Není to až tak nová věc, ale na konci prosince se ji začala trochu více věnovat média – masově rozšířené snaze dolovat osobní informace (hlavně e-maily, ale mohou to být i hesla) z správců hesel v prohlížečích (viz Inzertní systémy dolují informace ze správců hesel). Dělají to inzertní systémy, aby se dozvěděly víc o uživatelích, ale také aby je bylo možné identifikovat i po smazání cookies či v jiných prohlížečích. Dělají to různorodé služby, které pak získaná data prodávají a páruji se záplavou dalších informací.
Funguje to bohužel tak, že jako uživatel (návštěvník stránky) se o tom nic nedozvíte – kdesi na pozadí se zobrazí neviditelný formulář a váš prohlížeč (správce hesel) ochotně vyplní informace. Ty se poté odešlou kamsi do databáze a jsou zpracovány.
Jak se bránit zneužití?
Především, znemožněte automatické vyplňování formulářů – jak to udělat bude záležet na konkrétním prohlížeči a ne všude to bude možné nebo snadné. Můžete (a někde musíte) samozřejmě jít ještě dál a nepoužívat správce hesel v prohlížečích – což bude dost nepraktické, ale pro bezpečí to může být vhodné. Pokud jste už nějakou dobu automatické pamatování a vyplňování používali, je možná vhodné i smazat vše co si váš prohlížeč pamatuje.
Firefox – nastavte signon.autofillforms na false. Bohužel tohle není nikde v Nastavení, musíte jít do about:config . Případně kompletně vypnout používání správce hesel, tj. Nastavení -> Privacy & Security si zrušte zaškrtnutí Remember logins and passwords for website.
Chrome – Nastavení/Settings -> Rozšířená nastavení/Advanced Settings -> Hesla a formuláře/Passwords and Forms -> Nastavení automatického vyplňování/Enable Autofill to fill out web forms in a single click -> Zapnuto/Vypnuto
Safari – Preference -> záložka AutoFill -> zde vypnout více dostupných možností.
Opera – v panelu najděte Autofill > Enable auto-filling of forms on webpages a případně Settings -> Preference s -> Forms -> Enable Password Manager. Může se lišit podle verzí, což ostatně platí i u ostatních prohlížečů.
TIP V Proč (spíše) nepoužívat správce hesel co jsou přímo v prohlížeči? vlastně najděte jednu z dalších možných obran. Správce hesel v prohlížečích vůbec nepoužívat
Internet Explorer – Možnosti Internetu -> Obsah -> Automatické dokončování – Formuláře a hledání a Zobrazovat výzvu před uložením hesla. Tady mimochodem nejspíš automatické vyplňování nehrozí, IE to nikdy neumělo.
Edge – Nastavení -> Upřesňující nastavení -> Nabízet možnost uložení hesla a Ukládat položky formulářů
Výše popsané platí pro prohlížeče na počítači, co se mobilních prohlížečů týče, tak se zkuste podívat na obdobná nastavení – nemusí to být zdaleka všude možné vypnout.
Druhé možné a vhodné doplňkové řešení je použít blokátory reklamy a rozšíření pro ochranu soukromí – tam dojde k případnému zablokování adres známých pro sbírání a šmírování a věcí, které ohrozí soukromí. Ale pozor, automatické vyplňování formulářů to neovlivní. Tady se případně podívejte do Jak na lepší soukromí v prohlížeči? Ghostery, NOSCRIPT, WOT a ti další a Jak se zbavit reklam na Internetu? Použít AdBlock Plus nebo spíš µBlock Origin
POZNÁMKA: To předchozí vás ochrání i v případě dalšího rozšířeného šmírovacího nástroje, viz Jak se bránit proti tzv. Session Replay – šmírovacím skriptům
Pozor na samostatné správce hesel
Možná ale používáte nějaké samostatné správce hesel (jako třeba LastPass, 1Password, viz Co používat pro správu hesel? Jaké jsou alternativy pro LastPass?) – jakkoliv tady platí, že by výše uvedený bezpečnostní nedostatek měl být řešen, rozhodně neuškodí se u vašeho správce hesel podívat, kde se vypíná automatické vyplňování – nakonec nic vám nebrání, abyste při potřebném vyplnění hesla prostě vyvolali menu a nechali heslo vyplnit.
V LastPass tohle například najdete v Předvolby -> Automaticky vyplňovat přihlašovací informace. Což ale není zdaleka všechno, ještě je zde případně Předvolby -> Pokročilé -> Automaticky se přihlásit na stránky, pokud je doba od posledního přihlášení větší než
Vypnutí automatické vyplňování hesel a formulářů rozhodně nepodceňujte, jakkoliv možná zrovna právě teď je (třeba) LastPass proti něčemu takovému imunní, ale neznamená to, že byl či že stále bude.
TIP: Zdejší ‣ Průvodce bezpečným Internetem, který bezpečný být nemůže obsahuje množství užitečných tipů týkajících se soukromí a bezpečnosti na Internetu. Čistě šmírování přes prohlížeč se týká Co všechno o vás lze zjistit přes prohlížeč? A jak se tomu bránit?