Статья

Диспетчер паролей вашего веб-браузера помогает рекламным компаниям отслеживать вас в Интернете.

protection click fraud

В каждом разговоре об интернет-безопасности вы услышите несколько вещей; один из первых - использовать менеджер паролей. Я сказал это, большинство моих коллег сказали это, и, скорее всего, ты сказал это, помогая кому-то еще разобраться, как сохранить свои данные в целости и сохранности. Это по-прежнему хороший совет, но недавнее исследование Центр политики в области информационных технологий Принстонского университета обнаружил, что менеджер паролей в вашем веб-браузере, который вы можете использовать для сохранения конфиденциальности вашей информации, также помогает рекламным компаниям отслеживать вас в Интернете.

Это пугающий сценарий со всех сторон, в основном потому, что исправить его будет нелегко. Происходит не кража каких-либо учетных данных - рекламной компании не нужны ваши имя пользователя и пароль, - но поведение, которое использует менеджер паролей, используется очень простым способом. Рекламная компания размещает на странице скрипт (два из них называются по имени AdThink и OnAudience), который действует как форма входа. Это не настоящая форма входа в систему, так как она не будет связывать вас с какой-либо службой, это «просто» сценарий входа в систему.

Verizon предлагает Pixel 4a всего за 10 долларов в месяц на новых безлимитных линиях

Когда ваш менеджер паролей видит форму входа, он вводит имя пользователя. Были протестированы следующие браузеры: Firefox, Chrome, Internet Explorer, Edge и Safari. Например, Chrome не будет вводить пароль, пока пользователь не взаимодействует с формой, но он вводит имя пользователя автоматически. Это нормально, потому что это все, что нужно или нужно сценарию. Другие браузеры вели себя так же, как и ожидалось.

Как только ваше имя пользователя введено, оно и ваш идентификатор браузера хешируются в уникальный идентификатор. Вам не нужно ничего сохранять на своем компьютере или телефоне, потому что в следующий раз, когда вы посетите сайт, используя ту же рекламную компанию, вы получаете другой скрипт, действующий как форму входа, и ваше имя пользователя снова поступил. Данные сравниваются с тем, что находится в файле, и, вуаля, к вам был прикреплен уникальный идентификатор, который может использоваться (и используется) для отслеживания вас в Интернете. И это работает, потому что это ожидаемое и «надежное» поведение. Помимо дорожной карты ваших привычек в Интернете, данные, прикрепленные к этому UUID, также включают плагины для браузера, Типы MIME, размеры экрана, язык, информация о часовом поясе, строка пользовательского агента, информация об ОС и ЦП Информация.

Набор эвристик, используемых для определения того, какие формы входа будут заполняться автоматически, зависит от браузера, но основное требование - наличие поля имени пользователя и пароля.

Это работает из-за того, что известно как Та же политика происхождения. Когда представлен контент из двух разных источников, ему не следует доверять, но как только источник становится доверенным, весь контент для текущий сеанс также является доверенным (доверие в этом смысле означает, что вы целенаправленно просматриваете или взаимодействуете с содержание). Вы направили свой браузер на веб-страницу и взаимодействовали с формой входа на этой странице, поэтому все это считается доверенным, пока вы находитесь на странице. Однако в этом случае скрипт был встроен в страницу, но на самом деле из другого источника. и не следует доверять до тех пор, пока вы не нажмете или не взаимодействуете каким-либо образом, чтобы показать, что вы собираетесь там.

Если нарушающие элементы страницы были встроены в iframe или другой метод, соответствующий источнику и место назначения данных, автоматичность этого эксплойта (и да, я назову это эксплойтом) не работай.

Список известных сайтов, встраивающих скрипты, которые злоупотребляют диспетчером входа для отслеживания

Очень велика вероятность, что веб-издатели, использующие рекламные службы, которые используют это поведение, не имеют представления о том, что происходит с их пользователями. Хотя это не освобождает их от ответственности, в конечном итоге их продукт используется для сбора данных. от пользователей без их ведома, и это должно заинтересовать каждого администратора сайта (и, возможно, очень разгневанный). Как пользователь, мы мало что можем сделать, кроме как следовать той же практике просмотра веб-страниц «инкогнито», которая используется, когда мы хотим оставаться в сети немного более конфиденциальными. Это означает блокировать все скрипты, блокировать всю рекламу, не сохранять данные, не принимать файлы cookie и в основном рассматривать каждый веб-сеанс как отдельную песочницу.

Единственное верное решение - изменить способ работы менеджеров паролей через браузер - как встроенные инструменты, так и расширения или другие плагины. Арвинд Нараянан, один из профессоров, работавших над проектом, кратко об этом говорит:

Исправить будет непросто, но это стоит сделать

Google, Microsoft, Apple и Mozilla превратили Интернет в то, чем он является сегодня, и они способны менять вещи, чтобы решать новые задачи. Надеюсь, это краткий список изменений.

Это лучшие беспроводные наушники, которые вы можете купить по любой цене!
Пора перерезать шнур!

Это лучшие беспроводные наушники, которые вы можете купить по любой цене!

Лучшие беспроводные наушники удобны, отлично звучат, не стоят слишком дорого и легко помещаются в кармане.

Все, что вам нужно знать о PS5: дата выхода, цена и многое другое
Следующее поколение

Все, что вам нужно знать о PS5: дата выхода, цена и многое другое.

Sony официально подтвердила, что работает над PlayStation 5. Вот все, что мы знаем об этом на данный момент.

Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов
Новые Нокиас

Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов.

Nokia 2.4 и Nokia 3.4 - последние дополнения к линейке бюджетных смартфонов HMD Global. Поскольку оба они являются устройствами Android One, они гарантированно получат два основных обновления ОС и регулярные обновления безопасности на срок до трех лет.

Это лучшие ремешки для Fitbit Sense и Versa 3.
Новый и улучшенный

Это лучшие ремешки для Fitbit Sense и Versa 3.

Наряду с выпуском Fitbit Sense и Versa 3 компания также представила новые бесконечные ремешки. Мы выбрали лучшие, чтобы вам было проще.

Джерри Хильденбранд

Джерри является постоянным ботаником Mobile Nation и гордится этим. Нет ничего, что он не мог бы разобрать, но многие вещи он не мог бы собрать заново. Вы найдете его в сети Mobile Nations и сможете напиши ему в Твиттере если хочешь поздороваться.

instagram story viewer