Ada beberapa hal yang akan Anda dengar dalam setiap percakapan tentang keamanan internet; salah satu yang pertama adalah menggunakan pengelola kata sandi. Saya sudah mengatakannya, sebagian besar rekan kerja saya mengatakannya, dan kemungkinan Anda mengatakannya sambil membantu orang lain memilah cara untuk menjaga data mereka tetap aman dan sehat. Ini masih merupakan saran yang bagus, tetapi sebuah penelitian baru-baru ini dari Pusat Kebijakan Teknologi Informasi Universitas Princeton telah menemukan bahwa pengelola kata sandi di peramban web yang mungkin Anda gunakan untuk menjaga kerahasiaan informasi Anda juga membantu perusahaan iklan melacak Anda di seluruh web.
Ini adalah skenario yang menakutkan dari semua sisi, sebagian besar karena itu tidak akan mudah untuk diperbaiki. Apa yang terjadi bukanlah mencuri kredensial - perusahaan iklan tidak menginginkan nama pengguna dan kata sandi Anda - tetapi perilaku yang digunakan manajer kata sandi sedang dieksploitasi dengan cara yang sangat sederhana. Perusahaan iklan menempatkan skrip pada halaman (dua yang disebut namanya adalah AdThink dan OnAudience) yang bertindak sebagai formulir login. Ini bukan formulir login asli, karena tidak akan menghubungkan Anda ke layanan apa pun, itu "hanya" skrip login.
Ketika pengelola kata sandi Anda melihat formulir masuk, itu memasukkan nama pengguna. Browser yang diuji adalah: Firefox, Chrome, Internet Explorer, Edge, dan Safari. Chrome, misalnya, tidak akan memasukkan kata sandi sampai pengguna berinteraksi dengan formulir, tetapi memasukkan nama pengguna secara otomatis. Tidak apa-apa karena hanya itu yang diinginkan atau dibutuhkan naskah. Peramban lain berperilaku sama, seperti yang diharapkan.
Setelah nama pengguna Anda dimasukkan, itu dan ID browser Anda hash menjadi pengidentifikasi unik. Anda tidak perlu menyimpan apa pun di komputer atau ponsel Anda karena lain kali Anda mengunjungi situs yang menggunakan perusahaan iklan yang sama, Anda mendapatkan skrip lain yang berfungsi sebagai formulir login dan nama pengguna Anda sekali lagi dimasukkan. Data tersebut dibandingkan dengan apa yang ada di file, dan bahkan pengidentifikasi unik telah dilampirkan kepada Anda dan dapat (dan sedang) digunakan untuk melacak Anda di seluruh web. Dan ini berhasil karena ini perilaku yang diharapkan dan "tepercaya". Selain peta jalan kebiasaan internet Anda, data yang ditemukan terlampir pada UUID ini juga termasuk plugin browser, tipe MIME, dimensi layar, bahasa, informasi zona waktu, string agen pengguna, informasi OS, dan informasi CPU.
Seperangkat heuristik yang digunakan untuk menentukan formulir login mana yang akan diisi otomatis bervariasi menurut peramban, tetapi persyaratan dasarnya adalah bahwa bidang nama pengguna dan kata sandi tersedia
Ini bekerja karena apa yang dikenal sebagai Kebijakan Asal yang Sama. Ketika konten dari dua sumber berbeda disajikan, itu tidak bisa dipercaya, tetapi begitu sumber dipercaya semua konten untuk sesi saat ini juga dipercaya (kepercayaan dalam pengertian ini berarti Anda sengaja melihat atau berinteraksi dengan konten). Anda telah mengarahkan browser Anda ke halaman web dan berinteraksi dengan formulir login pada halaman itu, jadi semuanya diperlakukan sebagai dipercaya saat Anda berada di halaman. Namun, dalam kasus ini, skrip disematkan ke dalam halaman tetapi sebenarnya dari sumber yang berbeda dan tidak boleh dipercaya sampai Anda mengklik atau berinteraksi dalam beberapa cara untuk menunjukkan bahwa Anda bermaksud berada di sana.
Jika elemen halaman yang menyinggung tertanam dalam iframe atau metode lain yang cocok dengan sumber dan tujuan data, otomatis dari eksploit ini (dan ya, saya akan menyebutnya eksploit) tidak akan berfungsi.
Daftar situs yang dikenal menyematkan skrip yang menyalahgunakan manajer login untuk dilacak
Ada kemungkinan yang sangat bagus bahwa penerbit web menggunakan layanan iklan yang mengeksploitasi perilaku ini tidak tahu apa yang terjadi pada pengguna mereka. Meskipun itu tidak membebaskan mereka dari tanggung jawab, pada akhirnya produk mereka digunakan untuk memanen data dari pengguna tanpa sepengetahuan mereka, dan itu harus membuat setiap administrator situs prihatin (dan mungkin sangat marah). Sebagai pengguna, tidak banyak yang bisa kita lakukan selain mengikuti praktik penelusuran web "penyamaran" yang sama dengan yang digunakan saat kita ingin tetap sedikit lebih pribadi di web. Itu berarti memblokir semua skrip, memblokir semua iklan, tidak menyimpan data, tidak menerima cookie, dan pada dasarnya memperlakukan setiap sesi web sebagai kotak pasirnya sendiri.
Satu-satunya perbaikan yang benar adalah mengubah cara kerja pengelola kata sandi melalui peramban - baik alat bawaan maupun ekstensi atau plugin lainnya. Arvind Narayanan, salah satu profesor yang bekerja di proyek ini, menjelaskannya dengan ringkas:
Tidak mudah diperbaiki, tetapi perlu dilakukan
Google, Microsoft, Apple, dan Mozilla semuanya membentuk web menjadi seperti sekarang ini, dan mereka mampu mengubah hal-hal untuk memenuhi masalah baru. Semoga ini ada di daftar pendek perubahan.
