瀏覽器自動填密碼功能也被用來追蹤你，有一些防范方法

來源：好奇心日報 發(fā)布時間：2018-01-06瀏覽：3263次

瀏覽器自動填密碼功能也被用來追蹤你，有一些防范方法

普林斯頓大學信息技術(shù)中心的研究人員最近發(fā)現(xiàn)，瀏覽器自帶的自動填充密碼功能可能會被一些網(wǎng)站上加載的腳本程序用來追蹤用戶。

像 Safari、Firefox、Chrome 等瀏覽器都內(nèi)置了保存和自動填充賬號/密碼的功能。當用戶訪問某個網(wǎng)站，并手動輸入用戶名和密碼時，可以在瀏覽器彈出的提示框中選擇保存。下次再訪問這個網(wǎng)站，瀏覽器就會自動填充所需要的登錄信息。這樣就免去一部分重復性輸入。

單純從功能來看，自動填充確實可以省去一些麻煩，但同時也帶來了一些安全隱患。

這位研究人員通過分析 50000 個目標網(wǎng)站，發(fā)現(xiàn)了兩款名為 AdThink 和 OnAudience 的腳本程序在利用瀏覽器的自動填充功能追蹤用戶。

它的具體工作原理并不復雜。

當用戶使用已經(jīng)保存了其賬戶密碼的瀏覽器訪問某個網(wǎng)站的非登錄頁面時，一個由第三方提供的 Javascript 腳本程序會生成一個人眼不可見的表單。

雖然使用者看不到，但瀏覽器會識別這個表單，并自動填入與該網(wǎng)站對應的賬號和密碼。由于這個賬號通常是具有獨特性的個人郵箱，而且是明文保存，惡意腳本可以根據(jù)郵箱換算為 hash 編碼并上傳到云端服務器做保存或比對驗證。

這個過程對于普通用戶而言，通常是沒有感知的。

但對于那些網(wǎng)站的運營者，通過這種方式來追蹤和定位用戶是誰，有助于提高展示廣告或相關(guān)推薦的精準度。

在 50000 個分析樣本中，采用 AdThink 和 OnAudience 腳本程序的網(wǎng)站分別有 1047 和 63 個。

這種做法雖然不直接泄露用戶的郵箱和密碼等個人資料，但是在未告知的前提下追蹤用戶來為自己牟利仍然是不道德的。

要防止這類惡意程序也并不難。

最簡單的是關(guān)掉自動填充功能。如果已經(jīng)對瀏覽器自動填充功能有依賴，可以使用第三方的密碼管理插件，比如 LastPass 或 1Password。這類軟件生成密碼的強度和安全性都比較高，只需記住一個密碼就可以。

除此之外，制定 Web 標準的 W3C 小組對此也有相關(guān)動作。即將上線的 API 接口標準要求瀏覽器在自動填充一次賬戶密碼時要給出提示。這意味著，那些隱藏的登錄表單也不會逃過用戶的感知范圍。

總之，在主流瀏覽器都支持這一標準之前，訪問陌生網(wǎng)站還是要小心為上。

題圖：Pixabay