专栏首页企鹅号快讯还在让浏览器自动保存密码?“自动填充”功能曝重大安全隐患

还在让浏览器自动保存密码?“自动填充”功能曝重大安全隐患

“用指尖改变世界”

来自普林斯顿大学的隐私安全保护专家警告说,互联网广告公司或者数据分析公司可以使用隐藏的登录字段从网页浏览器中提取用户保存的用于登录某些网站的登录信息,用户的个人资料或者电子邮箱地址可能在未经许可的情况下被滥用。

专家表示这种滥用行为是可能的,因为几乎目前所有的主流网页浏览器中包含的登录管理器都存在设计缺陷。它们都提供了一项“便捷”的功能,允许用户保存某些网站的登录用户名和密码,并在下次访问这些网站时“自动填充”。

这项工作由浏览器中的登录管理器完成。而根据专家的说法,网络追踪者可以在加载追踪脚本的网站上嵌入隐藏的登录表单,以此来窃取用户的个人信息

“冷饭热炒” 存在10年的漏洞被重新利用

专家表示,这并非一个新发现的安全漏洞。相反,它的存在时间至少已有10年之久。但在这个最新发现之前,它仅被用于在XSS(跨站点脚本)攻击期间收集用户登录信息。

在最新的活动中,攻击者对这个利用网页浏览器“自动填充”漏洞发起攻击活动的方式进行了调整,进而设计出一种全新的攻击方式。

来自普林斯顿大学信息技术政策中心( CTTP )的研究人员表示,他们近期发现了两种利用隐藏登录表单收集用户登录信息的网络跟踪服务:Adthink(audienceinsights.net)、 OnAudience(behavioralengine.com)。它们被发现用于收集Alexa Top 100 万网站列表中1110 个网站的用户登录信息,但庆幸的是,被收集的信息只包括用户名和电子邮箱地址,并不包括密码以及其他敏感信息。

“触目惊心” 几乎所有主流浏览器都沦陷

据研究人员透露,除了Brave浏览器之外,其他主流浏览器似乎都容易受到这种攻击的影响。但受影响程度不一致,某些浏览器或许会因此而泄露用户密码。

基于Chromium的浏览器可能会延迟用户密码的泄露,直到用户通过点击与网页进行交互。但这并不是一种保护用户安全的好方法,因为既然选择了通过浏览器打开网页页面,那么通过点击与网页交互是不可避免的。

根据普林斯顿大学的说法,在未经用户许可的情况下收集用户个人信息不仅侵犯了用户的个人隐私权,而且很明显的违反了欧盟推出的《一般数据保护法案(General Data Protection Regulation,GDPR)》。

专家提醒,用户应该在日常使用互联网的过程中加强安全意识。尽量减少使用网页浏览器提供的“自动填充”功能,尤其是当涉及到登录某些金融或银行网站的时候

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

本文来自企鹅号 - 黑客视界媒体

我来说两句

0 条评论
登录 后参与评论

相关文章

  • selenium+python自动化85-Chrome静默模式

    前言 selenium+phantomjs可以打开无界面的浏览器,实现静默模式启动浏览器完成自动化测试,这个模式是极好的,不需要占用电脑的屏幕。 but...,...

    企鹅号小编
  • 讲义15:服务器端编程:Request&Response

    一、内容提要 B/S模型 Reponse对象 Request 对象 二、内容及操作步骤 1. B/S模型 Browser: 浏览器 Server: Web 服务...

    企鹅号小编
  • 坚定地使用 CSS Custom Properties

    好久没译文,最近看到这篇 Getting Hardboiled with CSS Custom Properties。觉得不错,翻译出来给大家。现在 CSS 新...

    企鹅号小编
  • JavaScript 是如何工作的:深入网络层 + 如何优化性能和安全

    正如在上一篇关于 渲染引擎 的博客文章中提到的,我们认为优秀的 JavaScript 开发人员和杰出的 JavaScript 开发人员之间的区别在于,后者不仅理...

    前端小智@大迁世界
  • 金融黑客的惯用手段 MITB

    所谓的 MITB 技术就是 man-in-the-browser 的简称,也就是浏览器中间人攻击方式。我们先来回顾一下经典的中间人攻击方式。

    信安之路
  • 减少浏览器兼容性问题

    做为一个前端工程师,不少时间都在处理浏览器兼容性问题。本文对如何减少浏览器兼容性问题的方法做了些总结。

    Joel
  • Web前端学习笔记之JavaScript、jQuery、AJAX、JSON的区别

    javascript和jQuery有点关系,js是一种脚本语言,主要用于客户端,现在主要用于实现一些网页效果。

    Jetpropelledsnake21
  • 微软全新 Edge 真香!或许它注定会成为最佳浏览器

    自从 2019 年微软发布基于 Chromium 开发的全新 Edge 浏览器,我便第一时间用上了这款让人翘首以盼已久的浏览器。

    GitHubDaily
  • 国产浏览器内核为何使用Chrome

    国产浏览器使用谷歌内核我觉得是不错的选择。 也许有人问为什么不自己造一个?为什么不使用其它的呢?那推荐什么流量器呢?

    乔千
  • 解决网络劫持很难,但却很好监控

      上网查了好多解决方案,比如改浏览器设置、删注册表等,都不行。有些软件即使被卸载,计算机重启后,浏览器主页还是被改掉。用任何安全工具都无法修复,杀了毒、清空了...

    用户5856527

扫码关注云+社区

领取腾讯云代金券