Logo ja.androidermagazine.com
Logo ja.androidermagazine.com
» ニュース
ニュース

Webブラウザのパスワードマネージャーは、広告会社がWeb全体であなたを追跡するのに役立ちます

Webブラウザのパスワードマネージャーは、広告会社がWeb全体であなたを追跡するのに役立ちます
Anonim

インターネットセキュリティに関するすべての会話で耳にするものがいくつかあります。 最初の1つは、パスワードマネージャーを使用することです。 私はそれを言った、私の同僚のほとんどはそれを言った、そして あなたの データを安全かつ健全に保つために他の誰かが方法を整理するのを助ける間 あなたは それを言った可能性がある。 それでも良いアドバイスですが、プリンストン大学の情報技術ポリシーセンターの最近の調査では、情報を非公開に保つために使用するWebブラウザーのパスワードマネージャーは、広告会社がWeb全体を追跡するのにも役立つことがわかりました。

これは主に修正が簡単ではないため、すべての側面からの恐ろしいシナリオです。 何が起こっているのかは、資格情報を盗むことではなく、広告会社はユーザー名とパスワードを必要としませんが、パスワードマネージャーが使用する動作は非常に簡単な方法で悪用されています。 広告会社は、ログインフォームとして機能するページ(AdThinkとOnAudienceという名前で呼び出される2つ)にスクリプトを配置します。 実際のログインフォームではありません。どのサービスにも接続できないため、「単なる」ログインスクリプトです。

パスワードマネージャーにログインフォームが表示されたら、ユーザー名を入力します。 テストしたブラウザは、Firefox、Chrome、Internet Explorer、Edge、およびSafariです。 たとえば、Chromeは、ユーザーがフォームを操作するまでパスワードを入力しませんが、ユーザー名を自動的に入力します。 スクリプトが必要とする、または必要なのはそれだけだからです。 他のブラウザは期待どおりに同じように動作しました。

ユーザー名が入力されると、ユーザー名とブラウザーIDは一意の識別子にハッシュされます。 同じ広告会社を使用しているサイトに次回アクセスしたときに、ログインフォームとして機能する別のスクリプトを取得し、ユーザー名を再度入力するため、コンピューターや電話に何も保存する必要はありません。 データはファイルに保存されているものと比較されます。また、一意の識別子が添付されており、ウェブ上で追跡するために使用できます(現在使用中です)。 これは、これが予想される「信頼された」動作であるため機能します。 インターネットの習慣のロードマップに加えて、このUUIDに添付されているデータには、ブラウザプラグイン、MIMEタイプ、画面サイズ、言語、タイムゾーン情報、ユーザーエージェント文字列、OS情報、CPU情報も含まれます。

どのログインフォームが自動入力されるかを決定するために使用されるヒューリスティックのセットはブラウザによって異なりますが、基本的な要件はユーザー名とパスワードのフィールドが利用可能であることです

これは、Same Origin Policyと呼ばれるもののために機能します。 2つの異なるソースからのコンテンツが提示される場合、それは信頼されませんが、ソースが信頼されると、現在のセッションのすべてのコンテンツも信頼されます(この意味で信頼とは、意図的にコンテンツを表示または対話していることを意味します)。 ブラウザーをWebページに誘導し、そのページのログインフォームと対話したため、ページにいる間はすべて信頼済みとして扱われます。 ただし、この場合、スクリプトはページに埋め込まれていますが、実際には別のソースからのものであり、クリックするか、何らかの方法でやり取りして目的の場所を表示するまで信頼されません。

問題のあるページ要素がiframeまたはデータのソースと宛先に一致する別のメソッドに埋め込まれている場合、このエクスプロイトの自動性は機能しません(そして、私はそれをエクスプロイトと呼びます)。

ログインマネージャーを乱用して追跡するスクリプトを埋め込む既知のサイトのリスト

この振る舞いを悪用する広告サービスを使用しているWebサイト運営者は、ユーザーに何が起きているのかわからない可能性が非常に高いです。 それは彼らの責任を免除するものではありませんが、最終的に彼らの製品は彼らの知識なしにユーザーからデータを収集するために使用され、それはすべてのサイト管理者を懸念させます ユーザーとしては、ウェブ上でもう少しプライベートにしたいときに使用されるのと同じ「シークレット」ウェブブラウジング慣行に従う以外にできることはあまりありません。 つまり、すべてのスクリプトをブロックし、すべての広告をブロックし、データを保存せず、Cookieを受け入れず、基本的に各Webセッションを独自のサンドボックスとして扱います。

唯一の真の修正は、ブラウザでのパスワードマネージャーの動作方法を変更することです。組み込みツールと拡張機能、またはその他のプラグインの両方です。 このプロジェクトに携わった教授の一人であるアービンド・ナラヤナンは、次のように簡潔に述べています。

簡単に修正することはできませんが、やる価値はあります

Google、Microsoft、Apple、MozillaはすべてWebを今日の形に変え、新しい問題に対応するために物事を変えることができます。 うまくいけば、これが変更点の短いリストに載っていることを願っています。

ニュース

エディタの選択