İnternet güvenliği ile ilgili her konuşmada duyacağınız birkaç şey var; Bunlardan birincisi şifre yöneticisi kullanmak olacaktır. Ben söyledim, iş arkadaşlarımın çoğu bunu söyledi ve olasılıkla birisinin verilerini güvende ve sağlıklı tutmanın yollarını bulmaya yardımcı olurken söylemiştin. Bu hala iyi bir tavsiye, ancak Princeton Üniversitesi Bilgi Teknolojileri Politikası Merkezi'nden yapılan son bir araştırma, web tarayıcınızdaki bilgilerinizi gizli tutmak için kullanabileceğiniz şifre yöneticisinin, reklam şirketlerinin sizi web'de izlemesine yardımcı olduğunu buldu.
Her taraftan korkutucu bir senaryo, çünkü düzeltmesi kolay olmayacak. Olanlar hiçbir kimlik bilgisinin çalınması değildir - bir reklam şirketi kullanıcı adınızı ve şifrenizi istemiyor - ancak bir şifre yöneticisinin kullandığı davranış çok basit bir şekilde kullanılıyor. Bir reklam şirketi, giriş formu olarak işlev gören bir sayfaya bir komut dosyası yerleştirir (iki adla adlandırılan AdThink ve OnAudience'dir). Gerçek bir giriş formu değil, sizi herhangi bir hizmete bağlamayacak gibi, "sadece" bir giriş komut dosyası.
Şifre yöneticiniz bir giriş formu gördüğünde, bir kullanıcı adı girer. Test edilen tarayıcılar şunlardı: Firefox, Chrome, Internet Explorer, Edge ve Safari. Örneğin, Chrome, kullanıcı formla etkileşime girene kadar şifreyi girmez, ancak otomatik olarak bir kullanıcı adı girer. Bu iyi çünkü betiğin istediği veya ihtiyaç duyduğu tek şey bu. Diğer tarayıcılar beklendiği gibi aynı davrandı.
Kullanıcı adınız girildikten sonra kullanıcı adı ve tarayıcı kimliği benzersiz bir tanımlayıcıya bölünür. Bilgisayarınıza veya telefonunuza hiçbir şey kaydetmenize gerek yok çünkü aynı reklam şirketini kullanan bir siteyi bir dahaki ziyaretinizde bir giriş formu görevi gören başka bir komut dosyası alırsınız ve kullanıcı adınız bir kez daha girilir. Veriler dosyadakilerle karşılaştırılır ve size özel bir tanımlayıcı eklenmiştir ve sizi web üzerinde izlemek için kullanılabilir (ve kullanılıyor olabilir). Ve bu işe yarıyor çünkü bu beklenen ve "güvenilir" bir davranış. İnternet alışkanlıklarınızın bir yol haritasının yanı sıra, bu UUID’ye ekli bulunan veriler de tarayıcı eklentilerini, MIME türlerini, ekran boyutlarını, dili, saat dilimi bilgilerini, kullanıcı aracı dizesini, işletim sistemi bilgilerini ve CPU bilgilerini içerir.
Hangi oturum açma formlarının otomatik olarak doldurulacağını belirlemek için kullanılan sezgisel tarama seti tarayıcıya göre değişir, ancak temel gereksinim bir kullanıcı adı ve parola alanı bulunmasıdır
Aynı Menşe Politikası olarak bilinen şey nedeniyle çalışır. İki farklı kaynaktan gelen içerik sunulduğunda, güvenilir olması gerekmez, ancak bir kez kaynak güvenilir olduğunda, geçerli oturum için tüm içerik de güvenilirdir (bu anlamda güven, bilerek görüntülemek veya içeriği ile etkileşimde bulunmak anlamına gelir). Tarayıcınızı bir web sayfasına yönlendirdiniz ve o sayfadaki bir giriş formu ile etkileşime geçtiniz, bu yüzden hepsi siz sayfadayken güvenilir olarak kabul edildi. Bu durumda, komut dosyası bir sayfaya gömülüdür, ancak aslında farklı bir kaynaktandır ve orada olmayı amaçlamak için bir şekilde tıklayana veya etkileşime girene kadar güvenilmemelidir.
Sorunlu sayfa öğeleri bir iframe'e veya verinin kaynağı ve hedefi ile eşleşen başka bir yönteme gömülürse, bu istismarın otomatikliği (ve evet, bunu bir istismar olarak adlandırırım) işe yaramaz.
İzleme için oturum açma yöneticisini suistimal eden komut dosyalarını yerleştiren bilinen sitelerin listesi
Bu davranışı kullanan reklam hizmetlerini kullanan web yayıncılarının, kullanıcılarına ne olduğu hakkında hiçbir fikrinin bulunmaması konusunda çok iyi bir şans var. Bu onları sorumluluktan muaf tutmamakla birlikte, sonuçta, ürünleri, bilgisi olmadan kullanıcılardan veri toplamak için kullanılır ve bu, her site yöneticisini endişelendirir (ve muhtemelen çok kızarır). Bir kullanıcı olarak, web’de biraz daha gizli kalmak istediğimizde kullanılan aynı "gizli" web tarama uygulamalarını izlemekten başka yapabileceğimiz bir şey yok. Bu, tüm komut dosyalarını engellemek, tüm reklamları engellemek, veri kaydetmemek, çerez kabul etmemek ve her web oturumunu kendi sanal alanı olarak kabul etmek anlamına gelir.
Tek doğru düzeltme, parola yöneticilerinin tarayıcıda çalışma biçimlerini değiştirmektir - hem yerleşik araçlar, hem de uzantılar veya diğer eklentiler. Projede çalışan profesörlerden biri olan Arvind Narayanan, bunu şöyle özetliyor:
Düzeltmesi kolay olmayacak, ama yapmaya değer
Google, Microsoft, Apple ve Mozilla, web’i bugün olduğu gibi biçimlendirdi ve yeni sorunları çözecek şeyleri değiştirebilecek kapasiteye sahipler. Umarım, bu değişikliklerin kısa listesindedir.
