A világ legnépszerűbb webhelyeinek százai rendszeresen nyomon követik a felhasználó minden billentyűleütését, az egér mozgatását és a webes űrlapba való bevitelét - még a beküldés vagy a későbbi elhagyás előtt. egy tanulmány eredményei a Princetoni Egyetem kutatóitól.

És van egy csúnya mellékhatása: a felhasználók azonosítására alkalmas személyes adatok, például orvosi információk, jelszavak és hitelkártya-adatok felfedhetők, amikor a felhasználók böngésznek az interneten-anélkül, hogy tudnák, hogy a vállalatok figyelemmel kísérik a böngészési szokásaikat. Ez egy olyan helyzet, amely riasztania kell mindenkit, aki törődik a magánéletével.

A princetoni kutatók azt találták, hogy nehéz volt a személyazonosításra alkalmas adatokat visszavonni a böngészési magatartási rekordokból - még akkor is, amikor a felhasználók bekapcsolták az adatvédelmi beállításokat, mint pl. Do Not Track.

A kutatás megállapította hogy harmadik fél nyomon követési szolgáltatásait több száz vállalkozás használja annak ellenőrzésére, hogy a felhasználók hogyan navigálnak webhelyeiken. Ez egyre nagyobb kihívásnak bizonyul, mivel egyre több vállalat fokozza a biztonságot és áthelyezi webhelyeit titkosított HTTPS oldalak.

Ennek kiküszöbölése érdekében a munkamenet-visszajátszási szkripteket telepítik, hogy figyeljék a felhasználói felület viselkedését a webhelyeken időbélyegzett események, például billentyűzet- és egérmozgások sorozataként. Ezen események mindegyike további paramétereket rögzít - jelezve a billentyűleütéseket (billentyűzetes események esetén) és képernyő -koordinátákat (egérmozgási események esetén) - az interakció idején. Ha a webhely tartalmához és a webcímhez társítják, akkor ezt a rögzített eseménysorozatot pontosan vissza tudja játszani egy másik böngésző, amely aktiválja a webhely által meghatározott funkciókat.

Ez azt jelenti, hogy egy harmadik személy láthatja például azt a felhasználót, aki jelszót ír be egy online űrlapba - ez egyértelmű adatvédelmi jogsértés. Azok a weboldalak, amelyek harmadik fél elemző cégeket alkalmaznak az ilyen viselkedés rögzítésére és visszajátszására, érvelnek a „felhasználói élmény javítása” nevében. Minél jobban tudják, mire vágynak a felhasználók, annál könnyebb célzott információkat biztosítani számukra.

Bár nem újdonság, hogy a vállalatok figyelemmel kísérik a viselkedésünket az interneten való böngészés során, az a tény, hogy a szkriptek csendben telepítésre kerülnek az egyes böngésző-munkamenetek ilyen módon történő rögzítésére, a tanulmány társszerzőjét, Steven Englehardtot, a Princeton PhD-jelöltjét érintette .

 A webhely felhasználói visszajátszásának bemutatója működés közben.

{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}

„Az oldaltartalom harmadik féltől származó visszajátszási szkriptek által történő gyűjtése miatt a felvétel részeként érzékeny információk, például egészségügyi állapotok, hitelkártyaadatok és más, az oldalon megjelenített egyéb személyes adatok szivároghatnak a harmadik fél felé,” írt. „Ez a felhasználókat személyazonosság -lopásnak, online csalásoknak és más nem kívánt viselkedésnek teheti ki. Ugyanez vonatkozik a felhasználói adatok gyűjtésére a fizetés és a regisztráció során. ”

A billentyűleütéseket naplózó webhelyek már régóta ismertek a kiberbiztonsági szakértők számára. Princeton empirikus vizsgálata pedig alapos aggodalmakat vet fel azzal kapcsolatban, hogy a felhasználók ilyen módon rögzítik a szörfözési viselkedésüket vagy egyáltalán nem tudják befolyásolni őket.

Ezért fontos, hogy segítsünk a felhasználóknak ellenőrizni, hogyan osztják meg adataikat az interneten. De egyre több jel utal arra, hogy a használhatóság legyőzi azokat a biztonsági intézkedéseket, amelyek célja, hogy adatainkat biztonságban tartsuk az interneten.

Használhatóság vs biztonság

A jelszókezelőket emberek milliói használják, hogy segítsenek nekik egyszerűen nyilvántartást vezetni a különböző webhelyek különböző jelszavairól. Az ilyen szolgáltatás felhasználójának csak egy kulcsjelszót kell megjegyeznie.

Nemrégiben a kutatók csoportja a Derbyi Egyetemen és az Open Egyetemen felfedezték, hogy a jelszókezelő szolgáltatások offline ügyfelei fenyegetnek abban, hogy felfedik a fő kulcsjelszót, ha egyszerű szövegként tárolják a memóriában, amelyet teljes rendszer támadások szippanthatnak be vagy dobhatnak ki.

A felhasználói élmény nem mentség a biztonsági hibák tolerálására.

A szerzőről

Yijun Yu, egyetemi adjunktus, Számítástechnikai és Kommunikációs Tanszék, A nyitott egyetem

Ezt a cikket eredetileg közzétették A beszélgetés. Olvassa el a eredeti cikk.

Kapcsolódó könyvek:

at InnerSelf Market és Amazon