Existem algumas coisas que você ouvirá em todas as conversas sobre segurança na Internet; um dos primeiros seria usar um gerenciador de senhas. Eu disse isso, a maioria dos meus colegas de trabalho disse isso, e as chances são você tem disse isso enquanto ajudava outra pessoa a encontrar maneiras de manter seus dados sãos e salvos. Ainda é um bom conselho, mas um estudo recente da Centro de Política de Tecnologia da Informação da Universidade de Princeton descobriu que o gerenciador de senhas em seu navegador da web que você pode usar para manter suas informações privadas também está ajudando as empresas de publicidade a rastreá-lo na web.
É um cenário assustador de todos os lados, principalmente porque não será fácil de consertar. O que está acontecendo não é o roubo de nenhuma credencial - uma empresa de publicidade não quer seu nome de usuário e senha - mas o comportamento que um gerenciador de senhas usa está sendo explorado de uma forma muito simples. Uma empresa de publicidade coloca um script em uma página (duas chamadas pelo nome são AdThink e OnAudience) que atua como um formulário de login. Não é um formulário de login real, pois não vai conectá-lo a nenhum serviço, é "apenas" um script de login.
A Verizon está oferecendo o Pixel 4a por apenas US $ 10 / mês nas novas linhas Unlimited
Quando seu gerenciador de senhas vê um formulário de login, ele insere um nome de usuário. Os navegadores testados foram: Firefox, Chrome, Internet Explorer, Edge e Safari. O Chrome, por exemplo, não insere a senha até que o usuário interaja com o formulário, mas insere um nome de usuário automaticamente. Tudo bem porque isso é tudo que o script deseja ou precisa. Outros navegadores se comportaram da mesma forma, conforme o esperado.
Depois que seu nome de usuário é inserido, ele e o ID do seu navegador são convertidos em um identificador exclusivo. Você não precisa salvar nada no seu computador ou telefone, porque da próxima vez que você visitar um site que é usando a mesma empresa de publicidade, você obtém outro script agindo como um formulário de login e seu nome de usuário é mais uma vez entrou. Os dados são comparados com o que está no arquivo e, et voilà, um identificador exclusivo foi anexado a você e pode ser (e está sendo) usado para rastreá-lo na web. E isso funciona porque esse é um comportamento esperado e "confiável". Além de um roteiro de seus hábitos de internet, os dados encontrados anexados a este UUID também incluem plug-ins de navegador, Tipos de MIME, dimensões da tela, idioma, informações de fuso horário, string do agente do usuário, informações do sistema operacional e CPU em formação.
O conjunto de heurísticas usado para determinar quais formulários de login serão preenchidos automaticamente varia de acordo com o navegador, mas o requisito básico é que um campo de nome de usuário e senha estejam disponíveis
Funciona por causa do que é conhecido como Política de mesma origem. Quando o conteúdo de duas fontes diferentes é apresentado, não é confiável, mas uma vez que uma fonte é confiável, todo o conteúdo a sessão atual também é confiável (confiança neste sentido significa que você está visualizando ou interagindo propositalmente com o conteúdo). Você direcionou seu navegador para uma página da web e interagiu com um formulário de login nessa página, então tudo é tratado como confiável enquanto você está na página. Neste caso, porém, o script foi incorporado em uma página, mas na verdade é de uma fonte diferente e não deve ser confiável até que você tenha clicado ou interagido de alguma forma para mostrar que pretendia ser há.
Se os elementos ofensivos da página foram incorporados em um iframe ou outro método que corresponda à fonte e destino dos dados, a automação desse exploit (e sim, vou chamá-lo de exploit) não trabalhos.
Uma lista de sites conhecidos que incorporam scripts que abusam do gerenciador de login para rastreamento
Há uma grande chance de que os editores da web que usam serviços de anúncios que exploram esse comportamento não tenham ideia do que está acontecendo com seus usuários. Embora isso não os isente de responsabilidade, em última análise, seu produto está sendo usado para coletar dados de usuários sem o seu conhecimento, e isso deve deixar todos os administradores de sites preocupados (e possivelmente muito irado). Como usuário, não há muito que possamos fazer além de seguir as mesmas práticas de navegação "anônima" usadas quando queremos nos manter um pouco mais privados na web. Isso significa bloquear todos os scripts, bloquear todos os anúncios, não salvar dados, não aceitar cookies e basicamente tratar cada sessão da web como sua própria sandbox.
A única solução verdadeira é mudar a maneira como os gerenciadores de senhas funcionam por meio do navegador - tanto as ferramentas e extensões integradas quanto outros plug-ins. Arvind Narayanan, um dos professores que trabalharam no projeto, o coloca de forma sucinta:
Não será fácil de consertar, mas vale a pena fazer
Google, Microsoft, Apple e Mozilla moldaram a web no que ela é hoje e são capazes de mudar as coisas para atender a novos problemas. Felizmente, isso está na pequena lista de mudanças.
Estes são os melhores fones de ouvido sem fio que você pode comprar a qualquer preço!
Os melhores fones de ouvido sem fio são confortáveis, têm um som ótimo, não custam muito e cabem facilmente no bolso.
Tudo o que você precisa saber sobre o PS5: data de lançamento, preço e muito mais.
A Sony confirmou oficialmente que está trabalhando no PlayStation 5. Aqui está tudo o que sabemos sobre isso até agora.
A Nokia lança dois novos telefones Android One de baixo custo abaixo de US $ 200.
Nokia 2.4 e Nokia 3.4 são as mais recentes adições à linha de smartphones baratos da HMD Global. Como ambos são dispositivos Android One, eles têm a garantia de receber duas atualizações importantes do sistema operacional e atualizações regulares de segurança por até três anos.
Estas são as melhores bandas para o Fitbit Sense e Versa 3.
Junto com o lançamento do Fitbit Sense e Versa 3, a empresa também lançou novas bandas de infinito. Escolhemos os melhores para tornar as coisas mais fáceis para você.
Jerry Hildenbrand
Jerry é o nerd residente do Mobile Nation e tem orgulho disso. Não há nada que ele não possa desmontar, mas muitas coisas que ele não pode remontar. Você o encontrará em toda a rede Mobile Nations e poderá bateu nele no Twitter se você quiser dizer ei.