Paano sinamantala ng mga tracker ng web ang mga tagapamahala ng password

Subukan Ang Aming Instrumento Para Sa Pagtanggal Ng Mga Problema

Karamihan sa mga web browser ay may built-in na password manager, isang pangunahing tool upang mai-save ang data ng pag-login sa isang database at punan ang mga form at / o mag-sign in sa mga site na awtomatikong ginagamit ang impormasyon na nasa database.

Ang mga gumagamit na nais ng higit pang pag-andar ay umaasa sa mga tagapamahala ng password ng third-party tulad ng LastPass, KeePass o Dashlane. Ang mga tagapamahala ng password na ito ay nagdaragdag ng pag-andar, at maaaring mag-install bilang mga extension ng browser o mga programa sa desktop.

Pananaliksik mula sa Princeton's Center for Information Technology Policy iminumungkahi na ang mga bagong natuklasang mga web tracker ay nagsasamantala sa mga tagapamahala ng password upang subaybayan ang mga gumagamit.

Sinusamantala ng mga script ng pagsubaybay ang isang kahinaan sa mga tagapamahala ng password. Ang mangyayari ay ang sumusunod ayon sa mga mananaliksik:

  1. Ang isang gumagamit ay bumibisita sa isang website, nagrehistro ng isang account, at nai-save ang data sa tagapamahala ng password.
  2. Tumatakbo ang script ng pagsubaybay sa mga site ng third-party. Kapag ang isang gumagamit ay bumibisita sa site, ang mga form sa pag-login ay iniksyon sa site na hindi ganoon kadalas.
  3. Ang tagapamahala ng password ng browser ay pupunan ang data kung ang isang tumutugmang site ay matatagpuan sa tagapamahala ng password.
  4. Nakita ng script ang username, hadhes ito, at ipinapadala ito sa mga third-party server upang subaybayan ang gumagamit.

Ang sumusunod na graphic na representasyon ay nagpapakita ng daloy ng trabaho.

password manager web tracker exploit

Sinuri ng mga mananaliksik ang dalawang magkakaibang script na idinisenyo upang samantalahin ang mga tagapamahala ng password upang makakuha ng makikilalang impormasyon tungkol sa mga gumagamit. Ang dalawang script, AdThink at OnAudience, mag-iniksyon ng hindi nakikita na mga form sa pag-login sa mga web page upang makuha ang data ng username na ibabalik ng manager ng password ng browser.

Ang script computes hashes at nagpapadala ng mga hashes sa mga third-party server. Ang hash ay ginagamit upang subaybayan ang mga gumagamit sa buong mga site nang walang paggamit ng cookies o iba pang mga form ng pagsubaybay ng gumagamit.

Ang pagsubaybay sa gumagamit ay isa sa mga banal na butil ng online advertising. Ginagamit ng mga kumpanya ang data upang lumikha ng mga profile ng gumagamit na nagtatala ng mga interes ng gumagamit batay sa isang bilang ng mga kadahilanan, halimbawa batay sa mga site na binisita - Palakasan, Libangan, Pulitika, Agham - o mula sa kung saan kumokonekta ang isang gumagamit sa Internet.

Ang mga script na sinuri ng mga mananaliksik ay nakatuon sa username. Walang pinipigilan ang ibang mga script mula sa paghila ng data ng password pati na rin, isang bagay na sinubukan na ng nakakahamak na script.

Sinuri ng mga mananaliksik ang 50,000 mga website, at walang nakita ang mga bakas ng paglalaglag ng password sa alinman sa mga ito. Natagpuan nila ang mga script ng pagsubaybay sa 1,100 ng nangungunang 1 milyong mga website ng Alexa gayunpaman.

Ang mga sumusunod na script ay ginagamit:

  • AdThink: https://static.audienceinsights.net/t.js
  • OnAudience: http://api.behavioralengine.com/scripts/be-init.js

AdThink

opt-out tracking

Ang script ng Adthink ay naglalaman ng mga detalyadong kategorya para sa personal, pinansiyal, pisikal na mga ugali, pati na rin ang mga hangarin, interes at demograpiko.

Inilarawan ng mga mananaliksik ang pag-andar ng script sa sumusunod na paraan:

  1. Binasa ng script ang email address at ipinapadala ang MD5, SHA1 at SHA256 hashes upang ma-secure.audiencesights.net.
  2. Ang isa pang kahilingan ay nagpapadala ng MD5 hash ng email address sa data broker na Acxiom (p-eu.acxiom-online.com)

Maaaring suriin ng mga gumagamit ng Internet ang katayuan ng pagsubaybay at mag-opt out sa pagkolekta ng data sa itong pahina .

OnAudience

Ang script ng OnAudience ay 'pinaka-karaniwang naroroon sa mga website ng Polish'.

  1. Kinukuwenta ng script ang hash ng MD5 ng mga email address, at iba pang data ng browser na karaniwang ginagamit para sa fingerprinting (mga uri ng MIME, plugin, mga sukat ng screen, wika, impormasyon ng timezone, string ng ahente ng gumagamit, impormasyon ng OS at CPU).
  2. Ang isa pang hash ay nabuo batay sa data.

Proteksyon laban sa pagsubaybay sa web form ng pag-login

Ang mga gumagamit ay maaaring mag-install ng mga blocker ng nilalaman upang harangan ang mga kahilingan sa mga domain na nabanggit sa itaas. Ang EasyPrivacy Ginagawa na ng listahan iyon, ngunit sapat na madaling idagdag ang mga URL nang manu-mano sa blacklist.

Ang isa pang pagtatanggol ay ang hindi pagpapagana ng auto-pagpuno ng data ng pag-login. Maaaring itakda ng mga gumagamit ng Firefox ang kagustuhan tungkol sa: config? Filter = signon.autofillForm sa maling upang hindi paganahin ang autofilling.

Pagsasara ng Mga Salita

Ang industriya ba ng paglalathala ay naglalagay ng mismong libingan? Ang mga nagsasalakay na script ng pagsubaybay ay isa pang kadahilanan para sa mga gumagamit na mag-install ng mga ad at mga blocker ng nilalaman sa mga web browser.

Oo, ang site na ito ay may mga ad din. Nais kong mayroong isa pang pagpipilian upang magpatakbo ng isang independiyenteng site, o isang kumpanya na nag-aalok ng mga solusyon sa katutubong ad na tatakbo lamang sa server ang isang site ay tumatakbo, at hindi nangangailangan ng mga koneksyon sa third-party o paggamit ng pagsubaybay.

Maaari kang suportahan sa amin Patreon , PayPal , o sa pamamagitan ng pag-iwan ng komento / pagkalat ng salita sa Internet.