瀏覽器自動(dòng)填密碼功能也被用來追蹤你，有一些防范方法

來源：好奇心日報(bào) 發(fā)布時(shí)間：2018-01-06瀏覽：3111次

瀏覽器自動(dòng)填密碼功能也被用來追蹤你，有一些防范方法

普林斯頓大學(xué)信息技術(shù)中心的研究人員最近發(fā)現(xiàn)，瀏覽器自帶的自動(dòng)填充密碼功能可能會(huì)被一些網(wǎng)站上加載的腳本程序用來追蹤用戶。

像 Safari、Firefox、Chrome 等瀏覽器都內(nèi)置了保存和自動(dòng)填充賬號(hào)/密碼的功能。當(dāng)用戶訪問某個(gè)網(wǎng)站，并手動(dòng)輸入用戶名和密碼時(shí)，可以在瀏覽器彈出的提示框中選擇保存。下次再訪問這個(gè)網(wǎng)站，瀏覽器就會(huì)自動(dòng)填充所需要的登錄信息。這樣就免去一部分重復(fù)性輸入。

單純從功能來看，自動(dòng)填充確實(shí)可以省去一些麻煩，但同時(shí)也帶來了一些安全隱患。

這位研究人員通過分析 50000 個(gè)目標(biāo)網(wǎng)站，發(fā)現(xiàn)了兩款名為 AdThink 和 OnAudience 的腳本程序在利用瀏覽器的自動(dòng)填充功能追蹤用戶。

它的具體工作原理并不復(fù)雜。

當(dāng)用戶使用已經(jīng)保存了其賬戶密碼的瀏覽器訪問某個(gè)網(wǎng)站的非登錄頁面時(shí)，一個(gè)由第三方提供的 Javascript 腳本程序會(huì)生成一個(gè)人眼不可見的表單。

雖然使用者看不到，但瀏覽器會(huì)識(shí)別這個(gè)表單，并自動(dòng)填入與該網(wǎng)站對應(yīng)的賬號(hào)和密碼。由于這個(gè)賬號(hào)通常是具有獨(dú)特性的個(gè)人郵箱，而且是明文保存，惡意腳本可以根據(jù)郵箱換算為 hash 編碼并上傳到云端服務(wù)器做保存或比對驗(yàn)證。

這個(gè)過程對于普通用戶而言，通常是沒有感知的。

但對于那些網(wǎng)站的運(yùn)營者，通過這種方式來追蹤和定位用戶是誰，有助于提高展示廣告或相關(guān)推薦的精準(zhǔn)度。

在 50000 個(gè)分析樣本中，采用 AdThink 和 OnAudience 腳本程序的網(wǎng)站分別有 1047 和 63 個(gè)。

這種做法雖然不直接泄露用戶的郵箱和密碼等個(gè)人資料，但是在未告知的前提下追蹤用戶來為自己牟利仍然是不道德的。

要防止這類惡意程序也并不難。

最簡單的是關(guān)掉自動(dòng)填充功能。如果已經(jīng)對瀏覽器自動(dòng)填充功能有依賴，可以使用第三方的密碼管理插件，比如 LastPass 或 1Password。這類軟件生成密碼的強(qiáng)度和安全性都比較高，只需記住一個(gè)密碼就可以。

除此之外，制定 Web 標(biāo)準(zhǔn)的 W3C 小組對此也有相關(guān)動(dòng)作。即將上線的 API 接口標(biāo)準(zhǔn)要求瀏覽器在自動(dòng)填充一次賬戶密碼時(shí)要給出提示。這意味著，那些隱藏的登錄表單也不會(huì)逃過用戶的感知范圍。

總之，在主流瀏覽器都支持這一標(biāo)準(zhǔn)之前，訪問陌生網(wǎng)站還是要小心為上。

題圖：Pixabay