Вольногорск

информационный


left

icon user Новости науки и техники 01 январь 2018

icon comment 0 Комментариев

Рекламщики используют хакерский трюк для сбора данных о пользователях

ib-1c2emp6vo_cce37dba.jpgРекламные и аналитические компании могут тайно извлекать из браузеров логины с помощью скрытых полей авторизации и идентифицировать профили или электронную почту неавторизованных пользователей на сайтах, предупреждают исследователи из Принстонского университета. 

Проблема кроется в недоработке дизайна включенных во все браузеры диспетчеров паролей, которые позволяют запоминать логины/пароли для определенных сайтов и автоматически указывать их в поле авторизации. По словам экспертов, web-трекеры могут внедрять скрытые формы авторизации на ресурсы, где имеются отслеживающие скрипты, и таким образом получать доступ к именам пользователей и паролям. 

Хотя данный трюк известен уже более десяти лет, до недавнего времени его использовали только хакеры при сборе данных аутентификации в ходе XSS (межсайтовый скриптинг) – атак. Однако подобную практику перенимают и рекламные компании. Исследователи обнаружили два таких сервиса - Adthink (audienceinsights.net) и OnAudience (behavioralengine.com), которые используют скрытые скрипты для сбора информации о логинах пользователей на 1 100 сайтах, входящих список популярных ресурсов Alexa. Данные сервисы собирали не пароли, а только сведения о логинах и электронных адресах, в зависимости от используемых на том или ином сайте параметров для авторизации. 

Как выяснили эксперты, компании извлекали логины/адреса электронной почты, создавали хеши и привязывали их к существующим рекламным профилям посетителей сайтов. 

«Адреса электронной почты уникальны и постоянны, таким образом хеш электронного адреса является отличным идентификатором отслеживания. Электронный адрес пользователя практически никогда не изменится – удаление cookie-файлов, использование приватного режима в браузере или смена устройства не предотвратит отслеживание. Хеш может быть использован для создания общего online-профиля по данным, собранным из различных браузеров, мобильных приложений и устройств», - пояснили исследователи. 

Специалисты также представили демо-страницу, где пользователи могут проверить, уязвим ли диспетчер авторизации в используемом ими браузере к данному виду атаки.

Источник http://www.internetua.com/

Просмотров: 8


Комментарии

Имя:

code Код:

rss livejournal Telegram twitter google facebook




Источник: ru.exchange-rates.org

Облако меток

 amd   android   apple   asus   chrome   facebook   firefox   galaxy   games   google   htc   huawei   intel   ios   iphone   lenovo   lg   linux   macos   meizu   microsoft   msi   nokia   nvidia   oneplus   radeon   ryzen   samsung   spectre   ssd   windows   xiaomi   биткоин   видео   вольногорск   интернет   искусственный интеллект   картины   космос   наука   юмор 

Все метки


right
| Важно!!! |  Городские новости |  Транспорт города |  Фотогалерея |  Справочная |  Афиша |  Интересное в мире |  Разное | Сайт місцевих садоводів |


Администрация сайта не всегда разделяет мнение авторов статей
и не несет ответственности за содержание информации, которая размещается посетителями ресурса.

Copyright © 2009-2018 https://vln.dp.ua/