มีบางสิ่งที่คุณจะได้ยินในทุกบทสนทนาเกี่ยวกับความปลอดภัยของอินเทอร์เน็ต หนึ่งในคนแรกคือการใช้ตัวจัดการรหัสผ่าน ฉันได้พูดแล้วเพื่อนร่วมงานของฉันส่วนใหญ่พูดและมีโอกาสที่ คุณจะ พูดในขณะที่ช่วยคนอื่นหาวิธีรักษาข้อมูลและเสียงให้ปลอดภัย ยังคงเป็นคำแนะนำที่ดี แต่จากการศึกษาล่าสุดจากนโยบายศูนย์เทคโนโลยีสารสนเทศของมหาวิทยาลัยพรินซ์ตันพบว่าผู้จัดการรหัสผ่านในเว็บเบราว์เซอร์ของคุณที่คุณอาจใช้ในการรักษาข้อมูลส่วนตัวของคุณยังช่วย บริษัท โฆษณาติดตามคุณผ่านทางเว็บ
มันเป็นสถานการณ์ที่น่ากลัวจากทุกด้านส่วนใหญ่เป็นเพราะมันไม่ง่ายที่จะแก้ไข สิ่งที่เกิดขึ้นไม่ได้เป็นการขโมยข้อมูลประจำตัวใด ๆ บริษัท โฆษณาไม่ต้องการชื่อผู้ใช้และรหัสผ่านของคุณ แต่พฤติกรรมที่ผู้จัดการรหัสผ่านใช้นั้นถูกนำไปใช้ในวิธีที่ง่ายมาก บริษัท โฆษณาวางสคริปต์ไว้บนหน้าเว็บ (สองชื่อที่ออกโดยชื่อคือ AdThink และ OnAudience) ซึ่งทำหน้าที่เป็นรูปแบบการเข้าสู่ระบบ ไม่ใช่รูปแบบการเข้าสู่ระบบจริงเนื่องจากจะไม่เชื่อมต่อคุณกับบริการใด ๆ มันเป็นเพียงแค่ "สคริปต์เข้าสู่ระบบ"
เมื่อผู้จัดการรหัสผ่านของคุณเห็นแบบฟอร์มเข้าสู่ระบบมันจะเข้าสู่ชื่อผู้ใช้ เบราว์เซอร์ที่ผ่านการทดสอบ ได้แก่: Firefox, Chrome, Internet Explorer, Edge และ Safari ตัวอย่างเช่น Chrome จะไม่ป้อนรหัสผ่านจนกว่าผู้ใช้จะโต้ตอบกับแบบฟอร์ม แต่จะป้อนชื่อผู้ใช้โดยอัตโนมัติ ไม่เป็นไรเพราะนั่นคือทั้งหมดที่สคริปต์ต้องการหรือต้องการ เบราว์เซอร์อื่น ๆ ทำงานเหมือนเดิมตามที่คาดไว้
เมื่อป้อนชื่อผู้ใช้ของคุณแล้วรหัสเบราว์เซอร์ของคุณจะถูกแฮชเป็นตัวระบุที่ไม่ซ้ำกัน คุณไม่จำเป็นต้องบันทึกอะไรบนคอมพิวเตอร์หรือโทรศัพท์ของคุณเพราะครั้งต่อไปที่คุณเข้าชมเว็บไซต์ที่ใช้ บริษัท โฆษณาเดียวกันกับที่คุณได้รับสคริปต์อื่นที่ทำหน้าที่เป็นแบบฟอร์มการเข้าสู่ระบบและชื่อผู้ใช้ของคุณจะถูกป้อนอีกครั้ง ข้อมูลจะถูกเปรียบเทียบกับสิ่งที่อยู่ในไฟล์และจะมีการระบุตัวระบุที่ไม่ซ้ำกับคุณและสามารถใช้ (และกำลัง) เพื่อติดตามคุณผ่านเว็บได้ และสิ่งนี้ได้ผลเพราะสิ่งนี้คาดหวังและพฤติกรรม "เชื่อถือได้" นอกเหนือจากแผนการทำงานของพฤติกรรมอินเทอร์เน็ตของคุณแล้วข้อมูลที่แนบมากับ UUID นี้ยังรวมถึงปลั๊กอินของเบราว์เซอร์ประเภท MIME ขนาดหน้าจอภาษาข้อมูลเขตเวลาสตริงตัวแทนผู้ใช้ข้อมูลระบบปฏิบัติการและข้อมูล CPU
ชุดของการวิเคราะห์พฤติกรรมที่ใช้ในการกำหนดรูปแบบการเข้าสู่ระบบที่จะถูกเติมอัตโนมัติแตกต่างกันไปตามเบราว์เซอร์ แต่ความต้องการขั้นพื้นฐานคือฟิลด์ชื่อผู้ใช้และรหัสผ่านจะสามารถใช้ได้
มันทำงานได้เพราะสิ่งที่เรียกว่านโยบายกำเนิดเดียวกัน เมื่อเนื้อหาที่นำเสนอจากแหล่งที่แตกต่างกันสองแหล่งไม่น่าเชื่อถือ แต่เมื่อแหล่งที่เชื่อถือได้เนื้อหาทั้งหมดสำหรับเซสชันปัจจุบันก็เชื่อถือได้เช่นกัน (ความน่าเชื่อถือในแง่นี้หมายความว่าคุณตั้งใจดูหรือโต้ตอบกับเนื้อหา) คุณได้นำเบราว์เซอร์ของคุณไปยังหน้าเว็บและโต้ตอบกับแบบฟอร์มการเข้าสู่ระบบในหน้านั้นดังนั้นทั้งหมดจึงถือว่าเชื่อถือได้ในขณะที่คุณอยู่บนหน้า ในกรณีนี้สคริปต์ถูกฝังลงในหน้า แต่จริงๆแล้วมาจากแหล่งอื่นและไม่น่าเชื่อถือจนกว่าคุณจะคลิกหรือโต้ตอบในบางวิธีเพื่อแสดงว่าคุณตั้งใจจะอยู่ที่นั่น
หากองค์ประกอบของหน้าเว็บที่ละเมิดนั้นฝังอยู่ใน iframe หรือวิธีอื่นที่ตรงกับแหล่งที่มาและปลายทางของข้อมูลการเปลี่ยนแปลงโดยอัตโนมัติของการโจมตีนี้ (และใช่ฉันจะเรียกมันว่าการโกง) ไม่ทำงาน
รายการไซต์ที่รู้จักที่ฝังสคริปต์ที่ละเมิดผู้จัดการการเข้าสู่ระบบเพื่อติดตาม
มีโอกาสดีมากที่ผู้เผยแพร่เว็บที่ใช้บริการโฆษณาที่ใช้ประโยชน์จากพฤติกรรมนี้ไม่มีความคิดว่าเกิดอะไรขึ้นกับผู้ใช้ แม้ว่าจะไม่ได้รับการยกเว้นจากความรับผิดชอบ แต่ท้ายที่สุดแล้วผลิตภัณฑ์ของพวกเขาจะถูกใช้เพื่อรวบรวมข้อมูลจากผู้ใช้โดยที่พวกเขาไม่รู้และควรทำให้ผู้ดูแลไซต์ทุกคนกังวล (และอาจโกรธมาก) ในฐานะผู้ใช้เราไม่สามารถทำอะไรได้มากไปกว่าทำตามแนวทางการท่องเว็บแบบ "ไม่ระบุตัวตน" ที่ใช้เมื่อเราต้องการรักษาความเป็นส่วนตัวบนเว็บ นั่นหมายถึงการปิดกั้นสคริปต์ทั้งหมดบล็อกโฆษณาทั้งหมดบันทึกข้อมูลไม่ยอมรับคุกกี้และโดยทั่วไปถือว่าแต่ละเว็บเซสชันเป็นแซนด์บ็อกซ์ของตัวเอง
การแก้ไขที่แท้จริงเพียงอย่างเดียวคือการเปลี่ยนวิธีที่ผู้จัดการรหัสผ่านทำงานผ่านเบราว์เซอร์ - ทั้งเครื่องมือในตัวและส่วนขยายหรือปลั๊กอินอื่น ๆ Arvind Narayanan หนึ่งในอาจารย์ที่ทำงานในโครงการทำให้มันกระชับ:
มันจะไม่ง่ายต่อการแก้ไข แต่มันคุ้มค่าที่จะทำ
Google, Microsoft, Apple, และ Mozilla ทั้งหมดได้รวมเว็บเข้ากับสิ่งที่เป็นอยู่ทุกวันนี้และพวกเขาสามารถเปลี่ยนแปลงสิ่งต่าง ๆ เพื่อให้ตรงกับปัญหาใหม่ หวังว่านี่จะเป็นรายการย่อของการเปลี่ยนแปลง
