vpn скриптове за запис


Много VPN обещават да защитят вашата поверителност и сигурност - но какво ще стане, ако техните уебсайтове записват всеки ваш ход и изпращат данните до трети сървъри?

Наскоро се появиха новини, че някои от най-популярните уебсайтове в света записват:

  • всичките си натискания на клавиши;
  • движения на мишката;
  • поведение на превъртане;
  • всяко съдържание, което въвеждате във формуляри (кредитни карти, пароли, адреси и т.н.), дори ако формулярът не е изпратен;
  • и съдържанието на самата страница, като тази информация се предава автоматично на трети сървъри.

По същество тези скриптове за проследяване действат като a камера за наблюдение - буквално запис на всеки ход, който правите докато разглеждате уебсайта.

Преди да разкрием нарушителите на VPN, нека разгледаме това перспектива.

Много уебсайтове използват Google Analytics или друг софтуер за проследяване, което помага да се оптимизира съдържанието на сайта. Това е стандартна практика, въпреки че не е идеална. Въпреки това, когато екип от изследователи от Принстън ги изследва скриптове за запис на сесия, те разкриха изцяло ново ниво на проследяване и корпоративен надзор.

Само с няколко скрипта за „преиграване на сесията“, добавени към кода, уебсайтовете могат лесно да записват всеки ваш ход. Ето сценарий за отговор на сесия (FullStory) в действие:

Записване на сесия в действие.

Сега нека разгледаме проблемите, които това създава ...

Какво може да се обърка?

Това очевидно създава рискове за неприкосновеността на личния живот и сигурността за крайния потребител, който несъзнателно предава лични данни - потенциално чувствителни данни - на сървъри на трети страни.

Докладът от изследването обобщи следните рискове:

Събирането на съдържание на страницата чрез скриптове за повторно възпроизвеждане на трети страни може да доведе до чувствителна информация като медицински състояния, данни за кредитна карта и друга лична информация, показана на страница, да изтече към трета страна като част от записа. Това може да изложи потребителите на кражба на самоличност, онлайн измами и друго нежелано поведение. Същото важи и за събирането на потребителски входове по време на процеси за регистрация и регистрация.

Освен това, тези компании, като FullStory, също позволяват на собствениците на уебсайтове да „свързват записите, които събират, към потребителите на потребителите истинска идентичност."

Поверителност е загубена.

Когато вашите лични данни седят на сървъри на трети страни, това създава още повече дългосрочни проблеми, както беше обсъдено в доклада:

И накрая, авторите на проучването се притесняват, че компаниите за скриптове за сесии могат да бъдат уязвими за целенасочени хакове, особено защото те са вероятно целите с висока стойност. Например, много от тези компании имат табла за управление, където клиентите могат да възпроизвеждат записаните от тях записи. Но таблата за управление на Yandex, Hotjar и Smartlook управляват незашифровани HTTP страници, а не много по-сигурни, криптирани HTTPS страници.

Също така е важно да се отбележи, че някои от тези компании предоставят инструменти за редактиране. На теория тези инструменти биха изключили чувствителните данни да се записват и съхраняват на сървъри на трети страни. Изследователите обаче откриха, че това често не е така.

Както беше обсъдено в доклада:

Паролите често се включват случайно в записи, въпреки че скриптите са предназначени да ги изключат. Изследователите установили, че друга лична информация също често не е била редактирана или само частично редактирана, поне с някои от сценариите.

Причина за аларма - Така че не само проследяващите скриптове записват всеки ваш ход, инструментите за редактиране, които трябва да защитават чувствителни данни, не винаги работят правилно.

Искате ли данните ви да бъдат изтрити от тези сървъри на трети страни?

Късмет.

Няма отказ - но можете да блокирате тези скриптове, които ще разгледаме по-долу.

Виновниците

Изследователите публикуваха тук данните, които включват около 97 000 уебсайта, които „вграждат скриптове от доставчици на аналитици, които предлагат услуги за запис на сесии“. Те разгледаха само седем от най-популярните скриптове за запис на сесия. Следователно проучването в никакъв случай не е изчерпателно, особено когато се има предвид широкото разширяване в областта на онлайн проследяването.

За да видите кои VPN уебсайтове са били включени в набора от данни, можете да изтеглите zipped CSV файла тук.

Когато разгледате CSV файла, ще намерите следните доставчици на VPN и скриптове за запис на сесия, които са намерени на техните уебсайтове.

Забележка: тъй като докладът е публикуван за първи път по-рано този месец, повечето VPNs са премахнали скриптовете за запис на сесията от своите уебсайтове. Въпреки това, при някои доставчици, скриптите все още се използват:

уебсайт

Сесион рекордер

Все още се използва?

astrill.com
hotjar
да

cyberghostvpn.com
hotjar
Не

hidemyass.com
hotjar
Не

ipvanish.com
hotjar
Не

nordvpn.com
hotjar
Не

purevpn.com
hotjar
да

safervpn.com
inspectlet
да

strongvpn.com
hotjar
Не

zenmate.com
hotjar
Не

VPN услугите обещават да защитят поверителността на потребителите, като в същото време използват скриптове за запис на сесия, което нарушава тази поверителност.

Обмен на данни от трети страни - Друго очевидно противоречие тук е, че много от тези VPN също твърдят, че не споделят данни с трети страни. И все пак по подразбиране тези скриптове са предназначени да записват всичко и да изпращат данните на трети сървъри.

Следователно използването на скриптове за запис на сесия може да бъде нарушаващи политиката за поверителност на VPN.

Без предупреждение - Това също е проблематично, защото потребителите често се нуждаят от достъп до уебсайта и членовете на VPN, като например при изтегляне на софтуер, получаване на поддръжка или подновяване на абонамент. За съжаление не изглежда, че тези сайтове издават някакво предупреждение, като например:

„ВНИМАНИЕ - Всичко, което правите, се записва и изпраща до сървъри на трети страни. Няма начин да се откажете. "

Защити себе си

Проследяването и събирането на данни е много голям и нарастващ бизнес. Като се има предвид, че има хиляди уебсайтове, хостващи тези скриптове, и няма ефективен начин да се откажете, единственото останало решение е да ги блокирате.

Оригиналната статия твърди това Adblock Plus ще блокира всички скриптове за запис на сесия, идентифицирани в проучването. Друга добавка на браузъра, която трябва ефективно да блокира изпълнението на тези скриптове е NoScript. И накрая, uBlock Произход също трябва да работи.

Друго решение е да използвате VPN рекламен блокер, който филтрира тези скриптове и домейни на ниво VPN сървър. Тествах  функция от  и открих, че ефективно блокира скриптите „hotjar“ и „inspectlet“, цитирани по-горе.

Актуализиране на 4 декември 2017 г. - SaferVPN премахна скрипта „inspectlet“ от уебсайта им.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me