19 января 2018

Password manager autofill may be leaking username and password


Диспетчер автозаполнения  паролей может привести к утечке имени пользователя и пароля
Скрипты рекламы используют автозаполнение для сбора ваших личных данных

By Heather Hamilton, contributing writer



Хотя параметры автозаполнения в вашем браузере кажутся удобным способом сэкономить время, последние отчеты показывают, что рекламные сети неправильно используют вашу автозаполненную информацию. Используя сценарии отслеживания с целью захвата вашего адреса электронной почты, который автоматически вводит менеджер паролей, и даже фиксируя ваш пароль, рекламные сети сохраняют ваши личные данные. Freedom to Tinker сообщает, что это относится как к встроенным администраторам паролей браузера, так и к расширениям браузера.

Скрипты сторонних объявлений записывают вашу информацию, работая в фоновом режиме на сайтах, которые вы посещаете, и создают невидимые фейковые поля входа и пароля, а затем перехватывают имена пользователей и пароли, введенные вашим менеджером паролей. Вы можете проверить это  здесь - через демонстрационную страницу, разработанную Freedom to Tinker .

На сайте также объясняется причина, по которой рекламные сайты собирают адреса электронной почты пользователей. По сути, они остаются неизменными, даже когда пользователи очищают файлы cookie, используют частный просмотр и переключают устройства. Это позволяет сайтам отслеживать пользователей и «подключать фрагменты онлайн-профиля, разбросанные по разным браузерам, устройствам и мобильным приложениям. Это также может служить связующим звеном между профилями истории просмотров до и после очистки cookie»,  - пишут они.

Freedom to Tinker говорят, что проблема затрагивает 1110 из топового 1 млн сайтов, и, хотя в настоящее время они только сохраняют имена пользователей и их электронные адреса, нет абсолютно ничего, чтобы могло предотвратить кражи паролей в будущем. How-toGeek  подчёркивает, что всё это позволяет рекламодателям получить доступ к вашим данным только на конкретном сайте, при условии, что вы не используете один и тот же пароль для всех сайтов. Именно по этому они поощряют пользователей использовать диспетчер автозаполнения паролей, с целью отслеживания уникальных паролей, хотя они также и рекомендуют отключать автозаполнение.

Как использовать автозаполнение

Несомненно удобно использовать автозаполнение, и вам, вероятно, не нужно полностью отказываться от него, если вы используете расширение браузера, такое как LastPass. Да, было бы безопаснее просто вырезать и вставлять имена пользователей и пароли, но почти так же безопасно включать автоматическое автозаполнение вручную, позволяя вам выбирать, когда ваш менеджер паролей может заполняет все сам.

Большинство управляющих паролями браузеров (включая Chrome) не позволят вам отключить функцию автозаполнения для паролей, хотя вы можете сделать это для адреса, электронной почты и т. д.  Если менеджеры паролей - это ваш выбор, то вы можете подумать о переходе на использование программ сторонних разработчиков, многие из которых позволяют легко изменять настройки, перейдя на вкладку «Настройки» и сохранять изменения.

Если вы используете Mozilla Firefox, то вы можете вносить изменения в настройки автозаполнения, хотя это немного скрыто. Введите «about:config» в адресную строку и нажмите Enter. Вы получите предупреждение об изменении настроек. Подтвердите, что вы принимаете риск, а затем введите «autofillForms» в поле поиска. Дважды щелкните по значку «signon.autofillForms», а затем «false», что предотвратит автозаполнение без вашего разрешения.


Комментариев нет:

Отправить комментарий

Извините, в связи с огромным количеством спама, все ваши комментарии могут появляться с небольшой задержкой.
Буду рад, если вы не забудете подписаться под своим комментарием :)