Ako webové sledovače využívajú manažérov hesiel
- Kategórie: Internet
Väčšina webových prehliadačov sa dodáva so vstavaným správcom hesiel, základným nástrojom na ukladanie prihlasovacích údajov do databázy a vyplňovanie formulárov a / alebo prihlasovanie na webové stránky automaticky pomocou informácií, ktoré sú v databáze.
Používatelia, ktorí chcú viac funkcií, sa spoliehajú na manažérov hesiel tretích strán, ako sú LastPass, KeePass alebo Dashlane. Tieto správcovia hesiel pridávajú funkcie a môžu sa nainštalovať ako rozšírenia prehľadávača alebo programy pre osobné počítače.
výskum z Zásady pre informačné technológie spoločnosti Princeton naznačujú, že novoobjavené webové sledovače využívajú manažérov hesiel na sledovanie používateľov.
Sledovacie skripty využívajú slabinu v správcoch hesiel. Podľa vedcov sa deje toto:
- Používateľ navštívi webovú stránku, zaregistruje účet a uloží údaje do správcu hesiel.
- Sledovací skript sa spúšťa na stránkach tretích strán. Keď používateľ navštívi web, prihlasovacie formuláre sa do stránky neviditeľne vložia.
- Správca hesiel v prehliadači vyplní údaje, ak sa v správcovi hesiel nájde zodpovedajúca stránka.
- Skript deteguje meno používateľa, hashuje ho a odošle ho na servery tretích strán na sledovanie používateľa.
Nasledujúce grafické znázornenie vizualizuje pracovný postup.
Vedci analyzovali dva rôzne skripty navrhnuté tak, aby využívali správcov hesiel na získanie identifikovateľných informácií o užívateľoch. Obidva skripty, AdThink a OnAudience, vložia do webových stránok neviditeľné prihlasovacie formuláre na načítanie údajov používateľského mena, ktoré vracia správca hesiel v prehliadači.
Skript počíta hash a odosiela tieto hash serverom tretích strán. Hash sa používa na sledovanie používateľov naprieč webmi bez použitia súborov cookie alebo iných foriem sledovania používateľov.
Sledovanie používateľov je jednou zo svätých grálov online reklamy. Spoločnosti používajú údaje na vytváranie profilov používateľov, ktoré zaznamenávajú záujmy používateľov na základe mnohých faktorov, napríklad na základe navštívených stránok - šport, zábava, politika, veda - alebo odkiaľ sa používateľ pripája na internet.
Skripty, ktoré vedci analyzovali, sa zameriavajú na používateľské meno. Nič nebráni tomu, aby iné skripty vytiahli aj údaje o heslách, čo však škodlivé skripty vyskúšali už v minulosti.
Vedci analyzovali 50 000 webových stránok a na žiadnom z nich nezistili žiadne stopy po dumpingu hesla. Sledovacie skripty však našli na 1100 z 1 miliónu najvýznamnejších webových stránok Alexa.
Používajú sa nasledujúce skripty:
- AdThink: https://static.audienceinsights.net/t.js
- OnAudience: http://api.behavioralengine.com/scripts/be-init.js
AdThink
Skript Adthink obsahuje veľmi podrobné kategórie týkajúce sa osobných, finančných, fyzických čŕt, ako aj zámerov, záujmov a demografických údajov.
Vedci popisujú funkčnosť skriptu nasledujúcim spôsobom:
- Skript prečíta e-mailovú adresu a pošle hash MD5, SHA1 a SHA256 na adresu secure.audiencesights.net.
- Ďalšia požiadavka pošle hash e-mailovej adresy MD5 na sprostredkovateľa údajov Acxiom (p-eu.acxiom-online.com).
Používatelia internetu môžu skontrolovať stav sledovania a odhlásiť sa zo zhromažďovania údajov táto strana ,
OnAudience
Skript OnAudience je „najbežnejšie dostupný na poľských webových stránkach“.
- Skript počíta hash e-mailových adries MD5 a tiež ďalšie údaje prehliadača bežne používané na snímanie odtlačkov prstov (typy MIME, doplnky, rozmery obrazovky, jazyk, informácie o časovom pásme, reťazec agenta používateľa, informácie o OS a CPU).
- Na základe údajov sa vygeneruje ďalšie hash.
Ochrana pred sledovaním webov prihlasovacieho formulára
Používatelia môžu nainštalovať blokátory obsahu na blokovanie požiadaviek do domén uvedených vyššie. EasyPrivacy zoznam to už robí, ale je ľahké ľahko pridať adresy URL do čiernej listiny manuálne.
Ďalšou obranou je zakázanie automatického dopĺňania prihlasovacích údajov. Používatelia prehliadača Firefox môžu nastaviť predvoľbu about: config? Filter = signon.autofillForms na false na zakázanie automatického dopĺňania.
Záverečné slová
Odvetvuje priemysel vydavateľstva reklamy svoj vlastný hrob? Invazívne sledovacie skripty sú ďalším dôvodom, prečo používatelia inštalujú blokovanie reklám a obsahu do webových prehliadačov.
Áno, táto stránka obsahuje aj reklamy. Prial by som si, aby existovala iná možnosť na spustenie nezávislého webu alebo spoločnosti, ktorá by ponúkala natívne reklamné riešenia, ktoré bežia iba na serveri, na ktorom je spustený, a nevyžadujú pripojenia tretích strán ani nepoužívajú sledovanie.
Môžete nás podporiť Patreon , PayPal alebo zanechať komentár / šíriť slovo na internete.