Я никогда не сохраняю более-менее важные пароли в браузере, предпочитая KeePass. Но есть несколько сайтов, где я использую встроенный в Chrome менеджер паролей. Думаю, я не один такой.
Когда вы авторизуетесь на сайте, браузер автоматически подставляет имя пользователя (зачастую это e-mail) и пароль, картинка слева ↓ Очень удобно!
Проблема в том, что браузер автоматически заполняет подходящие поля, даже если они невидимые. Это - не новость, и данную особенность менеджеров паролей в браузерах давно используют вредоносные межсайтовые скрипты (XSS) с целью получения паролей.
Но вчера в интернете появилось интересное исследование https://goo.gl/fxbXKK Оказывается, такая практика очень широко применяется на сайтах с целью сбора адресов электронной почты посетителей. Ваш e-mail хэшируется и отправляется на сервер. Если вы используете один и тот же e-mail на разных сайтах, где установлен одинаковый скрипт, ваши перемещения между этими сайтами полностью отслеживаются. И никакая очистка куков и даже смена устройства от этого не спасает.
Заметьте, что все это строится на автоматическом заполнении скрытых форм. Понятно, что защита сводится к вводу учетных данных только в предназначенные для этого поля. И можно обезопасить себя от такой слежки (а заодно от XSS), не отказываясь от встроенного в браузер менеджера паролей!
Если вы когда-нибудь заходили в режиме инкогнито на сайт, для которого сохранен пароль, то видели, что поведение отличается от обычного режима. Учетные данные не подставляются в форму, а предлагается выбрать аккаунт, как на картинке справа ↓
В Chrome можно включить такое поведение в обычном режиме, активировав флаг
chrome://flags/#fill-on-account-select
В чате инсайдеров ❤️ участник Kato подсказал альтернативный способ - псевдонимы Gmail. На каждом сайте указывается разный псевдоним одного и того же адреса, например, nickname+abc@gmail.com (классика блога в помощь). Даже если адреса соберут, связать их между собой не получится.
Использование стороннего менеджера паролей, вроде KeePass тоже защищает от такой слежки, поскольку ввод учетных данных осуществляется только явно. Насчет LastPass и 1Password - не знаю, не пользуюсь ими.
