Il y a quelques choses que vous entendrez dans chaque conversation sur la sécurité Internet; l'un des premiers serait d'utiliser un gestionnaire de mots de passe. Je l'ai dit, la plupart de mes collègues l'ont dit, et les chances sont vous avez l'a dit en aidant quelqu'un d'autre à trouver des moyens de garder ses données saines et sauves. C'est toujours un bon conseil, mais une étude récente de Centre de politique des technologies de l'information de l'Université de Princeton a constaté que le gestionnaire de mots de passe de votre navigateur Web que vous pourriez utiliser pour garder vos informations privées aide également les sociétés de publicité à vous suivre sur le Web.
C'est un scénario effrayant de tous les côtés, principalement parce qu'il ne sera pas facile à résoudre. Ce qui se passe n'est pas le vol d'informations d'identification - une société de publicité ne veut pas de votre nom d'utilisateur et de votre mot de passe - mais le comportement utilisé par un gestionnaire de mots de passe est exploité d'une manière très simple. Une société de publicité place un script sur une page (deux appelés par leur nom sont AdThink et OnAudience) qui agit comme un formulaire de connexion. Ce n'est pas un vrai formulaire de connexion, car il ne vous connectera à aucun service, c'est "juste" un script de connexion.
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Lorsque votre gestionnaire de mots de passe voit un formulaire de connexion, il entre un nom d'utilisateur. Les navigateurs testés étaient: Firefox, Chrome, Internet Explorer, Edge et Safari. Chrome, par exemple, n'entrera pas le mot de passe tant que l'utilisateur n'aura pas interagi avec le formulaire, mais il saisira automatiquement un nom d'utilisateur. C'est bien parce que c'est tout ce que le script veut ou a besoin. Les autres navigateurs se sont comportés de la même manière, comme prévu.
Une fois votre nom d'utilisateur entré, celui-ci et votre identifiant de navigateur sont hachés en un identifiant unique. Vous n'avez rien à enregistrer sur votre ordinateur ou votre téléphone, car la prochaine fois que vous visitez un site en utilisant la même société de publicité, vous obtenez un autre script servant de formulaire de connexion et votre nom d'utilisateur est à nouveau entré. Les données sont comparées à ce qui est sur le fichier, et voilà, un identifiant unique vous a été attaché et peut être (et est) utilisé pour vous suivre sur le Web. Et cela fonctionne parce que c'est un comportement attendu et «fiable». Outre une feuille de route de vos habitudes Internet, les données associées à cet UUID incluent également des plugins de navigateur, Types MIME, dimensions de l'écran, langue, informations de fuseau horaire, chaîne d'agent utilisateur, informations sur le système d'exploitation et CPU information.
L'ensemble d'heuristiques utilisé pour déterminer quels formulaires de connexion seront remplis automatiquement varie selon le navigateur, mais l'exigence de base est qu'un champ de nom d'utilisateur et de mot de passe soit disponible
Cela fonctionne à cause de ce qu'on appelle le Politique de même origine. Lorsqu'un contenu provenant de deux sources différentes est présenté, il n'est pas digne de confiance, mais une fois qu'une source est approuvée, tout le contenu pour la session en cours est également approuvée (la confiance dans ce sens signifie que vous visualisez ou interagissez délibérément avec le contenu). Vous avez dirigé votre navigateur vers une page Web et interagi avec un formulaire de connexion sur cette page, donc tout est traité comme étant de confiance lorsque vous êtes sur la page. Dans ce cas, cependant, le script a été intégré dans une page mais provient en fait d'une source différente et ne devrait pas faire confiance tant que vous n'avez pas cliqué ou interagi d'une manière ou d'une autre pour montrer que vous avez l'intention d'être Là.
Si les éléments de page incriminés ont été incorporés dans une iframe ou une autre méthode qui correspond à la source et destination des données, l'automatisation de cet exploit (et oui, je l'appellerai un exploit) ne travail.
Une liste de sites connus intégrant des scripts qui abusent du gestionnaire de connexion pour le suivi
Il est fort probable que les éditeurs Web utilisant des services publicitaires qui exploitent ce comportement n'aient aucune idée de ce qui arrive à leurs utilisateurs. Bien que cela ne les exonère pas de toute responsabilité, c'est leur produit qui est finalement utilisé pour récolter des données des utilisateurs à leur insu, et cela devrait rendre chaque administrateur de site concerné (et éventuellement très furieux). En tant qu'utilisateur, nous ne pouvons pas faire grand-chose à part suivre les mêmes pratiques de navigation Web «incognito» utilisées lorsque nous voulons rester un peu plus privés sur le Web. Cela signifie bloquer tous les scripts, bloquer toutes les publicités, n'enregistrer aucune donnée, n'accepter aucun cookie et traiter chaque session Web comme son propre bac à sable.
La seule vraie solution est de changer la façon dont les gestionnaires de mots de passe fonctionnent dans le navigateur - à la fois des outils intégrés et des extensions ou d'autres plugins. Arvind Narayanan, l'un des professeurs qui ont travaillé sur le projet, le résume succinctement:
Ce ne sera pas facile à réparer, mais ça vaut le coup
Google, Microsoft, Apple et Mozilla ont tous façonné le Web en ce qu'il est aujourd'hui, et ils sont capables de changer les choses pour répondre à de nouveaux problèmes. Espérons que cela figure sur la courte liste des changements.
Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!
Les meilleurs écouteurs sans fil sont confortables, sonnent bien, ne coûtent pas trop cher et tiennent facilement dans une poche.
Tout ce que vous devez savoir sur la PS5: date de sortie, prix, etc.
Sony a officiellement confirmé qu'il fonctionnait sur la PlayStation 5. Voici tout ce que nous savons à ce sujet jusqu'à présent.
Nokia lance deux nouveaux téléphones Android One économiques de moins de 200 $.
Nokia 2.4 et Nokia 3.4 sont les derniers ajouts à la gamme de smartphones économiques de HMD Global. Comme ce sont tous les deux des appareils Android One, ils sont garantis de recevoir deux mises à jour majeures du système d'exploitation et des mises à jour de sécurité régulières pendant jusqu'à trois ans.
Ce sont les meilleurs groupes pour Fitbit Sense et Versa 3.
Parallèlement à la sortie du Fitbit Sense et de la Versa 3, la société a également introduit de nouvelles bandes infinies. Nous avons sélectionné les meilleurs pour vous faciliter la tâche.
Jerry Hildenbrand
Jerry est le nerd résident de Mobile Nation et en est fier. Il n'y a rien qu'il ne puisse pas démonter, mais beaucoup de choses qu'il ne peut pas remonter. Vous le trouverez sur le réseau Mobile Nations et vous pourrez le frapper sur Twitter si vous voulez dire bonjour.