Kuidas veebijälgijad paroolide haldureid ära kasutavad

Enamikul veebibrauseritel on sisseehitatud paroolide haldur, mis on põhitööriist sisselogimisandmete salvestamiseks andmebaasi ja vormide täitmiseks ja / või saitidele sisselogimiseks, kasutades andmebaasis olevat teavet.

Kasutajad, kes soovivad rohkem funktsioone, loodavad kolmandate osapoolte paroolihalduritele, nagu LastPass, KeePass või Dashlane. Need paroolihaldurid lisavad funktsionaalsust ja võivad olla installitud brauserilaiendite või töölauaprogrammidena.

Uurimistöö Princetoni infotehnoloogiapoliitika keskusest soovitavad äsja avastatud veebijälgijatel kasutajate jälgimiseks paroolide haldureid kasutada.

Jälgimisskriptid kasutavad ära paroolide haldurite nõrkust. Teadlaste sõnul juhtub järgmine:

  1. Kasutaja külastab veebisaiti, registreerib konto ja salvestab andmed paroolide haldurisse.
  2. Jälgimisskript töötab kolmandate osapoolte saitidel. Kui kasutaja saiti külastab, süstitakse sisselogimisvormid saidile nähtamatult.
  3. Brauseri paroolide haldur täidab andmed, kui paroolide halduris leitakse sobiv sait.
  4. Skript tuvastab kasutajanime, räsib seda ja saadab selle kasutaja jälgimiseks kolmanda osapoole serveritesse.

Järgmine graafiline esitus visualiseerib töövoo.

password manager web tracker exploit

Teadlased analüüsisid kahte erinevat skripti, mis on loodud paroolide haldurite kasutamiseks, et saada kasutajate kohta tuvastatavat teavet. Kaks skripti, AdThink ja OnAudience, sisestavad veebilehtedele nähtamatuid sisselogimisvorme, et laadida alla brauseri paroolihalduri tagastatud kasutajanime andmed.

Skript arvutab räsi ja saadab need räsi kolmanda osapoole serveritesse. Räsi kasutatakse saitide kasutajate jälgimiseks ilma küpsiste või kasutajate jälgimise muude vormideta.

Kasutajate jälgimine on veebireklaamide üks pühamaid tegusid. Ettevõtted kasutavad andmeid kasutajaprofiilide loomiseks, mis registreerivad kasutajate huve, lähtudes paljudest teguritest, näiteks külastatud saitide põhjal - sport, meelelahutus, poliitika, teadus - või kust kasutaja loob Interneti-ühenduse.

Skriptid, mida teadlased analüüsisid, keskenduvad kasutajanimele. Miski ei takista ka teisi skripte parooliandmete tõmbamast - midagi, mida pahatahtlikud skriptid on juba varem proovinud.

Teadlased analüüsisid 50 000 veebisaiti ja ühelgi neist ei leitud paroolide kustutamise jälgi. Nad leidsid siiski jälgimisskriptid 1 100 populaarseima Alexa veebisaidi seast.

Kasutatakse järgmisi skripte:

  • AdThink: https://static.audienceinsights.net/t.js
  • OnAudience: http://api.behavioralengine.com/scripts/be-init.js

AdThink

opt-out tracking

Adthinki skript sisaldab väga üksikasjalikke kategooriaid isiklike, rahaliste, füüsiliste omaduste, aga ka kavatsuste, huvide ja demograafiliste näitajate osas.

Teadlased kirjeldavad skripti funktsionaalsust järgmiselt:

  1. Skript loeb e-posti aadressi ja saadab MD5, SHA1 ja SHA256 räsi saidile security.audiencesights.net.
  2. Teine taotlus saadab e-posti aadressi MD5 räsi andmemaaklerile Acxiom (p-eu.acxiom-online.com)

Interneti-kasutajad saavad jälgida jälgimise olekut ja loobuda andmete kogumisest saidil sellel lehel .

OnAudience

OnAudience skript on „kõige sagedamini esinev Poola veebisaitidel”.

  1. Skript arvutab e-posti aadresside MD5 räsi ja ka muud brauseri andmed, mida tavaliselt kasutatakse sõrmejälgede võtmiseks (MIME tüübid, pistikprogrammid, ekraani mõõtmed, keel, ajavöönditeave, kasutajaagendi string, OS ja CPU teave).
  2. Andmete põhjal genereeritakse veel üks räsi.

Kaitse sisselogimisvormi veebi jälgimise eest

Kasutajad saavad installida sisublokeerijad, et blokeerida taotlused ülalnimetatud domeenidele. EasyPrivacy nimekiri juba teeb seda, kuid URL-ide lisamine musta nimekirja käsitsi on piisavalt lihtne.

Teine kaitse on sisselogimisandmete automaatse täitmise keelamine. Firefoxi kasutajad saavad automaatse täitmise keelamiseks seada eelistuse järgmistes kohtades: config? Filter = signon.autofillForms.

Sõnade sulgemine

Kas reklaami kirjastamine kühveldab oma haua? Sissetungivad jälgimisskriptid on veel üks põhjus, miks kasutajad saavad veebibrauseritesse reklaami- ja sisublokeerijad installida.

Jah, sellel saidil on ka reklaame. Soovin, et oleks veel üks võimalus iseseisva saidi haldamiseks või ettevõte, mis pakuks omamaiseid reklaamilahendusi, mis töötavad ainult serveris, kus sait töötab, ega vaja kolmandate osapoolte ühendusi ega kasuta jälgimist.

Saate meid toetada läbi Patreon , PayPal , või jättes kommentaari / levitades sõna Internetis.