Има няколко неща, които ще чуете във всеки разговор за интернет сигурността; едно от първите би било използването на мениджър на пароли. Казал съм го, повечето мои колеги са го казали и има вероятност да сте го казали, докато помагате на някой друг да подреди начините да запазят данните и сигурността си. Това все още е добър съвет, но скорошно проучване на Центъра за политика на информационните технологии на университета Принстън установи, че мениджърът на пароли във вашия уеб браузър, който може да използвате, за да запазите информацията си, също помага на рекламните компании да ви проследят в мрежата.
Това е плашещ сценарий от всички страни, най-вече защото няма да е лесно да се поправи. Това, което се случва, не е кражба на никакви пълномощни данни - рекламна компания не иска вашето потребителско име и парола - но поведението, което използва мениджърът на пароли, се експлоатира по много прост начин. Рекламна компания поставя скрипт на страница (две извикани по име са AdThink и OnAudience), която действа като форма за вход. Това не е истинска форма за вход, тъй като в това няма да ви свързва с никоя услуга, а е "просто" скрипт за вход.
Когато мениджърът ви на пароли вижда форма за вход, той въвежда потребителско име. Тестваните браузъри са: Firefox, Chrome, Internet Explorer, Edge и Safari. Chrome, например, няма да въведе паролата, докато потребителят не взаимодейства с формата, но автоматично въведе потребителско име. Това е добре, защото това е всичко, което сценарият иска или има нужда. Други браузъри се държаха същото, както се очакваше.
След като вашето потребителско име е въведено, то и идентификаторът на браузъра ви се хешират в уникален идентификатор. Не е необходимо да запазвате нищо на вашия компютър или телефон, защото следващия път, когато посетите сайт, който използва същата рекламна компания, получавате друг скрипт, действащ като форма за вход, и вашето потребителско име отново се въвежда. Данните се сравняват с това, което се съдържа във файла и et voilà е прикрепен към вас уникален идентификатор и може да бъде (и се използва), за да ви проследява в мрежата. И това работи, защото това се очаква и "доверено" поведение. Освен пътна карта на вашите навици в интернет, данните, които са прикачени към този UUID, включват също плъгини за браузъра, MIME типове, размери на екрана, език, информация за часови зони, низ на потребителски агент, информация за ОС и информация за процесора.
Наборът от евристики, използвани за определяне на кои форми за вход ще бъдат автоматично попълнени, варира в зависимост от браузъра, но основното изискване е полето за потребителско име и парола да са на разположение
Тя работи поради това, което е известно като една и съща политика за произход. Когато е представено съдържание от два различни източника, не трябва да му се вярва, но след като на източник се вярва цялото съдържание за текущата сесия също се вярва (доверието в този смисъл означава, че целенасочено разглеждате или взаимодействате със съдържанието). Насочихте браузъра си към уеб страница и взаимодействате с форма за вход на тази страница, така че всичко се третира като доверено, докато сте на страницата. В този случай обаче скриптът е вграден в страница, но всъщност е от друг източник и не трябва да му се вярва, докато не кликнете или взаимодействате по някакъв начин, за да покажете, че възнамерявате да сте там.
Ако елементите на нарушаващата страница бяха вградени в рамка или друг метод, който съответства на източника и местоназначението на данните, автоматичността на този експлоатация (и да, ще го нарека експлоатация) няма да работи.
Списък на известни сайтове, вграждащи скриптове, които злоупотребяват с мениджъра за вход за проследяване
Има много добър шанс уеб издателите, използващи рекламни услуги, които използват това поведение, да нямат представа какво се случва с техните потребители. Въпреки че това не ги освобождава от отговорност, в крайна сметка техният продукт се използва за събиране на данни от потребители без тяхното знание и това би трябвало да направи всеки засегнат администратор на сайта (и евентуално много неприятен). Като потребител, не можем да направим друго, освен да следваме същите практики „инкогнито“ за сърфиране, използвани в интернет, когато искаме да останем малко по-частни в мрежата. Това означава да блокирате всички скриптове, да блокирате всички реклами, да запазвате никакви данни, да не приемате бисквитки и по принцип да третирате всяка уеб сесия като своя пясъчна кутия.
Единственото истинско поправяне е да промените начина, по който мениджърите на пароли работят през браузъра - както вградени инструменти, така и разширения или други плъгини. Арвинд Нараян, един от преподавателите, работили по проекта, го заявява кратко:
Няма да е лесно да се поправи, но си струва да се направи
Google, Microsoft, Apple и Mozilla всички превърнаха мрежата в това, което е днес, и те са в състояние да променят нещата, за да посрещнат новите проблеми. Да се надяваме, че това е в краткия списък с промени.
