Kiekviename pokalbyje apie interneto saugumą išgirsite keletą dalykų; vienas pirmųjų būtų naudoti slaptažodžių tvarkyklę. Aš tai sakiau, dauguma mano bendradarbių tai pasakė ir yra tikimybė tu pasakė tai padėdamas kam nors kitam išsiaiškinti būdus, kaip išsaugoti jų duomenis saugiai ir patikimai. Tai vis dar geras patarimas, bet neseniai atliktas tyrimas Prinstono universiteto informacinių technologijų politikos centras nustatė, kad slaptažodžių tvarkyklė jūsų žiniatinklio naršyklėje, kurią galite naudoti norėdami išsaugoti savo informaciją, taip pat padeda reklamos įmonėms jus stebėti visame žiniatinklyje.
Tai bauginantis scenarijus iš visų pusių, daugiausia dėl to, kad jį nebus lengva ištaisyti. Tai, kas vyksta, nėra vagystės pavogimas - skelbimų kompanija nenori jūsų vartotojo vardo ir slaptažodžio, tačiau slaptažodžių tvarkytuvės elgesys išnaudojamas labai paprastai. Skelbimų įmonė puslapyje pateikia scenarijų (du pagal pavadinimą yra „AdThink“ ir „OnAudience“), kuris veikia kaip prisijungimo forma. Tai nėra tikra prisijungimo forma, nes ji nesusijusi su jokia paslauga, tai yra „tiesiog“ prisijungimo scenarijus.
„Verizon“ siūlo „Pixel 4a“ tik už 10 USD per mėnesį naujose „Unlimited“ linijose
Kai jūsų slaptažodžių tvarkyklė pamato prisijungimo formą, ji įveda vartotojo vardą. Tikrintos naršyklės buvo: „Firefox“, „Chrome“, „Internet Explorer“, „Edge“ ir „Safari“. Pavyzdžiui, „Chrome“ neįves slaptažodžio, kol vartotojas sąveikauja su forma, tačiau jis automatiškai įveda vartotojo vardą. Puiku, nes scenarijaus viskas, ko tik nori ar reikia. Kitos naršyklės elgėsi taip pat, kaip ir tikėtasi.
Įvedus vartotojo vardą, jis ir jūsų naršyklės ID susiejami su unikaliu identifikatoriumi. Nereikia nieko išsaugoti savo kompiuteryje ar telefone, nes kitą kartą lankydamiesi svetainėje naudodamiesi ta pačia skelbimų kompanija gausite kitą scenarijų, veikiantį kaip prisijungimo formą, ir jūsų vartotojo vardas vėl bus įstojo. Duomenys lyginami su tuo, kas yra faile, ir prie jūsų pridėtas unikalus identifikatorius, kuris gali būti naudojamas (ir yra naudojamas) norint sekti jus visame žiniatinklyje. Ir tai veikia, nes tai yra laukiamas ir „patikimas“ elgesys. Be to, jūsų interneto įpročių planas, prie šio UUID pridedami duomenys taip pat apima naršyklės papildinius, MIME tipai, ekrano matmenys, kalba, laiko juostos informacija, vartotojo agento eilutė, OS informacija ir procesorius informacija.
Euristikos rinkinys, naudojamas nustatant, kurios prisijungimo formos bus užpildomos automatiškai, priklauso nuo naršyklės, tačiau pagrindinis reikalavimas yra tai, kad būtų prieinamas vartotojo vardo ir slaptažodžio laukas.
Tai veikia dėl to, kas vadinama Ta pati kilmės politika. Kai pateikiamas turinys iš dviejų skirtingų šaltinių, juo negalima pasitikėti, tačiau kai patikimas šaltinis, visas turinys dabartinis seansas taip pat yra patikimas (pasitikėjimas šia prasme reiškia, kad jūs tikslingai žiūrite ar bendraujate su turinys). Nukreipėte savo naršyklę į tinklalapį ir bendravote su prisijungimo forma tame puslapyje, todėl visa tai laikoma patikima, kol esate puslapyje. Tačiau šiuo atveju scenarijus buvo įterptas į puslapį, bet iš tikrųjų yra iš kito šaltinio ir ja nereikėtų pasitikėti, kol nepaspaudžiate ar kaip nors nesusijote, kad parodytumėte, jog ketinate būti ten.
Jei pažeidžiantys puslapio elementai buvo įterpti į „iframe“ ar kitą metodą, atitinkantį šaltinį ir duomenų paskirties, automatinis šio išnaudojimo būdas (ir taip, aš tai vadinsiu išnaudojimu) nebūtų darbas.
Žinomų svetainių, įterpiančių scenarijus, kuriuose piktnaudžiaujama prisijungimo tvarkytuvės stebėjimu, sąrašas
Yra labai didelė tikimybė, kad žiniatinklio leidėjai, naudodamiesi šią paslaugą naudojančiomis skelbimų paslaugomis, neįsivaizduoja, kas vyksta su jų vartotojais. Nors tai neatleidžia jų nuo atsakomybės, galiausiai jų produktas naudojamas renkant duomenis vartotojams be jų žinios, ir tai turėtų padaryti kiekvieną suinteresuotą svetainės administratorių (ir galbūt labai iratuoti). Kaip vartotojas, mes negalime daug ką nuveikti, išskyrus tą pačią „inkognito“ naršymo internete praktiką, kuri naudojama, kai norime išlikti šiek tiek privatesni žiniatinklyje. Tai reiškia, kad reikia užblokuoti visus scenarijus, užblokuoti visus skelbimus, išsaugoti duomenis, nepriimti jokių slapukų ir iš esmės kiekvieną žiniatinklio sesiją traktuoti kaip savo smėlio dėžę.
Vienintelis tikras sprendimas yra pakeisti slaptažodžių tvarkytuvių darbą per naršyklę - tiek įmontuotus įrankius, tiek plėtinius ar kitus papildinius. Arvindas Narayananas, vienas iš prie projekto dirbusių profesorių, jį glaustai sako:
Tai nebus lengva išspręsti, bet tai padaryti verta
„Google“, „Microsoft“, „Apple“ ir „Mozilla“ suformavo žiniatinklį tokiu, koks jis yra šiandien, ir jie gali pakeisti dalykus, kad išspręstų naujas problemas. Tikimės, kad tai yra trumpame pakeitimų sąraše.
Tai geriausios belaidės ausinės, kurias galite įsigyti už kiekvieną kainą!
Geriausios belaidės ausinės yra patogios, puikiai skamba, nekainuoja per daug ir lengvai telpa kišenėje.
Viskas, ką reikia žinoti apie PS5: išleidimo data, kaina ir dar daugiau.
„Sony“ oficialiai patvirtino, kad dirba su „PlayStation 5“. Čia yra viskas, ką iki šiol apie tai žinome.
„Nokia“ išleidžia du naujus biudžetinius „Android One“ telefonus, kurių kaina mažesnė nei 200 USD.
„Nokia 2.4“ ir „Nokia 3.4“ yra naujausi „HMD Global“ biudžetinių išmaniųjų telefonų asortimento papildymai. Kadangi jie abu yra „Android One“ įrenginiai, garantuojama, kad jie gaus du pagrindinius OS atnaujinimus ir įprastus saugos atnaujinimus iki trejų metų.
Tai geriausios „Fitbit Sense“ ir „Versa 3“ grupės.
Kartu su „Fitbit Sense“ ir „Versa 3“ išleidimu bendrovė taip pat pristatė naujas begalybės juostas. Mes išsirinkome geriausius, kad jums būtų lengviau.
Džeris Hildenbrandas
Džeris yra „Mobile Nation“ gyventojas, nesvarbu, ar jis tuo didžiuojasi. Nėra nieko, ko jis negalėtų išardyti, tačiau daugelio dalykų jis negali surinkti iš naujo. Jį rasite „Mobile Nations“ tinkle ir galite trenkė jam į „Twitter“ jei nori pasakyti ei.