Der er et par ting, du kan høre i hver samtale om internetsikkerhed; en af de første ville være at bruge en adgangskodemanager. Jeg har sagt det, de fleste af mine kolleger har sagt det, og chancen for, at du har sagt det, mens du hjælper en anden med at ordne måder at holde deres data sikkert og forsvarligt på. Det er stadig gode råd, men en nylig undersøgelse fra Princeton University's Center for Information Technology Policy har fundet, at adgangskodeadministratoren i din webbrowser, du muligvis bruger til at holde dine oplysninger privat, også hjælper annoncefirmaer med at spore dig på tværs af nettet.
Det er et skræmmende scenario fra alle sider, mest fordi det ikke vil være let at løse. Det, der sker, er ikke stjæling af nogen legitimationsoplysninger - et annoncefirma vil ikke have dit brugernavn og din adgangskode - men den opførsel, som en adgangskodemanager bruger, udnyttes på en meget enkel måde. Et annoncefirma placerer et script på en side (to, der kaldes ved navn er AdThink og OnAudience), der fungerer som en loginformular. Det er ikke en rigtig login-form, da den ikke forbinder dig til nogen service, det er "bare" et login-script.
Når din password manager ser en login formular, indtaster den et brugernavn. Testede browsere var: Firefox, Chrome, Internet Explorer, Edge og Safari. Chrome indtaster for eksempel ikke adgangskoden, før brugeren interagerer med formularen, men det indtaster automatisk et brugernavn. Det er fint, fordi det er alt, hvad scriptet ønsker eller har brug for. Andre browsere opførte sig det samme som forventet.
Når dit brugernavn er indtastet, hashes det og dit browser-ID ind i en unik identifikator. Du behøver ikke gemme noget på din computer eller telefon, for næste gang du besøger et websted, der bruger det samme annoncefirma, får du et andet script, der fungerer som en loginformular, og dit brugernavn indtastes igen. Dataene sammenlignes med hvad der findes, og et voilà er der knyttet en unik identifikator til dig og kan (og bliver brugt) bruges til at spore dig på tværs af nettet. Og dette fungerer, fordi dette er forventet og "betroet" opførsel. Udover en køreplan for dine internetvaner inkluderer data, der viser sig at være knyttet til denne UUID, også browser-plugins, MIME-typer, skærmdimensioner, sprog, information om tidszone, brugeragentstreng, OS-oplysninger og CPU-oplysninger.
Det sæt heuristik, der bruges til at bestemme, hvilke loginformularer der automatisk skal udfyldes, varierer fra browser, men det grundlæggende krav er, at et brugernavn og adgangskodefelt er tilgængeligt
Det fungerer på grund af det, der er kendt som politik med samme oprindelse. Når indhold fra to forskellige kilder præsenteres, er det ikke at have tillid til, men når en kilde først er betroet, er alt indhold til den aktuelle session også tillid (tillid i denne forstand betyder, at du med vilje ser eller interagerer med indholdet). Du har dirigeret din browser til en webside og interageret med en login-formular på denne side, så det hele behandles som fortroligt, mens du er på siden. Men i dette tilfælde blev scriptet indlejret i en side, men er faktisk fra en anden kilde og skal ikke have tillid til, før du har klikket på eller interageret på en eller anden måde for at vise, at du havde til hensigt at være der.
Hvis de fornærmende sideelementer blev integreret i en iframe eller en anden metode, der svarer til datakilden og destinationen, ville automatisk brug af denne udnyttelse (og ja, jeg kalder det en udnyttelse) ikke fungere.
En liste over kendte websteder, der indlejrer scripts, der misbruger login-manager til sporing
Der er en meget god chance for, at webudgivere, der bruger annoncetjenester, der udnytter denne adfærd, ikke har nogen idé om, hvad der sker med deres brugere. Selvom det ikke fritager dem for ansvar, er det i sidste ende deres produkt, der bruges til at høste data fra brugere uden deres viden, og det bør gøre enhver berørt webstedadministrator (og muligvis meget irriterende). Som bruger er der ikke meget, vi kan gøre andet end at følge den samme "inkognito" webbrowsing-praksis, der bruges, når vi ønsker at være lidt mere privat på nettet. Det betyder, at du blokerer for alle scripts, blokerer for alle annoncer, gemmer ingen data, accepterer ingen cookies og behandler dybest set hver websession som sin egen sandkasse.
Den eneste rigtige løsning er at ændre den måde, passwordadministratorer fungerer gennem browseren - både indbyggede værktøjer og udvidelser eller andre plugins. Arvind Narayanan, en af de professorer, der arbejdede med projektet, formulerer det kort:
Det vil ikke være let at rette, men det er værd at gøre
Google, Microsoft, Apple og Mozilla formede alle internettet til det, det er i dag, og de er i stand til at ændre ting for at imødekomme nye problemer. Forhåbentlig er dette på den korte liste over ændringer.
![Aokp til htc droid utroligt [romanmeldelse]](https://img.androidermagazine.com/img/ice-cream-sandwich/607/aokp-htc-droid-incredible.jpg "Aokp til htc droid utroligt [romanmeldelse]")