Čítali ste správy o skriptoch na prehrávanie relácie a o tom, ako umožňujú viac ako 400 webovým stránkam sledovať každý váš stlačený kláves a kliknutie myšou, a pochopiteľne vás to znepokojuje. Ak ste nesledovali správy, vedci z Princetonskej univerzity Centrum pre politiku informačných technológií (CITP), zistil, že 400 z najpopulárnejších webových stránok na svete, vrátane The Telegraph a BBC Good Food sú spustené kódy schopné sledovať všetko, čo zadáte na webovú stránku. To znamená, že bez vášho vedomia alebo výslovného súhlasu sú vaše informácie prijímané a používané servermi tretích strán.
Možno si myslíte, že webové stránky, ktoré zaznamenávajú vašu aktivitu, aby ste mohli propagovať produkty, nie sú žiadnou novinkou a ani to tak nie je. V tomto prípade však skripty na prehrávanie relácie majú oveľa širší dosah než len to, čo ste sa rozhodli kliknúť a kúpiť.
Niektoré z najnavštevovanejších webových stránok na svete zaznamenávajú každý váš stlačený kláves – či už ide o vyhľadávanie na stránke alebo textový rozhovor s asistentom. Ak začnete vypĺňať formulár s e-mailovými adresami, telefónnymi číslami alebo osobnými údajmi a potom sa rozhodnete nepokračovať, tieto stránky už majú informácie, ktoré chceli.
Našťastie existuje spôsob, ako sa chrániť pred týmito stránkami a skriptami na prehrávanie relácie ako celku. Vydané ako súčasť výskumu CITP je prehľadateľný zoznam všetkých stránok, na ktorých sa zistilo, že používajú skripty na prehrávanie relácie. Pomerne šikovne vám tiež povie, či je táto stránka vinná za odosielanie vašich informácií na servery tretích strán.
Ako blokovať skripty na prehrávanie relácie:
Najjednoduchší spôsob, ako sa vyhnúť skriptom na prehrávanie relácie, je prejsť na Prehľadateľný zoznam CITP a aktívne sa vyhýbať používaniu týchto stránok. Môže to znamenať, že budete musieť zmeniť svoje návyky pri prehliadaní, ale pravdepodobne na tom budete lepšie.
Ak nechcete zmeniť svoje návyky pri prehliadaní a nemám vám to za zlé, môžete použiť AdBlock Plus. Zatiaľ čo AdBlock Plus zabíja 99% príjmov väčšina publikácií, ako napr Alphr, získate od návštevníkov vašej stránky, teraz sa aktualizuje tak, aby zastavilo skripty pre prehrávanie relácie na 487 lokalitách uvedených v CITP. Budete musieť zaplatiť za AdBlock Plus, čo sa zdá byť trochu divné platiť za niečo, aby ste prestali platiť za iný obsah, ale funguje to.
Ako to bolo objavené Viac ako 400 stránok používa na zoškrabanie vašich informácií skripty na prehrávanie relácie
Keyloggery sú už roky synonymom pre riskantné sťahovanie a spyware, ktorý si nájde cestu do vášho PC. Teraz je táto technológia oveľa rozšírenejšia a bežnejšia a zdá sa, že sa používa jedným z najrušivejších možných spôsobov.
Výskum z Princetonskej univerzity Centrum pre politiku informačných technológií (CITP) zistil, že 400 z najpopulárnejších webových stránok – vrátane The Telegraph a BBC Good Food – sú spustené kódy, ktoré dokážu sledovať všetko, čo napíšete bez vášho vedomia alebo výslovného súhlasu.
Ešte znepokojujúcejšie je, že vaše stlačenia klávesov a údaje vrátane informácií, ktoré ste zadali a potom odstránili, sa odosielajú na server tretej strany.
Ako Základná doska poznamenáva, je to podobná situácia, akú robil Facebook s neúplnými aktualizáciami stavu používateľa. V roku 2013, keď sa ukázalo, že Facebook zaznamenával, čo sa hovorilo, a potom pred zverejnením príspevku vymazal, ľudia sa nahnevali. Ale teraz, keď sa všetky tieto významné webové stránky pozerajú na to, čo píšete a na čo klikáte, takmer vôbec netušíme, že sa to deje.
ČÍTAJTE ĎALEJ: Tu je návod, ako môžete vidieť všetko, čo o vás Facebook vie
Spravodlivo k webom, o ktorých sa zistilo, že používajú takéto služby zaznamenávania stlačenia klávesov, v skutočnosti nie je ich zámerom získať tieto informácie. Namiesto toho je to priamy dôsledok použitia niečoho, čo sa nazýva „skript pre prehrávanie relácie“. Tieto webové skripty sa používajú na sledovanie interakcie a pomáhajú pri návrhu UX, aby informovali vlastníkov stránok o tom, ako môžu zlepšiť cestu návštevníka cez ich web. Bohužiaľ, tieto skripty zaznamenávajú prakticky všetko a posielajú na analýzu.
Zhorší sa to, keď zistíte, že, ako uviedol výskumný tím, nemožno „rozumne očakávať, že zostane v anonymite“. Ako vysvetľuje Motherboard, jedna z takýchto spoločností na vytváranie skriptov na prehratie relácie FullStory v skutočnosti poskytuje vlastníkom stránok prepojené informácie o sledovaní. Mohli by vidieť, kto bol konkrétny používateľ, a sledovať všetky svoje aktivity na stránke v reálnom čase – vrátane všetkého, čo napíšu.
Tu je video o tom, čo dokáže FullStory's Session Replay Script, ale podobne robí aj mnoho iných spoločností, ktoré ich vyvíjajú:
https://youtube.com/watch? v=l0Yc8s0DTZA
Výskumníci vykonali svoj výskum tak, že sa pozreli na sedem najpopulárnejších spoločností na trhu s prehrávaním relácií a otestovali ich produkty na sérii testovacích stránok. Pritom zistili, že aspoň jeden z týchto skriptov používa 482 z 50 000 najlepších stránok sveta zoradených podľa Rebríček Alexa.
Ako súčasť ich výskumný post„Bez hraníc: Exfiltrácia osobných údajov pomocou skriptov na prehrávanie relácie“, zverejnil tím z Princetonu zoznam stránok ktoré používali skripty – ale iba stránky, u ktorých bolo potvrdené, že takéto nahrávky posielajú tretím stranám.
Pri pohľade na zoznam stránok je niekoľko dosť znepokojujúcich vinníkov. Rýchly pohľad ukazuje, že WordPress.com, Microsoft.com, Adobe.com a Spotify.com všetky používajú tieto sledovacie skripty. The Telegraph Webová stránka je tiež sledovaným vinníkom spolu s BBC Good Food. Našťastie, tieto stránky neboli uvedené na to, aby robili viac než len používanie softvéru, čo sa zdá, že stránky skutočne robia zaznamenávať a odosielať údaje tretej strane sa zdá byť zvláštnou kombináciou, pričom ruský vyhľadávací web Yandex vedie poplatok.
ČÍTAJTE ĎALEJ: Bezpečnosť a súkromie budú vždy predstavovať nedokonalú rovnováhu
Je zvláštne, že vlastná webová stránka HP bola uvedená ako odosielajúca údaje spolu s Atlassian, Xfinity a Comcast.
Mnoho spoločností, ktoré odosielajú tieto údaje, ponúka aj redakčné služby na odstránenie citlivých informácií, ale existuje veľa takých, ktoré to neurobia. Tento únik informácií do verejnej sféry by mohol mať vážne dôsledky na súkromie.
„Zhromažďovanie obsahu stránky skriptami na prehrávanie od tretích strán môže spôsobiť citlivé informácie, ako sú zdravotný stav, údaje o kreditnej karte, a ďalšie osobné informácie zobrazené na stránke, ktoré môžu uniknúť tretej strane ako súčasť záznamu,“ napísali vedci vo svojom príspevku príspevok.
Výskumníci poznamenali, že osobné informácie a heslá zvyčajne prekĺzli cez akýkoľvek redakčný softvér, aj keď len čiastočne. Je zaujímavé, že obaja poskytovatelia skriptov Session Replay Script UserReplay a SessionCam úplne blokujú informácie sledovaním toho, kam používateľ klikol pred tým, než zadá. Ak sa však na obrazovke predvolene zobrazujú informácie, ako napríklad prihlásenie na stránku účtu lokality, vaše osobné údaje zostanú nezmenené.
Vo väčšine prípadov je to v poriadku. Ale keď jedna stránka, napríklad americký reťazec lekární Walgreens, uvádza predchádzajúce zdravotné ťažkosti a predpisy na vašej používateľskej stránke štandardne, všetky tieto informácie by sa mohli ľahko pokaziť ruky.
ČÍTAJTE ĎALEJ: Študent použil keylogger na zmenu známky viac ako 90-krát
Ak vás zaujíma, aká je pravdepodobnosť, že sa to stane, ukáže sa, že veci sa v skutočnosti zhoršia. Ako je uvedené vo svojom príspevku, výskumníci zistili, že tieto spoločnosti sledujúce relácie sú v skutočnosti v pozícii, že sú zraniteľné voči cieleným hackom. Nielenže sú to ciele s vysokou hodnotou, ale mnohé z analytických tabúľ, ktoré ich klienti používajú, bežia na nešifrovaných stránkach HTTP namiesto stránok HTTPS.
Použitím HTTP cez HTTPS to „umožňuje aktívnemu mužovi vložiť skript na stránku prehrávania a extrahovať všetky údaje zo záznamu,“ vysvetlili výskumníci.
HTTP umožňuje aktívnemu človeku v strede extrahovať všetky údaje zo záznamu
Od zverejnenia správy sa k tejto záležitosti vyjadrilo niekoľko stránok používajúcich skripty na prehrávanie relácie a predajcovia zodpovední za ich vytvorenie. Z mnohých odpovedí vyplýva, že mnohé stránky si neboli celkom vedomé toho, ako tieto veci fungujú, a preto sa snažia zastaviť takéto služby alebo ich zlepšiť, aby boli údaje používateľov v bezpečí. Pokiaľ ide o vývoj, z mála, ktorí sa k tejto záležitosti vyjadrili, poskytla SessionCam blogový príspevok načrtnutie ich obáv a uistenie používateľov, že bezpečnosť a súkromie sú ich hlavným záujmom.
ČÍTAJTE ĎALEJ: Ako bezpečné sú služby cloudového úložiska?
Keďže SessionCam je v skutočnosti najbezpečnejším poskytovateľom skriptov na prehrávanie relácie, aspoň z hľadiska ochrany súkromia používateľa, príspevok skôr uisťuje, že spoločnosť je zameraná na uchovávanie používateľských údajov v bezpečí.
Pozri súvisiace
„Všetci v SessionCam sa môžu stotožniť so záverom CITP: „Zlepšovanie používateľskej skúsenosti je pre vydavateľov kritickou úlohou. Nemalo by to však byť na úkor súkromia používateľov.‘,“ napísal SessionCam. „Celý tím v SessionCam žije týmito hodnotami každý deň. Súkromie návštevníkov vašich webových stránok a bezpečnosť vašich údajov sú pre nás prvoradé.
„Som vďačný CITP za to, že nastolila problém a preskúmala otázky. Budeme pokračovať v práci, aby sme poskytovali ešte silnejšiu bezpečnosť a poskytli našim klientom a ich zákazníkom pokoj, ktorý potrebujú.“
Existuje jeden spôsob, ako sa brániť proti týmto skriptom na prehrávanie relácie, nainštalujte si AdBlock Plus. Predtým vás chránil pred hŕstkou týchto sledovačov, ale teraz, po štúdii Princeton, je aktualizovaný, aby vás chránil pred každým skriptom uvedeným v príspevku výskumníka.
