سوءاستفاده از پسوردهای ذخیره شده
فیكس سرور: ردیاب های وبی كه اخیرا كشف شده اند برای ردیابی كاربران از مدیران پسورد سوءاستفاده می كنند. جهت حفاظت در برابر وب فرم ورود، كاربران می توانند مسدودكننده های محتوا را نصب یا پر كردن خودكار داده های ورود به سایت را غیرفعال كنند.
به گزارش فیكس سرور به نقل از ایسنا، اغلب مرورگرها دارای یك مدیر پسورد ی داخلی هستند. مدیر پسورد ابزاری جهت ذخیره سازی اطلاعات ورود در یك پایگاه داده و پركردن فرم ها یا ورود خودكار به سایت ها با استفاده از اطلاعات موجود در همان پایگاه داده است. كاربرانی كه قابلیت بیشتری می خواهند بر مدیران پسورد مانند LastPass، KeePass و DashLane تكیه می كنند. این مدیران پسورد قابلیت هایی را اضافه می كنند یا ممكن است بعنوان افزونه های مرورگر یا برنامه های میزكار نصب شوند.
تحقیقات شركت Priceton در گزارش مركز ماهر (مدیریت امداد و هماهنگی رخدادهای كامپیوتر ای) نشان داده است ردیاب های وبی كه اخیرا كشف شده اند برای ردیابی كاربران از مدیران پسورد سوءاستفاده می كنند. اسكریپت های ردیابی از ضعف مدیران پسورد سوءاستفاده می كنند.
در این روش، ابتدا كاربر از یك وب سایت بازدید و یك حساب كاربری ثبت می كند و اطلاعات را در مدیر پسورد ذخیره می كند. اسكریپت ردیابی در پایگاه های وب شخص ثالث قرار داده شده و با استفاده از وب سایت اصلی اجرا می گردد. وقتی كاربری از آن سایت بازدید می كند، فرم های ورود به سایت به صورت مخفیانه توسط اسكریپت ردیابی، در سایت تزریق می شوند.
اگر سایت مطابقی در مدیر پسورد یافت شد، مدیر پسورد ی مرورگر اطلاعات را در آن پر خواهد نمود. اسكریپت ردیابی نام كاربری را شناسایی، آن را درهم سازی (hash) می كند و برای ردیابی كاربر به كارگزار شخص ثالث ارسال می كند.
شكل زیر روش كار را نشان می دهد:
محققان دو اسكریپت متفاوت را كه برای سواستفاده از مدیران پسورد طراحی شده اند تا اطلاعات قابل شناسایی كاربران را دریافت كنند، مورد تجزیه و تحلیل قرار داده اند. این دو اسكریپت AdThink و OnAudience نام دارند و فرم های ورود مخفی را در صفحات وب تزریق می كنند تا داده های نام كاربری را از مدیر پسورد مرورگر بازیابی كنند.
این اسكریپت ها هش ها را محاسبه و آنها را به كارگزار شخص ثالث ارسال می كنند. این هش برای ردیابی كاربران در سایت ها بدون استفاده از كوكی ها و دیگر فرم های ردیابی كاربر استفاده می گردد. ردیابی كاربر برای تبلیغات آنلاین كارایی فراوانی دارد. شركت ها از این اطلاعات برای تولید نمایه های كاربر كه علایق كاربر را بر مبنای تعدادی از عوامل، برای مثال بر مبنای سایت های بازدیدشده (ورزش، سرگرمی، سیاسی، علمی) شناسایی می كند، استفاده می نمایند.
محققان بیش از ۵۰ هزار پایگاه وب را مورد تجزیه و تحلیل قرار داده اند و در هیچ یك از آنها روبرداری از پسورد را مشاهده نكردند. آنها اسكریپت های ردیابی را در ۱۱۰۰ پایگاه وب از یك میلیون پایگاه وب اول الكسا یافتند.
جهت حفاظت در برابر وب فرم ورود، كاربران می توانند مسدودكننده های محتوا را نصب كنند تا درخواست ها به دامنه هایی كه به آنها اشاره شده است را مسدود كنند. روش دیگر غیر فعال سازی پر كردن خودكار داده های ورود به سایت است.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب