参考:
1、http://webkay.robinlinus.com/
2、http://c7sky.com/what-every-browser-knows-about-you.html
访问网站http://webkay.robinlinus.com/,等待网站的js加载和执行完,就可以在页面上查看浏览器搜索到的信息:浏览器信息、OS信息、网络信息、位置信息、陀螺仪信息等。而且浏览器采集的这些信息是不需要经过使用者允许的。
一、位置信息:
可以使用Google Geolocation API来定位你的物理位置信息,这些信息虽然没有GPS精确,但是可以进行有根据的推测。推测的结果受你所在位置和连接网络类型影响,如果你使用的是移动网络,误差最大在50km,这种地理位置推测方法比单纯的IP位置查询要精确很多。
类似的地理位置服务都是通过服务器获取客户端 IP,然后在 IP 地址库中查找对应的真实坐标。这种方法依赖于浏览器上报的 IP,精确度远不如 GPS。比如我挂了代理,Google 就把我定位到了日本
二、操作系统信息、浏览器信息
可以搜集到你的操作系统版本信息、cpu信息、浏览器版本信息、浏览器插件信息、显卡厂商、显卡渲染引擎、屏幕分辨率、电池电量、是否在充电、充电时长
三、wifi信息收集:
上一个访问页面、本地IP(私网)、公网IP、网络提供商、下载速度
四、社交网络信息
如果你已经登录了某个网站,这时你再访问该网站的登录页面,网站会自动跳转到该网站的其他页面。Webkay 就是利用了这一点,通过一个地址为登录页面(可能会跳转到 Favicon)的图像元素,如果接收到的是图片,就说明用户已经登录了该网站,并触发
onload 事件,反之则不会触发。以 Twitter 为例:在你已经登录的情况下访问 https://twitter.com/login?redirect_after_login=%2Ffavicon.ico,页面就会自动跳转到 https://twitter.com/favicon.icovar img = new Image(); img.onload = function() { // 你登录过 Twitter 啦 }; img.src = "https://twitter.com/login?redirect_after_login=%2Ffavicon.ico";
五、鼠标点击劫持
滥用你的Google/Facebook帐号,泄露个人身份
六、鼠标自动填充钓鱼
滥用浏览器的自动填充功能,泄露个人身份
七、利用3D陀螺
判断你的设备是否有指南针;判断你的设备是否处于水平放置
八、本地网络扫描
恶意网站可以不经过你同意,扫描你的本地网络,发现其他网络设备
九、获取照片信息
原始照片信息里包含位置信息等大量信息
十、本地时间:
通过new Date()可以获取浏览器所在地的时间,从而可以推断出时区信息
