اسکریپت های ضبط vpn


بسیاری از VPN ها قول محافظت از حریم خصوصی و امنیت شما را می دهند - اما اگر وب سایتهای آنها هر حرکتی شما را ضبط می کردند و داده ها را به سرورهای شخص ثالث می فرستادند چه اتفاقی می افتد.?

اخیراً اخباری منتشر شد مبنی بر ضبط برخی از محبوب ترین وب سایت های جهان:

  • تمام کلیدهای کلید خود را.
  • حرکات ماوس؛
  • رفتار پیمایش.
  • هر نوع محتوا را به فرم ها (کارت های اعتباری ، کلمه عبور ، آدرس و غیره) تایپ کنید ، حتی اگر فرم ارسال نشده باشد.
  • و محتوای صفحه خود ، با این اطلاعات به طور خودکار به آنها منتقل می شود سرورهای شخص ثالث.

اساساً ، این اسکریپت های ردیابی مانند یک عمل می کنند دوربین نظارت - به معنای واقعی کلمه هر حرکتی را که انجام می دهید ضبط کنید همانطور که وب سایت را مرور می کنید.

قبل از افشای مجرمان VPN ، بیایید این را به چشم انداز بگذاریم.

بسیاری از وب سایت ها از Google Analytics یا سایر نرم افزار ردیابی استفاده می کنند که به بهینه سازی محتوای سایت کمک می کند. این یک عمل استاندارد است ، حتی اگر ایده آل نیست. با این حال ، هنگامی که تیمی از محققان پرینستون این موارد را مورد بررسی قرار دادند اسکریپت های ضبط جلسه, آنها سطح کاملاً جدیدی از ردیابی و نظارت شرکت ها را کشف کردند.

با تنها چند اسکریپت "پخش مجدد جلسه" به کد ، وب سایت ها می توانند به راحتی هر حرکت شما را ضبط کنند. در اینجا یک اسکریپت پاسخ جلسه (FullStory) در عمل وجود دارد:

ضبط جلسه در عمل.

حالا بگذارید مشکلی را که ایجاد می شود بررسی کنیم ...

چه اتفاقی می افتد اشتباه است?

این بدیهی است خطرات حریم خصوصی و امنیتی برای کاربر نهایی که ناآگاهانه انتقال داده های شخصی - داده های بالقوه حساس - را به سرورهای شخص ثالث انتقال می دهد ، ایجاد می کند..

گزارش تحقیق خطرات زیر را به طور خلاصه بیان کرده است:

جمع آوری محتوای صفحه توسط اسکریپت های پخش مجدد شخص ثالث ممکن است باعث شود اطلاعات حساس مانند شرایط پزشکی ، اطلاعات کارت اعتباری و سایر اطلاعات شخصی نمایش داده شده در یک صفحه به شخص ثالث به عنوان بخشی از ضبط برسد. این ممکن است کاربران را در معرض سرقت هویت ، کلاهبرداری آنلاین و سایر رفتارهای ناخواسته قرار دهد. همین مورد در مورد جمع آوری ورودی های کاربر در طی مراحل پرداخت و ثبت نام نیز صادق است.

علاوه بر این ، این شرکت ها ، مانند FullStory ، همچنین به صاحبان وب سایت اجازه می دهند "ضبط های جمع آوری شده خود را به یک کاربر وصل کنند هویت واقعی."

حریم خصوصی از بین رفت.

با نشستن اطلاعات خصوصی شما بر روی سرورهای شخص ثالث ، این امر بیشتر ایجاد می کند مشکلات طولانی مدت, همانطور که در گزارش مورد بحث قرار گرفته است:

سرانجام ، نویسندگان این مطالعه نگران هستند كه شركتهای اسكریپت جلسه بتوانند در برابر هكهای هدفمند آسیب پذیر باشند ، به ویژه به دلیل اینكه آنها احتمالاً دارای اهداف با ارزش هستند. به عنوان مثال ، بسیاری از این شرکت ها داشبورد دارند که در آن مشتری ها می توانند ضبط های جمع آوری شده خود را پخش کنند. اما داشبورد Yandex ، Hotjar و Smartlook صفحات HTT رمزگذاری شده به جای صفحات HTTPS بسیار امن تر را اجرا می کنند.

توجه به این نکته نیز حائز اهمیت است که برخی از این شرکتها ابزارهای کاهش دهنده را ارائه می دهند. از نظر تئوری ، این ابزارها امکان ضبط و ذخیره داده های حساس در سرورهای شخص ثالث را ندارند. با این حال ، محققان دریافتند که این مورد غالباً اینگونه نیست.

همانطور که در گزارش بحث شده است:

رمزهای عبور اغلب به طور تصادفی در ضبط ها درج می شوند ، با وجود اینكه اسكریپت ها برای محرومیت از آنها طراحی شده اند. محققان دریافتند که اطلاعات شخصی دیگر نیز اغلب دستکاری نشده است ، یا حداقل به صورت جزئی ویرایش می شود ، حداقل با برخی از اسکریپت ها.

دلیل زنگ - بنابراین نه تنها اسکریپت های ردیابی هر حرکتی شما را ضبط می کنند ، بلکه ابزارهای کاستن که قرار است از داده های حساس محافظت کنند همواره به درستی کار نمی کنند.

آیا می خواهید داده های خود را از این سرورهای شخص ثالث پاک کنید?

موفق باشید.

هیچ انتخابی وجود ندارد - اما می توانید این اسکریپت ها را مسدود کنید ، که ما در ادامه به آنها خواهیم پرداخت.

مقصر

محققان داده ها را در اینجا منتشر کرده اند ، که شامل حدود 97000 وب سایت است که "اسکریپت هایی را از ارائه دهندگان تحلیلی ارائه می دهند که خدمات ضبط جلسه ارائه می دهند". آنها تنها هفت مورد از محبوب ترین اسکریپت های ضبط جلسه را مورد بررسی قرار دادند. بنابراین ، مطالعه به هیچ وجه جامع نیست ، به خصوص وقتی که با توجه به گسترش گسترده در زمینه ردیابی آنلاین ، توجه شود.

برای دیدن اینکه کدام وب سایت VPN در مجموعه داده ها گنجانده شده است ، می توانید فایل CSV پستی را در اینجا بارگیری کنید.

وقتی پرونده CSV را بررسی می کنید ، ارائه دهندگان VPN زیر و اسکریپت های ضبط جلسه را که در وب سایت های آنها یافت شد ، پیدا خواهید کرد..

توجه: از آنجا که این گزارش برای اولین بار در اوایل ماه جاری منتشر شده است ، بیشتر VPN ها اسکریپت های ضبط جلسه را از وب سایت های خود حذف کرده اند. با این حال ، با برخی ارائه دهندگان ، اسکریپت ها هنوز در حال استفاده هستند:

سایت اینترنتی

ضبط کننده جلسه

هنوز در حال استفاده است?

astrill.com
هاتجار
آره

cyberghostvpn.com
هاتجار
نه

hidemyass.com
هاتجار
نه

ipvanish.com
هاتجار
نه

nordvpn.com
هاتجار
نه

purevpn.com
هاتجار
آره

safervpn.com
بازرسی
آره

strongvpn.com
هاتجار
نه

zenmate.com
هاتجار
نه

خدمات VPN قول می دهند از حریم شخصی کاربران محافظت کنند ، در عین حال از اسکریپت های ضبط جلسه استفاده می کنند ، که باعث نقض آن حریم خصوصی می شود.

اشتراک داده های شخص ثالث - تضاد بارز دیگر در اینجا این است که بسیاری از این VPN ها همچنین ادعا می کنند داده ها را با اشخاص ثالث به اشتراک نمی گذارند. با این حال ، به طور پیش فرض این اسکریپت ها برای ضبط همه چیز و ارسال داده ها به سرورهای شخص ثالث طراحی شده اند.

بنابراین ممکن است استفاده از اسکریپت های ضبط جلسه باشد نقض خط مشی رازداری VPN.

بدون هشدار - این مسئله همچنین مشکل ساز است زیرا کاربران اغلب باید به وب سایت VPN و قسمت اعضا دسترسی پیدا کنند ، مانند هنگام بارگیری نرم افزار ، گرفتن پشتیبانی یا تمدید اشتراک. متأسفانه ، به نظر نمی رسد که این سایت ها هر نوع اخطاری را صادر می کنند ، مانند:

هشدار - هرکاری که انجام می دهید به سرورهای شخص ثالث ضبط و ارسال می شود. هیچ راهی برای انصراف وجود ندارد. "

از خودت محافظت کن

ردیابی و جمع آوری داده ها یک تجارت بسیار بزرگ و رو به رشد است. با توجه به اینکه هزاران وب سایت وجود دارند که این اسکریپت ها را میزبانی می کنند و هیچ راهی مؤثر برای انصراف وجود ندارد ، تنها راه حل باقی مانده مسدود کردن آنهاست.

مقاله اصلی ادعا می کند که Adblock Plus همه اسکریپت های ضبط جلسه مشخص شده در مطالعه را مسدود می کند. یکی دیگر از افزودنیهای مرورگر که باید به طور موثر این اسکریپت ها را از کار باند کند ، است NoScript. و در نهایت, مبدا uBlock باید کار کند.

راه حل دیگر استفاده از آگهی مسدود کننده VPN است که این اسکریپت ها و دامنه ها را در سطح سرور VPN فیلتر می کند. من تست کردم  ویژگی از  و دریافتند که به طور مؤثر اسکریپت های «hotjar» و «inspectlet» را که در بالا ذکر شد مسدود می کنند.

بروزرسانی 4 دسامبر 2017 - SaferVPN اسکریپت "inspectlet" را از وب سایت خود حذف کرده است.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me