Pri každej konverzácii sa dozviete niekoľko vecí o zabezpečení internetu; jedným z prvých by bolo použitie správcu hesiel. Povedal som to, väčšina mojich spolupracovníkov to povedala a je pravdepodobné, že ste to povedali a zároveň pomáhate niekomu inému vyriešiť spôsoby, ako udržať ich údaje v bezpečí a zvuku. Je to stále dobrá rada, ale nedávna štúdia Centra informácií o informačných technológiách na Princetonskej univerzite zistila, že správca hesiel vo webovom prehľadávači, ktorý môžete použiť na ochranu vašich osobných údajov, tiež pomáha reklamným spoločnostiam sledovať vás na webe.
Je to desivý scenár zo všetkých strán, väčšinou preto, že to nebude ľahké opraviť. To, čo sa deje, nie je odcudzenie akýchkoľvek poverení - reklamná spoločnosť nechce vaše používateľské meno a heslo - ale správanie, ktoré správca hesiel používa, sa zneužíva veľmi jednoduchým spôsobom. Reklamná spoločnosť umiestni skript na stránku (dva nazývané menom sú AdThink a OnAudience), ktoré fungujú ako prihlasovací formulár. Nie je to skutočný prihlasovací formulár, pretože v prípade, že vás nepripojí k žiadnej službe, je to iba prihlasovací skript.
Keď váš správca hesiel uvidí prihlasovací formulár, zadá používateľské meno. Testované prehliadače boli: Firefox, Chrome, Internet Explorer, Edge a Safari. Napríklad prehliadač Chrome nezadá heslo, kým používateľ s formulárom nezasiahne, ale automaticky zadá meno používateľa. To je v poriadku, pretože to je všetko, čo skript chce alebo potrebuje. Ostatné prehliadače sa správali rovnako, ako sa očakávalo.
Po zadaní používateľského mena sa toto ID a ID vášho prehliadača zašifrujú do jedinečného identifikátora. Na svojom počítači ani telefóne nemusíte nič ukladať, pretože pri najbližšej návšteve stránok, ktoré používajú rovnakú reklamnú spoločnosť, získate ďalší skript, ktorý funguje ako prihlasovací formulár a znova sa zadáva vaše používateľské meno. Dáta sa porovnávajú s údajmi v súbore a je k vám pripojený jedinečný identifikátor, ktorý je možné (a používa sa) na sledovanie vás na webe. A to funguje, pretože sa očakáva a „dôveryhodné“ správanie. Okrem cestovnej mapy vašich internetových návykov údaje, o ktorých sa zistí, že sú pripojené k tomuto UUID, zahŕňajú aj doplnky prehliadača, typy MIME, rozmery obrazovky, jazyk, informácie o časovom pásme, reťazec agenta používateľa, informácie o OS a informácie o CPU.
Súbor heuristiky, ktorý sa používa na určenie, ktoré prihlasovacie formuláre sa vyplnia automaticky, sa líši v závislosti od prehliadača, základnou požiadavkou je však dostupnosť poľa pre meno a heslo.
Funguje to z dôvodu toho, čo sa nazýva politika rovnakého pôvodu. Ak je prezentovaný obsah z dvoch rôznych zdrojov, nemá to byť dôveryhodný, ale akonáhle je zdroj dôveryhodný, je tiež dôveryhodný všetok obsah pre aktuálnu reláciu (dôvera v tomto zmysle znamená, že ste zámerne prezerali obsah alebo s ním interagovali). Svoj prehliadač ste nasmerovali na webovú stránku a na tejto stránke ste spolupracovali s prihlasovacím formulárom, takže sa s vami bude na stránke zaobchádzať ako s dôveryhodnými. V tomto prípade bol však skript vložený na stránku, ale v skutočnosti pochádza z iného zdroja a nemalo by sa mu dôverovať, kým nekliknete alebo nezasiahnete nejakým spôsobom, aby ste ukázali, že tam chcete byť.
Keby boli prvky, ktoré porušujú autorské práva, vložené do prvku iframe alebo do inej metódy, ktorá zodpovedá zdroju a cieľu údajov, automatická využiteľnosť tohto zneužitia (a áno, ja ho označím ako zneužitie) by nefungovala.
Zoznam známych webových stránok vkladajúcich skripty, ktoré zneužívajú manažéra prihlásenia na sledovanie
Existuje veľmi dobrá šanca, že vydavatelia webových stránok používajúci reklamné služby, ktorí zneužívajú toto správanie, nemajú ani potuchy o tom, čo sa deje s ich používateľmi. Aj keď ich to neoslobodzuje od zodpovednosti, v konečnom dôsledku sa ich produkt používa na zber údajov od používateľov bez ich vedomia, a to by malo viesť každého dotknutého správcu stránok (a prípadne veľmi rozčúlený). Ako používateľ nemôžeme urobiť nič iné, ako postupovať podľa rovnakých postupov prehliadania webových stránok, ktoré používame, keď chceme na webe zostať trochu súkromní. To znamená, že blokujete všetky skripty, blokujete všetky reklamy, neukladáte žiadne údaje, neprijímate žiadne cookies a každú webovú reláciu v zásade považujete za svoju vlastnú karanténu.
Jedinou skutočnou opravou je zmena spôsobu práce správcov hesiel prostredníctvom prehliadača - vstavané nástroje a rozšírenia alebo iné doplnky. Arvind Narayanan, jeden z profesorov, ktorí pracovali na projekte, to stručne uvádza:
Oprava nebude ľahká, ale stojí za to ju urobiť
Spoločnosti Google, Microsoft, Apple a Mozilla formovali web do dnešného stavu a sú schopné zmeniť veci tak, aby zodpovedali novým problémom. Dúfajme, že sa jedná o krátky zoznam zmien.
