In jedem Gespräch über Internetsicherheit werden Sie einige Dinge hören. Eine der ersten Möglichkeiten wäre die Verwendung eines Passwort-Managers. Ich habe es gesagt, die meisten meiner Mitarbeiter haben es gesagt, und die Chancen stehen gut du hast sagte es, während er jemand anderem half, Wege zu finden, um seine Daten sicher und gesund zu halten. Es ist immer noch ein guter Rat, aber eine aktuelle Studie von Zentrum für Informationstechnologiepolitik der Princeton University hat festgestellt, dass der Passwort-Manager in Ihrem Webbrowser, mit dem Sie Ihre Informationen möglicherweise privat halten, Anzeigenunternehmen auch dabei hilft, Sie im gesamten Web zu verfolgen.
Es ist von allen Seiten ein beängstigendes Szenario, vor allem, weil es nicht einfach zu beheben sein wird. Was passiert, ist nicht das Stehlen von Anmeldeinformationen - eine Werbefirma möchte Ihren Benutzernamen und Ihr Passwort nicht -, aber das Verhalten, das ein Passwortmanager verwendet, wird auf sehr einfache Weise ausgenutzt. Eine Anzeigenfirma platziert ein Skript auf einer Seite (zwei namentlich genannte sind AdThink und OnAudience), das als Anmeldeformular fungiert. Es ist kein echtes Anmeldeformular, da es Sie nicht mit einem Dienst verbindet, sondern "nur" ein Anmeldeskript ist.
Verizon bietet das Pixel 4a für nur 10 US-Dollar pro Monat auf neuen Unlimited-Linien an
Wenn Ihr Passwort-Manager ein Anmeldeformular sieht, gibt er einen Benutzernamen ein. Die getesteten Browser waren: Firefox, Chrome, Internet Explorer, Edge und Safari. Chrome gibt beispielsweise das Kennwort erst ein, wenn der Benutzer mit dem Formular interagiert, gibt jedoch automatisch einen Benutzernamen ein. Das ist in Ordnung, denn das ist alles, was das Skript will oder braucht. Andere Browser verhielten sich erwartungsgemäß genauso.
Sobald Ihr Benutzername eingegeben wurde, werden er und Ihre Browser-ID in eine eindeutige Kennung gehasht. Sie müssen nichts auf Ihrem Computer oder Telefon speichern, da Sie das nächste Mal eine Website besuchen Wenn Sie dieselbe Anzeigenfirma verwenden, wird ein anderes Skript als Anmeldeformular verwendet, und Ihr Benutzername lautet erneut trat ein. Die Daten werden mit den Daten verglichen, und et voilà wurde eine eindeutige Kennung an Sie angehängt, mit der Sie im gesamten Web verfolgt werden können (und werden). Und das funktioniert, weil dies erwartet wird und "vertrauenswürdiges" Verhalten. Neben einer Roadmap Ihrer Internetgewohnheiten enthalten die an diese UUID angehängten Daten auch Browser-Plugins. MIME-Typen, Bildschirmabmessungen, Sprache, Zeitzoneninformationen, Benutzeragentenzeichenfolge, Betriebssysteminformationen und CPU Information.
Die Heuristiken, mit denen bestimmt wird, welche Anmeldeformulare automatisch ausgefüllt werden, variieren je nach Browser. Grundvoraussetzung ist jedoch, dass ein Feld für Benutzername und Kennwort verfügbar ist
Es funktioniert aufgrund dessen, was als bekannt ist Gleiche Ursprungsrichtlinie. Wenn Inhalte aus zwei verschiedenen Quellen angezeigt werden, ist sie nicht vertrauenswürdig, aber sobald einer Quelle vertraut wird, sind alle Inhalte für vertrauenswürdig Die aktuelle Sitzung ist ebenfalls vertrauenswürdig (Vertrauen in diesem Sinne bedeutet, dass Sie die Sitzung gezielt anzeigen oder mit ihr interagieren Inhalt). Sie haben Ihren Browser auf eine Webseite geleitet und mit einem Anmeldeformular auf dieser Seite interagiert, sodass alles als vertrauenswürdig behandelt wird, während Sie sich auf der Seite befinden. In diesem Fall wurde das Skript zwar in eine Seite eingebettet, stammt jedoch tatsächlich aus einer anderen Quelle und sollte nicht vertraut werden, bis Sie geklickt oder auf irgendeine Weise interagiert haben, um zu zeigen, dass Sie beabsichtigt haben Dort.
Wenn die fehlerhaften Seitenelemente in einen Iframe oder eine andere Methode eingebettet wurden, die mit der Quelle und übereinstimmt Ziel der Daten wäre die Automatik dieses Exploits (und ja, ich nenne es einen Exploit) nicht Arbeit.
Eine Liste bekannter Websites, in die Skripte eingebettet sind, die den Anmeldemanager für die Nachverfolgung missbrauchen
Es besteht eine sehr gute Chance, dass die Web-Publisher, die Werbedienste verwenden, die dieses Verhalten ausnutzen, keine Ahnung haben, was mit ihren Nutzern passiert. Das befreit sie zwar nicht von der Verantwortung, aber letztendlich wird ihr Produkt zur Datenerfassung verwendet von Benutzern ohne ihr Wissen, und das sollte jeden Site-Administrator betroffen machen (und möglicherweise sehr wütend). Als Benutzer können wir nur die "inkognito" Webbrowsing-Praktiken anwenden, die angewendet werden, wenn wir im Web etwas privater bleiben möchten. Das bedeutet, alle Skripte zu blockieren, alle Anzeigen zu blockieren, keine Daten zu speichern, keine Cookies zu akzeptieren und im Grunde jede Websitzung als eigene Sandbox zu behandeln.
Die einzig wahre Lösung besteht darin, die Funktionsweise von Kennwortmanagern über den Browser zu ändern - sowohl integrierte Tools als auch Erweiterungen oder andere Plugins. Arvind Narayanan, einer der Professoren, die an dem Projekt gearbeitet haben, bringt es auf den Punkt:
Es wird nicht einfach zu beheben sein, aber es lohnt sich
Google, Microsoft, Apple und Mozilla haben das Web zu dem gemacht, was es heute ist, und sie sind in der Lage, Dinge zu ändern, um neuen Problemen zu begegnen. Hoffentlich steht dies auf der kurzen Liste der Änderungen.
Dies sind die besten kabellosen Ohrhörer, die Sie zu jedem Preis kaufen können!
Die besten kabellosen Ohrhörer sind bequem, klingen großartig, kosten nicht zu viel und passen problemlos in eine Tasche.
Alles, was Sie über die PS5 wissen müssen: Erscheinungsdatum, Preis und mehr.
Sony hat offiziell bestätigt, dass es auf der PlayStation 5 funktioniert. Hier ist alles, was wir bisher darüber wissen.
Nokia bringt zwei neue preisgünstige Android One-Handys unter 200 US-Dollar auf den Markt.
Nokia 2.4 und Nokia 3.4 sind die neuesten Ergänzungen im Budget-Smartphone-Sortiment von HMD Global. Da es sich bei beiden Geräten um Android One-Geräte handelt, erhalten sie garantiert bis zu drei Jahre lang zwei wichtige Betriebssystemupdates und regelmäßige Sicherheitsupdates.
Dies sind die besten Bands für Fitbit Sense und Versa 3.
Mit der Veröffentlichung von Fitbit Sense und Versa 3 führte das Unternehmen auch neue Infinity-Bänder ein. Wir haben die besten ausgewählt, um Ihnen die Arbeit zu erleichtern.
Jerry Hildenbrand
Jerry ist der in Mobile Nation ansässige Nerd und stolz darauf. Es gibt nichts, was er nicht auseinander nehmen kann, aber viele Dinge, die er nicht wieder zusammenbauen kann. Sie finden ihn über das Mobile Nations-Netzwerk und Sie können Schlag ihn auf Twitter wenn du sagen willst hey.