Alle moderne browsers beschikken over een ingebouwde wachtwoordmanager waarmee gebruikers hun wachtwoorden kunnen opslaan, maar de functionaliteit wordt door webtrackers misbruikt om internetgebruikers op het web te volgen, zo waarschuwen onderzoekers.
Als gebruikers op een website voor de eerste keer inloggen vraagt de wachtwoordmanager of de inloggegevens moeten worden opgeslagen. De volgende keer dat de gebruiker de website bezoekt zal de wachtwoordmanager de inloggegevens automatisch in het inlogveld invullen. Onderzoekers hebben op meer dan duizend websites webtrackers ontdekt die van deze functionaliteit misbruik maken. De webtracker injecteert op de website een onzichtbaar inlogveld. Als de wachtwoordmanager voor deze website inloggegevens heeft opgeslagen worden die automatisch in het onzichtbare inlogveld ingevuld. Het script van de webtracker leest het e-mailadres uit en stuurt hiervan een hash naar de server van de derde partij die voor het script verantwoordelijk is.
E-mailadressen zijn uniek en worden vaak over een langere periode gebruikt. Het volgen van gebruikers via hun e-mailadres biedt dan ook allerlei voordelen. Zo kan de gebruiker over meerdere apparaten worden gevolgd en heeft het verwijderen van cookies of het gebruik van private browsing geen effect op het volgen. Het probleem is al jaren bekend en wordt veroorzaakt door de manier waarop browsers met het huidige beveiligingsmodel van het web omgaan.
Dit model, de same origin policy, zorgt ervoor dat een browser scripts op een eerste webpagina toegang geeft tot data in een tweede webpagina, maar alleen als beide webpagina's dezelfde herkomst hebben. Als een uitgever het trackingscript van een derde partij op de website embed, in plaats van het isoleren hiervan in een iframe, wordt het script gezien alsof het van de website van de uitgever afkomstig is. Het is tegenwoordig standaard om third-party scripts direct te embedden in plaats van een iframe te gebruiken. Daardoor verliezen gebruikers de bescherming van de same origin policy.
"Dit model is slecht geschikt voor de praktijk. Uitgever hebben geen volledig vertrouwen of wantrouwen in derde partijen en dus passen de twee opties (iframe sandboxing en direct embedden) niet. De één beperkt de functionaliteit en de ander is een privacynachtmerrie", aldus de onderzoekers. Ze merken op dat derde partijen vaak vaag zijn over het gedrag van hun scripts en de meeste uitgevers niet de tijd of technische kennis hebben om ze te beoordelen.
Van de 1 miljoen populairste websites werden scripts die de wachtwoordmanager misbruiken op 1110 websites aangetroffen. De onderzoekers stellen dat uitgevers, gebruikers en browserontwikkelaars stappen kunnen nemen om het automatisch invullen van wachtwoorden op onzichtbare inlogvelden tegen te gaan. Zo kunnen websites aparte subdomeinen voor het inloggen gebruiken, waardoor het automatisch invullen niet werkt op andere pagina's. Gebruikers kunnen zich beschermen door adblockers of extensies tegen webtrackers te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.