сценарии записи vpn


Многие VPN обещают защитить вашу конфиденциальность и безопасность, но что, если их сайты регистрируют каждый ваш шаг и отправляют данные на сторонние серверы??

Недавно появились новости о том, что некоторые из самых популярных в мире веб-сайтов записывают:

  • все ваши нажатия клавиш;
  • движения мыши;
  • прокрутка поведения;
  • любой контент, который вы вводите в формы (кредитные карты, пароли, адреса и т. д.), даже если форма не отправлена;
  • и содержание самой страницы, причем эта информация автоматически передается сторонние серверы.

По сути, эти сценарии отслеживания действуют как Камера слежения - в прямом смысле записывать каждое ваше движение во время просмотра сайта.

Прежде чем раскрывать нарушителей VPN, давайте рассмотрим это в перспективе.

Многие веб-сайты используют Google Analytics или другое программное обеспечение для отслеживания, которое помогает оптимизировать содержание сайта. Это стандартная практика, хотя и не идеальная. Однако, когда команда исследователей из Принстона изучила эти сценарии записи сеанса, они обнаружили совершенно новый уровень отслеживания и корпоративного наблюдения.

С помощью всего лишь нескольких сценариев «воспроизведения сеанса», добавленных в код, веб-сайты могут легко записывать каждое ваше движение. Вот скрипт ответа на сессию (FullStory) в действии:

Запись сеанса в действии.

Теперь давайте рассмотрим проблемы, которые это создает ...

Что возможно могло пойти не так?

Это, очевидно, создает риски для конфиденциальности и безопасности для конечного пользователя, который неосознанно передает личные данные - потенциально конфиденциальные данные - на сторонние серверы.

Отчет об исследовании суммировал следующие риски:

Сбор содержимого страницы с помощью сторонних сценариев воспроизведения может привести к утечке конфиденциальной информации, такой как состояние здоровья, данные кредитной карты и другая личная информация, отображаемая на странице, третьей стороне как часть записи. Это может привести к краже личных данных, мошенничеству в Интернете и другим нежелательным действиям. То же самое относится и к сбору пользовательских данных в процессе оформления заказа и регистрации..

Кроме того, эти компании, такие как FullStory, также позволяют владельцам веб-сайтов «связывать собранные записи с пользовательскими настоящая личность

Конфиденциальность потеряна.

Когда ваши личные данные хранятся на сторонних серверах, это создает долгосрочные проблемы, как обсуждалось в отчете:

Наконец, авторы исследования обеспокоены тем, что компании, создающие сценарии сеансов, могут быть уязвимы для целенаправленных взломов, особенно потому, что они, вероятно, являются ценной целью. Например, многие из этих компаний имеют информационные панели, где клиенты могут воспроизводить записи, которые они собирают. Но панели инструментов Яндекса, Hotjar и Smartlook запускают незашифрованные страницы HTTP, а не намного более безопасные, зашифрованные страницы HTTPS.

Также важно отметить, что некоторые из этих компаний предоставляют инструменты редактирования. Теоретически, эти инструменты исключают конфиденциальные данные из записи и хранения на сторонних серверах. Тем не менее, исследователи обнаружили, что это часто не так.

Как обсуждено в отчете:

Пароли часто случайно включаются в записи, несмотря на то, что сценарии предназначены для их исключения. Исследователи обнаружили, что другая личная информация также часто не редактировалась или редактировалась частично, по крайней мере, с некоторыми сценариями.

Причина для тревоги - Таким образом, не только скрипты отслеживания записывают каждое ваше движение, но и инструменты редактирования, которые должны защищать конфиденциальные данные, не всегда работают должным образом.

Хотите ли вы удалить данные с этих сторонних серверов??

Удачи.

Отказ от участия невозможен, но вы можете заблокировать эти сценарии, о которых мы расскажем ниже..

Виновники

Исследователи опубликовали здесь данные, которые включают около 97 000 веб-сайтов, которые «встраивают скрипты от поставщиков аналитики, предлагающих услуги записи сеансов». Они изучили только семь самых популярных сценариев записи сессий. Поэтому исследование ни в коем случае не является исчерпывающим, особенно если учесть широкое расширение сферы онлайн-отслеживания..

Чтобы увидеть, какие веб-сайты VPN были включены в набор данных, вы можете скачать ZIP-файл CSV здесь.

Когда вы изучите файл CSV, вы найдете следующие VPN-провайдеры и сценарии записи сеанса, которые были найдены на их веб-сайтах..

Примечание. Поскольку отчет впервые был опубликован ранее в этом месяце, большинство виртуальных частных сетей удалили сценарии записи сеансов со своих веб-сайтов. Однако с некоторыми поставщиками сценарии все еще используются:

Интернет сайт

Запись сеанса

Все еще используется?

astrill.com
hotjar
да

cyberghostvpn.com
hotjar
нет

hidemyass.com
hotjar
нет

ipvanish.com
hotjar
нет

nordvpn.com
hotjar
нет

purevpn.com
hotjar
да

safervpn.com
inspectlet
да

strongvpn.com
hotjar
нет

zenmate.com
hotjar
нет

VPN-сервисы обещают защитить конфиденциальность пользователей, в то же время используя сценарии записи сеанса, что нарушает эту конфиденциальность..

Сторонний обмен данными - Другое очевидное противоречие здесь заключается в том, что многие из этих VPN также утверждают, что не делятся данными с третьими сторонами. Тем не менее, по умолчанию эти сценарии предназначены для записи всего и отправки данных на сторонние серверы..

Поэтому использование сценариев записи сеанса может быть нарушение политики конфиденциальности VPN.

Нет предупреждения - Это также проблематично, поскольку пользователям часто требуется доступ к веб-сайту VPN и к его зоне участников, например при загрузке программного обеспечения, получении поддержки или продлении подписки. К сожалению, не похоже, что эти сайты выдают какие-либо предупреждения, такие как:

«ПРЕДУПРЕЖДЕНИЕ. Все, что вы делаете, записывается и отправляется на сторонние серверы. Нет возможности отказаться.

Защити себя

Отслеживание и сбор данных - очень большой и растущий бизнес. С учетом того, что существуют тысячи веб-сайтов, на которых размещены эти сценарии, и нет эффективного способа отказаться от них, остается только одно: заблокировать их..

Оригинальная статья утверждала, что Adblock Plus заблокирует все сценарии записи сеанса, определенные в исследовании. Еще одна надстройка браузера, которая должна эффективно блокировать выполнение этих скриптов, NoScript. И наконец, UBlock Origin должно работать так же.

Другое решение заключается в использовании блокировщика рекламы VPN, который фильтрует эти сценарии и домены на уровне сервера VPN. Я проверил  особенность от  и обнаружил, что он эффективно блокирует приведенные выше сценарии «hotjar» и «inspectlet».

Обновление 4 декабря 2017 г. - SaferVPN удалил сценарий «инспекции» со своего сайта.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me