如我们中许多人所知，如今的在线银行拥有一个安全系统，通过该系统，我们甚至在输入密码之前都会被问到一些个人问题。回答完之后，我们可以选择银行"记住这台计算机"，以便将来我们只需输入密码即可登录。

"记住这台计算机"部分如何工作？我知道它不可能是cookie，因为尽管我清除了所有cookie，但该功能仍然有效。我以为可能是IP地址，但是我的动态IP朋友也认为它也适用于他(但也许他错了)。他认为这是MAC地址或者其他内容，但我对此表示强烈怀疑！那么，有没有我不清楚的仅HTTPS Cookie的概念？

最后，问题的编程部分：我该如何在PHP中做类似的事情？

解决方案

回答

它可能是Cookie和IP地址记录的组合。

编辑：我刚刚检查了我的银行，并清除了cookie。现在，我必须重新输入所有信息。

回答

MAC地址是可能的。

IP到物理位置的映射也是可能的。

用户代理和其他HTTP标头对于每台机器来说也是安静的。

我正在考虑那些阻止我们使用加速下载管理器的网站。一定有办法。

回答

我们正在使用笔记本电脑吗？删除Cookie后，如果我们从其他WiFi网络进行访问，它还记得我们吗？如果是这样，那么IP /物理位置映射的可能性就很小。

回答

我认为这取决于银行。我的银行确实使用cookie，因为擦拭cookie时丢失了它。

回答

Flash文件可能会在计算机上存储少量数据。银行也有可能使用这种方法来"记住"计算机，但是依靠具有(但未禁用)闪存的用户是有风险的。

回答

每当有新版本的Firefox发布时，我银行的网站都使我重新进行身份验证，因此肯定有一些用户代理字符串组件。

回答

实际上，它们很可能使用cookie。它们的替代方法是使用"闪存cookie"(正式称为"本地共享对象")。它们与Cookie相似，因为它们绑定到网站并具有大小上限，但是它们由Flash Player维护，因此对于任何浏览器工具都是不可见的。

要清除它们(并检验该理论)，可以使用Adobe提供的说明。另一个不错的功能(或者可能令人担忧，取决于观点)是所有浏览器都共享LSO存储，因此，即使他们切换了浏览器，只要使用LSO，我们就可以识别用户(只要他们以同一用户身份登录) 。

回答

基于所有这些帖子，我得出的结论是(1)它取决于银行，并且(2)可能涉及多个数据，但是请参阅(1)。

回答

我感兴趣的特定银行是美国银行。

我已确认，如果仅清除cookie或者LSO，则该站点不需要我重新输入信息。但是，如果同时清除了两者，则必须进行其他身份验证。因此，这似乎是我的特殊情况的答案！

但是，感谢大家对其他银行的注意，以及包括User-Agent字符串在内的可能性。

回答

此类会话跟​​踪很可能是结合使用cookie和具有唯一ID标识我们当前会话的唯一ID，以及将该ID与我们用于连接到其服务器的最后IP地址进行配对的网站进行的。这样，如果IP发生变化，但是我们仍然具有cookie，就可以识别我们并登录，并且如果cookie不存在，但IP地址与服务器上保存的IP地址相同，那么他们会将cookie设置为与该IP配对的ID。

确实，这是第二种可能性，很难正确地解决。如果缺少cookie，而我们只需要显示IP地址以进行识别，则仅凭该IP地址登录某人是非常不安全的。因此，服务器可能会存储有关其他信息，LSO似乎也是不错的选择，它也是geo IP，但是User Agent并不是那么多，因为它们并没有真正说出关于任何信息，每个机构都使用与我们使用相同版本的同一浏览器具有相同的。

顺便说一句，上面已经提到它可以与MAC地址一起使用。我强烈不同意！MAC地址永远不会到达银行的服务器，因为它们仅用于识别以太网连接的各个方面，并且要与银行连接，我们需要建立一系列以太网连接：从计算机到家庭路由器或者ISP，然后从到我们经过的第一个互联网路由器，再到第二个，依此类推...等等。每次建立新连接时，每侧的每台机器都提供自己的MAC地址。因此，只有通过交换机或者集线器直接与我们连接的机器才能知道MAC地址，因为路由数据包的任何其他操作都将用我们自己的MAC地址代替。始终只有IP地址保持不变。
如果MAC地址一路走来，那将是一场隐私噩梦，因为所有MAC地址对于单个设备(对于一个人)都是唯一的。

这是一个稍微简化的解释，因为这不是问题的重点，但清除看起来似乎是误会的内容似乎很有用。