登录管理员滥用第三方脚本进行跟踪

热心追踪您和您的浏览习惯的广告定位器可以从浏览器的密码管理器中提取数据。

根据普林斯顿大学的研究人员Gunes Acar，Steven Englehardt和Arvind Narayanan的说法，网络跟踪器正在利用浏览器登录管理器。

实际上，他们在由普林斯顿大学信息技术政策中心主办的Freedom to Tinker网站上说，一个长期存在的漏洞被第三方脚本滥用，用于跟踪超过1,000个网站。

普林斯顿信息技术政策中心的研究人员发现了两个第三方跟踪脚本，可以挖掘浏览器登录管理器提供的信息，以创建持久标识符，在网页之间移动时跟踪您。这是安全分析师Graham Cluley 的报告，他和其他技术观察人员一起注意到团队的努力。这三个人研究了如何利用网络挖掘信息。

The Verge的 Russell Brandom 解释了三重奏的作用：

简而言之，他们检查了两个不同的脚本，旨在从基于浏览器的密码管理器获取信息。“这些脚本的工作原理是在网页的后台注入隐形登录表单，并将任何浏览器自动填充到可用的插槽中。然后，这些信息可以用作持久ID来跟踪用户的页面到页面。”

克鲁利还向他的读者介绍了它是如何发生的：

“您访问网页并填写登录表单。您的浏览器会询问您是否要保存登录详细信息。稍后，您访问同一网站上的其他页面，其中包括第三方跟踪脚本。跟踪脚本插入一个肉眼看不见的登录表单，您的浏览器的密码管理器会自动填写您的凭据。第三方脚本会从隐形表单的字段中提取您的电子邮件地址，并将哈希值发送到第三方服务器“。

Acar，Englehardt和Narayanan描述了他们的方法论。他们说：“我们从Alexa前100万个网站中抓取了 50,000个网站。我们采用了以下采样策略：访问所有前15,000个网站，随机抽取Alexa排名范围内的15,000个网站[15,000 100,000]，并随机抽样20,000个网站范围[100,000,1,000,000]。这种组合使我们能够观察到高流量和低流量站点的攻击。“

如果研究人员的名字听起来有点模糊，那是因为你可能在几个月前就在新闻中看到过这些，当时他们的研究揭示了令人不安的剧本世界。在New Scientist中，Abigail Beall说：“你访问的网站可能有数百个脚本在后台运行;一些存放cookie，其他人跟踪你到其他网站。”

她报告了普林斯顿大学的研究人员如何通过网站来检查他们运行的脚本。她注意到一种称为会话重放的脚本，它记录了一个人在网站上所做的事情，包括该人的类型。

与此同时，V3指出“电子邮件地址总是与用于网站或互联网服务注册的整个数字足迹相关联。所有这些信息都可以成为寻求针对特定人群或群体的营销公司的黄金“。

研究人员表示，“所有主流浏览器都有内置的登录管理器，可以保存并自动填写用户名和密码数据，使登录体验更加无缝。”

他们说“用于确定哪些登录表单将被自动填充的启发式方法因浏览器而异，但基本要求是用户名和密码字段可用。”

此外，使用隐私浏览模式清除cookie或切换设备不会阻止跟踪。为什么不?“ 电子邮件地址的哈希值可用于连接分散在不同浏览器，设备和移动应用程序中的在线个人资料。它还可以作为cookie清除前后浏览历史记录配置文件之间的链接。”

可以做些什么?

Verge：“唯一可靠的解决方案是改变密码管理器的工作方式，在提交信息之前需要更明确的批准。”

布兰登引用Narayanan的话说：“修理起来并不容易，但是值得这样做，”负责该项目的普林斯顿计算机科学教授Arvind Narayanan说道，“选择运行侵入式脚本的网站怎么样?Lax网站运营商允许没有理解影响的第三方脚本是一个问题。“我们希望看到出版商在他们的网站上更好地控制第三方，”Narayanan说。

周二，安全分析师Cluley称。他的标题是“自动填写您的用户名和密码?不是一个好主意。”

最后，研究小组表示，您可以在他们的实时演示页面上自行测试攻击。该演示检查您的浏览器的内置登录管理器是否会自动填写一个不可见的登录表单。