Nekoliko je stvari koje ćete čuti u svakom razgovoru o sigurnosti na internetu; jedna od prvih bila bi upotreba upravitelja lozinki. Rekao sam to, većina mojih suradnika je to rekla, a vrlo je vjerojatno da ste to izgovorili dok pomažete nekome drugom da razriješi načine da podaci budu sigurni i zdravi. To je još uvijek dobar savjet, ali nedavna studija Centra za politiku informacijske tehnologije na Sveučilištu Princeton otkrila je da upravitelj lozinki u vašem web pregledniku koji možete koristiti da vaše informacije ostanu privatne također pomaže oglasnim tvrtkama da vas prate putem weba.
Zastrašujući je scenarij sa svih strana, ponajviše zato što ga neće biti lako popraviti. Ono što se događa nije krađa nijedne vjerodajnice - oglasna tvrtka ne želi vaše korisničko ime i lozinku - već se ponašanje koje upravitelj lozinki koristi iskorištava na vrlo jednostavan način. Tvrtka za oglašavanje postavlja skriptu na stranicu (dvije naziva po imenu su AdThink i OnAudience) koje djeluju kao obrazac za prijavu. To nije pravi obrazac za prijavu, jer u slučaju da vas neće povezati ni s jednom uslugom, to je "samo" skripta za prijavu.
Kada upravitelj zaporki vidi obrazac za prijavu, upisuje korisničko ime. Testirani preglednici bili su: Firefox, Chrome, Internet Explorer, Edge i Safari. Chrome, na primjer, neće unositi zaporku sve dok korisnik ne stupi u interakciju s obrascem, ali automatski unese korisničko ime. To je u redu, jer to je sve što scenarij želi ili treba. Ostali se preglednici ponašali isto, kao što se i očekivalo.
Nakon unosa vašeg korisničkog imena, on i ID vašeg preglednika uskladiti će se s jedinstvenom identifikatorom. Ne morate ništa spremiti na računalo ili telefon, jer sljedeći put kada posjetite web mjesto koje koristi ista oglasna tvrtka dobijete drugu skriptu koja djeluje kao obrazac za prijavu i ponovno se unosi vaše korisničko ime. Podaci se uspoređuju s podacima o datoteci i et voilà je priložen jedinstveni identifikator koji se može (i koristi se) za praćenje na webu. I to funkcionira jer se to očekuje i "vjeruje" ponašanje. Uz mapu puta vaših internetskih navika, podaci za koje se navodi da su priključeni na ovaj UUID uključuju i dodatke preglednika, MIME tipove, dimenzije zaslona, jezik, podatke o vremenskoj zoni, niz korisničkih agenata, informacije o OS-u i informacije o CPU-u.
Skup heuristika pomoću kojeg se određuje koji će se obrasci za prijavu automatski popunjavati ovisi o pregledniku, ali osnovni uvjet je da su dostupno polje korisničkog imena i zaporke
Djeluje zbog onoga što je poznato pod nazivom Politika istog podrijetla. Kada se prezentira sadržaj iz dva različita izvora, njemu se ne treba vjerovati, ali kada se jednom izvoru povjeri, vjeruje se i sav sadržaj za trenutnu sesiju (povjerenje u tom smislu znači da ciljano pregledavate ili komunicirate sa sadržajem). Svoj preglednik ste usmjerili na web stranicu i komunicirali s obrascem za prijavu na toj stranici, tako da se sve tretira kao povjerenje dok ste na toj stranici. Međutim, u ovom je slučaju skripta ugrađena u stranicu, ali zapravo je iz drugog izvora i ne treba joj vjerovati dok na neki način ne kliknete ili na neki način komunicirate kako biste pokazali da namjeravate biti tamo.
Ako su elementi stranice za uvredu ugrađeni u iframe ili neku drugu metodu koja odgovara izvoru i odredištu podataka, automatsko korištenje ovog iskorištavanja (i da, nazvat ću ga eksploatacijom) ne bi radilo.
Popis poznatih web mjesta koja ugrađuju skripte koje zloupotrebljavaju upravitelja prijave za praćenje
Postoji vrlo dobra šansa da web izdavači koji koriste usluge oglasa koje iskorištavaju takvo ponašanje nemaju pojma što se događa s njihovim korisnicima. Iako ih to ne oslobađa od odgovornosti, njihov se proizvod u konačnici koristi za skupljanje podataka od korisnika bez njihovog znanja, a to bi trebalo učiniti svakog administratora web stranice (i možda vrlo neurednim). Kao korisnik, ne možemo učiniti ništa drugo nego slijediti iste prakse "anonimnog" pregledavanja weba koje se koriste kada želimo ostati malo privatniji na webu. To znači blokirati sve skripte, blokirati sve oglase, spremati nikakve podatke, ne prihvaćati kolačiće i u osnovi svaku web sesiju tretirati kao vlastiti sandžak.
Jedino ispravno ispravljanje je promjena načina rada upravitelja lozinki putem preglednika - i ugrađenih alata i proširenja ili drugih dodataka. Arvind Narayanan, jedan od profesora koji je radio na projektu, to sažeto iznosi:
To se neće popraviti, ali vrijedi to učiniti
Google, Microsoft, Apple i Mozilla svi su oblikovali mrežu u današnje stanje, a oni su sposobni promijeniti stvari kako bi doveli do novih problema. Nadamo se da je ovo na užem popisu promjena.
