Er zijn een paar dingen die je in elk gesprek over internetbeveiliging zult horen; een van de eersten zou zijn om een wachtwoordbeheerder te gebruiken. Ik heb het gezegd, de meeste van mijn collega's hebben het gezegd, en de kans is groot je hebt zei het terwijl hij iemand anders hielp manieren uit te zoeken om hun gegevens veilig en gezond te houden. Het is nog steeds een goed advies, maar een recente studie van Princeton University's Center for Information Technology Policy heeft geconstateerd dat de wachtwoordbeheerder in uw webbrowser die u mogelijk gebruikt om uw gegevens privé te houden, advertentiebedrijven ook helpt om u op internet te volgen.
Het is van alle kanten een beangstigend scenario, vooral omdat het niet gemakkelijk op te lossen zal zijn. Wat er gebeurt, is niet het stelen van inloggegevens - een advertentiebedrijf wil uw gebruikersnaam en wachtwoord niet - maar het gedrag dat een wachtwoordbeheerder gebruikt, wordt op een heel eenvoudige manier uitgebuit. Een advertentiebedrijf plaatst een script op een pagina (twee met de naam AdThink en OnAudience) dat fungeert als een inlogformulier. Het is geen echt inlogformulier, omdat het u met geen enkele dienst zal verbinden, het is "slechts" een inlogscript.
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe onbeperkte lijnen
Wanneer uw wachtwoordbeheerder een inlogformulier ziet, voert deze een gebruikersnaam in. De geteste browsers waren: Firefox, Chrome, Internet Explorer, Edge en Safari. Chrome voert het wachtwoord bijvoorbeeld pas in als de gebruiker interactie heeft met het formulier, maar het voert automatisch een gebruikersnaam in. Dat is prima, want dat is alles wat het script wil of nodig heeft. Andere browsers gedroegen zich hetzelfde, zoals verwacht.
Zodra uw gebruikersnaam is ingevoerd, worden deze en uw browser-ID gehasht tot een unieke identificatie. U hoeft niets op uw computer of telefoon op te slaan, want dat is de volgende keer dat u een site bezoekt als u hetzelfde advertentiebedrijf gebruikt, krijgt u een ander script dat als aanmeldingsformulier fungeert en uw gebruikersnaam is opnieuw ingevoerde. De gegevens worden vergeleken met wat er in het bestand is, en et voilà, er is een unieke identificatie aan u toegevoegd die kan (en wordt) gebruikt om u op internet te volgen. En dit werkt omdat dit verwacht en "vertrouwd" gedrag is. Naast een routekaart van uw internetgewoonten, bevatten gegevens die aan deze UUID zijn gekoppeld ook browserplug-ins, MIME-typen, schermafmetingen, taal, tijdzonegegevens, user-agentstring, OS-informatie en CPU informatie.
De reeks heuristieken die worden gebruikt om te bepalen welke aanmeldingsformulieren automatisch worden ingevuld, verschilt per browser, maar de basisvereiste is dat er een gebruikersnaam en wachtwoordveld beschikbaar zijn
Het werkt vanwege wat bekend staat als de Hetzelfde oorsprongsbeleid. Wanneer inhoud uit twee verschillende bronnen wordt gepresenteerd, is deze niet te vertrouwen, maar zodra een bron wordt vertrouwd, is alle inhoud voor de huidige sessie wordt ook vertrouwd (vertrouwen in deze zin betekent dat je doelbewust de inhoud). U hebt uw browser naar een webpagina geleid en interactie gehad met een inlogformulier op die pagina, dus het wordt allemaal als vertrouwd behandeld terwijl u op de pagina bent. In dit geval is het script echter in een pagina ingesloten, maar komt het in feite uit een andere bron en mag niet worden vertrouwd totdat u op de een of andere manier heeft geklikt of interactie heeft gehad om te laten zien dat u van plan was Daar.
Als de aanstootgevende pagina-elementen zijn ingesloten in een iframe of een andere methode die overeenkomt met de bron en bestemming van de gegevens, de automatisering van deze exploit (en ja, ik zal het een exploit noemen) niet werk.
Een lijst met bekende sites die scripts insluiten die inlogbeheer misbruiken voor tracking
De kans is groot dat de webuitgevers die advertentieservices gebruiken die misbruik maken van dit gedrag, geen idee hebben wat er met hun gebruikers gebeurt. Hoewel dat hen niet vrijstelt van verantwoordelijkheid, is het uiteindelijk dat hun product wordt gebruikt om gegevens te verzamelen van gebruikers zonder hun medeweten, en dat zou elke sitebeheerder bezorgd moeten maken (en mogelijk zeer woedend). Als gebruiker kunnen we niet veel anders doen dan dezelfde "incognito" webbrowserpraktijken volgen die worden gebruikt wanneer we wat meer privé op internet willen blijven. Dat betekent dat u alle scripts blokkeert, alle advertenties blokkeert, geen gegevens opslaat, geen cookies accepteert en in feite elke websessie als een eigen sandbox behandelt.
De enige echte oplossing is om de manier te veranderen waarop wachtwoordmanagers via de browser werken - zowel ingebouwde tools als extensies of andere plug-ins. Arvind Narayanan, een van de professoren die aan het project hebben gewerkt, zegt het kort en bondig:
Het zal niet gemakkelijk te repareren zijn, maar het is de moeite waard
Google, Microsoft, Apple en Mozilla hebben het web gevormd tot wat het nu is, en ze zijn in staat dingen te veranderen om nieuwe problemen op te lossen. Hopelijk staat dit op de korte lijst met wijzigingen.
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
Dit zijn de beste banden voor de Fitbit Sense en Versa 3.
Naast de release van de Fitbit Sense en Versa 3 introduceerde het bedrijf ook nieuwe infinity bands. We hebben de beste uitgezocht om het u gemakkelijker te maken.
Jerry Hildenbrand
Jerry is de huisnerd van Mobile Nation en daar trots op. Er is niets dat hij niet uit elkaar kan halen, maar veel dingen kan hij niet weer in elkaar zetten. Je vindt hem op het Mobile Nations-netwerk en dat kan sla hem op Twitter als je hey wilt zeggen.