Есть несколько вещей, которые вы услышите в каждом разговоре об интернет-безопасности; Одним из первых будет использование менеджера паролей. Я сказал это, большинство моих коллег сказали это, и есть вероятность, что вы сказали это, помогая кому-то еще разобраться в способах обеспечения безопасности и надежности своих данных. Это по-прежнему хороший совет, но недавнее исследование Центра политики информационных технологий Принстонского университета показало, что менеджер паролей в вашем веб-браузере, который вы можете использовать для сохранения конфиденциальности вашей информации, также помогает рекламным компаниям отслеживать вас в Интернете.
Это пугающий сценарий со всех сторон, в основном потому, что его будет нелегко исправить. Дело не в краже каких-либо учетных данных — рекламной компании не нужны ваши имя пользователя и пароль — но поведение, которое использует менеджер паролей, эксплуатируется очень простым способом. Рекламная компания размещает на странице сценарий (два из которых называются AdThink и OnAudience), который действует как форма входа в систему. Это не настоящая форма входа в систему, так как она не собирается связывать вас с какой-либо службой, это просто сценарий входа в систему.
Когда ваш менеджер паролей видит форму входа, он вводит имя пользователя. Были протестированы следующие браузеры: Firefox, Chrome, Internet Explorer, Edge и Safari. Например, Chrome не будет вводить пароль до тех пор, пока пользователь не будет взаимодействовать с формой, но он вводит имя пользователя автоматически. Это нормально, потому что это все, что скрипт хочет или нуждается. Другие браузеры вели себя так же, как и ожидалось.
Как только ваше имя пользователя введено, оно и ваш идентификатор браузера хешируются в уникальный идентификатор. Вам не нужно ничего сохранять на вашем компьютере или телефоне, потому что в следующий раз, когда вы посещаете сайт, который использует ту же рекламную компанию, вы получаете другой скрипт, действующий в качестве формы входа, и ваше имя пользователя снова вводится. Данные сравниваются с тем, что находится в файле, и, в общем, уникальный идентификатор был прикреплен к вам и может (и используется) использоваться для отслеживания вас в Интернете. И это работает, потому что это ожидаемое и «доверенное» поведение. Помимо дорожной карты ваших интернет-привычек, данные, которые будут прикреплены к этому UUID, также включают подключаемые модули браузера, типы MIME, размеры экрана, язык, информацию о часовом поясе, строку с пользовательским агентом, информацию об ОС и информацию о процессоре.
Набор эвристик, используемых для определения того, какие формы входа будут автоматически заполняться, зависит от браузера, но основное требование заключается в том, чтобы поле имени пользователя и пароль были доступны.
Это работает из-за того, что известно как та же политика происхождения . Когда представлен контент из двух разных источников, ему нельзя доверять, но как только источнику доверяют, весь контент для текущего сеанса также является доверенным (доверие в этом смысле означает, что вы целенаправленно просматриваете контент или взаимодействуете с ним). Вы направили свой браузер на веб-страницу и взаимодействовали с формой входа на этой странице, поэтому все это считается доверенным, пока вы находитесь на странице. В этом случае, однако, скрипт был встроен в страницу, но на самом деле он из другого источника, и ему не следует доверять, пока вы не нажали или не взаимодействовали каким-либо образом, чтобы показать, что вы собираетесь быть там.
Если нарушающие элементы страницы были встроены в iframe или другой метод, который соответствует источнику и месту назначения данных, автоматическое использование этого эксплойта (и да, я буду называть это эксплойтом) не будет работать.
Существует очень хороший шанс, что веб-издатели, использующие рекламные сервисы, использующие такое поведение, не имеют представления о том, что происходит с их пользователями. Хотя это не освобождает их от ответственности, в конечном итоге именно их продукт используется для сбора данных от пользователей без их ведома, и это должно заинтересовать каждого администратора сайта (и, возможно, очень разозлить). Как пользователь, мы мало что можем сделать, кроме как следовать тем же «инкогнито» методам просмотра веб-страниц, которые используются, когда мы хотим оставаться немного более приватными в Интернете. Это означает, что нужно заблокировать все сценарии, заблокировать все объявления, не сохранять данные, не принимать файлы cookie и, в основном, рассматривать каждую веб-сессию как свою собственную изолированную программную среду.
Единственное верное решение — изменить работу менеджеров паролей через браузер — как встроенные инструменты, так и расширения или другие плагины. Арвинд Нараянан, один из профессоров, которые работали над проектом, кратко описывает его:
Это будет нелегко исправить, но это стоит сделать
Google, Microsoft, Apple и Mozilla — все они превратили Интернет в то, чем он является сегодня, и они способны изменить положение вещей для решения новых задач. Надеюсь, это в кратком списке изменений.