Есть несколько вещей, которые вы услышите в каждом разговоре об интернет-безопасности; Одним из первых будет использование менеджера паролей. Я сказал это, большинство моих коллег сказали это, и есть вероятность, что вы сказали это, помогая кому-то еще разобраться в том, как сохранить свои данные в целости и сохранности. Это по-прежнему хороший совет, но недавнее исследование Центра политики информационных технологий Принстонского университета показало, что менеджер паролей в вашем веб-браузере, который вы можете использовать для обеспечения конфиденциальности вашей информации, также помогает рекламным компаниям отслеживать вас в Интернете.
Это пугающий сценарий со всех сторон, в основном потому, что его будет нелегко исправить. Происходит не кража каких-либо учетных данных - рекламной компании не нужны ваши имя пользователя и пароль - но поведение, которое использует менеджер паролей, эксплуатируется очень простым способом. Рекламная компания размещает на странице сценарий (два из которых называются AdThink и OnAudience), который действует как форма входа в систему. Это не настоящая форма входа в систему, поскольку она не будет связывать вас с какой-либо службой, это просто сценарий входа в систему.
Когда ваш менеджер паролей видит форму входа, он вводит имя пользователя. Были протестированы следующие браузеры: Firefox, Chrome, Internet Explorer, Edge и Safari. Например, Chrome не будет вводить пароль до тех пор, пока пользователь не будет взаимодействовать с формой, но он вводит имя пользователя автоматически. Это нормально, потому что это все, что скрипт хочет или нуждается. Другие браузеры вели себя так же, как и ожидалось.
Как только ваше имя пользователя введено, оно и ваш идентификатор браузера хешируются в уникальный идентификатор. Вам не нужно ничего сохранять на вашем компьютере или телефоне, потому что в следующий раз, когда вы посещаете сайт, который использует ту же рекламную компанию, вы получаете другой скрипт, действующий в качестве формы входа, и ваше имя пользователя снова вводится. Данные сравниваются с тем, что находится в файле, и, в общем, уникальный идентификатор был прикреплен к вам и может (и используется) использоваться для отслеживания вас в Интернете. И это работает, потому что это ожидаемое и «доверенное» поведение. Помимо дорожной карты ваших интернет-привычек, данные, которые будут прикреплены к этому UUID, также включают в себя плагины для браузера, типы MIME, размеры экрана, язык, информацию о часовом поясе, строку агента пользователя, информацию об ОС и информацию о процессоре.
Набор эвристик, используемых для определения того, какие формы входа будут автоматически заполняться, зависит от браузера, но основное требование заключается в том, чтобы были доступны поля имени пользователя и пароля.
Это работает из-за того, что известно как та же политика происхождения. Когда представлен контент из двух разных источников, ему нельзя доверять, но как только источнику доверяют, весь контент для текущего сеанса также является доверенным (доверие в этом смысле означает, что вы целенаправленно просматриваете контент или взаимодействуете с ним). Вы направили свой браузер на веб-страницу и взаимодействовали с формой входа на этой странице, поэтому все это считается доверенным, пока вы находитесь на странице. В этом случае, однако, скрипт был встроен в страницу, но на самом деле он из другого источника, и ему нельзя доверять, пока вы не нажали или не взаимодействовали каким-либо образом, чтобы показать, что вы собираетесь быть там.
Если нарушающие элементы страницы были встроены в iframe или другой метод, который соответствует источнику и месту назначения данных, автоматическое использование этого эксплойта (и да, я буду называть это эксплойтом) не будет работать.
Список известных сайтов, встраивающих скрипты, которые злоупотребляют менеджером входа для отслеживания
Есть очень хороший шанс, что веб-издатели, использующие рекламные сервисы, использующие это поведение, не имеют представления о том, что происходит с их пользователями. Хотя это не освобождает их от ответственности, в конечном счете их продукт используется для сбора данных от пользователей без их ведома, и это должно заинтересовать каждого администратора сайта (и, возможно, очень разозлить). Как пользователь, мы мало что можем сделать, кроме как следовать тем же «инкогнито» методам просмотра веб-страниц, которые используются, когда мы хотим оставаться немного более приватными в Интернете. Это означает, что нужно заблокировать все сценарии, заблокировать все объявления, не сохранять данные, не принимать файлы cookie и, в основном, рассматривать каждую веб-сессию как свою собственную изолированную программную среду
Единственное верное решение - изменить работу менеджеров паролей через браузер - как встроенные инструменты, так и расширения или другие плагины. Арвинд Нараянан, один из профессоров, которые работали над проектом, кратко описывает его:
Это не будет легко исправить, но это стоит сделать
Google, Microsoft, Apple и Mozilla - все они превратили Интернет в то, чем он является сегодня, и они способны изменять вещи для решения новых задач. Надеюсь, это в кратком списке изменений.
