VPN記録スクリプト


多くのVPNは、プライバシーとセキュリティを保護することを約束しますが、Webサイトがすべての動きを記録し、データをサードパーティのサーバーに送信している場合はどうなるでしょう?

最近、世界で最も人気のあるWebサイトのいくつかが記録しているというニュースが中断されました。

  • すべてのキーストローク。
  • マウスの動き;
  • スクロール動作。
  • フォームが送信されない場合でも、フォームに入力するコンテンツ(クレジットカード、パスワード、住所など)。
  • ページ自体のコンテンツ。この情報は自動的に送信されます サードパーティのサーバー.

基本的に、これらの追跡スクリプトは 監視カメラ –文字通り あなたが行うすべての動きを記録する あなたがウェブサイトを閲覧するとき.

VPN違反者を開示する前に、これを視点に入れましょう.

多くのWebサイトは、Googleアナリティクスなどの追跡ソフトウェアを使用しており、サイトのコンテンツの最適化に役立ちます。理想的ではありませんが、これは標準的な方法です。しかし、プリンストンの研究者チームがこれらを調査したとき、 セッション記録スクリプト, 彼らはまったく新しいレベルの追跡と企業監視を発見しました.

コードにいくつかの「セッションリプレイ」スクリプトを追加するだけで、Webサイトはすべての動きを簡単に記録できます。動作中のセッション応答スクリプト(FullStory)は次のとおりです。

アクションのセッション記録.

では、これが引き起こす問題を調べましょう…

何がうまくいかないか?

これは明らかに、個人データ(潜在的に機密データ)をサードパーティのサーバーに知らないうちに送信しているエンドユーザーにプライバシーとセキュリティのリスクをもたらします。.

この調査報告書には、次のリスクが要約されています。

サードパーティのリプレイスクリプトによるページコンテンツの収集により、病状、クレジットカードの詳細、およびページに表示されるその他の個人情報などの機密情報が記録の一部としてサードパーティに漏洩する可能性があります。これにより、ユーザーが個人情報の盗難、オンライン詐欺、その他の望ましくない動作にさらされる可能性があります。チェックアウトおよび登録プロセス中のユーザー入力のコレクションについても同様です.

さらに、FullStoryなどのこれらの企業は、ウェブサイトの所有者が「収集した記録をユーザーの 本当のアイデンティティ.」

プライバシーが失われました.

サードパーティのサーバーにプライベートデータが保存されているため、これによりさらに 長期的な問題, レポートで説明されているように:

最後に、この調査の著者は、セッションスクリプト企業が標的となるハッキングに対して脆弱になる可能性があることを懸念しています。たとえば、これらの企業の多くには、クライアントが収集した記録を再生できるダッシュボードがあります。しかし、Yandex、Hotjar、Smartlookのダッシュボードは、はるかに安全で暗号化されたHTTPSページではなく、暗号化されていないHTTPページを実行します.

これらの企業の一部は編集ツールを提供していることに注意することも重要です。理論的には、これらのツールは、機密データをサードパーティのサーバーに記録および保存することから除外します。しかし、研究者は、これはしばしばそうではないことを発見しました.

レポートで説明したように:

スクリプトは、パスワードを除外するように設計されているにもかかわらず、パスワードが誤って記録に含まれることがよくあります。研究者たちは、少なくとも一部のスクリプトでは、他の個人情報も編集されないか、部分的にのみ編集されることが多いことを発見しました.

アラームの原因 –追跡スクリプトがすべての動きを記録するだけでなく、機密データを保護するはずの墨消しツールが常に適切に動作しない.

これらのサードパーティのサーバーからデータを消去しますか??

幸運を.

オプトアウトはありませんが、これらのスクリプトをブロックできます。これについては以下でさらに説明します.

犯人

研究者はここにデータをリリースしました。これには、「セッション記録サービスを提供する分析プロバイダーからのスクリプトを埋め込む」約97,000のWebサイトが含まれます。彼らは、最も人気のあるセッション記録スクリプトのうち7つだけを調べました。したがって、この調査は決して網羅的ではありません。特に、オンライン追跡の分野での広範な拡大を検討する場合.

どのVPN Webサイトがデータセットに含まれていたかを確認するには、zip形式のCSVファイルをここからダウンロードできます。.

CSVファイルを調べると、次のVPNプロバイダーと、そのWebサイトで見つかったセッション記録スクリプトが見つかります.

注:レポートが今月初めに最初に公開されて以来、ほとんどのVPNはWebサイトからセッション記録スクリプトを削除しました。ただし、一部のプロバイダーでは、スクリプトはまだ使用中です。

ウェブサイト

セッションレコーダー

まだ使用中?

astrill.com
ホットジャー
はい

cyberghostvpn.com
ホットジャー
番号

hidemyass.com
ホットジャー
番号

ipvanish.com
ホットジャー
番号

nordvpn.com
ホットジャー
番号

purevpn.com
ホットジャー
はい

safervpn.com
検査官
はい

strongvpn.com
ホットジャー
番号

zenmate.com
ホットジャー
番号

VPNサービスは、ユーザーのプライバシーを保護すると同時に、プライバシーを侵害するセッション記録スクリプトを利用することを約束しています.

サードパーティのデータ共有 –ここでのもう1つの明らかな矛盾は、これらのVPNの多くはサードパーティとデータを共有しないと主張していることです。ただし、デフォルトでは、これらのスクリプトはすべてを記録し、サードパーティのサーバーにデータを送信するように設計されています.

したがって、セッション記録スクリプトの使用は VPNのプライバシーポリシーに違反している.

警告なし –これは、ソフトウェアのダウンロード時、サポートの取得時、サ​​ブスクリプションの更新時など、ユーザーがしばしばVPN Webサイトおよびメンバーエリアにアクセスする必要があるため、問題もあります。残念ながら、これらのサイトが次のような警告を発行しているようには見えません。

「警告-あなたがすることはすべて記録され、サードパーティのサーバーに送信されます。オプトアウトする方法はありません。」

自身を守る

追跡とデータ収集は非常に大規模で成長中のビジネスです。これらのスクリプトをホストしているウェブサイトが数千あり、効果的なオプトアウト方法がないため、残っている唯一の解決策はそれらをブロックすることです.

元の記事は Adblock Plus 調査で特定されたすべてのセッション記録スクリプトをブロックします。これらのスクリプトの実行を効果的にブロックする別のブラウザーアドオンは次のとおりです。 NoScript. そして最後に, uBlock Origin 同様に動作するはずです.

別の解決策は、VPNサーバーレベルでこれらのスクリプトとドメインをフィルタリングするVPN広告ブロッカーを利用することです。私はテストしました  からの特徴  上記の「hotjar」および「inspectlet」スクリプトを効果的にブロックすることがわかりました.

2017年12月4日更新 – SaferVPNは、「inspectlet」スクリプトをWebサイトから削除しました.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me