vpn scripts εγγραφής


Πολλά δίκτυα VPN υπόσχονται να προστατεύσουν το απόρρητο και την ασφάλεια - αλλά τι γίνεται αν οι ιστοτόποι τους καταγράφουν κάθε κίνηση σας και στέλνουν τα δεδομένα σε διακομιστές τρίτων?

Πρόσφατα έσπασε η είδηση ​​ότι μερικές από τις πιο δημοφιλείς ιστοσελίδες του κόσμου καταγράφουν:

  • όλες τις πληκτρολογήσεις σας.
  • κινήσεις του ποντικιού.
  • συμπεριφορά κύλισης.
  • κάθε περιεχόμενο που πληκτρολογείτε σε φόρμες (πιστωτικές κάρτες, κωδικοί πρόσβασης, διευθύνσεις κ.λπ.), ακόμη και αν δεν υποβληθεί το έντυπο.
  • και το περιεχόμενο της ίδιας της σελίδας, με αυτές τις πληροφορίες να μεταδίδονται αυτόματα σε διακομιστές τρίτων κατασκευαστών.

Ουσιαστικά, αυτά τα σενάρια παρακολούθησης ενεργούν σαν α κάμερα παρακολούθησης - Κυριολεκτικά καταγράφοντας κάθε κίνηση που κάνετε καθώς περιηγείστε στον ιστότοπο.

Πριν αποκαλύψουμε τους παραβάτες VPN, ας το θέσουμε σε προοπτική.

Πολλοί ιστότοποι χρησιμοποιούν το Google Analytics ή άλλο λογισμικό παρακολούθησης, το οποίο βοηθά στη βελτιστοποίηση του περιεχομένου του ιστότοπου. Αυτή είναι η συνήθης πρακτική, αν και δεν είναι ιδανική. Ωστόσο, όταν μια ομάδα ερευνητών από το Princeton τις εξέτασε scripts καταγραφής συνεδρίας, αποκάλυψαν ένα εντελώς νέο επίπεδο παρακολούθησης και εταιρικής επιτήρησης.

Με λίγα μόνο σενάρια "επαναλήψεων περιόδου σύνδεσης" που προστέθηκαν στον κώδικα, οι ιστότοποι μπορούν να καταγράψουν εύκολα κάθε σας κίνηση. Ακολουθεί ένα σενάριο απάντησης σε σύνοδο (FullStory) σε δράση:

Η εγγραφή περιόδου λειτουργίας.

Τώρα εξετάστε τα προβλήματα που δημιουργούνται ...

Τι θα μπορούσε ενδεχομένως να πάει στραβά?

Αυτό προφανώς δημιουργεί κινδύνους απορρήτου και ασφάλειας για τον τελικό χρήστη, ο οποίος μεταδίδει εν αγνοία του τα προσωπικά δεδομένα - δυνητικά ευαίσθητα δεδομένα - σε διακομιστές τρίτων.

Η ερευνητική έκθεση συνοψίζει τους ακόλουθους κινδύνους:

Η συλλογή περιεχομένου σελίδας από τρίτα σενάρια επανάληψης μπορεί να προκαλέσει τη διαρροή ευαίσθητων πληροφοριών, όπως ιατρικών συνθηκών, στοιχείων πιστωτικών καρτών και άλλων προσωπικών πληροφοριών που εμφανίζονται σε μια σελίδα, σε τρίτους ως μέρος της εγγραφής. Αυτό μπορεί να εκθέσει τους χρήστες σε κλοπή ταυτότητας, online απάτες και άλλες ανεπιθύμητες συμπεριφορές. Το ίδιο ισχύει και για τη συλλογή των εισροών χρηστών κατά τις διαδικασίες πληρωμής και εγγραφής.

Επιπλέον, αυτές οι εταιρείες, όπως το FullStory, επιτρέπουν επίσης στους κατόχους ιστοτόπων να «συνδέσουν τις ηχογραφήσεις που συγκεντρώνουν με τους χρήστες πραγματική ταυτότητα."

Απορρήτου χάνονται.

Με τα προσωπικά σας δεδομένα που βρίσκονται σε διακομιστές τρίτων, αυτό δημιουργεί περαιτέρω μακροπρόθεσμα προβλήματα, όπως αναφέρεται στην έκθεση:

Τέλος, οι συγγραφείς της μελέτης ανησυχούν ότι οι εταιρείες σεναρίου συνόδου θα μπορούσαν να είναι ευάλωτες σε στοχευμένες αδράνειες, ειδικά επειδή είναι πιθανότατοι στόχοι υψηλής αξίας. Για παράδειγμα, πολλές από αυτές τις εταιρείες διαθέτουν πίνακες ελέγχου, όπου οι πελάτες μπορούν να αναπαραγάγουν τις εγγραφές που συλλέγουν. Ωστόσο, οι πίνακες εργαλείων Yandex, Hotjar και Smartlook εκτελούν μη κρυπτογραφημένες σελίδες HTTP και όχι πολύ ασφαλέστερες κρυπτογραφημένες σελίδες HTTPS.

Είναι επίσης σημαντικό να σημειωθεί ότι ορισμένες από αυτές τις εταιρείες παρέχουν εργαλεία επεξεργασίας. Θεωρητικά, αυτά τα εργαλεία θα αποκλείουν τα ευαίσθητα δεδομένα να καταγράφονται και να αποθηκεύονται σε διακομιστές τρίτων. Ωστόσο, οι ερευνητές διαπίστωσαν ότι αυτό συχνά δεν συμβαίνει.

Όπως αναφέρθηκε στην έκθεση:

Οι κωδικοί πρόσβασης περιλαμβάνονται συχνά τυχαία σε εγγραφές, παρά το γεγονός ότι τα σενάρια έχουν σχεδιαστεί για να τα αποκλείσουν. Οι ερευνητές διαπίστωσαν ότι άλλες προσωπικές πληροφορίες συχνά δεν έχουν συνταχθεί ή έχουν συνταχθεί μόνο εν μέρει, τουλάχιστον με ορισμένα από τα σενάρια.

Αιτία για συναγερμό - Επομένως, όχι μόνο τα σενάρια παρακολούθησης που καταγράφουν κάθε κίνηση σας, τα εργαλεία επεξεργασίας που υποτίθεται ότι προστατεύουν ευαίσθητα δεδομένα δεν λειτουργούν πάντα σωστά.

Θέλετε να διαγράψετε τα δεδομένα σας από αυτούς τους διακομιστές τρίτων κατασκευαστών?

Καλή τύχη.

Δεν υπάρχει εξαίρεση - αλλά μπορείτε να αποκλείσετε αυτά τα σενάρια, τα οποία θα καλύψουμε περαιτέρω παρακάτω.

Οι ένοχοι

Οι ερευνητές δημοσίευσαν τα δεδομένα εδώ, τα οποία περιλαμβάνουν περίπου 97.000 ιστότοπους που "ενσωματώνουν δέσμες ενεργειών από τους παρόχους αναλυτικών υπηρεσιών που προσφέρουν υπηρεσίες καταγραφής συνεδριών". Εξετάστηκαν μόνο επτά από τα πιο δημοφιλή σενάρια εγγραφής συνεδρίας. Επομένως, η μελέτη δεν είναι εξαντλητική, ιδιαίτερα όταν εξετάζεται η ευρεία επέκταση στον τομέα της ηλεκτρονικής παρακολούθησης.

Για να δείτε ποιες ιστοσελίδες VPN συμπεριλήφθηκαν στο σύνολο δεδομένων, μπορείτε να κάνετε λήψη του αρχείου CSV με συμπίεση εδώ.

Όταν εξετάζετε το αρχείο CSV, θα βρείτε τους ακόλουθους παρόχους VPN και τα σενάρια εγγραφής περιόδου σύνδεσης που βρέθηκαν στους ιστότοπούς τους.

Σημείωση: δεδομένου ότι η αναφορά δημοσιεύθηκε για πρώτη φορά νωρίτερα αυτό το μήνα, τα περισσότερα από τα VPN έχουν καταργήσει τα σενάρια εγγραφής περιόδου λειτουργίας από τους ιστοτόπους τους. Ωστόσο, με ορισμένους παρόχους, τα σενάρια εξακολουθούν να χρησιμοποιούνται:

Δικτυακός τόπος

Συσκευή καταγραφής συνεδριών

Πάντα σε χρήση?

astrill.com
hotjar
Ναί

cyberghostvpn.com
hotjar
Οχι

hidemyass.com
hotjar
Οχι

ipvanish.com
hotjar
Οχι

nordvpn.com
hotjar
Οχι

purevpn.com
hotjar
Ναί

safervpn.com
επιθεώρηση
Ναί

strongvpn.com
hotjar
Οχι

zenmate.com
hotjar
Οχι

Οι υπηρεσίες VPN υπόσχονται να προστατεύουν το απόρρητο των χρηστών, ενώ ταυτόχρονα χρησιμοποιούν σενάρια καταγραφής συνεδριών, τα οποία παραβιάζουν αυτό το απόρρητο.

Κοινή χρήση δεδομένων τρίτου μέρους - Μια άλλη προφανής αντίφαση εδώ είναι ότι πολλά από αυτά τα VPN ισχυρίζονται επίσης ότι δεν μοιράζονται δεδομένα με τρίτους. Ωστόσο, από προεπιλογή, αυτά τα σενάρια έχουν σχεδιαστεί για να καταγράφουν τα πάντα και να στέλνουν τα δεδομένα σε διακομιστές τρίτων.

Επομένως, μπορεί να είναι η χρήση γραφημάτων καταγραφής συνεδρίας παραβιάζοντας την πολιτική απορρήτου του VPN.

Δεν υπάρχει προειδοποίηση - Αυτό είναι επίσης προβληματικό επειδή οι χρήστες συχνά χρειάζονται πρόσβαση στην ιστοσελίδα του VPN και στην περιοχή των μελών, όπως κατά τη λήψη λογισμικού, τη λήψη υποστήριξης ή την ανανέωση συνδρομής. Δυστυχώς, δεν φαίνεται ότι οι συγκεκριμένοι ιστότοποι εκδίδουν οποιοδήποτε είδος προειδοποίησης, όπως:

"ΠΡΟΕΙΔΟΠΟΙΗΣΗ - Όλα όσα κάνεις καταγράφονται και αποστέλλονται σε διακομιστές τρίτων. Δεν υπάρχει κανένας τρόπος να εξαιρεθεί. "

Προστάτευσε τον εαυτό σου

Η παρακολούθηση και η συλλογή δεδομένων είναι μια πολύ μεγάλη και αναπτυσσόμενη επιχείρηση. Δεδομένου ότι υπάρχουν χιλιάδες ιστότοποι που φιλοξενούν αυτά τα σενάρια και δεν υπάρχει αποτελεσματικός τρόπος να εξαιρεθούν, η μόνη λύση που απομένει είναι να τους αποκλείσετε.

Το αρχικό άρθρο το υποστήριξε Adblock Plus θα αποκλείσει όλα τα σενάρια εγγραφής περιόδου σύνδεσης που προσδιορίστηκαν στη μελέτη. Ένα άλλο πρόσθετο του προγράμματος περιήγησης που θα πρέπει να αποκλείει αποτελεσματικά αυτά τα scripts από την εκτέλεση είναι NoScript. Και τελικά, uBlock Προέλευση θα πρέπει να λειτουργούν επίσης.

Μια άλλη λύση είναι να χρησιμοποιήσετε έναν αποκλεισμό διαφημίσεων VPN που φιλτράρει αυτά τα σενάρια και τομείς σε επίπεδο διακομιστή VPN. Δοκίμασα το  από το  και το βρήκε να αποκλείει αποτελεσματικά τα χειρόγραφα "hotjar" και "inspectlet" που αναφέρονται παραπάνω.

Ενημερώστε την 4η Δεκεμβρίου 2017 - Το SaferVPN έχει καταργήσει το σενάριο "inspectlet" από τον ιστότοπό του.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me