Reklamodawcy wykorzystują menedżera haseł do śledzenia internautów
Przeglądarki z wbudowanymi menedżerami haseł stały się celem ataków ze stron firm wyświetlających reklamy. Obecnie niemal każda przeglądarka oferuje funkcję zapamiętywania loginów i haseł. Jak informują naukowcy z Center for Information Technology Policy Princeton University, mechanizmy te są wykorzystywane przez reklamodawców do śledzenia użytkowników.
Naukowcy przeanalizowali 50 000 witryn i na ponad 1000 z nich zauważyli skrypty reklamowe, które wykorzystują menedżery haseł. Atak wygląda następująco. Najpierw internauta wypełnia na jakiejś witrynie formularz logowania i pozwala przeglądarce na zapamiętanie swojego loginu. Tam skrypt śledzący nie musi być obecny. Jednak na innej stronie, gdzie skrypt taki jest uruchomiony, działa on tak, że w tle, w sposób niewidoczny dla użytkownika, wyświetla on przeglądarce formularz, a ta automatycznie wypełnia pole z nazwą użytkownika. Bardzo często taką nazwą jest adres e-mail. Działając w ten sposób na wielu witrynach skrypt jest w stanie identyfikować użytkownika właśnie po e-mailu zapamiętanym przez przeglądarkę.
Zdaniem badaczy, jedynym sposobem na powstrzymanie tego typu działań jest taka zmiana pracy menedżera haseł, by przed każdym wypełnieniem formularza wymagał on zgody użytkownika.
Komentarze (4)
pogo, 2 stycznia 2018, 15:28
W starej operze formularz logowania wypełniał się dopiero na ctrl+enter... Da się tak ustawić w jakichś współczesnych przeglądarkach?
Gość, 2 stycznia 2018, 15:39
Nie uzywajac autouzupelnienia na nieznanych stronach, zabezpieczamy sie przed tego typu wyludzeniem danych.
pogo, 2 stycznia 2018, 15:49
Nie zgodzę się:
1. Nigdy nie wiesz czy "znana strona" nie zmieniła dostawcy reklam
2. W ramce można wyświetlić dowolna stronę, której już nie uważasz za nieznaną i tam zostanie uzupełnione...
Taki scenariusz:
Wchodzisz na jakiegoś przypadkowego bloga, bo ktoś na KW właśnie wrzucił go jako źródło informacji, na którym się opiera.
Tam jedna z reklam ma ukryty iframe, w którym wyświetla się strona logowania do serwisu, w którym masz maila, a przecież tamtej stronie ufasz...
Skrypt odczytuje wartość z pola w formularzu i wszystko załatwione.
wilk, 2 stycznia 2018, 16:25
Nie wiem jak w najnowszym Firefoksie, ale jest signon.autofillForms;false Jedna z podstawowych rzeczy do ustawienia na świeżym profilu (oczywiście jeśli już używamy managera w przeglądarce, to koniecznie z master password).