سوءاستفاده از پسوردهای ذخیرهشده
ساعت 24-ردیابهای وبی که بهتازگی کشف شدهاند برای ردیابی کاربران از مدیران گذرواژه سوءاستفاده میکنند. جهت حفاظت در برابر وب فرم ورود، کاربران میتوانند مسدودکنندههای محتوا را نصب یا پر کردن خودکار دادههای ورود به سایت را غیرفعال کنند.
تحقیقات شرکت Priceton در گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) نشان میدهد ردیابهای وبی که بهتازگی کشف شدهاند برای ردیابی کاربران از مدیران گذرواژه سوءاستفاده میکنند. اسکریپتهای ردیابی از ضعف مدیران گذرواژه سوءاستفاده میکنند.
در این روش، ابتدا کاربر از یک وبسایت بازدید و یک حساب کاربری ثبت میکند و اطلاعات را در مدیر گذرواژه ذخیره میکند. اسکریپت ردیابی در پایگاههای وب شخص ثالث قرار داده شده و از طریق وبسایت اصلی اجرا میشود. وقتی کاربری از آن سایت بازدید میکند، فرمهای ورود به سایت به صورت مخفیانه توسط اسکریپت ردیابی، در سایت تزریق میشوند.
اگر سایت مطابقی در مدیر گذرواژه یافت شد، مدیر گذرواژهی مرورگر اطلاعات را در آن پر خواهد کرد. اسکریپت ردیابی نام کاربری را شناسایی، آن را درهمسازی (hash) میکند و برای ردیابی کاربر به کارگزار شخص ثالث ارسال میکند.
شکل زیر روش کار را نشان میدهد:
محققان دو اسکریپت متفاوت را که برای سواستفاده از مدیران گذرواژه طراحی شدهاند تا اطلاعات قابل شناسایی کاربران را دریافت کنند، مورد تجزیه و تحلیل قرار دادهاند. این دو اسکریپت AdThink و OnAudience نام دارند و فرمهای ورود مخفی را در صفحات وب تزریق میکنند تا دادههای نام کاربری را از مدیر گذرواژه مرورگر بازیابی کنند.
این اسکریپتها هشها را محاسبه و آنها را به کارگزار شخص ثالث ارسال میکنند. این هش برای ردیابی کاربران در سایتها بدون استفاده از کوکیها و دیگر فرمهای ردیابی کاربر استفاده میشود. ردیابی کاربر برای تبلیغات آنلاین کارایی فراوانی دارد. شرکتها از این اطلاعات برای ایجاد نمایههای کاربر که علایق کاربر را بر اساس تعدادی از عوامل، برای مثال بر اساس سایتهای بازدیدشده (ورزش، سرگرمی، سیاسی، علمی) شناسایی میکند، استفاده میکنند.
محققان بیش از ۵۰ هزار پایگاه وب را مورد تجزیه و تحلیل قرار دادهاند و در هیچ یک از آنها روبرداری از گذرواژه را مشاهده نکردند. آنها اسکریپتهای ردیابی را در ۱۱۰۰ پایگاه وب از یک میلیون پایگاه وب اول الکسا یافتند.
جهت حفاظت در برابر وب فرم ورود، کاربران میتوانند مسدودکنندههای محتوا را نصب کنند تا درخواستها به دامنههایی که به آنها اشاره شده است را مسدود کنند. روش دیگر غیر فعالسازی پر کردن خودکار دادههای ورود به سایت است.
ساعت 24 از انتشار نظرات حاوی توهین و افترا و نوشته شده با حروف لاتین (فینگیلیش) معذور است.