впн скрипте за снимање


Многи ВПН обећавају да ће заштитити вашу приватност и сигурност - али шта ако њихове веб странице бележе сваки ваш потез и шаљу податке трећим серверима?

Недавно су провале вести да неке од најпопуларнијих светских веб локација снимају:

  • све ваше притиске на тастере;
  • покрети миша;
  • скролинг понашање;
  • било који садржај који укуцате у обрасце (кредитне картице, лозинке, адресе итд.), чак и ако образац није поднесен;
  • и садржај саме странице, са тим подацима се аутоматски преносе независни сервери.

У основи, ови скрипти за праћење понашају се као надзорна камера - буквално бележење сваког вашег потеза док прегледате веб локацију.

Пре него што откријемо преступнике ВПН-а, ставимо то у перспективу.

Много веб локација користи Гоогле Аналитицс или други софтвер за праћење који помаже у оптимизацији садржаја веб локације. Ово је стандардна пракса, иако није идеална. Међутим, када је тим истраживача из Принцетона то испитао скрипте за снимање сесије, открили су потпуно нови ниво праћења и корпоративног надзора.

Са само неколико скрипти „понављања сесије“ доданих у код, веб локације могу лако да забележе сваки ваш потез. Ово је скрипта одговора на сесију (ФуллСтори) на делу:

Снимање сесије у акцији.

Сада да истражимо проблеме које ово ствара ...

Шта би могло поћи по злу?

Ово очигледно ствара ризике за приватност и сигурност за крајњег корисника, који несвесно преноси личне податке - потенцијално осетљиве податке - на треће сервере.

Извештај о истраживању сажео је следеће ризике:

Прикупљање садржаја странице по скрипту поновне репродукције треће стране може проузроковати да осетљиве информације попут медицинских стања, података о кредитној картици и других личних података приказаних на страници процури до треће стране као део снимања. Ово може изложити кориснике крађи идентитета, преварама на мрежи и другим нежељеним понашањима. Исто важи за прикупљање корисничких уноса током процеса одјаве и регистрације.

Штавише, ове компаније, попут ФуллСтори-а, такође дозвољавају власницима веб локација да „повежу снимке које сакупе са корисниковим стварни идентитет.“

Приватност је изгубљена.

Када ваши приватни подаци седе на серверима трећих страна, то даље ствара дугорочни проблеми, као што је речено у извештају:

Коначно, аутори студије су забринути да би компаније за скрипти за сесије могле бити рањиве на циљане хакове, посебно зато што су вероватно циљеви велике вредности. На пример, многе од ових компанија имају контролне табле на којима клијенти могу репродуковати снимке које сакупе. Али Иандек, Хотјар и Смартлоок-ове надзорне плоче покрећу нешифриране ХТТП странице, а не много сигурније, шифроване ХТТПС странице.

Такође је важно имати на уму да неке од ових компанија пружају алате за уређивање. Теоретски би ови алати искључили осетљиве податке да се снимају и чувају на трећим серверима. Међутим, истраживачи су открили да то често није случај.

Као што је речено у извештају:

Лозинке су често случајно укључене у снимке, упркос томе што су скрипте дизајниране тако да их искључе. Истраживачи су открили да и други лични подаци често нису редиговани или су само делимично редиговани, бар са неким скриптама.

Узрок аларма - Дакле, не само да скрипте за праћење бележе сваки ваш потез, алати за уређивање који би требали заштитити осетљиве податке не раде увек правилно.

Да ли желите да обришете своје податке са ових трећих сервера?

Срећно.

Не можете се искључити - али ове скрипте можете блокирати о чему ћемо даље говорити.

Кривци

Истраживачи су овде објавили податке, који укључују око 97.000 веб локација које „уграђују скрипте од аналитичара који нуде услуге снимања сесија“. Испитали су само седам најпопуларнијих скрипти за снимање сесија. Стога, студија никако није исцрпна, посебно ако се узме у обзир широко ширење у области праћења на мрежи.

Да бисте видели које су ВПН веб локације укључене у скуп података, овде можете преузети зиппед ЦСВ датотеку.

Када прегледате ЦСВ датотеку, наћи ћете следеће ВПН провајдере и скрипте за снимање сесије које су пронађене на њиховим веб локацијама.

Напомена: пошто је извештај први пут објављен раније овог месеца, већина ВПН-ова уклонила је скрипте за снимање сесије са својих веб локација. Међутим, код неких провајдера скрипте се и даље користе:

Веб сајт

Снимач сесије

Још увек се користи?

астрилл.цом
хотјар
да

цибергхоствпн.цом
хотјар
Не

хидемиасс.цом
хотјар
Не

ипванисх.цом
хотјар
Не

нордвпн.цом
хотјар
Не

пуревпн.цом
хотјар
да

сафервпн.цом
инспецтлет
да

стронгвпн.цом
хотјар
Не

зенмате.цом
хотјар
Не

ВПН услуге обећавају да ће заштитити приватност корисника, а истовремено ће користити скрипте за снимање сесија, што крши ту приватност.

Дељење података треће стране - Још једна очигледна контрадикција овде је да многи од ових ВПН-а такође тврде да не деле податке са трећим лицима. Ипак, ове скрипте по заданом су креиране за снимање свега и слање података на треће сервере.

Због тога се може користити скрипта снимања сесије кршење политике приватности ВПН-а.

Но Варнинг - Ово је такође проблематично јер корисници често морају да приступе веб локацији и члановима ВПН-а, на пример приликом преузимања софтвера, добијања подршке или обнављања претплате. Нажалост, изгледа да ове веб локације не издају никакву врсту упозорења, попут:

„УПОЗОРЕЊЕ - Све што радите снима се и шаље на треће сервере. Нема начина да се одустанете. "

Заштити себе

Праћење и прикупљање података је веома велик и растући посао. С обзиром да постоји хиљаде веб локација које имају ове скрипте и нема ефикасног начина да се одустану, једино решење је њихово блокирање.

Оригинални чланак је то тврдио Адблоцк Плус блокираће све скрипте за снимање сесије идентификоване у студији. Још један додатак прегледача који би требало ефикасно да блокира покретање ових скрипти је НоСцрипт. И коначно, уБлоцк Оригин требало би да ради.

Друго решење је употреба ВПН блокатора огласа који филтрира ове скрипте и домене на нивоу ВПН сервера. Тестирао сам  функција од  и открили су да ефикасно блокира горе наведене скрипте „хотјар“ и „инспецтлет“.

Ажурирајте 4. децембра 2017 - СаферВПН је уклонио скрипту „инспецтлет“ са њихове веб странице.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me