Cikk

Az Ön böngészőjének jelszókezelője segít a reklámcégeknek nyomon követni Önt az egész interneten

Van néhány dolog, amit minden beszélgetésben hallani fog az internet biztonságáról; az elsők egyike lenne a jelszókezelő használata. Mondtam, munkatársaim többsége mondta, és valószínű te vagy mondta, miközben másoknak segített megoldani az adatok biztonságának és biztonságának megőrzését. Ez még mindig jó tanács, de egy nemrégiben készült tanulmány Princeton Egyetem Információs Technológiai Politikai Központja úgy találta, hogy a böngészőjében használt jelszókezelő, amelyet az adatok titkosítása érdekében használhat, szintén segít a hirdetési vállalatoknak nyomon követni Önt az interneten.

Ez félelmetes forgatókönyv minden oldalról, főleg azért, mert nem lesz könnyű kijavítani. Ami nem a hitelesítő adatok ellopása - egy reklámcég nem akarja az Ön felhasználónevét és jelszavát -, hanem a jelszókezelő viselkedését nagyon egyszerűen kihasználja. Egy hirdetési vállalat elhelyez egy szkriptet egy oldalon (kettő név szerint hívott: AdThink és OnAudience), amely bejelentkezési űrlapként működik. Ez nem egy igazi bejelentkezési űrlap, mivel ebben az esetben nem fog csatlakozni semmilyen szolgáltatáshoz, hanem "csak" egy bejelentkezési szkript.

A Verizon a Pixel 4a-t mindössze 10 USD / hó áron kínálja az új Unlimited vonalakon

Amikor a jelszókezelő meglátja a bejelentkezési űrlapot, beír egy felhasználónevet. A tesztelt böngészők a következők voltak: Firefox, Chrome, Internet Explorer, Edge és Safari. A Chrome például addig nem írja be a jelszót, amíg a felhasználó nem lép kölcsönhatásba az űrlappal, de automatikusan megad egy felhasználónevet. Ez rendben van, mert a forgatókönyv csak ezt akarja vagy igényli. Más böngészők ugyanúgy viselkedtek, mint várták.

Miután megadta felhasználónevét, ez és a böngészőazonosító egyedi azonosítóvá válik. Nem kell semmit mentenie a számítógépére vagy a telefonjára, mert legközelebb egy ilyen webhelyre látogat el ugyanazt a hirdetési vállalatot használva kap egy másik szkriptet, amely bejelentkezési űrlapként működik, és a felhasználónév ismét belépett. Az adatokat összehasonlítjuk a fájlokkal, és et voilà egyedi azonosítót csatoltak Önhöz, amely felhasználható (és jelenleg is használható) az interneten történő nyomon követésre. És ez azért működik, mert ez várható és "megbízható" viselkedés. Az internetes szokások ütemterve mellett az ehhez az UUID-hez csatolt adatok tartalmaznak böngészőbővítményeket is, MIME típusok, képernyőméretek, nyelv, időzóna információk, felhasználói ügynök karakterlánc, operációs rendszer információk és CPU információ.

Az automatikusan kitöltendő bejelentkezési űrlapok meghatározásához használt heurisztika halmaz böngészőnként változik, de alapvető követelmény, hogy felhasználónév és jelszó mező legyen elérhető

Azért működik, ami az úgynevezett Ugyanaz a származási politika. Ha két különböző forrásból származó tartalmat mutatnak be, akkor nem lehet megbízni, de ha egy forrás megbízható, akkor az összes tartalom az aktuális munkamenet is megbízható (ebben az értelemben a bizalom azt jelenti, hogy céltudatosan nézi vagy interakcióba lép vele tartalom). Böngészőjét egy weboldalra irányította, és kölcsönhatásba lépett egy bejelentkezési űrlappal azon az oldalon, így mindez úgy tekinthető, mint megbízható, amíg Ön az oldalon van. Ebben az esetben azonban a szkript be volt ágyazva egy oldalba, de valójában egy másik forrásból származik és nem szabad abban bízni, amíg nem kattintott vagy nem lépett kapcsolatba valamilyen módon, hogy megmutassa szándékát ott.

Ha a sértő oldalelemeket iframe-be vagy más, a forráshoz és a metódushoz illesztették be az adatok rendeltetési helye, ennek a kihasználásnak az automatikus jellege (és igen, kihasználásnak fogom nevezni) nem lenne munka.

Az ismert webhelyek listája, amelyek olyan szkripteket ágyaznak be, amelyek visszaélnek a bejelentkezéskezelővel a nyomon követéshez

Nagyon jó esély van arra, hogy az ezt a viselkedést kihasználó hirdetési szolgáltatásokat használó webes megjelenítőknek fogalmuk sincs arról, mi történik a felhasználóikkal. Bár ez nem mentesíti őket a felelősség alól, végső soron a terméküket használják az adatok betakarításához felhasználók tudta nélkül, és ez minden érintett webhely adminisztrátorát (és valószínűleg nagyon dühös). Felhasználóként nem sokat tehetünk azon kívül, hogy ugyanazokat az "inkognitó" böngészési gyakorlatokat követjük, amelyeket akkor használunk, amikor egy kicsit magányosabbak akarunk maradni az interneten. Ez azt jelenti, hogy blokkoljuk az összes szkriptet, blokkoljuk az összes hirdetést, nem mentünk adatokat, nem fogadunk el cookie-kat, és alapvetően minden webes munkamenetet saját sandboxként kezelünk.

Az egyetlen igazi javítás a jelszókezelők böngészőn keresztüli működésének megváltoztatása - mind a beépített eszközök, mind a kiterjesztések vagy más bővítmények segítségével. Arvind Narayanan, az egyik professzor, aki a projekten dolgozott, tömören fogalmaz:

Nem lesz könnyű kijavítani, de érdemes megtenni

A Google, a Microsoft, az Apple és a Mozilla mind a mai webre formálta az internetet, és képesek változtatni a dolgokon, hogy megfeleljenek az új kérdéseknek. Remélhetőleg ez szerepel a változások rövid listáján.

Ezek a legjobb vezeték nélküli fülhallgatók, amelyeket minden áron megvásárolhat!
Ideje levágni a zsinórt!

Ezek a legjobb vezeték nélküli fülhallgatók, amelyeket minden áron megvásárolhat!

A legjobb vezeték nélküli fülhallgató kényelmes, jól hangzik, nem kerül túl sokba, és könnyen elfér a zsebében.

Minden, amit tudnia kell a PS5-ről: Kiadási dátum, ár és még sok más
Következő generációs

Minden, amit tudnia kell a PS5-ről: Kiadási dátum, ár és még sok más.

A Sony hivatalosan megerősítette, hogy a PlayStation 5-en dolgozik. Itt van minden, amit eddig tudtunk róla.

A Nokia két új, 200 dollár alatti, olcsó Android One telefont dob ​​piacra
Új Nokias

A Nokia két új, 200 dollár alatti, olcsó Android One telefont dob ​​piacra.

A Nokia 2.4 és a Nokia 3.4 a legújabb kiegészítés a HMD Global költségvetési okostelefon-kínálatában. Mivel mindkettő Android One eszköz, garantáltan két fő operációs rendszer frissítést és rendszeres biztonsági frissítést kapnak akár három évig is.

Ezek a Fitband Sense és a Versa 3 legjobb zenekarai
Új és javított

Ezek a Fitband Sense és a Versa 3 legjobb zenekarai.

A Fitbit Sense és a Versa 3 megjelenésével együtt a vállalat új végtelen sávokat is bemutatott. Kiválasztottuk a legjobbakat, hogy megkönnyítsük a dolgát.

Jerry Hildenbrand

Jerry a Mobile Nation rezidens majomja és büszke rá. Nincs semmi, amit ne tudna szétszedni, de sok mindent nem tud újra összerakni. Megtalálja a Mobile Nations hálózaton, és meg is találhatja megütötte a Twitteren ha azt akarod mondani hé.

smihub.com