Có một vài điều bạn sẽ nghe thấy trong mọi cuộc trò chuyện về bảo mật internet; một trong những cái đầu tiên sẽ là sử dụng trình quản lý mật khẩu. Tôi đã nói điều đó, hầu hết đồng nghiệp của tôi đã nói điều đó, và rất có thể bạn đã nói điều đó trong khi giúp người khác sắp xếp các cách để giữ cho dữ liệu của họ an toàn và âm thanh. Đây vẫn là một lời khuyên tốt, nhưng một nghiên cứu gần đây từ Trung tâm Chính sách Công nghệ thông tin của Đại học Princeton đã phát hiện ra rằng trình quản lý mật khẩu trong trình duyệt web của bạn mà bạn có thể sử dụng để giữ thông tin của mình cũng giúp các công ty quảng cáo theo dõi bạn trên web.
Đó là một kịch bản đáng sợ từ mọi phía, chủ yếu là vì nó sẽ không dễ sửa chữa. Điều đang xảy ra không phải là đánh cắp bất kỳ thông tin đăng nhập nào - một công ty quảng cáo không muốn tên người dùng và mật khẩu của bạn - nhưng hành vi mà người quản lý mật khẩu sử dụng đang bị khai thác theo cách rất đơn giản. Một công ty quảng cáo đặt một tập lệnh trên một trang (hai tên được gọi là AdThink và OnAudience) hoạt động như một hình thức đăng nhập. Đây không phải là một hình thức đăng nhập thực sự, vì nó sẽ không kết nối bạn với bất kỳ dịch vụ nào, đó là "chỉ" một tập lệnh đăng nhập.
Khi người quản lý mật khẩu của bạn nhìn thấy một hình thức đăng nhập, nó sẽ nhập tên người dùng. Các trình duyệt được thử nghiệm là: Firefox, Chrome, Internet Explorer, Edge và Safari. Chrome, chẳng hạn, sẽ không nhập mật khẩu cho đến khi người dùng tương tác với biểu mẫu, nhưng nó sẽ tự động nhập tên người dùng. Điều đó tốt bởi vì đó là tất cả các kịch bản muốn hoặc cần. Các trình duyệt khác hoạt động tương tự, như mong đợi.
Khi tên người dùng của bạn được nhập, nó và ID trình duyệt của bạn được băm vào một mã định danh duy nhất. Bạn không cần phải lưu bất cứ thứ gì trên máy tính hoặc điện thoại của mình vì lần sau khi bạn truy cập một trang web đang sử dụng cùng một công ty quảng cáo, bạn sẽ nhận được một tập lệnh khác hoạt động như một hình thức đăng nhập và tên người dùng của bạn một lần nữa được nhập. Dữ liệu được so sánh với những gì trong tệp và et voilà một mã định danh duy nhất đã được đính kèm với bạn và có thể (và đang) được sử dụng để theo dõi bạn trên web. Và điều này hoạt động bởi vì điều này được mong đợi và hành vi "đáng tin cậy". Bên cạnh lộ trình thói quen internet của bạn, dữ liệu được đính kèm với UUID này cũng bao gồm các plugin trình duyệt, loại MIME, kích thước màn hình, ngôn ngữ, thông tin múi giờ, chuỗi tác nhân người dùng, thông tin hệ điều hành và thông tin CPU.
Tập hợp các heuristic được sử dụng để xác định biểu mẫu đăng nhập nào sẽ được tự động điền tùy theo trình duyệt, nhưng yêu cầu cơ bản là trường tên người dùng và mật khẩu có sẵn
Nó hoạt động vì những gì được gọi là Chính sách xuất xứ tương tự. Khi nội dung từ hai nguồn khác nhau được trình bày thì nó không đáng tin cậy, nhưng một khi nguồn được tin cậy thì tất cả nội dung cho phiên hiện tại cũng được tin cậy (tin tưởng theo nghĩa này có nghĩa là bạn cố tình xem hoặc tương tác với nội dung). Bạn đã hướng trình duyệt của mình đến một trang web và tương tác với một hình thức đăng nhập trên trang đó, vì vậy tất cả đều được coi là đáng tin cậy khi bạn ở trên trang. Tuy nhiên, trong trường hợp này, tập lệnh được nhúng vào một trang nhưng thực ra là từ một nguồn khác và không đáng tin cậy cho đến khi bạn nhấp hoặc tương tác theo cách nào đó để hiển thị bạn dự định ở đó.
Nếu các thành phần trang vi phạm được nhúng trong iframe hoặc phương thức khác phù hợp với nguồn và đích của dữ liệu, thì tính năng tự động của khai thác này (và vâng, tôi sẽ gọi đó là khai thác) sẽ không hoạt động.
Danh sách các trang web đã biết nhúng các tập lệnh lạm dụng trình quản lý đăng nhập để theo dõi
Có một cơ hội rất tốt là các nhà xuất bản web sử dụng dịch vụ quảng cáo khai thác hành vi này không biết chuyện gì đang xảy ra với người dùng của họ. Mặc dù điều đó không miễn cho họ trách nhiệm, nhưng cuối cùng, sản phẩm của họ được sử dụng để thu thập dữ liệu từ người dùng mà họ không biết và điều đó sẽ khiến mọi quản trị viên trang web lo ngại (và có thể rất tức giận). Là người dùng, chúng tôi không thể làm gì khác ngoài việc tuân theo các thực hành duyệt web "ẩn danh" tương tự được sử dụng khi chúng tôi muốn giữ riêng tư hơn một chút trên web. Điều đó có nghĩa là chặn tất cả các tập lệnh, chặn tất cả quảng cáo, không lưu dữ liệu, không chấp nhận cookie và về cơ bản coi mỗi phiên web là hộp cát riêng.
Cách khắc phục duy nhất là thay đổi cách quản lý mật khẩu hoạt động thông qua trình duyệt - cả công cụ và tiện ích mở rộng tích hợp hoặc các plugin khác. Arvind Narayanan, một trong những giáo sư làm việc cho dự án, nói một cách ngắn gọn:
Nó sẽ không dễ sửa chữa, nhưng nó đáng để làm
Google, Microsoft, Apple và Mozilla đều định hình web thành như ngày nay và họ có khả năng thay đổi mọi thứ để đáp ứng các vấn đề mới. Hy vọng, đây là trong danh sách ngắn của những thay đổi.
