唉低 -千年之夏- 批万 姆咪板 废文 [新闻] 研究：浏览器的密码管理员可被脚本程式开采，不经意泄露你的隐私 嘻嘻 Sun Jan 01 00:00:00 1990 ─────────────────────────────────────── 研究：浏览器的密码管理员可被脚本程式开采，不经意泄露你的隐私 https://www.ithome.com.tw/news/120001 研究揭露了追踨使用者上网行为的脚本程式可利用浏览器的密码管理员，在 同一网站中透过隐藏的登入表格取得使用者的电子邮件帐号，以识别使用者 、追踪上网活动。 普林斯顿大学资讯科技政策中心（Center for Information Technology Policy）旗下的Freedom to Tinker周三（12/27）警告，第三方脚本程式可 开采各大浏览器中所内建的密码管理员，於不知不觉中取得使用者的机密资 料。 这些脚本程式的主要目的是追踪使用者於网站上的浏览行为。当使用者登入 网站并要求浏览器储存登入资讯之後，脚本程式即藏匿在同一网站上的其它 网页伺机而动，一旦使用者造访该网页，它就会藉由隐藏的登入格式来汲取 使用者的电子邮件帐号，以建立追踪的身分识别，再将资料传送到第三方的 伺服器上。(来源：*Freedom to Tinker) https://i.imgur.com/sYMLjyw.png 在上述程序中，浏览器的密码管理员会受到隐藏登入格式的召唤，并自动填 入资讯。 研究人员找到了两支用来窃取使用者电子邮件帐号的脚本程式—Adthink与 OnAudience，并於Alexa前100万大网站中的1110个网站发现它们的踪迹。 其中，Adthink是由专门分析匿名资料的audienceinsights.net所开发，除了 电子邮件之外，它还蒐集了使用者的生日、年纪、性别、特徵、兴趣及所在 区域等资料；至於OnAudience则是来自提供大数据工具的同名公司，除了电 子邮件资料外也蒐集浏览器、作业系统与CPU资讯。这两家业者蒐集资讯的目 的皆为分析与行销。 其实浏览器已内建同源政策（Same Origin Policy）来限制脚本程式只能存 取同一网站的文件以避免跨站攻击，但上述的攻击模式却是第三方业者将脚 本程式嵌在同一网站上，且大多数的网站并没有足够的时间或技术来评估这 些程式的安全性。 研究人员认为，自动填入功能不只是个安全漏洞，还带来了隐私威胁，建议 网站应该以子网域来隔离登入页面，鼓励使用者安装广告封锁或追踪保护机 制，亦呼吁浏览器业者应允许使用者关闭自动填入功能。 * https://freedom-to-tinker.com/2017/12/27/no-boundaries-for-user-identities-web-trackers-exploit-browser-login-managers/ https://is.gd/wOz3Nm -- Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. --Edward Snowden

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 178.17.174.196 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1514497458.A.936.html ※ 编辑: kaoh08 (178.17.174.196), 12/29/2017 06:33:06