Setki najlepszych witryn internetowych na świecie rutynowo śledzą każde naciśnięcie klawisza, ruch myszy i wprowadzanie danych do formularza internetowego — nawet przed wysłaniem lub późniejszym porzuceniem, zgodnie z wyniki badania od naukowców z Princeton University.
Jest też paskudny efekt uboczny: dane osobowe, takie jak informacje medyczne, hasła i dane kart kredytowych, mogą zostać ujawnione, gdy użytkownicy surfują po Internecie – bez wiedzy, że firmy monitorują ich zachowanie podczas przeglądania. To sytuacja, która powinna zaniepokoić każdego, kto dba o swoją prywatność.
Badacze z Princeton stwierdzili, że trudno było zredagować informacje umożliwiające identyfikację osób z rejestrów zachowań podczas przeglądania — nawet w niektórych przypadkach, gdy użytkownicy włączyli ustawienia prywatności, takie jak Nie śledzić.
Połączenia znaleziono badania że usługi śledzące stron trzecich są wykorzystywane przez setki firm do monitorowania sposobu, w jaki użytkownicy poruszają się po ich witrynach. Okazuje się to coraz większym wyzwaniem, ponieważ coraz więcej firm wzmacnia zabezpieczenia i przenosi swoje witryny na inne zaszyfrowane strony HTTPS.
Aby obejść ten problem, wdrażane są skrypty powtarzania sesji w celu monitorowania zachowania interfejsu użytkownika na stronach internetowych jako sekwencji zdarzeń z sygnaturą czasową, takich jak ruchy klawiatury i myszy. Każde z tych zdarzeń zapisuje dodatkowe parametry — wskazujące naciśnięcia klawiszy (w przypadku zdarzeń związanych z klawiaturą) i współrzędne ekranu (w przypadku zdarzeń związanych z ruchem myszy) — w momencie interakcji. W powiązaniu z treścią strony internetowej i adresem internetowym, ta zarejestrowana sekwencja zdarzeń może być dokładnie odtworzona przez inną przeglądarkę, która uruchamia funkcje zdefiniowane przez stronę internetową.
Oznacza to, że osoba trzecia może zobaczyć, na przykład, jak użytkownik wprowadza hasło do formularza online – co stanowi wyraźne naruszenie prywatności. Strony internetowe, które zatrudniają zewnętrzne firmy analityczne do rejestrowania i odtwarzania takich zachowań, argumentują, w imię „poprawy doświadczenia użytkownika”. Im lepiej wiedzą, czego szukają ich użytkownicy, tym łatwiej jest im przekazać ukierunkowane informacje.
Chociaż nie jest nowością, że firmy monitorują nasze zachowanie podczas surfowania po Internecie, fakt, że skrypty są po cichu wdrażane w celu rejestrowania poszczególnych sesji przeglądarki w ten sposób, zaniepokoił współautora badania, Stevena Englehardta, który jest doktorantem w Princeton .
Demo powtórki użytkownika strony internetowej w akcji.
{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}
„Zbieranie zawartości strony przez skrypty powtórkowe stron trzecich może spowodować, że poufne informacje, takie jak stan zdrowia, dane karty kredytowej i inne dane osobowe wyświetlane na stronie, wyciekną do strony trzeciej w ramach nagrania” on napisał. „Może to narazić użytkowników na kradzież tożsamości, oszustwa internetowe i inne niepożądane zachowania. To samo dotyczy zbierania danych wprowadzanych przez użytkowników podczas realizacji transakcji i procesów rejestracji”.
Strony internetowe rejestrujące naciśnięcia klawiszy są problemem znanym od jakiegoś czasu ekspertom ds. cyberbezpieczeństwa. A badanie empiryczne przeprowadzone przez Princeton budzi uzasadnione obawy, że użytkownicy mają niewielką lub żadną kontrolę nad rejestrowaniem w ten sposób ich zachowań podczas surfowania.
Dlatego ważne jest, aby pomóc użytkownikom kontrolować, w jaki sposób ich informacje są udostępniane online. Istnieje jednak coraz więcej oznak świadczących o tym, że użyteczność przewyższa środki bezpieczeństwa, które mają na celu zapewnienie bezpieczeństwa naszych danych w Internecie.
Użyteczność kontra bezpieczeństwo
Menedżery haseł są używane przez miliony ludzi, aby ułatwić im przechowywanie różnych haseł do różnych witryn. Użytkownik takiej usługi musi zapamiętać tylko jedno kluczowe hasło.
Ostatnio, a grupa badaczy na University of Derby i Open University odkryli, że klienci offline usług zarządzania hasłami byli narażeni na ujawnienie hasła głównego klucza, gdy było ono przechowywane w pamięci jako zwykły tekst, który mógł zostać przechwycony lub zrzucony przez ataki na cały system.
Doświadczenie użytkownika nie jest usprawiedliwieniem dla tolerowania luk w zabezpieczeniach.
Doświadczenie użytkownika nie jest usprawiedliwieniem dla tolerowania luk w zabezpieczeniach.O autorze
Yijun Yu, starszy wykładowca, Wydział Informatyki i Komunikacji, Otwarty uniwersytet
Ten artykuł został pierwotnie opublikowany w Konwersacje. Przeczytać oryginalny artykuł.
Powiązane książki:
at Rynek wewnętrzny i Amazon
