Perskaitėte naujienas apie seanso pakartojimo scenarijus ir tai, kaip jie leidžia daugiau nei 400 svetainių stebėti kiekvieną jūsų klavišo paspaudimą ir pelės paspaudimą, ir jūs, suprantama, susirūpinę. Jei nesekėte naujienų, Prinstono universiteto mokslininkai Informacinių technologijų politikos centras (CITP), atrado, kad 400 populiariausių svetainių pasaulyje, įskaitant Telegrafas ir BBC Good Foodare veikia kodas, galintis sekti viską, ką įvedate į svetainę. Tai reiškia, kad be jūsų žinios ar aiškaus sutikimo jūsų informaciją ima ir naudoja trečiųjų šalių serveriai.
Galbūt galvojate, kad svetainės, kuriose įrašoma jūsų veikla, kad galėtumėte reklamuoti produktus pakartotinai, nėra naujiena ir taip nėra. Tačiau šiuo atveju seanso atkūrimo scenarijai yra daug platesni nei tik tai, ką nusprendėte spustelėti ir nusipirkti.
Čia kai kurios daugiausiai srautų lankomų svetainių pasaulyje įrašo kiekvieną jūsų klavišo paspaudimą – ar tai būtų svetainės paieška, ar teksto pokalbis su asistentu. Jei pradėsite pildyti formą su el. pašto adresais, telefonų numeriais ar asmenine informacija, o tada nuspręsite to nesilaikyti, tose svetainėse jau yra norimos informacijos.
Laimei, yra būdas apsisaugoti nuo šių svetainių ir visų seansų atkūrimo scenarijų. Išleista kaip CITP tyrimo dalis visų svetainių, kuriose buvo naudojami seanso atkūrimo scenarijai, sąrašas, kuriame galima ieškoti. Tai taip pat gana patogiai nurodo, ar ta svetainė yra kalta dėl jūsų informacijos siuntimo į trečiųjų šalių serverius.
Kaip užblokuoti seanso atkūrimo scenarijus:
Lengviausias būdas išvengti seanso atkūrimo scenarijų yra pereiti prie CITP paieškos sąrašas ir aktyviai vengti tomis svetainėmis naudotis. Tai gali reikšti, kad turėsite pakeisti savo naršymo įpročius, bet tikriausiai jums tai bus geriau.
Jei nenorite pakeisti savo naršymo įpročių ir aš jūsų nekaltinu, galite naudoti „AdBlock Plus“. Nors „AdBlock Plus“ nužudo 99% pajamų, daugumos leidinių, tokių kaip Alfras, gauti iš savo puslapio lankytojų, dabar jis pats atnaujintas, kad sustabdytų seanso atkūrimo scenarijus 487 CITP išvardytose svetainėse. Turėsite mokėti už „AdBlock Plus“, o tai atrodo šiek tiek keista mokėti už kažką, kad nustotų mokėti už kitą turinį, tačiau tai veikia.
Kaip tai buvo atrasta, daugiau nei 400 svetainių naudoja seanso atkūrimo scenarijus jūsų informacijai nuskaityti
Daugelį metų klavišų kaupikliai buvo gudrių atsisiuntimų ir šnipinėjimo programų, kurios patenka į jūsų kompiuterį, sinonimas. Dabar ši technologija yra daug paplitusi ir įprastesnė, ir atrodo, kad ji naudojama vienu iš labiausiai įkyrių būdų.
Prinstono universiteto tyrimas Informacinių technologijų politikos centras (CITP) atrado, kad 400 populiariausių svetainių, įskaitant Telegrafas ir BBC Good Food – naudoja kodą, kuris gali sekti viską, ką įvedate be jūsų žinios ar aiškaus sutikimo.
Dar daugiau nerimo kelia tai, kad jūsų klavišų paspaudimai ir duomenys, įskaitant informaciją, kurią įvedėte ir ištrynėte, siunčiami į trečiosios šalies serverį.
Kaip Pagrindinė plokštė pažymi, kad situacija panaši į tai, ką „Facebook“ darė su neužbaigtais vartotojo būsenos atnaujinimais. 2013 m., kai paaiškėjo, kad „Facebook“ registravo, kas buvo sakoma, o paskui ištrynė prieš paskelbiant įrašą, žmonės supyko. Tačiau dabar, kai visos šios žymios svetainės žiūri į tai, ką rašote ir spustelėsite, mes beveik visiškai nežinome, kad tai vyksta.
SKAITYTI KITAS: Štai kaip galite pamatyti viską, ką „Facebook“ žino apie jus
Sąžiningai kalbant apie svetaines, kurios naudoja tokias klavišų paspaudimų registravimo paslaugas, iš tikrųjų jos neketina gauti šios informacijos. Vietoj to, tai yra tiesioginė „seanso pakartojimo scenarijaus“ naudojimo pasekmė. Šie žiniatinklio scenarijai naudojami stebint įsitraukimą ir padedant kurti UX, siekiant informuoti svetainių savininkus, kaip jie gali pagerinti lankytojo kelionę per savo svetainę. Deja, šie scenarijai užfiksuoja praktiškai viską ir išsiunčia juos analizuoti.
Dar blogiau, kai atrandi, kad, kaip teigė tyrimo grupė, negalima „pagrįstai tikėtis, kad jis bus anonimiškas“. Kaip paaiškina pagrindinė plokštė, viena iš tokių seansų pakartojimo scenarijus kurianti įmonė „FullStory“ iš tikrųjų suteikia svetainių savininkams susietą stebėjimo informaciją. Jie galės matyti, kas buvo konkretus vartotojas, ir stebėti visą savo svetainės veiklą realiuoju laiku, įskaitant viską, ką įveda.
Štai vaizdo įrašas apie tai, ką gali padaryti „FullStory“ seanso atkūrimo scenarijus, tačiau daugelis kitų juos kuriančių įmonių taip pat daro panašiai:
https://youtube.com/watch? v=l0Yc8s0DTZA
Tyrėjai atliko savo tyrimus žiūrėdami į septynias populiariausias seansų atkūrimo įmones rinkoje ir išbandydami jų produktus bandymų puslapiuose. Tai darydami jie išsiaiškino, kad bent vieną iš šių scenarijų naudoja 482 iš 50 000 geriausių pasaulio svetainių, surūšiuotos pagal Alexa reitingas.
Dalis savo tyrimo postąPrinstono komanda paskelbė „Nėra ribų: asmens duomenų išfiltravimas naudojant seanso pakartojimo scenarijus“ svetainių sąrašas kurie naudojo scenarijus, bet tik svetaines, kurios patvirtino, kad siunčia tokius įrašus trečiosioms šalims.
Žvelgiant į svetainių sąrašą, yra keletas gana nerimą keliančių kaltininkų. Greitas žvilgsnis rodo, kad WordPress.com, Microsoft.com, Adobe.com ir Spotify.com visi naudoja šiuos stebėjimo scenarijus. Telegrafas svetainė taip pat yra stebėjimo kaltininkas kartu su BBC Good Food. Laimei, šios svetainės nebuvo įtrauktos į sąrašą tam, kad galėtų nuveikti daugiau nei paprasčiausiai naudoti programinę įrangą – svetainės, kurios, atrodo, iš tikrųjų įrašyti ir išsiųsti duomenis trečiajai šaliai atrodo keistas derinys, o Rusijos paieškos svetainė „Yandex“ pirmauja mokestis.
SKAITYTI KITAS: Saugumas ir privatumas visada bus netobulas pusiausvyros veiksmas
Įdomu tai, kad pačios HP svetainė buvo įtraukta į duomenų siuntimo sąrašą kartu su „Atlassian“, „Xfinity“ ir „Comcast“.
Daugelis šiuos duomenis siunčiančių įmonių taip pat siūlo redagavimo paslaugas, kad pašalintų neskelbtiną informaciją, tačiau yra daug tokių, kurios to nedaro. Ši informacija, nutekėjusi į viešąją erdvę, gali turėti rimtų pasekmių privatumui.
„Puslapio turinio rinkimas naudojant trečiųjų šalių pakartojimo scenarijus gali sukelti neskelbtiną informaciją, pvz., sveikatos būklę, kredito kortelės duomenis, ir kita puslapyje rodoma asmeninė informacija, kuri kaip įrašo dalis nutekėtų trečiajai šaliai“, – savo pranešime rašė tyrėjai. paštu.
Tyrėjai pastebėjo, kad asmeninė informacija ir slaptažodžiai paprastai praslysta per bet kokią redagavimo programinę įrangą, net jei tai buvo tik iš dalies. Įdomu tai, kad abu seanso atkūrimo scenarijaus teikėjai „UserReplay“ ir „SessionCam“ visiškai blokuoja informaciją, stebėdami, kur vartotojas spustelėja prieš įvesdamas tekstą. Tačiau jei informacija ekrane rodoma pagal numatytuosius nustatymus, pvz., prisijungiant prie svetainės paskyros puslapio, jūsų asmeniniai duomenys lieka nepakeisti.
Daugeliu atvejų tai gerai. Tačiau kai vienoje svetainėje, pavyzdžiui, Amerikos vaistinių tinkle Walgreens, išvardijamos ankstesnės sveikatos būklės ir pagal numatytuosius nustatymus naudotojo puslapyje, visa ši informacija gali lengvai patekti į neteisingą rankas.
SKAITYTI KITAS: Studentas daugiau nei 90 kartų naudojo „keylogger“ pažymį
Jei jums įdomu, kokia tikimybė, kad tai įvyks, paaiškėja, kad viskas iš tikrųjų blogėja. Kaip pažymėta savo pranešime, mokslininkai išsiaiškino, kad šios seansų stebėjimo įmonės iš tikrųjų gali būti pažeidžiamos tikslinių įsilaužimų. Tai ne tik didelės vertės taikiniai, bet ir daugelis jų klientų naudojamų analizės prietaisų skydelių veikia nešifruotuose HTTP puslapiuose, o ne HTTPS puslapiuose.
Naudojant HTTP per HTTPS, „tai leidžia aktyviam žmogui viduryje įvesti scenarijų į atkūrimo puslapį ir išgauti visus įrašymo duomenis“, – aiškino tyrėjai.
HTTP leidžia aktyviam žmogui viduryje išgauti visus įrašymo duomenis
Nuo tada, kai ataskaita buvo paskelbta, keletas svetainių, naudojančių seanso atkūrimo scenarijus, ir pardavėjai, atsakingi už jų kūrimą, pakomentavo šį klausimą. Daugelis atsakymų rodo, kad daugelis svetainių nežinojo, kaip šie dalykai veikia, todėl nori sustabdyti tokias paslaugas arba jas tobulinti, kad naudotojų duomenys būtų saugūs. Kalbant apie plėtrą, iš nedaugelio, pasisakiusių šiuo klausimu, pateikė SessionCam dienoraščio įrašą apibūdinti jų rūpesčius ir patikinti vartotojus, kad saugumas ir privatumas jiems yra svarbiausias rūpestis.
SKAITYTI KITAS: Kiek saugios debesų saugojimo paslaugos?
Kadangi „SessionCam“ iš tikrųjų yra saugiausias „Session Replay Scripts“ tiekėjas, bent jau žiūrint iš vartotojo privatumo perspektyvos, šis įrašas gana patikina, kad įmonė yra skirta apsaugoti vartotojo duomenis.
Žiūrėti susijusius
„Kiekvienas „SessionCam“ darbuotojas gali pritarti CITP išvadai: „Naudotojų patirties gerinimas yra labai svarbi leidėjų užduotis. Tačiau tai neturėtų nukentėti vartotojų privatumo sąskaita.“ – rašė SessionCam. „Visa SessionCam komanda gyvena šiomis vertybėmis kiekvieną dieną. Jūsų svetainės lankytojų privatumas ir Jūsų duomenų saugumas mums yra itin svarbus.
„Esu dėkingas CITP už tai, kad iškėlė problemą ir išnagrinėjo klausimus. Mes ir toliau stengsimės užtikrinti dar didesnį saugumą ir suteikti savo klientams bei jų klientams reikalingą ramybę.
Yra vienas būdas apsiginti nuo šių seansų atkūrimo scenarijų – įdiegti „AdBlock Plus“. Anksčiau jis apsaugojo jus nuo kelių šių stebėjimo priemonių, bet dabar, atlikus Prinstono tyrimą, jis atnaujintas, kad apsaugotų jus nuo kiekvieno scenarijaus, nurodyto tyrėjo įraše.
