Există câteva lucruri pe care le vei auzi în fiecare conversație despre securitatea internetului; unul dintre primele ar fi utilizarea unui manager de parole. Am spus-o, majoritatea colegilor mei au spus-o, iar șansele sunt că ai spus-o în timp ce ajuți pe altcineva să stabilească modalități de a-și păstra datele în condiții de siguranță și de sunet. Încă este un sfat bun, dar un studiu recent realizat de Centrul pentru Politica Tehnologiei Informației al Universității Princeton a descoperit că managerul de parole din browserul dvs. web pe care îl puteți utiliza pentru a păstra informațiile private este de asemenea ajutând companiile de anunțuri să vă urmărească pe web.
Este un scenariu înfricoșător din toate părțile, mai ales că nu va fi ușor de remediat. Ceea ce se întâmplă nu este sustragerea niciunui acreditar - o companie publicitară nu dorește numele de utilizator și parola dvs., dar comportamentul pe care îl folosește un manager de parole este exploatat într-un mod foarte simplu. O companie publicitară plasează un script pe o pagină (două numite numit AdThink și OnAudience) care acționează ca un formular de autentificare. Nu este un formular de autentificare real, întrucât nu vă va conecta la niciun serviciu, ci „doar” un script de conectare.
Când managerul dvs. de parolă vede un formular de conectare, acesta introduce un nume de utilizator. Navigatoarele testate au fost: Firefox, Chrome, Internet Explorer, Edge și Safari. Chrome, de exemplu, nu va introduce parola până când utilizatorul interacționează cu formularul, ci introduce automat un nume de utilizator. E în regulă pentru că asta este tot ce vrea sau are nevoie scenariul. Alte browsere s-au comportat la fel, așa cum era de așteptat.
Odată ce numele dvs. de utilizator este introdus, acesta și ID-ul browserului dvs. s-au integrat într-un identificator unic. Nu trebuie să salvați nimic pe computer sau telefon, deoarece data viitoare când vizitați un site care utilizează aceeași companie de anunțuri, primiți un alt script care funcționează ca formular de autentificare și numele dvs. de utilizator este din nou introdus. Datele sunt comparate cu cele din fișier și et voilà a fost atașat un identificator unic și poate fi (și este) folosit pentru a vă urmări pe web. Și acest lucru funcționează pentru că acest lucru este de așteptat și un comportament „de încredere”. Pe lângă o foaie de parcurs a obiceiurilor dvs. de internet, datele găsite a fi atașate la acest UUID includ, de asemenea, pluginuri pentru browser, tipuri MIME, dimensiuni ecran, limbă, informații despre fusul orar, șir de agent utilizator, informații despre sistem de operare și informații despre procesor.
Setul de euristică utilizat pentru a determina ce formulare de autentificare vor fi completate automat variază în funcție de browser, dar cerința de bază este ca un nume de utilizator și un câmp de parolă să fie disponibile
Funcționează din cauza a ceea ce este cunoscută drept aceeași politică de origine. Când este prezentat conținut din două surse diferite, acesta nu trebuie să fie de încredere, dar odată ce o sursă este de încredere, tot conținutul pentru sesiunea curentă este, de asemenea, de încredere (încrederea în acest sens înseamnă că vizionezi în mod intenționat sau interacți cu conținutul). Ați direcționat browser-ul dvs. către o pagină web și ați interacționat cu un formular de autentificare de pe pagina respectivă, astfel încât este tratat ca fiind de încredere în timp ce sunteți pe pagină. În acest caz, însă, scriptul a fost încorporat într-o pagină, dar este de fapt dintr-o altă sursă și nu ar trebui să fie de încredere până când nu ați dat clic sau ați interacționat într-un fel pentru a vă arăta că intenționați să fiți acolo.
Dacă elementele paginii care ofensează ar fi încorporate într-un iframe sau o altă metodă care se potrivește cu sursa și destinația datelor, automatizarea acestei exploitări (și da, o voi numi exploit) nu ar funcționa.
O listă de site-uri cunoscute care încorporează scripturi care abuzează managerul de autentificare pentru urmărire
Există o șansă foarte bună ca editorii web care utilizează servicii de publicitate care exploatează acest comportament să nu aibă idee despre ce se întâmplă cu utilizatorii lor. Deși acest lucru nu îi scutește de responsabilitate, produsul lor este folosit în cele din urmă pentru recoltarea datelor de la utilizatori fără cunoștința lor, iar acest lucru ar trebui să facă ca fiecare administrator al site-ului în cauză (și poate foarte irat). Ca utilizator, nu putem face altceva decât să urmăm aceleași practici de navigare web „incognito” utilizate atunci când dorim să rămânem puțin mai private pe web. Asta înseamnă să blocați toate scripturile, să blocați toate reclamele, să nu salvați date, să nu acceptați cookie-uri și să tratați practic fiecare sesiune web ca propria sa sandbox.
Singura soluție adevărată este schimbarea modului în care administratorii de parole funcționează prin browser - atât instrumente încorporate, cât și extensii sau alte plugin-uri. Arvind Narayanan, unul dintre profesorii care au lucrat la proiect, îl afirmă succint:
Nu va fi ușor de remediat, dar merită făcut
Google, Microsoft, Apple și Mozilla au format web pe ceea ce este în prezent și sunt capabili să schimbe lucrurile pentru a face față problemelor noi. Sperăm că aceasta este pe lista scurtă de modificări.
