系統

特定的手機（除非你在iPhone上，然后它只是iPhone）

語言設置

還有一些比較模糊的東西：

運營商（點擊遠程服務並返回JSONP，因為js是IP天真的）

電池電量/充電狀態（我甚至不知道你可以這樣做直到今天）

Ucon / Navigator /等我能想到的其他任何酷/令人毛骨悚然的東西你能想到嗎？ 他們中的大多數都是在Android或iOS下運行Chrome（幸運的是，不是每個瀏覽器都支持電池的東西）。 主要活動是關於移動安全和網絡釣魚，所以我想堅持使用手機。

快速編輯：為了清楚起見，我正在構建一個他們將去實際演示這些功能的網站 - 所以不幸的是，他們需要實施，至少在Chrome中，與計划/草稿相比。

Answer 1

你應該提到地理位置。 一個稱職的JavaScript庫，例如MaxMind或Google Analytics，可用於查明用戶的地理位置。

Answer 2

從網絡釣魚的角度來看，我認為最重要的是，有幾個危險的事情：

網絡釣魚

• 如果沒有附加組件，瀏覽器通常不會警告您，如果您訪問的地址中有一個字母不同。 即使URL方案禁止零寬度字符和其他Unicode骯臟，你仍然可以監督l （小寫L）， 1 （一）， I （大寫I）。 還有許多unicode字符看起來像普通字母。 也許在希臘字母之類的unicode字符上有一些黑名單。 檢查這個網站玩 。 您可以嘗試使用希臘ο創建一些像stackoverflow.com這樣的域名。

• JavaScript可以在域名后更改URL 。 但我還沒有看到托管會給用戶多年的文件夾名稱。 但是，如果沒有重新加載，看到URL更改是令人毛骨悚然的：

   window.history.pushState("object or string", "Title", "/new-url"); 

• 不確定這是否適用，但去年HackADay.com發現了一個黑客，您可以在鏈接上按下鼠標按鈕后更改<a> href，從而有效地更改目標URL。 但話說回來，您還可以使用javascript重定向瀏覽器...

個人資料

• 為此，我要做的第一件事是檢查MDN上的Window和Document 。 這肯定會揭示一些很酷的東西，留下電池電量信息只是微不足道的嘗試是可怕的：

  • 窗口：
    • Window.ondevicemotion - 做它的建議。 假設你也可以Window.addEventListener("devicemotion", ...)
    • Window.ondevicelight - 這個非常令人毛骨悚然但只有Firefox
    • Window.ondeviceorientation - 更廣泛支持的設備移動事件。 想近似用戶走路的路徑並在畫布上繪制它？ 或者制作一個應用程序，尖叫着“ 把傅王手機放下來。*”直到他們把它放在桌子上？
    • 此外，還有百萬種方法可以獲得各種屏幕屬性 。 其中一些被利用來猜測操作系統版本，因為不同的操作系統有不同的菜單欄占用不同的屏幕部分。

  • 文獻：

    • document.referrer - 想跟蹤您的用戶？

    • 您可以通過創建以下元素來檢測廣告攔截插件的存在：

       <div id="advertisment" class="ad advertisment ads banner" style="pointer-events: none;position: absolute; opacity: 0;">NOTHING </div> 

      然后獲取.getBoundingClientRect()並斷言非零維度。

  • 您可以檢測firebug正在檢查文檔的時間 。 （或者你可以在過去，當firebug實際上在DOM中添加元素以突出顯示節點時）。 這些元素在Firebug中是不可見的，但是會觸發DOM突變事件。
• 如果用戶確認， 則可以錄制聲音和視頻 。
• 我曾經創建了一個腳本，能夠在服務器上傳輸所有DOM突變 ，允許我使用網站實時觀看其他用戶。 但不幸的是，我沒有把它完成到生產狀態。 但這就是我發現螢火蟲問題的方法。
• 還有其他技巧可以檢查調試工具是否正在運行。 這些通常是各種黑客，嘗試谷歌的東西。
• 有沒有想過你的用戶是否有運行CORS的 localhost HTTP服務器？ 我的意思是，不值得一試嗎？
• WebWorkers允許您在客戶端計算機上生成線程。 您可以將其用於分布式處理或僅用於刻錄電池 。 因為它不會直接影響GUI線程，所以在它為時已晚之前不會注意到它們。 這聽起來像是生成hask裂縫和破解證書的好方法。
• 您可以更改復制的文本 ，可能會將跨站點腳本黑客添加到其中。 好的技巧是用一大堆空格來抵消你的腳本，這樣在沒有文本換行的典型文本編輯器中就看不到它了。
• 使用桌面通知 ，你可以假裝你是一個防病毒軟件，Windows更新...

Answer 3

這些怎么樣......

• 您可以根據搜索歷史記錄他們的興趣。
• 他們訪問的頻率和來自哪些地點。
• 建立他們訪問當天的時間檔案。
• 在網站上花費的時間
• 他們花了大量時間在哪些頁面上。
• 基於熱點區域的頁面點擊或鼠標治療器的位置。
• 您可以分析典型的用戶行為。

所有這一切的結果是 - 推動數據個性化營銷，即您所看到的，針對您的個人（谷歌對他們的廣告做了很多）