Det er noen ting du vil høre i hver samtale om internett-sikkerhet; en av de første ville være å bruke en passordbehandling. Jeg har sagt det, de fleste av mine kolleger har sagt det, og sjansene er du har sa det mens de hjalp noen andre med å ordne måter å holde dataene trygge og sunne. Det er fortsatt gode råd, men en nylig studie fra Princeton University's Center for Information Technology Policy har funnet ut at passordbehandleren i nettleseren din du kan bruke til å holde informasjonen privat, også hjelper annonsefirmaer med å spore deg på nettet.
Det er et skremmende scenario fra alle sider, mest fordi det ikke kommer til å være lett å fikse. Det som skjer er ikke stjeling av legitimasjon - et annonseselskap vil ikke ha brukernavn og passord - men oppførselen en passordbehandling bruker blir utnyttet på en veldig enkel måte. Et annonsefirma plasserer et skript på en side (to som heter AdThink og OnAudience) som fungerer som et påloggingsskjema. Det er ikke et reelt påloggingsskjema, ettersom det ikke kommer til å koble deg til noen tjeneste, det er "bare" et påloggingsskript.
Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer
Når passordbehandleren din ser et påloggingsskjema, skriver det inn et brukernavn. Nettlesere som ble testet var: Firefox, Chrome, Internet Explorer, Edge og Safari. Chrome vil for eksempel ikke angi passordet før brukeren samhandler med skjemaet, men det angir et brukernavn automatisk. Det er greit fordi det er alt manuset ønsker eller trenger. Andre nettlesere oppførte seg som forventet.
Når brukernavnet ditt er oppgitt, blir det og nettleser-ID-en din hash i en unik identifikator. Du trenger ikke lagre noe på datamaskinen eller telefonen din, for neste gang du besøker et nettsted som er ved å bruke det samme annonseselskapet får du et nytt skript som fungerer som et påloggingsskjema, og brukernavnet ditt er igjen kom inn. Dataene sammenlignes med det som er registrert, og et voilà, en unik identifikator er knyttet til deg og kan brukes (og blir brukt) til å spore deg på nettet. Og dette fungerer fordi dette er forventet og "pålitelig" oppførsel. Foruten en veikart over internettvanene dine, inneholder data som er knyttet til denne UUID-en også nettlesertillegg, MIME-typer, skjermdimensjoner, språk, informasjon om tidssone, brukeragentstreng, OS-informasjon og CPU informasjon.
Settet med heuristikker som brukes til å bestemme hvilke påloggingsskjemaer som skal fylles ut automatisk, varierer etter nettleser, men det grunnleggende kravet er at et brukernavn og passordfelt skal være tilgjengelig
Det fungerer på grunn av det som er kjent som Retningslinjer for samme opprinnelse. Når innhold fra to forskjellige kilder presenteres, er det ikke å stole på, men når en kilde er klarert, er alt innhold til den nåværende økten er også klarert (tillit i denne forstand betyr at du målrettet ser på eller samhandler med innhold). Du har sendt nettleseren din til en webside og samhandlet med et påloggingsskjema på den siden, så det blir behandlet som å være klarert mens du er på siden. I dette tilfellet ble skriptet imidlertid innebygd i en side, men er faktisk fra en annen kilde og skal ikke stole på før du har klikket eller samhandlet på en eller annen måte for å vise deg ment å være der.
Hvis de fornærmende sideelementene var innebygd i en iframe eller en annen metode som samsvarer med kilden og destinasjonen til dataene, ville automatikken til denne utnyttelsen (og ja, jeg vil kalle det en utnyttelse) ikke arbeid.
En liste over kjente nettsteder som bygger inn skript som misbruker påloggingsadministratoren for sporing
Det er en veldig god sjanse for at nettutgivere som bruker annonsetjenester som utnytter denne oppførselen, ikke aner hva som skjer med brukerne deres. Selv om det ikke fritar dem for ansvar, er det til slutt at produktet deres brukes til å høste data fra brukere uten deres kunnskap, og det burde gjøre enhver nettstedsadministrator bekymret (og muligens veldig irritert). Som bruker er det ikke mye vi kan gjøre annet enn å følge de samme "inkognito" -surfingsmetodene som brukes når vi vil holde oss litt mer private på nettet. Det betyr å blokkere alle skript, blokkere alle annonser, lagre ingen data, ikke godta informasjonskapsler og i utgangspunktet behandle hver nettsession som sin egen sandkasse.
Den eneste sanne løsningen er å endre måten passordadministratorer jobber gjennom nettleseren - både innebygde verktøy og utvidelser eller andre plugins. Arvind Narayanan, en av professorene som jobbet med prosjektet, sier det kortfattet:
Det vil ikke være lett å fikse, men det er verdt å gjøre
Google, Microsoft, Apple og Mozilla formet alle nettet til hva det er i dag, og de er i stand til å endre ting for å møte nye problemer. Forhåpentligvis er dette på den korte listen over endringer.
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse ørepluggene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett-smarttelefonserie. Siden de begge er Android One-enheter, vil de garantert motta to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
Dette er de beste bandene for Fitbit Sense og Versa 3.
Sammen med utgivelsen av Fitbit Sense og Versa 3 introduserte selskapet også nye uendelige band. Vi har plukket ut de beste for å gjøre ting enklere for deg.
Jerry Hildenbrand
Jerry er Mobile Nation's bosatt nerd og stolt av det. Det er ingenting han ikke kan ta fra hverandre, men mange ting han ikke kan sette sammen igjen. Du finner ham på tvers av Mobile Nations-nettverket, og du kan slo ham på Twitter hvis du vil si hei.