Terdapat beberapa perkara yang anda akan dengar dalam setiap perbualan mengenai keselamatan internet; salah satu yang pertama adalah dengan menggunakan pengurus kata laluan. Saya telah berkata demikian, sebahagian besar rakan sekerja saya telah berkata demikian, dan kemungkinan anda mengatakannya sambil membantu orang lain memilah cara untuk memastikan data mereka selamat dan kukuh. Ia masih nasihat yang baik, tetapi kajian baru-baru ini dari Pusat Teknologi Maklumat Pusat Princeton University mendapati bahawa pengurus kata laluan dalam pelayar web anda yang mungkin anda gunakan untuk memastikan maklumat anda secara peribadi juga membantu syarikat iklan mengesan anda di seluruh web.
Ini senario yang menakutkan dari semua pihak, kebanyakannya kerana ia tidak mudah untuk diperbaiki. Apa yang terjadi bukanlah mencuri kelayakan mana pun - syarikat iklan tidak mahu nama pengguna dan kata laluan anda - tetapi tingkah laku yang digunakan oleh pengurus kata laluan dieksploitasi dengan cara yang sangat mudah. Sebuah syarikat iklan meletakkan skrip pada halaman (dua nama yang dipanggil adalah AdThink dan OnAudience) yang bertindak sebagai bentuk login. Ia bukan borang login yang sebenar, kerana ia tidak akan menghubungkan anda dengan perkhidmatan apa-apa, ia hanya "skrip login".
Apabila pengurus kata laluan anda melihat borang login, ia memasuki nama pengguna. Pelayar yang diuji adalah: Firefox, Chrome, Internet Explorer, Edge, dan Safari. Chrome, sebagai contoh, tidak akan memasukkan kata laluan sehingga pengguna berinteraksi dengan borang itu, tetapi ia memasuki nama pengguna secara automatik. Itu baik kerana itu semua skrip mahu atau keperluan. Pelayar lain berkelakuan sama, seperti yang diharapkan.
Sebaik sahaja nama pengguna anda dimasukkan, ia dan ID pelayar anda akan menjadi pengecam unik. Anda tidak perlu menyimpan apa-apa pada komputer atau telefon anda kerana kali berikutnya anda melawat tapak yang menggunakan syarikat iklan yang sama, anda akan mendapat skrip lain yang bertindak sebagai bentuk login dan nama pengguna anda sekali lagi dimasukkan. Data ini dibandingkan dengan apa yang ada di dalam fail, dan sebaliknya pengenal unik telah dilampirkan kepada anda dan boleh (dan sedang) digunakan untuk mengesan anda di seluruh web. Dan ini berfungsi kerana ini diharapkan dan "dipercayai" kelakuan. Selain daripada peralihan tabiat internet anda, data yang didapati dilampirkan pada UUID ini juga termasuk pemalam pelayar, jenis MIME, dimensi skrin, bahasa, maklumat zon waktu, rentetan agen pengguna, maklumat OS, dan maklumat CPU.
Set heuristik yang digunakan untuk menentukan bentuk log masuk yang mana akan autofilled berbeza oleh penyemak imbas, tetapi keperluan asas ialah bidang nama pengguna dan kata laluan tersedia
Ia berfungsi kerana apa yang dikenali sebagai Dasar Asal Sama. Apabila kandungan dari dua sumber berbeza dibentangkan, ia tidak boleh dipercayai, tetapi apabila sumber dipercayai semua kandungan untuk sesi semasa juga dipercayai (amanah dalam arti ini bermakna anda sengaja melihat atau berinteraksi dengan kandungan). Anda telah mengarahkan penyemak imbas anda ke halaman web dan berinteraksi dengan borang login pada halaman itu, jadi semuanya dianggap sebagai dipercayai semasa anda berada di halaman. Walau bagaimanapun, dalam skrip ini, skrip dimasukkan ke dalam halaman tetapi sebenarnya dari sumber yang berbeza dan tidak boleh dipercayai sehingga anda telah mengklik atau berinteraksi dalam beberapa cara untuk menunjukkan kepada anda yang ingin berada di sana.
Jika elemen halaman yang menyinggung disematkan dalam iframe atau kaedah lain yang sepadan dengan sumber dan tujuan data, maka penggunaan automatik ini (dan ya, saya akan menyebutnya mengeksploitasi) tidak akan berfungsi.
Senarai tapak yang diketahui menanamkan skrip yang menyalahgunakan pengurus masuk untuk menjejaki
Ada peluang yang sangat baik bahawa penerbit web menggunakan perkhidmatan iklan yang memanfaatkan kelakuan ini tidak tahu apa yang terjadi kepada pengguna mereka. Walaupun itu tidak mengecualikan mereka daripada tanggungjawab, akhirnya produk mereka digunakan untuk menuai data daripada pengguna tanpa pengetahuan mereka, dan itu harus membuat setiap pentadbir laman yang berkenaan (dan mungkin sangat marah). Sebagai pengguna, tidak banyak yang boleh kita lakukan selain mengikuti amalan pelayaran web "penyamaran" sama yang digunakan apabila kita mahu kekal lebih peribadi di web. Ini bermakna untuk menyekat semua skrip, menyekat semua iklan, menyimpan data tidak, tidak menerima cookies dan pada dasarnya memperlakukan setiap sesi web sebagai kotak pasir sendiri.
Satu-satunya pembetulan yang benar ialah mengubah cara pengurus kata laluan bekerja melalui penyemak imbas - kedua-dua alat dan pelanjutan terbina dalam atau plugin lain. Arvind Narayanan, salah seorang profesor yang bekerja di projek itu, meletakkannya dengan ringkas:
Ia tidak mudah untuk diperbaiki, tetapi ia patut dilakukan
Google, Microsoft, Apple, dan Mozilla semuanya membentuk web ke dalam apa yang hari ini, dan mereka mampu menukar perkara untuk memenuhi isu-isu baru. Mudah-mudahan, ini adalah dalam senarai pendek perubahan.
