Vědecký tým připomíná, že uživatelská jména lze z prohlížečů vyloudit. Ke zneužívání dochází

Aniž byste se sami museli někde přihlásit, lze váš jednoznačný identifikátor použít k účinnějšímu sledování na webu.

4
Kód (Ilustrační foto)
Kód (Ilustrační foto)

Trojice výzkumníků z Princeton University poukázala na relativně vážný problém se zabezpečením, resp. ochranou identity, jenž se týká přihlašovacích údajů uložených v běžných prohlížečích. Jedná se o dlouhodobě známou chybu a ve svém příspěvku se výzkumníci snaží poukázat na to, jak je v praxi zneužívána. Krátká verze zní, že lze na stránku vložit neviditelný přihlašovací formulář.

Ten je automaticky vyplněn prohlížečem. V reakci skript přečte vložené přihlašovací jméno, což bývá často e-mailová adresa, a to je pak formou hashe odesláno na nějaký sběrný server. Podle dostupných zdrojů se o možnosti takového sběru identifikátorů ví více než 10 let. Pomocí vložených skriptů a sběru dat je možné jednotlivce a jednotlivkyně na webu lépe sledovat.

Výsledky čerstvé analýzy

Výzkumný tým zanalyzoval přes 50 tisíc stránek, kde nenašel dosud známý a běžný způsob získávání identifikátorů – dělo se tak běžně pomocí útoků XSS. Tyto útoky dokázaly z prohlížečů vylákat i hesla, jedná se proto o dobrou zprávu. Špatná zpráva zní, že ale na webech byly nalezeny sledovací skripty sbírající právě výše uvedená přihlašovací jména uložená v prohlížečích.

Aniž byste o tom nutně věděli, mohou být návštěvami webů různými službami získávány vaše e‑mailové adresy či jiné identifikátory, které pak slouží pro sledování napříč webem. Ano, dostáváme se opět ke stále klíčovější otázce soukromí v síti. Ačkoli se přihlašovat nemusíte, sledováni tímto způsobem být tajně můžete. Jak to funguje, si můžete zkusit sami na testovací stránce připravené výzkumníky z Princetonu.

Ukázka, jak může skript bez vašeho vědomí získat uložené přihlašovací údaje
Ukázka, jak může skript bez vašeho vědomí získat uložené přihlašovací údaje

Dva skripty, které k této činnosti slouží, byly identifikovány na 1110 stránkách z milionu nejnavštěvovanějších webů podle Alexy. Většina prohlížečů zatím stále neřeší okolnosti a uložené údaje poskytuje bez komplikací prakticky všem přihlašovacím formulářům. Chrome aspoň heslo vkládá až při interakci s formulářem, nikoli však uživatelské jméno. Ke zcela automatickému vkládání jména během testování docházelo ve Chromu, Firefoxu, Internet Exploreru, Edgi a Safari.

Řešení

Dokud se prohlížeče nezlepší, raději v nich svá uživatelská jména a hesla neukládejte. Pokud se děsíte, že byste je vyplňovali stále ručně, můžete zvolit řešení jako LastPass, StickyPassword, případně KeePass či RoboForm, pokud v nich neaktivujete automatické vkládání. Můžete se také podívat na seznam stránek, jež automatické vyplňování přihlašovacích údajů zneužívají, a pak se jim vyhýbat.

Automatické vkládání přihlašovacích údajů může být ve Firefoxu vypnuto pomocí předvolby signon.autofillForms (na stránce about:config). Přepněte ji na False. Co dál? Určité kroky mohou podniknout provozovatelé webů a pak samozřejmě i producenti prohlížečů. Ti by měli umožnit jednak vypnutí automatického vyplňování, jednak snížit uživatelský komfort a zvýšit ochranu identity tím, že aktivují vyplnění až při interakci s formulářem.

Velice detailní popis problematiky můžete nastudovat na webu výzkumného střediska Freedom to Tinker.

Ohodnoťte tento článek!

4 KOMENTÁŘE

  1. „Tyto útoky dokázaly z prohlížečů vylákat i hesla, jedná se proto o dobrou zprávu.“

    ???

    Ja automaticke vkladani chci i bez interakce s formularem.

    Nechapu princip, pokud se chci automaticky prihlasovat na CZC, tak me to prihlasuje na CZC, pokud chci na Cnews, tak me to prihlasuje na Cnews. Kde je problem?

  2. Bez automatického přihlašování bych nedělal nic jiného než se pořád dokola přihlašoval. Je toho dnes moc. Důležité účty jsou chráněné dvoufázově apod.
    Jenom v práci musím mít čtyři různé účty a zase mě čeká pravidelná změna hesla… Začíná to být těžce neúnosné.

  3. Redmarx, Mr.Lolendo: Nejde o automatické přihlášení, tedy že si stránka pamatuje, pod jakým účtem jste se přihlásili, ale o automatické vyplnění přihlašovacích údajů do formuláře, pokud přihlášení nejste. Skripty na stránce si to pak mohou přečíst, a nemusí to být nutně jenom skripty přímo z webu, ale teoreticky třeba Google Analytics nebo cokoliv dalšího, co autor webu použije.