У кожній розмові про безпеку Інтернету ви почуєте кілька речей; одним із перших було б використання менеджера паролів. Я вже це сказав, більшість моїх колег сказали це, і, швидше за все, ви це сказали, допомагаючи комусь іншому розібратися в способах збереження своїх даних безпечними та надійними. Це все-таки хороша порада, але недавнє дослідження Центру політики інформаційних технологій університету Принстона виявило, що менеджер паролів у вашому веб-браузері, який ви можете використовувати для збереження приватної інформації, також допомагає рекламним компаніям відстежувати вас у мережі.
Це страхітливий сценарій з усіх боків, здебільшого тому, що це неможливо буде легко виправити. Те, що відбувається, не є крадіжкою будь-яких облікових даних - рекламна компанія не хоче вашого імені користувача та пароля, але поведінка, яку використовує менеджер паролів, використовується дуже просто. Рекламна компанія розміщує сценарій на сторінці (два названі по імені - AdThink та OnAudience), який виступає як форма для входу. Це не реальна форма для входу, оскільки вона не збирається підключати вас до будь-якої служби, це "просто" сценарій входу.
Коли менеджер паролів побачить форму для входу, він вводить ім’я користувача. Тестовані браузери: Firefox, Chrome, Internet Explorer, Edge та Safari. Наприклад, Chrome не вводить пароль, поки користувач не взаємодіє з формою, але автоматично введе ім’я користувача. Це добре, тому що це все, що хоче або потребує сценарій. Інші браузери поводилися так само, як і очікувалося.
Після введення вашого імені користувача воно та ідентифікатор вашого браузера хешируются в унікальний ідентифікатор. Вам не потрібно нічого зберігати на своєму комп’ютері чи телефоні, оскільки наступного разу, коли ви відвідуєте веб-сайт, який використовує ту саму рекламну компанію, ви отримуєте інший скрипт, який виступає в якості форми для входу, і ваше ім'я користувача знову вводиться. Дані порівнюються з наявними у файлі, і et voilà до вас приєднано унікальний ідентифікатор, який може бути (і використовується) для відстеження вас у мережі. І це працює, тому що така очікувана і "довірена" поведінка. Окрім дорожньої карти ваших звичок до Інтернету, до даних, що виявляються приєднаними до цього UUID, також входять плагіни браузера, типи MIME, розміри екрана, мова, інформація про часовий пояс, рядок агента користувача, інформація про ОС та інформація про процесор.
Набір евристики, який використовується для визначення того, які форми входу будуть автоматично заповнені, залежить від браузера, але основна вимога полягає у тому, щоб поля для імені користувача та пароля були доступними
Він працює через те, що відоме як та сама політика щодо походження. Коли вміст із двох різних джерел представлений, йому не слід довіряти, але, коли джерелу довіряють, також слід довіряти усьому вмісту для поточного сеансу (довіра в цьому сенсі означає, що ви цілеспрямовано переглядаєте або взаємодієте з вмістом). Ви скеровували веб-переглядач на веб-сторінку та взаємодіяли з формою для входу на цій сторінці, тому все вважається довіреним, коли ви знаходитесь на цій сторінці. Однак у цьому випадку сценарій вбудований у сторінку, але насправді є з іншого джерела, і йому не слід довіряти, поки ви не натиснули або не взаємодіяли певним чином, щоб показати, що ви бажаєте бути там.
Якби елементи сторінки-порушника були вбудовані в рамку iframe або інший метод, який відповідає джерелу та призначенню даних, автоматична функція цього подвигу (і так, я називаю це експлуатуванням) не працювала б.
Список відомих сайтів із вбудованими скриптами, які зловживають менеджером входу для відстеження
Є дуже хороший шанс, що веб-видавці, які використовують рекламні сервіси, що використовують цю поведінку, не мають уявлення про те, що відбувається з їх користувачами. Хоча це не звільняє їх від відповідальності, в кінцевому рахунку їхній продукт використовується для збирання даних у користувачів без їх відома, і це повинно зробити кожного адміністратора сайту (і, можливо, дуже нерозумним). Як користувач, ми не можемо зробити нічого іншого, крім того, щоб дотримуватися тих самих "інкогніто" практик перегляду веб-сторінок, які використовуються, коли ми хочемо залишатися трохи більш приватними в Інтернеті. Це означає блокувати всі сценарії, блокувати всі оголошення, не зберігати даних, не приймати файлів cookie та в основному трактувати кожну веб-сесію як свою власну пісочну скриньку.
Єдине справжнє виправлення - змінити спосіб роботи менеджерів паролів через браузер - як вбудовані інструменти, так і розширення чи інші плагіни. Арвінд Нараянан, один із професорів, які працювали над проектом, говорить про це лаконічно:
Виправити це буде непросто, але це варто зробити
Google, Microsoft, Apple і Mozilla все це перетворило Інтернет в те, що воно є сьогодні, і вони здатні змінити речі для вирішення нових проблем. Сподіваємось, це є у короткому списку змін.
