Der er et par ting, du vil høre i hver samtale om internetsikkerhed; en af de første ville være at bruge en adgangskodeadministrator. Jeg har sagt det, de fleste af mine kolleger har sagt det, og chancerne er du har sagde det, mens han hjalp en anden med at sortere måder at holde deres data sikre og sunde. Det er stadig godt råd, men en nylig undersøgelse fra Princeton University's Center for Information Technology Policy har fundet ud af, at adgangskodeadministratoren i din webbrowser, du kan bruge til at holde dine oplysninger private, også hjælper annonceselskaber med at spore dig på nettet.
Det er et skræmmende scenario fra alle sider, hovedsageligt fordi det ikke bliver let at rette. Hvad der sker er ikke stjæling af legitimationsoplysninger - en annonceselskab ønsker ikke dit brugernavn og din adgangskode - men den adfærd, en adgangskodeadministrator bruger, udnyttes på en meget enkel måde. Et annonceselskab placerer et script på en side (to der kaldes ud ved navn er AdThink og OnAudience), der fungerer som en loginformular. Det er ikke en rigtig loginformular, da det ikke forbinder dig til nogen service, det er "bare" et login-script.
Verizon tilbyder Pixel 4a for kun $ 10 / mo på nye ubegrænsede linjer
Når din adgangskodeadministrator ser en loginformular, indtaster den et brugernavn. Testede browsere var: Firefox, Chrome, Internet Explorer, Edge og Safari. Chrome vil f.eks. Ikke indtaste adgangskoden, før brugeren interagerer med formularen, men den indtaster automatisk et brugernavn. Det er fint, fordi det er alt, hvad scriptet ønsker eller har brug for. Andre browsere opførte sig som forventet det samme.
Når dit brugernavn er indtastet, bliver det og dit browser-ID hashet til en unik identifikator. Du behøver ikke gemme noget på din computer eller telefon, for næste gang du besøger et websted, der er ved hjælp af det samme annonceselskab får du et andet script, der fungerer som en loginformular, og dit brugernavn er igen indtastet. Dataene sammenlignes med, hvad der er på filen, og et voilà en unik identifikator er knyttet til dig og kan bruges (og bliver brugt) til at spore dig på nettet. Og dette fungerer, fordi dette er forventet og "betroet" opførsel. Udover en køreplan for dine internetvaner inkluderer data, der findes vedhæftet til denne UUID, også browser-plugins, MIME-typer, skærmdimensioner, sprog, tidszoneinformation, brugeragentstreng, OS-information og CPU Information.
Sættet med heuristikker, der bruges til at bestemme, hvilke loginformularer der skal udfyldes automatisk, varierer efter browser, men det grundlæggende krav er, at et brugernavn og en adgangskodefelt skal være tilgængelig
Det fungerer på grund af det, der er kendt som Samme oprindelsespolitik. Når indhold fra to forskellige kilder præsenteres, er det ikke at stole på det, men når en kilde er tillid til alt indhold til den aktuelle session er også tillid til (tillid i denne forstand betyder, at du målrettet ser eller interagerer med indhold). Du har sendt din browser til en webside og interageret med en loginformular på denne side, så det hele behandles som at have tillid til, mens du er på siden. I dette tilfælde blev scriptet dog integreret i en side, men det er faktisk fra en anden kilde og bør ikke stole på, før du har klikket eller interageret på en eller anden måde for at vise dig, at du er der.
Hvis de fornærmende sideelementer blev integreret i en iframe eller en anden metode, der matcher kilden og bestemmelsesstedet for dataene, ville automatikken af denne udnyttelse (og ja, jeg vil kalde det en udnyttelse) ikke arbejde.
En liste over kendte websteder, der integrerer scripts, der misbruger login manager til sporing
Der er en meget god chance for, at webudgivere, der bruger annoncetjenester, der udnytter denne adfærd, ikke har nogen idé om, hvad der sker med deres brugere. Selvom det ikke fritager dem for ansvar, er det i sidste ende, at deres produkt bruges til at høste data fra brugere uden deres viden, og det skulle gøre enhver webstedsadministrator berørt (og muligvis meget irriteret). Som bruger er der ikke meget, vi kan gøre andet end at følge de samme "inkognito" -surfingsmetoder, der bruges, når vi vil være lidt mere private på nettet. Det betyder at blokere alle scripts, blokere alle annoncer, gemme ingen data, acceptere ingen cookies og grundlæggende behandle hver websession som sin egen sandkasse.
Den eneste rigtige løsning er at ændre den måde, adgangskodeadministratorer arbejder gennem browseren - både indbyggede værktøjer og udvidelser eller andre plugins. Arvind Narayanan, en af professorerne, der arbejdede på projektet, udtrykker det kortfattet:
Det vil ikke være let at rette, men det er værd at gøre
Google, Microsoft, Apple og Mozilla formede alle internettet til det, det er i dag, og de er i stand til at ændre ting for at møde nye problemer. Forhåbentlig er dette på den korte liste over ændringer.
Dette er de bedste trådløse ørepropper, du kan købe til enhver pris!
De bedste trådløse øretelefoner er komfortable, lyder godt, koster ikke for meget og passer let i lommen.
Alt hvad du behøver at vide om PS5: Udgivelsesdato, pris og mere.
Sony har officielt bekræftet, at de arbejder på PlayStation 5. Her er alt, hvad vi ved om det hidtil.
Nokia lancerer to nye budget Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de seneste tilføjelser til HMD Globals budget-smartphone-sortiment. Da de begge er Android One-enheder, modtager de garanteret to store OS-opdateringer og regelmæssige sikkerhedsopdateringer i op til tre år.
Dette er de bedste bands til Fitbit Sense og Versa 3.
Sammen med frigivelsen af Fitbit Sense og Versa 3 introducerede virksomheden også nye uendelige bands. Vi har valgt de bedste for at gøre tingene lettere for dig.
Jerry Hildenbrand
Jerry er Mobile Nation's bosiddende nørd og stolt af det. Der er ikke noget, han ikke kan tage fra hinanden, men mange ting, som han ikke kan samle igen. Du finder ham på tværs af Mobile Nations-netværket, og du kan slå ham op på Twitter hvis du vil sige hej.