ブラウザの自動入力機能による個人データの漏洩を防ぐ方法
ほとんどの人と同じように、迷惑なWebフォームを完成させるためにブラウザの自動入力に依存しています。ブラウザの「自動入力」は、以前にこれらのフィールドに入力した情報に基づいて、Webフォームのフィールドに情報を自動的に入力します。
悪いニュースは、悪意のあるサードパーティやブラックハットハッカーがブラウザのこの自動入力機能を使用して、機密情報を提供するように仕向けることができることです。フィンランドのホワイトハッカーであり、Web開発者でもあるViljami Kuosmanenは、GitHubデモで、攻撃者がプラグイン、パスワードマネージャー(およびそのようなツール)、ブラウザーのオートフィル機能を乗っ取る可能性があることを示しました。
クオスマネンのずっと前に、ElevenPathsのセキュリティアナリストであるリカルドマーティンロドリゲスは、2013年にこのブラウザのオートフィルの脆弱性を発見しました。これまでのところ、Googleはこの脆弱性の解決策を見つけていません。
無意識のうちに機密情報をこぼす
クオスマネンの概念実証デモウェブサイトには、名前とメールアドレスの2つのフィールドのみで構成されるシンプルなウェブフォームが表示されます。ただし、フォームには多くの非表示の(つまり見えない)フィールドがあります。これらの非表示フィールドには、住所、組織、電話番号、都市、郵便番号、国が含まれます。
上記のようなフォームでは、名前とメールのフィールドのみが表示されますが、自動入力機能により、残りのフィールドに詳細が自動的に入力されます。上記のようなフィッシングWebフォームでは、[送信]ボタンをクリックしたときに認識しているよりも多くの情報が収集されます。
ブラウザと拡張機能の自動入力機能をテストするには、Kuosmanenが設定した概念実証サイトを使用できます。フォームを送信すると、私が提供したよりも多くの情報が取得されていることに気付きました。このテストには最新のMozillaFirefoxを使用しましたが、流出した情報の量に驚いていました。
Chromeでは、財務データの自動入力により、HTTPSのないWebサイトに対して警告がトリガーされます。私の経験では、Kuosmanenのフォームは、フォームに入力した日付、住所、クレジットカード番号、CVV、クレジットカードの有効期限、市、国、電子メール、名前、組織、電話番号、および郵便番号を収集しようとしました。
>
フォームは、ブラウザの種類や現在のIPアドレスなどのメタデータを収集しようとしました。以下の私のスクリーンショットを参照してください。
クオスマネンの攻撃テストでは、Apple Safari、Google Chrome、Operaはすべて脆弱でした。
2017年1月、Mozillaの主任セキュリティエンジニアであるDaniel Veditzは、Firefoxブラウザをだましてプログラムでテキストボックスに入力させることはできないと述べました。ブラウザにはマルチボックスオートフィルシステムがないため、Firefoxユーザーはブラウザのオートフィル攻撃から安全です(少なくとも今のところ)。 MozillaのFirefoxブラウザでは、ユーザーがWebフォームの各テキストボックスに事前に入力されたデータを手動で選択する必要があります。
結論:ブラウザの自動入力機能をオフにします
フィッシング攻撃に対する最も簡単な予防策は、ブラウザ、拡張機能設定、またはパスワードマネージャでフォームの自動入力機能をオフにすることです。ブラウザの自動入力機能は、デフォルトでオンになっています。
Chromeで自動入力をオフにするには:
1.ブラウザの「設定」に移動します。
2.ページの下部にある[詳細設定]を見つけます。
3. [パスワードとフォーム]領域で、[自動入力を有効にする]のチェックを外します。
Operaでオートフィルをオフにするには:
1.[設定]に移動します。
2.「オートフィル」に移動してオフにします。
Safariで自動入力をオフにするには:
1.「設定」に移動します。
2.[自動入力]をクリックしてオフにします。
この投稿が役に立った場合は、下の[はい]をクリックしてください。コメントもお待ちしております。
-
起動時にアバスト ブラウザが開かないようにする方法
アバスト ブラウザが毎回起動時に開かないようにする アバスト ブラウザは、最高のアンチウイルスの 1 つであるアバストの開発者です。アバストが最高のブラウザの 1 つであることは間違いありませんが、起動時にアバスト ブラウザが起動し続け、やや面倒であるとユーザーが報告した例がありました。そこで、起動時にアバスト ブラウザが開かないようにする方法を次に示します。そして、複数あると信じてください。では、早速始めましょう! 高度な PC クリーンアップ – 起動時にアバスト ブラウザが開かないようにする簡単な方法 一部のスタートアップ項目は望ましくない可能性があるという事実を知っているため、
-
企業による個人情報の収集を阻止する方法
インターネットはすばらしい発見であり、自宅にいながらオンラインで多くのタスクを実行できるようになりました。ただし、データ収集が最悪で、恐怖の部分もあります。私たちの多くは、すべてのインターネット活動がオンラインで追跡できることを知りません。また、私たちの情報は安全ではありません。マーケティング代理店は私たちの知識を利用して、私たちがアクセスするウェブサイトに関連性のある一致する広告を送信します. 彼らは私たちの閲覧履歴を研究し、それに応じて広告を表示して、広告費を支払っている企業の売り上げを伸ばします。一方、攻撃者は私たちの情報を収集し、個人情報の盗難を試み、苦労して稼いだお金を盗もうと