研究：浏览器的密码管理员可被脚本程式开采，不经意泄露你的隐私

普林斯顿大学资讯科技政策中心（Center for Information Technology Policy）旗下的Freedom to Tinker周三（12/27）警告，第三方脚本程式可开采各大浏览器中所内建的密码管理员，于不知不觉中取得使用者的机密资料。

这些脚本程式的主要目的是追踪使用者于网站上的浏览行为。当使用者登入网站并要求浏览器储存登入资讯之后，脚本程式即藏匿在同一网站上的其它网页伺机而动，一旦使用者造访该网页，它就会借由隐藏的登入格式来汲取使用者的电子邮件账号，以建立追踪的身份识别，再将资料传送到第三方的服务器上。(来源：Freedom to Tinker)

在上述程序中，浏览器的密码管理员会受到隐藏登入格式的召唤，并自动填入资讯。

研究人员找到了两支用来窃取使用者电子邮件账号的脚本程式—Adthink与OnAudience，并于Alexa前100万大网站中的1110个网站发现它们的踪迹。

其中，Adthink是由专门分析匿名资料的audienceinsights.net所开发，除了电子邮件之外，它还搜集了使用者的生日、年纪、性别、特征、兴趣及所在区域等资料；至于OnAudience则是来自提供大数据工具的同名公司，除了电子邮件资料外也搜集浏览器、操作系统与CPU资讯。这两家业者搜集资讯的目的皆为分析与行销。

其实浏览器已内建同源政策（Same Origin Policy）来限制脚本程式只能存取同一网站的文件以避免跨站攻击，但上述的攻击模式却是第三方业者将脚本程式嵌在同一网站上，且大多数的网站并没有足够的时间或技术来评估这些程式的安全性。

研究人员认为，自动填入功能不只是个安全漏洞，还带来了隐私威胁，建议网站应该以子网域来隔离登入页面，鼓励使用者安装广告封锁或追踪保护机制，亦呼吁浏览器业者应允许使用者关闭自动填入功能。