Ο διαχειριστής κωδικών πρόσβασης του προγράμματος περιήγησης ιστού βοηθά τις εταιρείες διαφημίσεων να σας παρακολουθούν στον ιστό

Υπάρχουν μερικά πράγματα που θα ακούσετε σε κάθε συζήτηση σχετικά με την ασφάλεια στο Διαδίκτυο. ένα από τα πρώτα θα ήταν να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης. Το έχω πει, οι περισσότεροι από τους συναδέλφους μου το έχουν πει, και οι πιθανότητες είναι έχεις το είπε ενώ βοηθούσε κάποιον άλλον να βρει τρόπους για να διατηρήσει τα δεδομένα του ασφαλή και υγιή. Είναι ακόμα καλή συμβουλή, αλλά μια πρόσφατη μελέτη από Κέντρο Πολιτικής Πληροφορικής του Πανεπιστημίου του Πρίνστον έχει διαπιστώσει ότι ο διαχειριστής κωδικών πρόσβασης στο πρόγραμμα περιήγησης ιστού που χρησιμοποιείτε για να διατηρήσετε τις πληροφορίες σας απόρρητες βοηθά επίσης τις εταιρείες διαφημίσεων να σας παρακολουθούν στον ιστό

Είναι ένα τρομακτικό σενάριο από όλες τις πλευρές, κυρίως επειδή δεν θα είναι εύκολο να διορθωθεί. Αυτό που συμβαίνει δεν είναι η κλοπή διαπιστευτηρίων - μια εταιρεία διαφημίσεων δεν θέλει το όνομα χρήστη και τον κωδικό πρόσβασής σας - αλλά η συμπεριφορά που χρησιμοποιεί ο διαχειριστής κωδικών πρόσβασης αξιοποιείται με πολύ απλό τρόπο. Μια εταιρεία διαφημίσεων τοποθετεί ένα σενάριο σε μια σελίδα (δύο που ονομάζονται με το όνομα είναι το AdThink και το OnAudience) που λειτουργεί ως φόρμα σύνδεσης. Δεν είναι μια πραγματική φόρμα σύνδεσης, καθώς δεν πρόκειται να σας συνδέσει με καμία υπηρεσία, είναι "απλώς" ένα σενάριο σύνδεσης.

Όταν ο διαχειριστής κωδικού πρόσβασης βλέπει μια φόρμα σύνδεσης, εισάγει ένα όνομα χρήστη. Τα προγράμματα περιήγησης που δοκιμάστηκαν ήταν: Firefox, Chrome, Internet Explorer, Edge και Safari. Το Chrome, για παράδειγμα, δεν θα εισαγάγει τον κωδικό πρόσβασης έως ότου ο χρήστης αλληλεπιδρά με τη φόρμα, αλλά εισάγει αυτόματα ένα όνομα χρήστη. Αυτό είναι εντάξει, επειδή αυτό είναι όλο το σενάριο που θέλει ή χρειάζεται. Άλλα προγράμματα περιήγησης συμπεριφέρθηκαν το ίδιο, όπως αναμενόταν.

Μόλις εισαχθεί το όνομα χρήστη σας, αυτό και το αναγνωριστικό του προγράμματος περιήγησής σας κατακερματιστούν σε ένα μοναδικό αναγνωριστικό. Δεν χρειάζεται να αποθηκεύσετε τίποτα στον υπολογιστή ή το τηλέφωνό σας, επειδή την επόμενη φορά που θα επισκεφθείτε έναν ιστότοπο που είναι Χρησιμοποιώντας την ίδια εταιρεία διαφημίσεων λαμβάνετε ένα άλλο σενάριο που λειτουργεί ως φόρμα σύνδεσης και το όνομα χρήστη σας είναι και πάλι εισήχθη. Τα δεδομένα συγκρίνονται με αυτά που υπάρχουν στο αρχείο και et voilà ένα μοναδικό αναγνωριστικό έχει επισυναφθεί σε εσάς και μπορεί (και χρησιμοποιείται) να σας εντοπίζει σε ολόκληρο τον ιστό. Και αυτό λειτουργεί επειδή αυτή είναι η αναμενόμενη και «αξιόπιστη» συμπεριφορά. Εκτός από έναν χάρτη πορείας των συνηθειών σας στο Διαδίκτυο, τα δεδομένα που βρέθηκαν συνημμένα σε αυτό το UUID περιλαμβάνουν επίσης προσθήκες προγράμματος περιήγησης, Τύποι MIME, διαστάσεις οθόνης, γλώσσα, πληροφορίες ζώνης ώρας, συμβολοσειρά παράγοντα χρήστη, πληροφορίες λειτουργικού συστήματος και CPU πληροφορίες.

Το σύνολο ευρετικών που χρησιμοποιείται για τον προσδιορισμό των φορμών σύνδεσης που θα συμπληρωθούν αυτόματα διαφέρει ανάλογα με το πρόγραμμα περιήγησης, αλλά η βασική απαίτηση είναι να είναι διαθέσιμο ένα πεδίο ονόματος χρήστη και κωδικού πρόσβασης

Λειτουργεί λόγω αυτού που είναι γνωστό ως Ίδια πολιτική προέλευσης. Όταν παρουσιάζεται περιεχόμενο από δύο διαφορετικές πηγές, δεν πρέπει να είναι αξιόπιστο, αλλά όταν μια πηγή είναι αξιόπιστη όλο το περιεχόμενο για η τρέχουσα περίοδος είναι επίσης αξιόπιστη (η εμπιστοσύνη σε αυτήν την έννοια σημαίνει ότι βλέπετε ή αλληλεπιδράτε με το περιεχόμενο). Έχετε κατευθύνει το πρόγραμμα περιήγησής σας σε μια ιστοσελίδα και αλληλεπιδράσατε με μια φόρμα σύνδεσης σε αυτήν τη σελίδα, οπότε όλα θεωρούνται αξιόπιστα ενώ βρίσκεστε στη σελίδα. Σε αυτήν την περίπτωση, ωστόσο, το σενάριο ενσωματώθηκε σε μια σελίδα, αλλά στην πραγματικότητα προέρχεται από διαφορετική πηγή και δεν πρέπει να εμπιστεύεστε μέχρι να κάνετε κλικ ή να αλληλεπιδράσετε με κάποιο τρόπο για να δείξετε ότι σκοπεύετε να είστε εκεί.

Εάν τα προσβλητικά στοιχεία της σελίδας ενσωματώθηκαν σε ένα iframe ή άλλη μέθοδο που ταιριάζει με την πηγή και προορισμός των δεδομένων, η αυτόματη χρήση αυτού του exploit (και ναι, θα το ονομάσω exploit) δεν θα εργασία.

Μια λίστα γνωστών ιστότοπων που ενσωματώνουν σενάρια που κάνουν κατάχρηση διαχειριστή σύνδεσης για παρακολούθηση

Υπάρχει πολύ καλή πιθανότητα οι εκδότες ιστού που χρησιμοποιούν υπηρεσίες διαφημίσεων που εκμεταλλεύονται αυτήν τη συμπεριφορά να μην έχουν ιδέα για το τι συμβαίνει στους χρήστες τους. Αν και αυτό δεν τους απαλλάσσει από την ευθύνη, τελικά το προϊόν τους χρησιμοποιείται για τη συλλογή δεδομένων από χρήστες χωρίς τη γνώση τους, και αυτό πρέπει να κάνει κάθε ενδιαφερόμενο διαχειριστή ιστότοπου (και πιθανώς πολύ ωργισμένος). Ως χρήστης, δεν μπορούμε να κάνουμε πολλά άλλα από το να ακολουθήσουμε τις ίδιες πρακτικές περιήγησης ιστού "ανώνυμης περιήγησης" που χρησιμοποιούνται όταν θέλουμε να παραμείνουμε λίγο πιο ιδιωτικοί στον Ιστό. Αυτό σημαίνει να αποκλείσετε όλα τα σενάρια, να αποκλείσετε όλες τις διαφημίσεις, να μην αποθηκεύσετε δεδομένα, να μην αποδεχτείτε cookie και βασικά να αντιμετωπίζετε κάθε συνεδρία ιστού ως το δικό της sandbox.

Η μόνη πραγματική λύση είναι να αλλάξετε τον τρόπο λειτουργίας των διαχειριστών κωδικών πρόσβασης μέσω του προγράμματος περιήγησης - τόσο ενσωματωμένα εργαλεία όσο και επεκτάσεις ή άλλες προσθήκες Ο Arvind Narayanan, ένας από τους καθηγητές που εργάστηκαν στο έργο, το θέτει συνοπτικά:

Δεν θα είναι εύκολο να διορθωθεί, αλλά αξίζει να το κάνουμε

Η Google, η Microsoft, η Apple και η Mozilla διαμόρφωσαν τον ιστό σε αυτό που είναι σήμερα και είναι σε θέση να αλλάξουν πράγματα για να αντιμετωπίσουν νέα ζητήματα. Ας ελπίσουμε ότι αυτό βρίσκεται στη σύντομη λίστα αλλαγών.

Τζέρι Χίλντενμπραντ

Ο Jerry είναι κάτοικος της Mobile Nation και είναι περήφανος για αυτό. Δεν υπάρχει τίποτα που δεν μπορεί να χωρίσει, αλλά πολλά πράγματα που δεν μπορεί να ξανασυναρμολογήσει. Θα τον βρείτε στο δίκτυο Mobile Nations και μπορείτε τον χτύπησε στο Twitter αν θέλετε να πείτε γεια.