เพื่ออำนวยความสะดวกในการสร้างโปรไฟล์พฤติกรรมของผู้ใช้อินเทอร์เน็ต บริษัทการตลาดบางแห่งไม่ลังเลที่จะแยกตัวระบุที่จัดเก็บไว้ในเครื่องมือจัดการรหัสผ่านของเบราว์เซอร์
หากต้องการเชื่อมต่อกับบัญชีออนไลน์ของคุณ (ไซต์ร้านค้า ฝ่ายบริหาร ธนาคาร ฯลฯ) อะไรจะมีประโยชน์มากกว่าการใช้รายการอัตโนมัติที่เสนอโดยผู้จัดการรหัสผ่านที่รวมอยู่ในเบราว์เซอร์ Chrome, Firefox หรือ Edge สามารถบันทึกข้อมูลเข้าสู่ระบบและรหัสผ่านของคุณได้มานานแล้ว และกู้คืนข้อมูลเหล่านี้โดยอัตโนมัติเมื่อพบแบบฟอร์มการตรวจสอบสิทธิ์ของไซต์ที่เป็นปัญหา
ปัญหาคือวิธีการทำสิ่งต่างๆ เหล่านี้มีความเสี่ยงที่ตัวระบุของคุณจะถูกดูดกลืนโดยบริษัทการตลาดที่เชี่ยวชาญด้านการกำหนดเป้าหมายการโฆษณา นี่คือสิ่งที่นักวิจัย Gunes Acar, Steven Englehardt และ Arvind Narayan จากมหาวิทยาลัย Princeton เพิ่งเปิดเผย พวกเขาตรวจพบสคริปต์การวิเคราะห์ทางสถิติและการตลาดสองตัว AdThink และ OnAudience ซึ่งสามารถดึงข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้สำหรับไซต์ที่กำหนดได้
หลักการนั้นค่อนข้างง่าย: เมื่อเชื่อมต่อกับไซต์แล้ว ผู้ใช้จะไปยังหน้าต่างๆ ซึ่งหนึ่งในนั้นมีสคริปต์การตลาดที่มีชื่อเสียง สิ่งนี้จะสร้างแบบฟอร์มการเชื่อมต่อที่มองไม่เห็นซึ่งเบราว์เซอร์จะกรอกโดยอัตโนมัติ สคริปต์จะจับตัวระบุ ซึ่งมักจะเป็นที่อยู่อีเมล และสร้างลายนิ้วมือทางคณิตศาสตร์จากตัวระบุ (แฮช MD5, SHA1, SHA256) ซึ่งจะถูกส่งไปยังเซิร์ฟเวอร์ของผู้ให้บริการด้านการตลาด
สคริปต์เหล่านี้จะรวบรวมข้อมูลอื่น ๆ ที่เกี่ยวข้องกับการกำหนดค่าเบราว์เซอร์และการกระทำของผู้ใช้ ข้อดีของการกู้คืนลายนิ้วมือของตัวระบุก็คือข้อมูลทั้งหมดนี้จะสามารถเชื่อมโยงกับค่าเฉพาะซึ่งห่างไกลจากการไม่เปิดเผยตัวตน“หากต้องการทราบว่าผู้ใช้อยู่ในชุดข้อมูลหรือไม่ เพียงแฮชที่อยู่อีเมลของผู้ใช้แล้วทำการค้นหา”ขีดเส้นใต้นักวิจัยในกโพสต์ในบล็อก- คอลเลกชันนี้จึงอำนวยความสะดวกอย่างมากในการกำหนดเป้าหมายตามพฤติกรรมและการโฆษณาของผู้ใช้อินเทอร์เน็ต ลายนิ้วมือช่วยให้บริษัทการตลาดสามารถเปรียบเทียบชุดข้อมูลของตนด้วยกัน และสร้างโปรไฟล์ที่สมบูรณ์ของผู้ใช้อินเทอร์เน็ตได้
การแยกข้อมูลนี้จะได้ผลหากตัวแก้ไขไซต์ไม่ได้ใช้ความระมัดระวังใดๆ เมื่อรวมสคริปต์ของพันธมิตรการตลาดของเขา ตามหลักเหตุผลแล้ว เบราว์เซอร์ควรถือว่าโค้ดนี้มาจากบุคคลที่สาม และตามหลักการของการแยกต้นกำเนิด (นโยบายแหล่งกำเนิดเดียวกัน) อย่าแทรกตัวระบุในแบบฟอร์ม“อย่างไรก็ตาม หากผู้เผยแพร่รวมสคริปต์ของบุคคลที่สามโดยไม่แยกสคริปต์นั้นใน iframe จะถือว่าสคริปต์นั้นมาจากสคริปต์เหล่านั้น”, อธิบายผู้วิจัย.
ปักหมุดไซต์ฝรั่งเศส 187 แห่ง
กล่าวโดยสรุป นี่ไม่ใช่ข้อบกพร่องด้านความปลอดภัย แต่เป็นแนวทางปฏิบัติที่ไม่ดีของผู้จัดพิมพ์ แนวทางปฏิบัตินี้ยิ่งอันตรายมากขึ้น เนื่องจากสคริปต์ของบุคคลที่สามสามารถดูดรหัสผ่านของผู้ใช้ทั้งที่มองเห็นและไม่รู้จักได้ ในบรรดาไซต์ที่ใหญ่ที่สุดหนึ่งล้านไซต์บนเว็บ นักวิจัยนับได้ 1,110 แห่งซึ่งใช้สคริปต์ทั้งสองที่กล่าวถึงข้างต้น รายชื่อไซต์ที่ได้รับผลกระทบมีอยู่ออนไลน์ด้วยความสามารถในการค้นหา ในบรรดาไซต์ภาษาฝรั่งเศส 187 แห่ง เราแยกแยะความแตกต่างได้อย่างโดดเด่นคือ conrad.fr, lemondeinformatique.fr, leslipfrancais.fr, toner.fr andachat-louer.fr
การป้องกันตัวเองไม่ใช่เรื่องง่ายเลย มีเพียง Firefox เท่านั้นที่อนุญาตให้คุณปิดใช้งานการเติมตัวระบุให้สมบูรณ์โดยอัตโนมัติผ่านพารามิเตอร์ "signon.autofillForms" แต่ต้องแลกกับความสะดวกสบายของผู้ใช้ที่น้อยกว่ามาก หากต้องการเข้าถึงตัวระบุ คุณต้องไปที่ส่วน "พารามิเตอร์" อย่างเป็นระบบ ในกรณีนี้ จะดีกว่าหากใช้เครื่องมือจัดการรหัสผ่านเช่น KeePass ซึ่งให้ทางเลือกมากขึ้นในการกำหนดค่าการป้อนอัตโนมัติ บรรณาธิการAgileBitsในส่วนของมัน ชี้แจงว่าในตัวจัดการรหัสผ่าน 1Password การเติมข้อมูลอัตโนมัติกำหนดให้ผู้ใช้ดำเนินการอย่างเป็นระบบ จึงไม่สามารถทำได้อย่างเงียบๆ คู่แข่งผู้รักษาประตูให้คำตอบที่คล้ายกันโดยระบุว่าเขาสามารถจดจำรูปแบบที่มองไม่เห็นได้
วิธีแก้ไขปัญหาอื่น: ใช้ส่วนขยายที่บล็อกคุกกี้ เช่น Adblock Plus (โดยการเปิดใช้งานรายการความเป็นส่วนตัวอย่างง่าย), Privacy Badger หรือ Disconnect ขออภัย เครื่องมือเหล่านี้ไม่จำเป็นต้องอ้างอิงถึงสคริปต์ของบุคคลที่สามทั้งหมด
อัปเดตเมื่อ 05/01/2018
บริษัท IT News Info ซึ่งเป็นผู้จัดพิมพ์เว็บไซต์ lemondeinformatique.fr ให้คำชี้แจงต่อไปนี้แก่เรา:“การปกป้องข้อมูลส่วนบุคคลและการปฏิบัติตามหลักปฏิบัติที่ดี (ทางกฎหมาย) ในด้านนี้ถือเป็นสิ่งสำคัญในธุรกิจของเรา นี่คือเหตุผลที่เราอยากแจ้งให้คุณทราบว่าแท็กที่อ้างถึงในบทความของคุณ “ทำไมคุณควรระวังตัวจัดการรหัสผ่าน Chrome หรือ Firefox” ที่โพสต์โดยบุคคลที่สาม ได้ถูกลบออกตั้งแต่ต้นเดือนธันวาคม ซึ่งเป็นวันที่เราเปลี่ยน Le Monde Informatique ไปยัง https รวมถึงเว็บไซต์อื่นๆ ทั้งหมดของเรา: CIO และ Distributique -
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
