Quasi ogni browser Web può contare su un gestore di password integrato ma, stando a quanto rivelato da una nuova ricerca del Center for Information Technology Policy di Princeton, questi strumenti vengono usati come un mezzo per tracciare gli utenti da un sito all’altro.
I ricercatori hanno esaminato due diversi script, AdThink e OnAudience, entrambi progettati per ottenere informazioni identificabili dai gestori di password integrati nei browser. Gli script funzionano inviando moduli di accesso invisibili sullo sfondo della pagina Web e recuperando le informazioni dai browser che riempiono automaticamente gli slot disponibili.
I plug-in si concentrano principalmente sui nomi utente (a fini pubblicitari) ma secondo i ricercatori non esiste un metodo per impedire agli script di raccogliere le password nello stesso modo.
Secondo Arvind Narayanan, un professore di informatica di Princeton, la maggior parte della colpa è dei siti Web che scelgono di eseguire script come AdThink, spesso senza rendersi conto di quanto siano veramente invasivi.