هناك بعض الأشياء التي ستسمعها في كل محادثة حول أمان الإنترنت ؛ واحد من أولهم سيكون استخدام مدير كلمات المرور. لقد قلت ذلك ، فقد قاله معظم زملائي في العمل ، واحتمالات قلته أثناء مساعدة شخص آخر على فرز طرق للحفاظ على بياناتهم آمنة وسليمة. لا تزال نصيحة جيدة ، لكن دراسة حديثة من مركز سياسة تكنولوجيا المعلومات بجامعة برينستون وجدت أن مدير كلمات المرور في متصفح الويب الخاص بك الذي قد تستخدمه للحفاظ على خصوصية معلوماتك يساعد الشركات الإعلانية على تتبعك عبر الويب.
إنه سيناريو مخيف من جميع الجهات ، معظمه لأنه لن يكون من السهل إصلاحه. ما يحدث ليس سرقة أي بيانات اعتماد - شركة إعلانية لا تريد اسم المستخدم وكلمة المرور الخاصة بك - ولكن السلوك الذي يستخدمه مدير كلمة المرور يتم استغلاله بطريقة بسيطة للغاية. تضع إحدى الشركات الإعلانية نصًا نصيًا على إحدى الصفحات (اثنان يطلق عليهما الاسم AdThink و OnAudience) يعملان كنموذج تسجيل دخول. إنه ليس نموذج تسجيل دخول حقيقيًا ، لأنه لن يقوم بتوصيلك بأي خدمة ، بل هو "تسجيل دخول" فقط.
عندما يرى مدير كلمة المرور نموذج تسجيل دخول ، فإنه يدخل اسم مستخدم. المتصفحات التي تم اختبارها هي: Firefox و Chrome و Internet Explorer و Edge و Safari. لن يقوم Chrome ، على سبيل المثال ، بإدخال كلمة المرور حتى يتفاعل المستخدم مع النموذج ، ولكنه يدخل اسم المستخدم تلقائيًا. هذا جيد لأن هذا هو كل ما يحتاجه البرنامج النصي أو احتياجاته. تصرفت المتصفحات الأخرى كما هو متوقع.
بمجرد إدخال اسم المستخدم الخاص بك ، يتم تقسيم معرف المتصفح الخاص بك إلى معرف فريد. لا تحتاج إلى حفظ أي شيء على جهاز الكمبيوتر الخاص بك أو الهاتف لأنه في المرة القادمة التي تزور فيها موقعًا يستخدم نفس الشركة الإعلانية ، تحصل على نص آخر يتصرف كنموذج تسجيل دخول ويتم إدخال اسم المستخدم الخاص بك مرة أخرى. تتم مقارنة البيانات مع ما هو موجود في الملف ، ويتم إرفاق معرف فريد لك ويمكن استخدامه (ويجري استخدامه) لتتبعك عبر الويب. وهذا يعمل لأن هذا هو السلوك المتوقع "الموثوق به". إلى جانب خارطة طريق لعادات الإنترنت الخاصة بك ، فإن البيانات التي يتم إرفاقها بـ UUID تتضمن أيضًا إضافات المتصفح وأنواع MIME وأبعاد الشاشة واللغة ومعلومات المنطقة الزمنية وسلسلة وكيل المستخدم ومعلومات نظام التشغيل ومعلومات وحدة المعالجة المركزية.
تختلف مجموعة الاستدلال المستخدمة لتحديد نماذج تسجيل الدخول التي سيتم ملؤها تلقائيًا حسب المتصفح ، ولكن الشرط الأساسي هو أن يكون اسم المستخدم وكلمة المرور متاحين
إنه يعمل بسبب ما يعرف باسم "سياسة المنشأ الأصلي". عندما يتم تقديم محتوى من مصدرين مختلفين ، فلن يتم الوثوق به ، ولكن بمجرد الوثوق بالمصدر ، يمكن الوثوق أيضًا بجميع محتويات الجلسة الحالية (الثقة في هذا المعنى تعني أنك تشاهد المحتوى أو تتفاعل معه عن قصد). لقد قمت بتوجيه متصفحك إلى صفحة ويب وتفاعلت مع نموذج تسجيل الدخول على تلك الصفحة ، لذلك يتم التعامل معها جميعًا على أنها موثوق بها أثناء تواجدك في الصفحة. في هذه الحالة ، على الرغم من ذلك ، تم تضمين البرنامج النصي في إحدى الصفحات ، ولكنه في الواقع من مصدر مختلف ولا يجب الوثوق به حتى تنقر أو تتفاعل بطريقة ما لإظهار أنك تنوي أن تكون هناك.
إذا كانت عناصر الصفحة المخالفة مضمنة في إطار iframe أو أي طريقة أخرى تتطابق مع مصدر البيانات ومقصدها ، فلن تعمل الميزة التلقائية لهذا الاستغلال (ونعم ، سأطلق عليه استغلال).
قائمة بالمواقع المعروفة التي تتضمن البرامج النصية التي تسيء إلى مدير تسجيل الدخول للتتبع
هناك فرصة جيدة جدًا ألا يكون لدى ناشري الويب الذين يستخدمون خدمات الإعلانات التي تستغل هذا السلوك أي فكرة عما يحدث لمستخدميهم. على الرغم من أن هذا لا يعفيهم من المسؤولية ، إلا أنه في النهاية يتم استخدام منتجهم لجمع البيانات من المستخدمين دون علمهم ، وينبغي أن يجعل كل مسؤول موقع مهتمًا (وربما غضبًا جدًا). كمستخدم ، ليس هناك الكثير مما يمكننا فعله بخلاف اتباع نفس ممارسات التصفح المتخفي "التصفح المتخفي" المستخدمة عندما نريد أن نبقى أكثر خصوصية على الويب. هذا يعني حظر جميع البرامج النصية ، وحظر جميع الإعلانات ، وحفظ أي بيانات ، وقبول أي ملفات تعريف ارتباط ، وتعامل كل جلسة ويب بشكل أساسي على أنها رمل خاص بها.
الإصلاح الحقيقي الوحيد هو تغيير طريقة عمل مديري كلمة المرور من خلال المتصفح - سواء الأدوات المدمجة والإضافات أو الإضافات الأخرى. آرفيند نارايانان ، أحد الأساتذة الذين عملوا في المشروع ، يضعه بإيجاز:
لن يكون من السهل إصلاحه ، لكن الأمر يستحق القيام به
قامت كل من Google و Microsoft و Apple و Mozilla بتشكيل شبكة الويب إلى ما هي عليه اليوم ، وهم قادرون على تغيير الأشياء لمواجهة المشكلات الجديدة. نأمل أن يكون هذا في قائمة التغييرات القصيرة.
