Web跟踪器如何利用密码管理器
新时代,高科技越来越发达。朋友们读了很多关于科技的重要新闻。我们也应该在生活中使用很多这些高科技的东西。朋友应该注意什么?今天,我想和大家分享一条关于科技的知识。我希望你会喜欢它。
大多数网络浏览器都有一个内置的密码管理器,这是一个将登录数据保存到数据库并自动填写表单和/或使用数据库中的信息登录网站的基本工具。
想要更多功能的用户依赖第三方密码管理器,如LastPass、KeePass或Dashlane。这些密码管理器增加了功能,可以作为浏览器扩展或桌面程序安装。
这项研究由普林斯顿大学信息技术中心推荐。新发现的网络跟踪器使用密码管理器来跟踪用户。
跟踪脚本利用了密码管理器的弱点。研究人员表示,将会发生以下情况:
用户访问网站,注册帐户,然后将数据保存在密码管理器中。
跟踪脚本在第三方网站上运行。当用户访问网站时,登录表单会以不可见的方式注入到网站中。
如果在密码管理器中找到匹配的站点,浏览器的密码管理器将填写数据。
该脚本检测用户名,对其进行哈希处理,然后将其发送到第三方服务器以跟踪用户。
下图显示了工作流程。
密码管理器网络跟踪器利用
研究人员分析了两种不同的脚本,这两种脚本旨在使用密码管理器获取用户的可识别信息。两个脚本AdThink和OnAudience将不可见的登录表单注入到网页中,以检索浏览器的密码管理器返回的用户名数据。
该脚本计算哈希值并将其发送到第三方服务器。Hash用于跨站点跟踪用户,无需Cookie或其他形式的用户跟踪。
用户追踪是网络广告的圣地之一。公司利用这些数据创建用户档案,根据各种因素记录用户的兴趣,如他们访问的网站(体育、娱乐、政治、科学)或用户连接互联网的位置。
研究人员分析的脚本侧重于用户名。但是,其他脚本无法阻止密码数据的提取,这在过去已经被恶意脚本尝试过。
研究人员分析了5万个网站,发现任何网站都没有密码泄露的痕迹。然而,他们确实在排名前100万的Alexa网站中找到了1100个跟踪脚本。
使用以下脚本:
AdThink:https://static . audienceinsights . net/t . js
on audience:http://API . behavioralengine.com/scripts/be-init . js
AdThink
出口跟踪
Adthink脚本包含关于个人、财务、身体特征、意图、兴趣和人口统计的非常详细的类别。
研究人员用以下方式描述了脚本的功能:
该脚本读取电子邮件地址,并将MD5、SHA1和SHA256哈希发送到secure.audiencesights.net。
另一个请求将电子邮件地址的MD5哈希发送给数据代理Acxiom(p-eu.acxiom-online.com)
互联网用户可以在此页面查看跟踪状态并选择退出数据收集。
音频
OnAudience脚本是“波兰网站上最常见的脚本”。
该脚本计算指纹识别常用的电子邮件地址和其他浏览器数据(MIME类型、插件、屏幕大小、语言、时区信息、用户代理字符串、操作系统和CPU信息)的MD5哈希值。
从数据中生成另一个哈希。
阻止登录表单网站跟踪
用户可以安装内容阻止程序来阻止对这些域的请求。EasyPrivacy列表确实已经存在,但是将URL手动添加到黑名单中已经足够容易了。
另一个防御措施是禁用登录数据的自动填充。火狐用户可以设置关于:config?将filter=sign on . auto filforms设置为false以禁用自动填充。
结束语
广告业是在自掘坟墓吗?入侵跟踪脚本是用户在网络浏览器中安装广告和内容拦截器的另一个原因。
是的,这个网站上有广告。我想要另一个选项来运行一个独立的网站,或者我想要一家公司提供一个本地广告解决方案,该解决方案只在运行该网站的服务器上运行,不需要第三方连接或使用跟踪。
本文就为大家讲解到这里了。