V každé konverzaci o zabezpečení internetu uslyšíte několik věcí; jedním z prvních by bylo použití správce hesel. Řekl jsem to, většina mých spolupracovníků to řekla, a šance jsou ty řekla to a pomohla někomu jinému vyřešit způsoby, jak udržet jejich data v bezpečí a v pořádku. Je to stále dobrá rada, ale nedávná studie od Centrum pro politiku informačních technologií na Princetonské univerzitě zjistil, že správce hesel ve vašem webovém prohlížeči, který můžete použít k zachování důvěrnosti svých informací, také pomáhá reklamním společnostem vás sledovat na celém webu.
Je to děsivý scénář ze všech stran, hlavně proto, že nebude snadné jej opravit. To, co se děje, není krádež žádných pověření - reklamní společnost nechce vaše uživatelské jméno a heslo - ale chování, které správce hesel používá, je zneužíváno velmi jednoduchým způsobem. Reklamní společnost umístí skript na stránku (dva volané podle jména jsou AdThink a OnAudience), která funguje jako přihlašovací formulář. Není to skutečný přihlašovací formulář, protože vás nepřipojí k žádné službě, je to „jen“ přihlašovací skript.
Verizon nabízí Pixel 4a za pouhých 10 $ / měsíc na nových linkách Unlimited
Když váš správce hesel uvidí přihlašovací formulář, zadá uživatelské jméno. Testované prohlížeče byly: Firefox, Chrome, Internet Explorer, Edge a Safari. Například Chrome nezadá heslo, dokud uživatel s formulářem neinteraguje, ale uživatelské jméno zadá automaticky. To je v pořádku, protože to je vše, co skript chce nebo potřebuje. Ostatní prohlížeče se podle očekávání chovaly stejně.
Jakmile je vaše uživatelské jméno zadáno, bude jeho a vaše ID prohlížeče hašováno do jedinečného identifikátoru. Do počítače nebo telefonu nemusíte nic ukládat, protože při příští návštěvě webu, který je pomocí stejné reklamní společnosti získáte další skript fungující jako přihlašovací formulář a vaše uživatelské jméno je znovu vstoupil. Data se porovnávají s tím, co je v evidenci, a et voilà vám byl přidělen jedinečný identifikátor, který lze (a právě používá) použít k vašemu sledování na webu. A to funguje, protože se jedná o očekávané a „důvěryhodné“ chování. Kromě plánu vašich internetových návyků zahrnují data připojená k tomuto UUID také doplňky prohlížeče, Typy MIME, rozměry obrazovky, jazyk, informace o časovém pásmu, řetězec agenta uživatele, informace o OS a CPU informace.
Sada heuristiky použitá k určení, které přihlašovací formuláře budou automaticky vyplněny, se liší podle prohlížeče, ale základním požadavkem je, aby bylo k dispozici pole pro uživatelské jméno a heslo
Funguje to kvůli tomu, co je známé jako Stejná politika původu. Pokud je prezentován obsah ze dvou různých zdrojů, nelze mu důvěřovat, ale jakmile je zdroji důvěryhodný veškerý obsah aktuální relace je také důvěryhodná (důvěra v tomto smyslu znamená, že cíleně prohlížíte nebo komunikujete s obsah). Přesměrovali jste svůj prohlížeč na webovou stránku a provedli interakci s přihlašovacím formulářem na této stránce, takže je vše považováno za důvěryhodné, když jste na stránce. V tomto případě byl skript vložen do stránky, ale ve skutečnosti pochází z jiného zdroje a nemělo by vám být důvěryhodné, dokud nekliknete nebo nebudete nějakým způsobem komunikovat, abyste ukázali, že chcete tam.
Pokud byly urážlivé prvky stránky vloženy do prvku iframe nebo jiné metody, která odpovídá zdroji a cíl dat, automatičnost tohoto zneužití (a ano, nazvu to zneužití) by nebyla práce.
Seznam známých webů s vloženými skripty, které zneužívají správce přihlášení ke sledování
Je velmi dobrá šance, že vydavatelé webových stránek využívající reklamní služby, kteří toto chování zneužívají, nemají tušení o tom, co se děje s jejich uživateli. To je sice nezbavuje odpovědnosti, ale ke sklizni dat se nakonec používá jejich produkt od uživatelů bez jejich vědomí, a to by mělo každého administrátora webu zajímat (a možná velmi rozzlobený). Jako uživatel nemůžeme dělat nic jiného, než dodržovat stejné „anonymní“ postupy procházení webu, které se používají, když chceme na webu zůstat trochu soukromější. To znamená blokovat všechny skripty, blokovat všechny reklamy, neukládat žádná data, nepřijímat žádné soubory cookie a v zásadě považovat každou webovou relaci za vlastní karanténu.
Jedinou opravnou opravou je změna způsobu, jakým správci hesel fungují prostřednictvím prohlížeče - jak vestavěné nástroje, tak rozšíření nebo jiné doplňky. Arvind Narayanan, jeden z profesorů, kteří na projektu pracovali, stručně říká:
Nebude to snadné opravit, ale stojí za to to udělat
Google, Microsoft, Apple a Mozilla formovaly web do dnešní podoby a jsou schopny měnit věci tak, aby odpovídaly novým problémům. Doufejme, že se jedná o krátký seznam změn.
Jedná se o nejlepší bezdrátová sluchátka, která si můžete koupit za každou cenu!
Nejlepší bezdrátová sluchátka jsou pohodlná, skvěle zní, nestojí příliš mnoho a snadno se vejdou do kapsy.
Vše, co potřebujete o PS5 vědět: Datum vydání, cena a další.
Společnost Sony oficiálně potvrdila, že pracuje na PlayStation 5. Tady je vše, co o tom zatím víme.
Nokia uvádí na trh dva nové levné telefony Android One s cenou do 200 $.
Nokia 2.4 a Nokia 3.4 jsou nejnovější přírůstky do řady levných smartphonů HMD Global. Jelikož jsou obě zařízení Android One, je zaručeno, že budou dostávat dvě hlavní aktualizace operačního systému a pravidelné aktualizace zabezpečení až na tři roky.
Toto jsou nejlepší kapely pro Fitbit Sense a Versa 3.
Spolu s vydáním Fitbit Sense a Versa 3 společnost představila také nová nekonečná pásma. Vybrali jsme ty nejlepší, abychom vám usnadnili práci.
Jerry Hildenbrand
Jerry je rezidentem Mobile Nation a je na to hrdý. Neexistuje nic, co by nemohl rozebrat, ale mnoho věcí, které nemůže znovu sestavit. Najdete ho v síti Mobile Nations a můžete zasáhnout ho na Twitteru pokud chcete říct hej.