Logo iw.androidermagazine.com
Logo iw.androidermagazine.com
» חדשות
חדשות

מנהל הסיסמאות של דפדפן האינטרנט שלך מסייע לחברות מודעות לעקוב אחריך ברחבי האינטרנט

מנהל הסיסמאות של דפדפן האינטרנט שלך מסייע לחברות מודעות לעקוב אחריך ברחבי האינטרנט
Anonim

ישנם כמה דברים שתשמעו בכל שיחה על אבטחת אינטרנט; אחד הראשונים יהיה להשתמש במנהל סיסמאות. אמרתי את זה, רוב חברי לעבודה אמרו את זה, ורוב הסיכויים שאמרת את זה תוך כדי עזרה למישהו אחר למיין דרכים לשמור על נתונים בריאים ושלמים. זו עדיין עצה טובה, אך מחקר שנערך לאחרונה מהמרכז למדיניות טכנולוגיית המידע של אוניברסיטת פרינסטון מצא כי מנהל הסיסמאות בדפדפן האינטרנט שלך בו תוכל להשתמש כדי לשמור על פרטיות המידע שלך, מסייע גם לחברות מודעות לעקוב אחריך ברחבי האינטרנט.

זה תרחיש מפחיד מכל עבר, בעיקר בגלל שזה לא יהיה קל לתקן. מה שקורה אינו גניבת אישורים כלשהם - חברת מודעות לא רוצה את שם המשתמש והסיסמה שלך - אבל ההתנהגות שמנהל סיסמאות משתמש בה מנוצלת בצורה מאוד פשוטה. חברת מודעות מציבה סקריפט בדף (שניים שקוראים בשמם הם AdThink ו- OnAudience) המשמשת כטופס כניסה. זה לא טופס כניסה אמיתי, כמו שהוא לא הולך לחבר אותך לשירות כלשהו, ​​זה "רק" סקריפט כניסה.

כאשר מנהל הסיסמאות שלך רואה טופס התחברות, הוא מזין שם משתמש. הדפדפנים שנבדקו היו: Firefox, Chrome, Internet Explorer, Edge ו- Safari. Chrome, למשל, לא יזין את הסיסמה עד שהמשתמש יתקשר עם הטופס, אך הוא יזין שם משתמש באופן אוטומטי. זה בסדר כי זה כל מה שהתסריט רוצה או צריך. דפדפנים אחרים התנהגו כך, כצפוי.

לאחר הזנת שם המשתמש שלך, זה ומזהה הדפדפן שלך מתחלפים למזהה ייחודי. אינך צריך לשמור דבר במחשב או בטלפון כי בפעם הבאה שאתה מבקר באתר שמשתמש באותה חברת מודעות אתה מקבל סקריפט אחר שמשמש כטופס התחברות ושם המשתמש שלך נכנס שוב. הנתונים משווים למה שקובץ, ו- et voilà מזהה ייחודי צורף אליך ויכול לשמש (ונמצא בשימוש) כדי לעקוב אחרך ברחבי הרשת. וזה עובד כי זו התנהגות צפויה ו"אמינה ". מלבד מפת דרכים של הרגלי האינטרנט שלך, נתונים שנמצאו מצורפים ל- UUID זה כוללים גם תוספים לדפדפן, סוגי MIME, מידות מסך, שפה, מידע על אזור זמן, מחרוזת סוכן משתמשים, מידע על מערכת הפעלה ומידע על מעבד.

מערכת היוריסטיקות המשמשת לקביעת אילו טופסי כניסה למילוי אוטומטי משתנה לפי הדפדפן, אך הדרישה הבסיסית היא ששדה משתמש וסיסמא יהיו זמינים

זה עובד בגלל מה שמכונה מדיניות המקור זהה. כאשר מוצג תוכן משני מקורות שונים אין לסמוך עליו, אך ברגע שאמינים על מקור כלשהו ניתן לסמוך על כל התוכן עבור ההפעלה הנוכחית (אמון במובן זה פירושו שאתה מכוון בכוונה או מתקשר עם התוכן). הפנית את הדפדפן שלך לדף אינטרנט וקיימת אינטראקציה עם טופס כניסה בדף זה, כך שכולו מתייחס אליו כאל מהימן כשאתה נמצא בדף. עם זאת, במקרה זה, הסקריפט הוטמע בדף אך הוא למעשה ממקור אחר ואסור לסמוך עליו עד שתלחץ או יצרת אינטראקציה בדרך כלשהי כדי להראות שאתה מתכוון להיות שם.

אם אלמנטים העמודים הפוגעים היו מוטמעים ב- iframe או בשיטה אחרת שתואמת את מקור הנתונים ויעדם, הנכונות האוטומטית של ניצול זה (וכן, אני אקרא לזה ניצול) לא הייתה עובדת.

רשימה של אתרים ידועים המשבצים סקריפטים שעושים שימוש לרעה במנהל הכניסה לצורך מעקב

יש סיכוי טוב מאוד שלבעלי אתרים המשתמשים בשירותי מודעות המנצלים התנהגות זו אין מושג מה קורה למשתמשים שלהם. אמנם זה לא פוטר אותם מאחריות, אך בסופו של דבר המוצר שלהם משמש לקטיף נתונים ממשתמשים ללא ידיעתם, וזה אמור לגרום לכל מנהל אתר מודאג (ואולי גם להכעיס מאוד). כמשתמש, אין הרבה מה שאנחנו יכולים לעשות מלבד לבצע את אותם נוהגי גלישה "גלישה בסתר" המשמשים כשאנו רוצים להישאר קצת יותר פרטיים באינטרנט. זה אומר לחסום את כל הסקריפטים, לחסום את כל המודעות, לא לשמור נתונים, לא לקבל שום עוגיות ובעצם להתייחס לכל סשן אינטרנט כארגז חול משלו.

התיקון האמיתי היחיד הוא לשנות את אופן הפעולה של מנהלי סיסמאות דרך הדפדפן - גם כלים מובנים וגם תוספים או תוספים אחרים. ארווינד נראיינן, אחד הפרופסורים שעבדו על הפרויקט, מנסח זאת בתמציתיות:

זה לא יהיה קל לתקן, אבל כדאי לעשות זאת

גוגל, מיקרוסופט, אפל ומוזילה עיצבו כולם את האינטרנט למה שהוא היום, והם מסוגלים לשנות דברים כדי לענות על סוגיות חדשות. יש לקוות שזה ברשימת השינויים הקצרה.

חדשות

בחירת העורכים