Jest kilka rzeczy, które usłyszysz w każdej rozmowie na temat bezpieczeństwa w Internecie; jednym z pierwszych byłoby użycie menedżera haseł. Powiedziałem to, powiedziała to większość moich współpracowników i są szanse masz powiedział to, pomagając komuś innemu uporządkować sposoby, aby ich dane były bezpieczne. To wciąż dobra rada, ale ostatnie badanie z Centrum Polityki Informatycznej Uniwersytetu Princeton odkrył, że menedżer haseł w przeglądarce internetowej, którego możesz używać do zachowania poufności informacji, pomaga również firmom reklamowym śledzić Cię w sieci.
To przerażający scenariusz ze wszystkich stron, głównie dlatego, że nie będzie łatwy do naprawienia. To, co się dzieje, nie jest kradzieżą żadnych danych uwierzytelniających - firma reklamowa nie chce Twojej nazwy użytkownika i hasła - ale zachowanie menedżera haseł jest wykorzystywane w bardzo prosty sposób. Firma reklamowa umieszcza na stronie skrypt (dwa nazywane z nazwy to AdThink i OnAudience), który działa jak formularz logowania. To nie jest prawdziwy formularz logowania, ponieważ nie będzie łączył Cię z żadną usługą, to „tylko” skrypt logowania.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Gdy menedżer haseł widzi formularz logowania, wprowadza nazwę użytkownika. Testowane przeglądarki to: Firefox, Chrome, Internet Explorer, Edge i Safari. Na przykład Chrome nie wprowadzi hasła, dopóki użytkownik nie wejdzie w interakcję z formularzem, ale automatycznie wprowadzi nazwę użytkownika. To dobrze, bo to wszystko, czego chce lub potrzebuje skrypt. Inne przeglądarki zachowywały się tak samo, jak oczekiwano.
Po wprowadzeniu nazwy użytkownika, wraz z identyfikatorem przeglądarki, zostaje utworzony unikalny identyfikator. Nie musisz niczego zapisywać na komputerze lub telefonie, ponieważ przy następnej wizycie w witrynie Korzystając z tej samej firmy reklamowej, otrzymujesz inny skrypt działający jako formularz logowania, a Twoja nazwa użytkownika jest ponownie weszła. Dane są porównywane z tym, co mamy w archiwum, i et voilà został do Ciebie dołączony unikalny identyfikator, który może być (i jest) używany do śledzenia Cię w sieci. I to działa, ponieważ jest to oczekiwane i „zaufane” zachowanie. Oprócz mapy drogowej Twoich nawyków internetowych, dane dołączone do tego UUID obejmują również wtyczki do przeglądarek, Typy MIME, wymiary ekranu, język, informacje o strefie czasowej, ciąg agenta użytkownika, informacje o systemie operacyjnym i procesor Informacja.
Zestaw heurystyk używanych do określenia, które formularze logowania będą automatycznie wypełniane, różni się w zależności od przeglądarki, ale podstawowym wymaganiem jest dostępność pola nazwy użytkownika i hasła
Działa z powodu tego, co jest znane jako Polityka tego samego pochodzenia. Kiedy prezentowana jest zawartość z dwóch różnych źródeł, nie należy jej ufać, ale gdy źródło jest zaufane, cała treść bieżąca sesja jest również zaufana (zaufanie w tym sensie oznacza, że celowo przeglądasz lub wchodzisz w interakcję z plikiem zadowolony). Skierowałeś swoją przeglądarkę na stronę internetową i wszedłeś w interakcję z formularzem logowania na tej stronie, więc gdy jesteś na tej stronie, jest traktowany jako zaufany. Jednak w tym przypadku skrypt został osadzony na stronie, ale w rzeczywistości pochodzi z innego źródła i nie należy mu ufać, dopóki nie klikniesz lub nie zareagujesz w jakiś sposób, aby pokazać, że chcesz być tam.
Jeśli naruszające zasady elementy strony zostały osadzone w elemencie iframe lub innej metodzie, która pasuje do źródła i przeznaczenie danych, automatyczność tego exploita (i tak, nazwę to exploitem) nie byłaby praca.
Lista znanych witryn zawierających skrypty, które wykorzystują menedżera logowania do śledzenia
Istnieje bardzo duża szansa, że wydawcy internetowi korzystający z usług reklamowych wykorzystujących takie zachowanie nie mają pojęcia, co się dzieje z ich użytkownikami. Chociaż nie zwalnia ich to z odpowiedzialności, ostatecznie to ich produkt jest używany do zbierania danych od użytkowników bez ich wiedzy, a to powinno sprawić, że każdy administrator witryny będzie zainteresowany (i prawdopodobnie bardzo zirytowany). Jako użytkownik niewiele możemy zrobić poza przestrzeganiem tych samych praktyk przeglądania sieci „incognito”, które są stosowane, gdy chcemy zachować nieco większą prywatność w sieci. Oznacza to blokowanie wszystkich skryptów, blokowanie wszystkich reklam, nie zapisywanie danych, nieakceptowanie plików cookie i zasadniczo traktowanie każdej sesji internetowej jako własnej piaskownicy.
Jedynym prawdziwym rozwiązaniem jest zmiana sposobu działania menedżerów haseł w przeglądarce - zarówno wbudowanych narzędzi, jak i rozszerzeń lub innych wtyczek. Arvind Narayanan, jeden z profesorów, który pracował nad projektem, ujął to zwięźle:
Nie będzie łatwo to naprawić, ale warto to zrobić
Google, Microsoft, Apple i Mozilla ukształtowały sieć tak, jak jest dzisiaj, i są w stanie zmieniać rzeczy, aby sprostać nowym problemom. Miejmy nadzieję, że jest to na krótkiej liście zmian.
To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.
Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.
Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.
Nokia wprowadza na rynek dwa nowe budżetowe telefony z Androidem One poniżej 200 USD.
Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.
To są najlepsze zespoły dla Fitbit Sense i Versa 3.
Wraz z wydaniem Fitbit Sense i Versa 3 firma wprowadziła także nowe pasma nieskończoności. Wybraliśmy najlepsze, aby ułatwić Ci pracę.
Jerry Hildenbrand
Jerry jest mieszkańcem Mobile Nation i jest z tego dumny. Nie ma niczego, czego nie mógłby rozebrać, ale wielu rzeczy nie może złożyć na nowo. Znajdziesz go w sieci Mobile Nations i możesz uderzył go na Twitterze jeśli chcesz powiedzieć hej.