要连接到您的在线帐户(零售网站、管理机构、银行等),还有什么比使用集成到浏览器中的密码管理器提供的自动输入功能更实用的呢? Chrome、Firefox 或 Edge 长期以来都能够保存您的登录名和密码,并在遇到相关网站的身份验证表单时自动恢复它们。
问题在于,这种做事方式存在让您的标识符被专门从事广告定位的营销公司吸收的风险。这确实是普林斯顿大学研究人员 Gunes Acar、Steven Englehardt 和 Arvind Narayan 刚刚揭示的结果。他们检测到两个统计和营销分析脚本 AdThink 和 OnAudience,它们能够提取给定网站的用户登录凭据。
原理非常简单:一旦连接到网站,用户就会导航到不同的页面,其中一个页面包含著名的营销脚本。这会生成一个不可见的连接表单,浏览器将自动填写该表单。该脚本捕获标识符(通常是电子邮件地址)并从中生成数学指纹(MD5 哈希、SHA1、SHA256),该指纹将发送到营销服务提供商的服务器。
这些脚本还将收集与浏览器配置和用户操作相关的其他信息。恢复标识符指纹的优点是所有这些信息都能够与一个远非匿名的唯一值相关联。“要查明用户是否在数据集中,只需对用户的电子邮件地址进行哈希处理并执行搜索即可”,强调研究人员在博客文章。因此,该集合极大地促进了互联网用户的行为和广告定位。指纹允许营销公司相互比较他们的数据集并建立互联网用户的完整档案。
如果网站编辑在集成其营销合作伙伴的脚本时不采取任何预防措施,则此提取会起作用。从逻辑上讲,浏览器应该认为此代码来自第三方,并且根据来源分离原则(同源策略),不要在表单中插入标识符。“但是,如果发布者集成了第三方脚本而不将其隔离在 iframe 中,则该脚本将被视为来自他们”,研究人员解释道。
187 个法国网站被置顶
简而言之,这不是安全缺陷,而是出版商的不良做法。这种做法更加危险,因为第三方脚本也可能会清除既不可见也不已知的用户密码。研究人员统计,在最大的 100 万个网站中,有 1,110 个使用上述两种脚本。受影响站点的列表可用在线的具有执行搜索的能力。在 187 个法国网站中,我们特别区分了 conrad.fr、lemondeinformatique.fr、leslipfrancais.fr、toner.fr 和achat-louer.fr。
想要保护自己,并不是那么容易的事情。只有 Firefox 允许您通过“signon.autofillForms”参数停用标识符的自动完成功能,但代价是大大降低用户舒适度。要访问标识符,您必须系统地浏览“参数”部分。在这种情况下,最好使用 KeePass 等密码管理器,它在配置自动填充方面提供了更多选择。编辑敏捷比特就其本身而言,它澄清说,在其密码管理器 1Password 中,自动完成系统需要用户操作。因此,这件事不可能悄无声息地进行。竞争对手守护者给出了类似的答案,同时指出他能够识别无形的形式。
另一种解决方案:使用阻止 cookie 的扩展程序,例如 Adblock Plus(通过激活 Easy Privacy List)、Privacy Badger 或 Disconnect。不幸的是,这些工具不一定引用所有第三方脚本。
更新于 05/01/2018
柠檬deinformatique.fr网站的出版商IT News Info公司向我们提供了以下澄清:“保护个人数据并遵守该领域的良好(法律)实践对于我们的业务至关重要。这就是为什么我们想通知您,您的文章“为什么您应该警惕 Chrome 或 Firefox 密码管理器”(由第三方发布)中引用的标签自 12 月初(我们切换 Le 的日期)以来已被删除。 Monde Informatique 至 https 以及我们所有其他网站:CIO 和 Distributique。 »
