מנהל הסיסמאות של דפדפן האינטרנט שלך מסייע לחברות מודעות לעקוב אחריך ברחבי האינטרנט

יש כמה דברים שתשמע בכל שיחה על אבטחת אינטרנט; אחד הראשונים יהיה להשתמש במנהל סיסמאות. אמרתי את זה, רוב חברי לעבודה אמרו את זה, ורוב הסיכויים אתה אמר זאת תוך שהוא עוזר למישהו אחר לברור דרכים לשמור על אבטחת המידע והנתונים שלהם. זו עדיין עצה טובה, אך מחקר שנערך לאחרונה מ המרכז למדיניות טכנולוגית המידע של אוניברסיטת פרינסטון מצא שמנהל הסיסמאות בדפדפן האינטרנט שבו אתה יכול להשתמש כדי לשמור על פרטיות המידע שלך מסייע גם לחברות מודעות לעקוב אחריך ברחבי האינטרנט.

זה תרחיש מפחיד מכל עבר, בעיקר כי זה לא יהיה קל לתקן. מה שקורה הוא לא גניבת אישורים כלשהם - חברת מודעות לא רוצה את שם המשתמש והסיסמה שלך - אבל ההתנהגות שמנהל סיסמאות משתמש בה מנוצלת בצורה מאוד פשוטה. חברת מודעות מציבה סקריפט על דף (שניים שנקראים בשמו הם AdThink ו- OnAudience) שמשמש כטופס התחברות. זה לא טופס התחברות אמיתי, מכיוון שהוא לא יחבר אותך לשירות כלשהו, ​​זה "סתם" סקריפט התחברות.

כאשר מנהל הסיסמאות שלך רואה טופס התחברות, הוא מזין שם משתמש. הדפדפנים שנבדקו היו: Firefox, Chrome, Internet Explorer, Edge ו- Safari. Chrome, למשל, לא יזין את הסיסמה עד שהמשתמש יקיים אינטראקציה עם הטופס, אך הוא יזין שם משתמש באופן אוטומטי. זה בסדר כי זה כל מה שהתסריט רוצה או צריך. דפדפנים אחרים התנהגו כך, כצפוי.

לאחר הזנת שם המשתמש שלך, זה ומזהה הדפדפן שלך מגובש למזהה ייחודי. אינך צריך לשמור דבר במחשב או בטלפון שלך, כי בפעם הבאה שאתה מבקר באתר שהוא באמצעות אותה חברת מודעות תקבל סקריפט נוסף המשמש כטופס כניסה ושם המשתמש שלך שוב נכנס. הנתונים מושווים למה שנמצא בקובץ, ו- vo voa מזהה ייחודי צורף אליך וניתן להשתמש בו (ונמצא בשימוש) כדי לעקוב אחריך ברחבי האינטרנט. וזה עובד כי זו התנהגות צפויה ו"אמינה ". מלבד מפת דרכים של הרגלי האינטרנט שלך, הנתונים שנמצאו מחוברים ל- UUID זה כוללים גם תוספי דפדפן, סוגי MIME, ממדי מסך, שפה, מידע על אזור זמן, מחרוזת סוכן משתמש, מידע על מערכת ההפעלה ומעבד מֵידָע.

מערך ההיוריסטיקה המשמש לקביעת טפסי הכניסה ימולאו אוטומטית משתנה בהתאם לדפדפן, אך הדרישה הבסיסית היא שיהיה שם משתמש וסיסמה.

זה עובד בגלל מה שמכונה אותה מדיניות מקור. כאשר מוצג תוכן משני מקורות שונים אין לסמוך עליו, אך ברגע שמסמכים על מקור כל התוכן הפגישה הנוכחית מהימנה גם (אמון במובן זה פירושו שאתה צופה בכוונה או מתקשר איתו תוֹכֶן). כיוונתם את הדפדפן לדף אינטרנט ויצרתם אינטראקציה עם טופס התחברות בדף זה, כך שמתייחסים אליו כאל מהימנים בזמן שאתם נמצאים בדף. אולם במקרה זה, התסריט הוטמע בדף אך למעשה ממקור אחר ואין לסמוך עליכם עד שלחצתם או התקיימתם בצורה כלשהי כדי להראות שאתם מתכוונים להיות שם.

אם רכיבי העמוד הפוגע היו מוטבעים ב- iframe או בשיטה אחרת שתואמת את המקור ו- היעד של הנתונים, האוטומטיות של ניצול זה (וכן, אני אקרא לזה נצל) לא הייתה עֲבוֹדָה.

רשימה של אתרים ידועים המשבצים סקריפטים המנצלים שימוש לרעה במנהל הכניסה למעקב

יש סיכוי טוב מאוד שלפרסומי האינטרנט המשתמשים בשירותי מודעות המנצלים התנהגות זו אין להם מושג מה קורה למשתמשים שלהם. אמנם זה לא פוטר אותם מאחריות, אך בסופו של דבר המוצר שלהם משמש לקציר נתונים ממשתמשים ללא ידיעתם, וזה אמור לגרום לכל מנהל אתרים להיות מודאג (ואולי מאוד) נִזעָם). כמשתמש, אין הרבה מה שאנחנו יכולים לעשות מלבד לבצע את אותן שיטות "גלישה בסתר" המשמשות כשאנחנו רוצים להישאר קצת יותר פרטיים באינטרנט. כלומר לחסום את כל הסקריפטים, לחסום את כל המודעות, לא לשמור נתונים, לקבל שום עוגיות ובעצם להתייחס לכל הפעלת אינטרנט כארגז חול משלה.

התיקון האמיתי היחיד הוא שינוי האופן בו מנהלי סיסמאות עובדים דרך הדפדפן - הן כלים מובנים והן סיומות או תוספים אחרים. ארווינד נראיאן, אחד הפרופסורים שעבדו על הפרויקט, מנסח זאת בקצרה:

זה לא יהיה קל לתקן, אבל כדאי לעשות זאת

גוגל, מיקרוסופט, אפל ומוזילה עיצבו את הרשת במה שהיא היום, והן מסוגלות לשנות דברים בכדי לעמוד בבעיות חדשות. אני מקווה שזה ברשימה הקצרה של השינויים.

ג'רי הילדנברנד

ג'רי הוא החנון התושב של האומה הניידת וגאה בכך. אין שום דבר שהוא לא יכול לפרק, אבל הרבה דברים שהוא לא יכול להרכיב מחדש. תוכלו למצוא אותו ברחבי רשת האומות הניידות ותוכלו הכה אותו בטוויטר אם אתה רוצה להגיד היי.