vpn snemalni skripti


Številni VPN-ji obljubljajo, da bodo zaščitili vašo zasebnost in varnost - kaj pa, če njihova spletna mesta beležijo vsako potezo in pošljejo podatke na strežnike drugih proizvajalcev?

Nedavno so se pojavile novice, da snemajo nekatere najbolj priljubljene spletne strani na svetu:

  • vse vaše pritiske tipk;
  • gibi miške;
  • drsno vedenje;
  • kakršno koli vsebino, ki jo vtipkate v obrazce (kreditne kartice, gesla, naslove itd.), tudi če obrazec ni predložen;
  • in vsebino same strani, pri čemer se ti podatki samodejno pošljejo zunanji strežniki.

V bistvu ti sledilni skripti delujejo kot nadzorna kamera - dobesedno beleženje vsakega koraka med brskanjem po spletnem mestu.

Preden razkrijemo kršitelje VPN, poglejmo to v perspektivo.

Mnoga spletna mesta uporabljajo Google Analytics ali drugo programsko opremo za sledenje, ki pomaga optimizirati vsebino spletnega mesta. To je običajna praksa, čeprav ni idealna. Ko pa je skupina raziskovalcev iz Princetona to pregledala skripte za snemanje seje, odkrili so povsem novo raven sledenja in nadzora podjetij.

Le nekaj skript "ponovitev seje", dodanih v kodo, lahko spletna mesta zlahka zabeležijo vsako potezo. Tukaj je akcijski skript za odgovor na sejo (FullStory):

Snemanje seje v akciji.

Zdaj pa preučimo težave, ki jih to ustvarja ...

Kaj bi lahko šlo narobe?

To očitno ustvarja tveganja za zasebnost in varnost za končnega uporabnika, ki nevede prenaša osebne podatke - potencialno občutljive podatke - na strežnike drugih proizvajalcev.

Poročilo o raziskavi je povzemalo naslednja tveganja:

Zbiranje vsebine strani po scenarijih za predvajanje tretjih oseb lahko povzroči, da bodo občutljivi podatki, kot so zdravstvena stanja, podatki o kreditni kartici in drugi osebni podatki, prikazani na strani, pritekli do tretje osebe kot del snemanja. To lahko uporabnike izpostavi kraji identitete, spletnim prevaram in drugim nezaželenim vedenjem. Enako velja za zbiranje uporabniških vnosov med postopki odjav in registracije.

Poleg tega ta podjetja, kot je FullStory, tudi omogočajo lastnikom spletnih strani, da "povežejo posnetke, ki jih zberejo, z uporabnikovimi resnična identiteta.”

Zasebnost je izgubljena.

Če vaši zasebni podatki sedijo na drugih strežnikih, to še dodatno ustvarja dolgoročne težave, kot je razloženo v poročilu:

Nazadnje so avtorji študije zaskrbljeni, da bi lahko podjetja za skripte sej ogrozila ciljne kraje, zlasti zato, ker so verjetno cilji visoke vrednosti. Na primer, veliko teh podjetij ima nadzorne plošče, na katerih lahko stranke predvajajo posnetke, ki jih zbirajo. Toda nadzorne plošče Yandex, Hotjar in Smartlook vodijo nezašifrirane strani HTTP, ne pa veliko bolj varnih, šifriranih strani HTTPS.

Pomembno je tudi opozoriti, da nekatera od teh podjetij ponujajo orodja za urejanje. Teoretično bi ta orodja izključila občutljive podatke, ki bi jih lahko snemali in shranjevali na drugih strežnikih. Vendar so raziskovalci ugotovili, da to pogosto ne gre.

Kot je razloženo v poročilu:

Gesla so pogosto pomotoma vključena v posnetke, kljub temu, da so skripti zasnovani tako, da jih izključijo. Raziskovalci so ugotovili, da tudi drugi osebni podatki, vsaj z nekaterimi skripti, pogosto niso bili spremenjeni ali le delno urejeni.

Vzrok za alarm - Torej ne le, da sledilni skripti beležijo vsako potezo, orodja za urejanje, ki naj bi zaščitili občutljive podatke, ne delujejo vedno pravilno.

Ali želite izbrisati svoje podatke s teh tretjih strežnikov?

Vso srečo.

Izključitve ni mogoče, vendar lahko te skripte blokirate, ki jih bomo podrobneje opisali spodaj.

Krivci

Raziskovalci so tukaj objavili podatke, ki vključujejo približno 97.000 spletnih strani, ki "vdelajo skripte ponudnikov analitike, ki ponujajo storitve beleženja sej". Pregledali so le sedem najbolj priljubljenih scenarijev za snemanje seje. Študija torej nikakor ni izčrpna, zlasti če upoštevamo široko širitev na področju spletnega sledenja.

Če si želite ogledati, katera spletna mesta VPN so bila vključena v nabor podatkov, lahko prenesete zvito datoteko CSV tukaj.

Ko pregledate datoteko CSV, boste našli naslednje ponudnike VPN in skripte snemanja seje, ki so jih našli na njihovih spletnih mestih.

Opomba: Ker je bilo poročilo prvič objavljeno v začetku tega meseca, je večina VPN-jev odstranila skripte snemanja seje s svojih spletnih mest. Vendar so pri nekaterih ponudnikih skripte še vedno v uporabi:

Spletna stran

Snemalnik seje

Še vedno v uporabi?

astrill.com
hotjar
Da

cyberghostvpn.com
hotjar
Ne

hidemyass.com
hotjar
Ne

ipvanish.com
hotjar
Ne

nordvpn.com
hotjar
Ne

purevpn.com
hotjar
Da

safervpn.com
inšpekcijski pregled
Da

strongvpn.com
hotjar
Ne

zenmate.com
hotjar
Ne

Storitve VPN obljubljajo, da bodo varovale zasebnost uporabnikov, hkrati pa uporabljajo skripte za snemanje seje, kar krši to zasebnost.

Izmenjava podatkov tretjih oseb - Drugo očitno protislovje je, da mnogi od teh VPN trdijo tudi, da podatkov ne delijo s tretjimi osebami. Kljub temu so ti skripti privzeto zasnovani za beleženje vsega in pošiljanje podatkov na strežnike drugih proizvajalcev.

Zato je lahko uporaba skriptov za beleženje seje krši politiko zasebnosti VPN.

Brez opozorila - To je tudi problematično, ker morajo uporabniki pogosto dostopati do spletnega mesta in članov VPN-ja, na primer pri prenosu programske opreme, podpori ali obnovi naročnine. Na žalost ni videti, da ta spletna mesta izdajajo kakršno koli opozorilo, na primer:

“OPOZORILO - Vse, kar počnete, se beleži in pošlje na strežnike drugih proizvajalcev. Ni se mogoče odpovedati. "

Zaščitite se

Sledenje in zbiranje podatkov je zelo velik in rastoč posel. Glede na to, da je na tisoče spletnih strani, ki gostijo te skripte, in ni učinkovitega načina, da se izklopijo, je edina preostala rešitev, da jih blokiramo.

Izvirni članek je to trdil Adblock Plus blokira vse skripte snemanja seje, opredeljene v študiji. Drug dodatek brskalnika, ki bi moral učinkovito preprečiti izvajanje teh skriptov, je NoScript. In končno, uBlock Poreklo bi moral delovati tudi.

Druga rešitev je uporaba blokatorja oglasov VPN, ki te skripte in domene filtrira na ravni strežnika VPN. Testiral sem  funkcija od  in ugotovil, da dejansko blokira zgoraj omenjene skripte "hotjar" in "inspectlet".

Posodobiti 4. decembra 2017 - SaferVPN je s svojega spletnega mesta odstranil skript "inspectlet".

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me