Artículo

El administrador de contraseñas de su navegador web está ayudando a las empresas publicitarias a rastrearlo en la web

Hay algunas cosas que escuchará en cada conversación sobre seguridad en Internet; uno de los primeros sería utilizar un administrador de contraseñas. Lo he dicho, la mayoría de mis compañeros de trabajo lo han dicho, y es probable tienes lo dijo mientras ayudaba a otra persona a encontrar formas de mantener sus datos sanos y salvos. Sigue siendo un buen consejo, pero un estudio reciente de Centro de Políticas de Tecnología de la Información de la Universidad de Princeton ha descubierto que el administrador de contraseñas de su navegador web que puede utilizar para mantener la privacidad de su información también está ayudando a las empresas publicitarias a rastrearlo en la web.

Es un escenario aterrador desde todos los lados, principalmente porque no será fácil de arreglar. Lo que está sucediendo no es el robo de ninguna credencial (una empresa de publicidad no quiere su nombre de usuario y contraseña), sino que el comportamiento que usa un administrador de contraseñas se explota de una manera muy simple. Una empresa de publicidad coloca un guión en una página (dos llamados por su nombre son AdThink y OnAudience) que actúa como un formulario de inicio de sesión. No es un formulario de inicio de sesión real, ya que no lo conectará a ningún servicio, es "solo" un script de inicio de sesión.

Verizon ofrece Pixel 4a por solo $ 10 / mes en nuevas líneas ilimitadas

Cuando su administrador de contraseñas ve un formulario de inicio de sesión, ingresa un nombre de usuario. Los navegadores probados fueron: Firefox, Chrome, Internet Explorer, Edge y Safari. Chrome, por ejemplo, no ingresará la contraseña hasta que el usuario interactúe con el formulario, pero ingresará un nombre de usuario automáticamente. Eso está bien porque eso es todo lo que el guión quiere o necesita. Otros navegadores se comportaron igual, como se esperaba.

Una vez que se ingresa su nombre de usuario, este y el ID de su navegador se convierten en un identificador único. No necesita guardar nada en su computadora o teléfono porque la próxima vez que visite un sitio utilizando la misma empresa publicitaria, obtiene otro script que actúa como formulario de inicio de sesión y su nombre de usuario es una vez más ingresó. Los datos se comparan con lo que está en el archivo y, et voilà, se le ha adjuntado un identificador único que se puede (y se está utilizando) para rastrearlo en la web. Y esto funciona porque es un comportamiento esperado y "de confianza". Además de una hoja de ruta de sus hábitos de Internet, los datos que se encuentran adjuntos a este UUID también incluyen complementos del navegador, Tipos de MIME, dimensiones de la pantalla, idioma, información de zona horaria, cadena de agente de usuario, información del sistema operativo y CPU información.

El conjunto de heurísticas utilizadas para determinar qué formularios de inicio de sesión se completarán automáticamente varía según el navegador, pero el requisito básico es que haya un campo de nombre de usuario y contraseña disponible

Funciona debido a lo que se conoce como Política del mismo origen. Cuando se presenta contenido de dos fuentes diferentes, no se debe confiar en él, pero una vez que se confía en una fuente, todo el contenido la sesión actual también es de confianza (confianza en este sentido significa que está viendo o interactuando con el contenido). Ha dirigido su navegador a una página web e interactuado con un formulario de inicio de sesión en esa página, por lo que todo se trata como de confianza mientras está en la página. En este caso, sin embargo, el script se incrustó en una página, pero en realidad es de una fuente diferente y no debe ser de confianza hasta que haya hecho clic o interactuado de alguna manera para demostrar que tenía la intención de ser ahí.

Si los elementos de la página infractores se incrustaron en un iframe u otro método que coincida con la fuente y destino de los datos, el carácter automático de este exploit (y sí, lo llamaré exploit) no trabajo.

Una lista de sitios conocidos que incorporan scripts que abusan del administrador de inicio de sesión para realizar un seguimiento

Existe una gran posibilidad de que los editores web que utilizan servicios publicitarios que aprovechan este comportamiento no tengan idea de lo que les está sucediendo a sus usuarios. Si bien eso no los exime de responsabilidad, en última instancia, su producto se utiliza para recopilar datos de los usuarios sin su conocimiento, y eso debería preocupar a todos los administradores del sitio (y posiblemente muy airado). Como usuario, no hay mucho que podamos hacer aparte de seguir las mismas prácticas de navegación web de "incógnito" que se utilizan cuando queremos mantenernos un poco más privados en la web. Eso significa bloquear todos los scripts, bloquear todos los anuncios, no guardar datos, no aceptar cookies y básicamente tratar cada sesión web como su propia caja de arena.

La única solución verdadera es cambiar la forma en que los administradores de contraseñas funcionan a través del navegador, tanto las herramientas integradas como las extensiones u otros complementos. Arvind Narayanan, uno de los profesores que trabajó en el proyecto, lo expresa de manera sucinta:

No será fácil de arreglar, pero vale la pena hacerlo

Google, Microsoft, Apple y Mozilla dieron forma a la web en lo que es hoy, y son capaces de cambiar las cosas para enfrentar nuevos problemas. Con suerte, esto está en la breve lista de cambios.

Estos son los mejores auriculares inalámbricos que puede comprar a cualquier precio.
¡Es hora de cortar el cordón!

Estos son los mejores auriculares inalámbricos que puede comprar a cualquier precio.

Los mejores auriculares inalámbricos son cómodos, suenan muy bien, no cuestan demasiado y caben fácilmente en un bolsillo.

Todo lo que necesita saber sobre la PS5: fecha de lanzamiento, precio y más
Próxima generación

Todo lo que necesita saber sobre la PS5: fecha de lanzamiento, precio y más.

Sony ha confirmado oficialmente que está trabajando en PlayStation 5. Aquí está todo lo que sabemos hasta ahora.

Nokia lanza dos nuevos teléfonos Android One económicos por menos de $ 200
Nuevos Nokias

Nokia lanza dos nuevos teléfonos Android One económicos por menos de $ 200.

Nokia 2.4 y Nokia 3.4 son las últimas incorporaciones a la línea de teléfonos inteligentes económicos de HMD Global. Dado que ambos son dispositivos Android One, se garantiza que recibirán dos actualizaciones importantes del sistema operativo y actualizaciones de seguridad periódicas durante un máximo de tres años.

Estas son las mejores correas para Fitbit Sense y Versa 3
Nuevo y mejorado

Estas son las mejores correas para Fitbit Sense y Versa 3.

Junto con el lanzamiento de Fitbit Sense y Versa 3, la compañía también presentó nuevas bandas infinitas. Hemos seleccionado los mejores para facilitarle las cosas.

Jerry Hildenbrand

Jerry es el nerd residente de Mobile Nation y está orgulloso de ello. No hay nada que no pueda desarmar, pero muchas cosas que no pueda volver a montar. Lo encontrará en la red Mobile Nations y podrá pégale en Twitter si quieres decir hola.

smihub.com