Er zijn een paar dingen die u in elk gesprek over internetbeveiliging zult horen; een van de eersten zou zijn om een wachtwoordbeheerder te gebruiken. Ik heb het gezegd, de meeste van mijn collega's hebben het gezegd, en de kans is groot dat je het hebt gezegd terwijl je iemand anders helpt manieren te vinden om hun gegevens veilig en gezond te houden. Het is nog steeds een goed advies, maar een recent onderzoek van het Center for Information Technology Policy van Princeton University heeft uitgewezen dat de wachtwoordbeheerder in uw webbrowser die u kunt gebruiken om uw informatie privé te houden, ook advertentiebedrijven helpt u te volgen op internet.
Het is een angstaanjagend scenario van alle kanten, vooral omdat het niet gemakkelijk zal zijn om op te lossen. Wat er gebeurt, is niet het stelen van inloggegevens - een reclamebedrijf wil uw gebruikersnaam en wachtwoord niet - maar het gedrag dat een wachtwoordbeheerder gebruikt, wordt op een zeer eenvoudige manier misbruikt. Een advertentiebedrijf plaatst een script op een pagina (twee genoemd bij naam zijn AdThink en OnAudience) die fungeert als een inlogformulier. Het is geen echt inlogformulier, omdat het u niet met een service zal verbinden, het is "slechts" een inlogscript.
Wanneer uw wachtwoordbeheerder een aanmeldingsformulier ziet, voert het een gebruikersnaam in. Geteste browsers waren: Firefox, Chrome, Internet Explorer, Edge en Safari. Chrome voert bijvoorbeeld het wachtwoord pas in als de gebruiker het formulier gebruikt, maar voert automatisch een gebruikersnaam in. Dat is prima, want dat is alles wat het script wil of nodig heeft. Andere browsers gedroegen zich hetzelfde als verwacht.
Nadat uw gebruikersnaam is ingevoerd, worden deze en uw browser-ID gehasht in een unieke ID. U hoeft niets op te slaan op uw computer of telefoon, want de volgende keer dat u een site bezoekt die hetzelfde advertentiebedrijf gebruikt, krijgt u een ander script dat als login-formulier fungeert en wordt uw gebruikersnaam opnieuw ingevoerd. De gegevens worden vergeleken met wat er in het bestand staat en er is een unieke identificatie aan u toegevoegd die kan (en wordt) gebruikt om u op internet te volgen. En dit werkt omdat dit verwacht en "vertrouwd" gedrag is. Naast een routekaart van uw internetgewoonten, bevatten gegevens die aan deze UUID zijn gekoppeld ook browserinvoegtoepassingen, MIME-typen, schermafmetingen, taal, tijdzone-informatie, user agent-string, OS-informatie en CPU-informatie.
De set heuristieken die wordt gebruikt om te bepalen welke aanmeldingsformulieren automatisch worden ingevuld, verschilt per browser, maar de basisvereiste is dat een gebruikersnaam en wachtwoordveld beschikbaar zijn
Het werkt vanwege wat bekend staat als het Same Origin Policy. Wanneer inhoud uit twee verschillende bronnen wordt gepresenteerd, is deze niet te vertrouwen, maar zodra een bron wordt vertrouwd, wordt alle inhoud voor de huidige sessie ook vertrouwd (vertrouwen betekent in deze zin dat u de inhoud doelbewust bekijkt of gebruikt). U hebt uw browser naar een webpagina geleid en interactie gehad met een inlogformulier op die pagina, dus het wordt allemaal behandeld als vertrouwd terwijl u op de pagina bent. In dit geval was het script echter ingebed in een pagina, maar is het eigenlijk van een andere bron en moet het niet worden vertrouwd totdat je hebt geklikt of op een of andere manier hebt gereageerd om te laten zien dat je er wilde zijn.
Als de aanstootgevende pagina-elementen waren ingebed in een iframe of een andere methode die overeenkomt met de bron en bestemming van de gegevens, zou de automatische werking van deze exploit (en ja, ik noem het een exploit) niet werken.
Een lijst met bekende sites die scripts insluiten die login manager misbruiken voor tracking
De kans is groot dat webuitgevers die advertentieservices gebruiken die dit gedrag exploiteren, geen idee hebben van wat er met hun gebruikers gebeurt. Hoewel dat hen niet uitsluit van verantwoordelijkheid, is het uiteindelijk hun product dat wordt gebruikt om gegevens van gebruikers te verzamelen zonder hun medeweten, en dat zou elke betrokken sitebeheerder (en mogelijk zeer woedend) moeten maken. Als gebruiker kunnen we niet veel anders doen dan dezelfde "incognito" webbrowserpraktijken volgen die we gebruiken als we een beetje meer privé op het internet willen blijven. Dat betekent dat alle scripts worden geblokkeerd, alle advertenties worden geblokkeerd, geen gegevens worden opgeslagen, geen cookies worden geaccepteerd en elke websessie in feite als een eigen sandbox wordt behandeld.
De enige echte oplossing is om de manier te veranderen waarop wachtwoordbeheerders via de browser werken - zowel ingebouwde hulpmiddelen als extensies of andere plug-ins. Arvind Narayanan, een van de professoren die aan het project hebben gewerkt, stelt het kort en bondig:
Het zal niet gemakkelijk zijn om op te lossen, maar het is het waard om te doen
Google, Microsoft, Apple en Mozilla hebben het web allemaal gemaakt tot wat het vandaag is, en ze zijn in staat dingen te veranderen om nieuwe problemen aan te pakken. Hopelijk staat dit op de korte lijst met wijzigingen.
