Dziś będzie nieco bardziej technicznie. Krótko i treściwie, bo rzecz dotyczy Twojego bezpieczeństwa. A dokładnie Twojej prywatności. A już zupełnie dokładnie Twojego adresu zamieszkania i numeru karty kredytowej.
[alert type=”info]Ten tekst otwiera serię publikacji o podstawach bezpieczeństwa IT. Te teksty generalnie skierowane są do osób niezwiązanych z branżą IT, ale ceniących sobie swoją prywatność i bezpieczeństwo. Jeśli chcesz otrzymywać powiadomienia o kolejnych częściach – kliknij tutaj. [/alert]
Wygoda
Nowoczesne przeglądarki mają bardzo wygodną funkcję autouzupełniania adresów i zapamiętywania haseł. O hasłach pewnie jeszcze porozmawiamy, ale dziś interesuje mnie to, żeby wiedzieć gdzie dokładnie mieszkasz. Nawet jeśli wszystko co robię to pytam Cię o imię i email, czyli podstawowe – nieszczególnie tajne – dane, które podajesz przy subskrypcji każdego newslettera.
Skoncentrujemy się tutaj na przeglądarce Chrome, z dwóch powodów. To jest moja ulubiona przeglądarka – dlatego opublikowałem już dwa teksty o wtyczkach rozszerzających jej możliwości: 5 najważniejszych wtyczek do Google Chrome oraz sequel tego artykułu. Istnieje też ponad pięćdziesięciopięcioprocentowe prawdopodobieństwo, że jest to też Twoja ulubiona przeglądarka. A to dlatego, że ponad 55% Czytelników siadlak.com używa właśnie Chrome odwiedzając tę stronę.
Wymieniony tutaj Google Chrome jak każdy z jej konkurentów oferuje funkcję zapamiętywania adresów. Ta funkcja uaktywnia się podczas wypełniania pierwszego formularza, w którym podajesz adres. Na przykład składając zamówienie w sklepie internetowym z dostawą do domu. Chrome zapamiętuje Twoje dane i trzyma je w swoich ustawieniach. O tak:
Co więcej, jeśli robisz zakupy wybierając kartę płatniczą jako formę płatności, Twoja przeglądarka będzie chciała ułatwić Ci życie i numer karty również zapamięta:
Bezpieczeństwo
Nie byłoby w tym nic szczególnego, gdyby nie fakt, że w bardzo prosty sposób można te dane ukraść. Fiński programista Viljami Kuosmanen opublikował na swoim GitHubie (repozytorium projektów programistycznych) prosty skrypt, który udowadnia niebezpieczeństwo korzystania z tej funkcji przeglądarki.
Skrypt jest niczym innym jak formularzem, który wypełniony przez użytkownika funkcją autouzupełniania, wpisuje w widoczne pola Twoje imię i adres email, ale posiada również pola ukryte – niewidoczne dla użytkownika, ale czytelne dla skryptu i autouzupełniane przez przeglądarkę!
Wygląda to dokładnie tak:
Jak widać powyżej, mimo tego, że użytkownik pozornie “auto-uzupełnił” tylko pola Imię i Email, to skrypt przechwycił wszystkie dane, które były wcześniej zapamiętane w przeglądarce, czyli
- Nazwa firmy, w której pracuje użytkownik
- Adres korespondencyjny – ulica z numerem domu i mieszkania(!), kod pocztowy, miasto, kraj
- Numer telefonu komórkowego
A nie przypominam sobie przecież, żeby ten formularz mówił, że będzie takie dane przechwytywał…
Jak się chronić?
Zupełnie łatwo. Przejdź do ustawień Google Chrome wpisując chrome://settings w pasku adresu przeglądarki, przejdź do sekcji Ustawienia ⇒ Hasła i formularze po czym odznacz opcję “Włącz funkcję autouzupełniania, aby wypełniać formularze jednym kliknięciem.”
Dla pewności, możesz wejść jeszcze w ustawienia i samego autouzupełniania i skasować wszystkie wartości, jakie dotychczas zapamiętała Twoja przeglądarka.
Wniosek?
Zasada jest prosta:
Przyjmij, że im wygodniejsze jest rozwiązanie, tym bardziej prawdopodobne jest, że jest mało bezpieczne.
W następnej części porozmawiamy jednak o takim rozwiązaniu, które daje wygodę zapamiętywania haseł, a jednocześnie jest praktycznie nie-do-złamania.
[…] opisywałem genialnie prostą metodę kradzieży danych osobowych, dzięki funkcji autouzupełniania w Google Chrome. (Temat podchwycił również […]