たとえば、私は認証付きウェブサイトを持っています。 JavaScriptからログインユーザーに使用できる指紋APIはありますか? AndroidやiOSなどのモバイルOSにはこのようなAPIがあります。したがって、少なくともモバイル版のブラウザは、理論上、そのような機能を提供することができます。しかし、私はそれについてのWeb上の情報を見つけることができません。WebブラウザでAndroidの指紋APIまたはiOS Touch IDを使用する方法はありますか?
盗まれたパスワードだけではなく、人々の身元を盗むのに潜在的に使用される可能性があるため、Webサイトでは指紋や虹彩スキャナにアクセスしたくないと推測されます(パスワードは変更できますが、虹彩はほとんど変わらない)。
このタイプの機能を探し始めると、それによって可能な悪意のあるものが何であるか自分に尋ねると、それが利用できない理由を推測することができます。
私が考えていたのは、ユーザーのCookieを保護することです。たとえば、ユーザーが最初に自分のデバイスを使用して自分のウェブサイトにログオンしているとき、ウェブサイトは、指紋照合によっていくつかのクッキーを保護する必要があることをブラウザに知らせます。ユーザーがウェブサイトにログオンしようとするたびに、ブラウザが指紋の確認ダイアログをポップアップ表示します。指紋は、装置自体によってチェックされる。失敗した場合、クッキーは渡されません。ウェブサイトはクッキーの存在を確認するだけで、指紋データにアクセスすることはできません。 –
私はおそらくそれを悪意のある目的で使うつもりはないと思っていますが、ブラウザの新しい機能を計画しているときには、最悪のシナリオを考慮する必要があります。すべての人がいいとすれば、私たちはすべてのコンピュータすべてに管理者権限を持っています。誰もが良いわけではないので、機能を使用する最悪の方法を考慮する必要があり、この機能は潜在的に非常に危険です。私はあなたがそれで何か悪いことをするとは思わない、私はちょうどそれはおそらく "上のアップ"がこのタイプの機能に関する考えの行だと言っています。 –
また、このような機能を使用しても、ユーザー側のCookieを作成して検証するだけなので、サイトを安全にすることはできません。クッキーを暗号化することは、あなたがすでに行うことができることです。指紋を使用することは、暗号化プロセスにおける余分な変数の1つにすぎません。より多くの検証をサーバー側に移していくことに注目してください。クライアント側にあるものは偽造されていて、セキュリティはほとんど考慮されていません。指紋を当ててもサイトがより安全になるわけではなく、ユーザーがより安全だと考えるようになります。 –
スキャンした指紋の生データは、モバイルの指紋スキャナーからは使用できません。それらはハードウェアメモリに格納され、抽出および格納にはアクセスできません。指紋スキャナを使用すると、以前に格納された指紋データでユーザーを認証できます。 –