vpn ierakstīšanas skripti


Daudzi VPN sola aizsargāt jūsu privātumu un drošību, bet kā būtu, ja viņu vietnes ierakstītu jūsu katru darbību un nosūtītu datus uz trešo pušu serveriem?

Nesen izplatījās ziņas, ka tiek ierakstītas dažas no pasaules populārākajām vietnēm:

  • visi jūsu taustiņsitieni;
  • peles kustības;
  • ritinoša izturēšanās;
  • jebkādu saturu, kuru jūs ierakstāt veidlapās (kredītkartes, paroles, adreses utt.), pat ja veidlapa nav iesniegta;
  • un pašas lapas saturs, šo informāciju automātiski pārsūtot uz trešo pušu serveri.

Būtībā šie izsekošanas skripti darbojas kā a novērošanas kamera - burtiski ierakstot katru jūsu veikto kustību pārlūkojot vietni.

Pirms mēs atklājam VPN likumpārkāpējus, apskatīsim to perspektīvā.

Daudzās vietnēs tiek izmantots Google Analytics vai cita izsekošanas programmatūra, kas palīdz optimizēt vietnes saturu. Šī ir standarta prakse, kaut arī tā nav ideāla. Tomēr, kad Prinstonas pētnieku grupa tos pārbaudīja sesiju ierakstīšanas skripti, viņi atklāja pilnīgi jaunu izsekošanas un korporatīvās uzraudzības līmeni.

Kodam pievienojot tikai dažus “sesijas atkārtošanas” skriptus, vietnes var viegli reģistrēt katru jūsu kustību. Darbībā ir sesijas atbildes skripts (FullStory):

Sesijas ierakstīšana darbībā.

Tagad apskatīsim problēmas, kuras tas rada ...

Kas varētu noiet greizi?

Tas acīmredzami rada privātuma un drošības risku tiešajam lietotājam, kurš neapzināti pārsūta personas datus - potenciāli sensitīvus datus - uz trešo pušu serveriem..

Pētījuma ziņojumā apkopoti šādi riski:

Lapas satura savākšana, izmantojot trešās puses atkārtotu skriptu, var izraisīt sensitīvas informācijas, piemēram, veselības stāvokļa, kredītkartes un citas lapā parādītas personiskas informācijas noplūdi trešajai pusei ieraksta ietvaros. Tas var izraisīt lietotāju identitātes zādzības, krāpšanos tiešsaistē un citu nevēlamu rīcību. Tas pats attiecas uz lietotāju ievadīto datu apkopošanu izrakstīšanās un reģistrācijas procesu laikā.

Turklāt šie uzņēmumi, piemēram, FullStory, arī vietņu īpašniekiem ļauj “saistīt savāktos ierakstus ar lietotāja reālā identitāte.”

Zaudēta konfidencialitāte.

Tā kā jūsu privātie dati atrodas trešo personu serveros, tas tiek izveidots vēl vairāk ilgtermiņa problēmas, kā apskatīts ziņojumā:

Visbeidzot, pētījuma autori ir noraizējušies, ka sesiju skriptu kompānijas var būt neaizsargātas pret mērķtiecīgiem hakeriem, jo ​​īpaši tāpēc, ka tie, iespējams, ir augstas vērtības mērķi. Piemēram, daudziem no šiem uzņēmumiem ir informācijas paneļi, kur klienti var atskaņot savāktos ierakstus. Bet Yandex, Hotjar un Smartlook informācijas paneļos darbojas nevis šifrētas HTTP lapas, nevis daudz drošākas, šifrētas HTTPS lapas..

Ir arī svarīgi atzīmēt, ka daži no šiem uzņēmumiem nodrošina rediģēšanas rīkus. Teorētiski šie rīki izslēdz sensitīvu datu ierakstīšanu un glabāšanu trešo personu serveros. Tomēr pētnieki atklāja, ka tas bieži tā nav.

Kā apskatīts ziņojumā:

Paroles bieži vien nejauši tiek iekļautas ierakstos, neskatoties uz to, ka skripti ir paredzēti, lai tos izslēgtu. Pētnieki atklāja, ka arī cita personiskā informācija, vismaz ar dažiem skriptiem, bieži netika rediģēta vai tikai daļēji tika rediģēta.

Trauksmes cēlonis - Tātad ne tikai izsekošanas skripti reģistrē katru jūsu kustību, bet arī redaktēšanas rīki, kuriem paredzēts aizsargāt sensitīvus datus, ne vienmēr darbojas pareizi.

Vai vēlaties, lai jūsu dati tiktu izdzēsti no šiem trešo pušu serveriem??

Veiksmi.

Atteikšanās nav iespējama, taču jūs varat bloķēt šos skriptus, par kuriem mēs runāsim tālāk.

Vainīgie

Pētnieki ir publiskojuši datus šeit, kas ietver apmēram 97 000 vietņu, kas “iegulst analītisko pakalpojumu sniedzēju skriptus, kas piedāvā sesiju ierakstīšanas pakalpojumus”. Viņi pārbaudīja tikai septiņus no populārākajiem sesiju ierakstīšanas skriptiem. Tāpēc pētījums nekādā ziņā nav izsmeļošs, it īpaši, ņemot vērā plašo izvēršanu tiešsaistes izsekošanas jomā.

Lai redzētu, kuras VPN vietnes tika iekļautas datu kopā, šeit varat lejupielādēt CSV failu ar ZIP kodu.

Pārbaudot CSV failu, jūs atradīsit šādus VPN nodrošinātājus un sesiju ierakstīšanas skriptus, kas tika atrasti viņu vietnēs.

Piezīme: kopš ziņojums pirmo reizi tika publicēts agrāk šajā mēnesī, vairums VPN ir izdzēsuši sesiju ierakstīšanas skriptus no savām vietnēm. Tomēr ar dažiem pakalpojumu sniedzējiem skripti joprojām tiek izmantoti:

Vietne

Sesiju reģistrators

Joprojām tiek izmantots?

astrill.com
karstais jar

cyberghostvpn.com
karstais jar

hidemyass.com
karstais jar

ipvanish.com
karstais jar

nordvpn.com
karstais jar

purevpn.com
karstais jar

safervpn.com
inspekcija

strongvpn.com
karstais jar

zenmate.com
karstais jar

VPN pakalpojumi sola aizsargāt lietotāju privātumu, vienlaikus izmantojot sesiju ierakstīšanas skriptus, kas pārkāpj šo konfidencialitāti.

Trešo pušu datu apmaiņa - Vēl viena acīmredzama pretruna šeit ir tā, ka daudzi no šiem VPN arī apgalvo, ka nedalās ar datiem ar trešajām personām. Tomēr pēc noklusējuma šie skripti ir paredzēti, lai ierakstītu visu un nosūtītu datus uz trešo pušu serveriem.

Tāpēc sesiju ierakstīšanas skriptus var izmantot VPN konfidencialitātes politikas pārkāpšana.

Nav brīdinājuma - Tas ir arī problemātiski, jo lietotājiem bieži ir jāpiekļūst VPN vietnei un dalībnieku zonai, piemēram, lejupielādējot programmatūru, saņemot atbalstu vai atjaunojot abonementu. Diemžēl nešķiet, ka šīs vietnes izsniedz jebkāda veida brīdinājumus, piemēram:

“BRĪDINĀJUMS - viss jūsu darbs tiek ierakstīts un nosūtīts uz trešo pušu serveriem. Nav iespējas atteikties. ”

Sargājiet sevi

Izsekošana un datu vākšana ir ļoti liels un augošs bizness. Ņemot vērā, ka ir tūkstošiem vietņu, kas mitina šos skriptus, un nav efektīvs veids, kā atteikties, vienīgais risinājums ir bloķēt tos.

Oriģinālajā rakstā tas tika apgalvots Adblock Plus bloķēs visus sesijā reģistrētos skriptus, kas identificēti pētījumā. Ir vēl viens pārlūka papildinājums, kam vajadzētu efektīvi bloķēt šo skriptu palaišanu NoScript. Un visbeidzot, uBlock izcelsme vajadzētu strādāt arī.

Vēl viens risinājums ir izmantot VPN reklāmu bloķētāju, kas šos skriptus un domēnus filtrē VPN servera līmenī. Es pārbaudīju  iezīme no  un konstatēja, ka tas efektīvi bloķē iepriekš minētos skriptus “hotjar” un “inspectlet”.

Atjaunināt 2017. gada 4. decembrī - SaferVPN no savas vietnes ir noņemis skriptu “inspectlet”.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me