Kā tīmekļa izsekotāji izmanto paroļu pārvaldniekus

• Kategorija: Internets

Izmēģiniet Mūsu Instrumentu Problēmu Novēršanai

Atlasiet Operētājsistēmu Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Izvēlieties Projekcijas Programmu (Pēc Izvēles) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Aprakstiet Savu Problēmu

Saņemt Atbildi

Atsūti Mani Pa E -Pastu Rādīt Vietnē

Lielākajai daļai tīmekļa pārlūkprogrammu ir iebūvēts paroļu pārvaldnieks - pamata rīks, lai saglabātu pieteikšanās datus datu bāzē un aizpildītu veidlapas un / vai pierakstītos vietnēs automātiski, izmantojot datu bāzē esošo informāciju.

Lietotāji, kuri vēlas vairāk funkcionalitātes, paļaujas uz trešo pušu paroļu pārvaldniekiem, piemēram, LastPass, KeePass vai Dashlane. Šie paroļu pārvaldnieki pievieno funkcionalitāti, un tos var instalēt kā pārlūka paplašinājumus vai darbvirsmas programmas.

Pētījumi no Prinstonas Informācijas tehnoloģiju politikas centra ierosina, ka jaunatklātie tīmekļa izsekotāji lietotāju izsekošanai izmanto paroļu pārvaldniekus.

Izsekošanas skripti izmanto trūkumus paroļu pārvaldniekos. Pēc pētnieku domām, tas notiek šādi:

1. Lietotājs apmeklē vietni, reģistrē kontu un saglabā datus paroļu pārvaldniekā.
2. Izsekošanas skripts darbojas trešo pušu vietnēs. Kad lietotājs apmeklē vietni, pieteikšanās veidlapas tiek nemanāmi ievadītas vietnē.
3. Pārlūka paroļu pārvaldnieks aizpildīs datus, ja paroļu pārvaldniekā tiks atrasta atbilstoša vietne.
4. Skripts atrod lietotājvārdu, to sajauc un nosūta uz trešo pušu serveriem, lai izsekotu lietotājam.

Šis grafiskais attēlojums atspoguļo darbplūsmu.

Pētnieki analizēja divus dažādus skriptus, kas izstrādāti, lai izmantotu paroļu pārvaldniekus, lai iegūtu identificējamu informāciju par lietotājiem. Divi skripti - AdThink un OnAudience - Web lapās ievada neredzamas pieteikšanās formas, lai izgūtu lietotājvārda datus, kurus atgriež pārlūka paroļu pārvaldnieks.

Skripts aprēķina hash un nosūta šīs hash trešās puses serveriem. Jaucējs tiek izmantots, lai izsekotu lietotājus dažādās vietnēs, neizmantojot sīkfailus vai citus lietotāju izsekošanas veidus.

Lietotāju izsekošana ir viens no tiešsaistes reklāmas svētajiem priekšmetiem. Uzņēmumi izmanto datus, lai izveidotu lietotāju profilus, kas reģistrē lietotāju intereses, pamatojoties uz vairākiem faktoriem, piemēram, balstoties uz apmeklētajām vietnēm - Sports, Izklaide, Politika, Zinātne - vai no vietas, kur lietotājs izveido savienojumu ar internetu.

Skripti, kurus pētnieki analizēja, koncentrējas uz lietotājvārdu. Nekas neliedz citiem skriptiem novilkt arī paroles datus, tomēr kaut kas tāds, ko jau agrāk ir mēģinājuši ļaunprātīgi skripti.

Pētnieki analizēja 50 000 vietņu un nevienā no tām neatrada paroles izmešanas pēdas. Viņi tomēr atrada izsekošanas skriptus 1100 no top 1 miljona Alexa vietnēm.

Tiek izmantoti šādi skripti:

• AdThink: https://static.audienceinsights.net/t.js
• OnAudience: http://api.behavioralengine.com/scripts/be-init.js

AdThink

Adthink skripts satur ļoti detalizētas personisko, finansiālo, fizisko īpašību kategorijas, kā arī nodomus, intereses un demogrāfiju.

Pētnieki skripta funkcionalitāti raksturo šādi:

1. Skripts nolasa e-pasta adresi un nosūta MD5, SHA1 un SHA256 hashes to security.audiencesights.net.
2. Cits pieprasījums nosūta MD5 hash no e-pasta adreses datu brokerim Acxiom (p-eu.acxiom-online.com).

Interneta lietotāji var pārbaudīt izsekošanas statusu un atteikties no datu vākšanas vietnē šī lapa .

OnAudience

OnAudience skripts ir “visbiežāk sastopams Polijas vietnēs”.

1. Skripts aprēķina e-pasta adrešu MD5 sajaukumu un arī citus pārlūka datus, ko parasti izmanto pirkstu nospiedumu noņemšanai (MIME veidi, spraudņi, ekrāna izmēri, valoda, laika joslu informācija, lietotāja aģenta virkne, OS un CPU informācija).
2. Balstoties uz datiem, tiek ģenerēta vēl viena hash.

Aizsardzība pret pieteikšanās formas tīmekļa izsekošanu

Lietotāji var instalēt satura bloķētājus, lai bloķētu pieprasījumus iepriekš minētajiem domēniem. EasyPrivacy saraksts to jau dara, taču ir pietiekami viegli URL manuāli pievienot melnajam sarakstam.

Vēl viena aizsardzība ir pieteikšanās datu automātiskās aizpildīšanas atspējošana. Firefox lietotāji var iestatīt preferenci par: config? Filter = signon.autofillForms uz false, lai atspējotu automātisko aizpildīšanu.

Noslēguma vārdi

Vai reklāmas izdevējdarbības nozare ir spērusi savu kapu? Invazīvie izsekošanas skripti ir vēl viens iemesls, kāpēc lietotāji tīmekļa pārlūkprogrammās var instalēt reklāmu un satura bloķētājus.

Jā, šai vietnei ir arī reklāmas. Es vēlētos, lai būtu vēl viena iespēja vadīt neatkarīgu vietni vai uzņēmumu, kas piedāvātu vietējus reklāmas risinājumus, kas darbojas tikai serverī, kurā darbojas vietne, un kam nav nepieciešami trešo personu savienojumi vai jāizmanto izsekošana.

Jūs varat mūs atbalstīt caur Patreons , PayPal , vai atstājot komentāru / izplatot vārdu internetā.