唉低 -千年之夏- 批萬 姆咪板 廢文 [新聞] 研究：瀏覽器的密碼管理員可被腳本程式開採，不經意洩露你的隱私 嘻嘻 Sun Jan 01 00:00:00 1990 ─────────────────────────────────────── 研究：瀏覽器的密碼管理員可被腳本程式開採，不經意洩露你的隱私 https://www.ithome.com.tw/news/120001 研究揭露了追踨使用者上網行為的腳本程式可利用瀏覽器的密碼管理員，在 同一網站中透過隱藏的登入表格取得使用者的電子郵件帳號，以識別使用者 、追蹤上網活動。 普林斯頓大學資訊科技政策中心（Center for Information Technology Policy）旗下的Freedom to Tinker周三（12/27）警告，第三方腳本程式可 開採各大瀏覽器中所內建的密碼管理員，於不知不覺中取得使用者的機密資 料。 這些腳本程式的主要目的是追蹤使用者於網站上的瀏覽行為。當使用者登入 網站並要求瀏覽器儲存登入資訊之後，腳本程式即藏匿在同一網站上的其它 網頁伺機而動，一旦使用者造訪該網頁，它就會藉由隱藏的登入格式來汲取 使用者的電子郵件帳號，以建立追蹤的身分識別，再將資料傳送到第三方的 伺服器上。(來源：*Freedom to Tinker) https://i.imgur.com/sYMLjyw.png 在上述程序中，瀏覽器的密碼管理員會受到隱藏登入格式的召喚，並自動填 入資訊。 研究人員找到了兩支用來竊取使用者電子郵件帳號的腳本程式—Adthink與 OnAudience，並於Alexa前100萬大網站中的1110個網站發現它們的蹤跡。 其中，Adthink是由專門分析匿名資料的audienceinsights.net所開發，除了 電子郵件之外，它還蒐集了使用者的生日、年紀、性別、特徵、興趣及所在 區域等資料；至於OnAudience則是來自提供大數據工具的同名公司，除了電 子郵件資料外也蒐集瀏覽器、作業系統與CPU資訊。這兩家業者蒐集資訊的目 的皆為分析與行銷。 其實瀏覽器已內建同源政策（Same Origin Policy）來限制腳本程式只能存 取同一網站的文件以避免跨站攻擊，但上述的攻擊模式卻是第三方業者將腳 本程式嵌在同一網站上，且大多數的網站並沒有足夠的時間或技術來評估這 些程式的安全性。 研究人員認為，自動填入功能不只是個安全漏洞，還帶來了隱私威脅，建議 網站應該以子網域來隔離登入頁面，鼓勵使用者安裝廣告封鎖或追蹤保護機 制，亦呼籲瀏覽器業者應允許使用者關閉自動填入功能。 * https://freedom-to-tinker.com/2017/12/27/no-boundaries-for-user-identities-web-trackers-exploit-browser-login-managers/ https://is.gd/wOz3Nm -- Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. --Edward Snowden ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 178.17.174.196 ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1514497458.A.936.html ※ 編輯: kaoh08 (178.17.174.196), 12/29/2017 06:33:06