vpn skripte za snimanje


Mnogi VPN-ovi obećavaju da će zaštititi vašu privatnost i sigurnost - ali što ako njihove web stranice bilježe svaki vaš potez i šalju podatke na treće servere?

Nedavno su procurile vijesti da snimaju neke od najpopularnijih svjetskih web stranica:

  • sve vaše pritiske tipki;
  • pokreti miša;
  • pomicanje ponašanja;
  • bilo koji sadržaj koji unesete u obrasce (kreditne kartice, lozinke, adrese itd.), čak i ako obrazac nije podnesen;
  • i sadržaj same stranice, pri čemu se ti podaci automatski prenose treći poslužitelji.

U osnovi, te skripte za praćenje djeluju poput nadzorna kamera - doslovno bilježeći svaki vaš potez dok pregledavate web stranicu.

Prije nego što otkrijemo počinitelje VPN-a, pogledajmo to u perspektivu.

Mnoge web stranice koriste Google Analytics ili drugi softver za praćenje koji pomaže u optimiziranju sadržaja web mjesta. Ovo je standardna praksa, iako nije idealna. Međutim, kada je tim istraživača s Princetona to ispitao skripte za snimanje sesije, otkrili su potpuno novu razinu praćenja i korporativnog nadzora.

Sa samo nekoliko skripti „ponavljanja sesije“ dodano u kod, web stranice mogu lako zabilježiti svaki vaš potez. Evo skripte za odgovor na sesiju (FullStory) na djelu:

Snimanje sjednice u akciji.

Hajde sada da istražimo probleme koje ovo stvara ...

Što bi moglo poći po zlu?

To očito stvara rizike za privatnost i sigurnost za krajnjeg korisnika, koji nesvjesno odašilje osobne podatke - potencijalno osjetljive podatke - na treće servere.

Izvještaj o istraživanju sažeo je sljedeće rizike:

Prikupljanje sadržaja stranice po skriptu ponovne reprodukcije treće strane može uzrokovati da osjetljivi podaci poput zdravstvenih stanja, podataka o kreditnoj kartici i drugih osobnih podataka prikazanih na stranici procuriju u treću stranu kao dio snimke. To može izložiti korisnike krađi identiteta, internetskim prijevarama i drugim neželjenim ponašanjima. Isto vrijedi i za prikupljanje korisničkih unosa tijekom procesa provjere i registracije.

Nadalje, te tvrtke, poput FullStory-a, također omogućavaju vlasnicima web stranica da "povežu snimke koje sakupe na korisnikovu stranicu stvarni identitet.”

Privatnost je izgubljena.

Ako vaši privatni podaci sjede na trećim poslužiteljima, to se dodatno stvara dugoročni problemi, kao što je rečeno u izvješću:

Konačno, autori studije zabrinuti su da bi kompanije za skripte za sjednice mogle biti ranjive na ciljane hakove, posebno zato što su vjerojatno ciljevi velike vrijednosti. Na primjer, mnoge od ovih tvrtki imaju nadzorne ploče na kojima klijenti mogu reproducirati snimke koje prikupe. No Yandex, Hotjar i Smartlook nadzorne ploče pokreću nešifrirane HTTP stranice, umjesto mnogo sigurnijih, šifriranih HTTPS stranica.

Također je važno napomenuti da neke od tih tvrtki pružaju alate za uređivanje. Teoretski bi ovi alati isključili osjetljive podatke da se snimaju i pohranjuju na treće poslužitelje. Međutim, istraživači su otkrili da to često nije slučaj.

Kao što je rečeno u izvješću:

Lozinke se često slučajno uključuju u snimke, unatoč tome što su skripte dizajnirane tako da ih isključe. Istraživači su otkrili da i drugi osobni podaci često nisu uređivani ili samo djelomično uređeni, barem s nekim skriptama.

Uzrok alarma - Tako ne samo da skripte za praćenje bilježe svaki vaš potez, alati za uređivanje koji trebaju zaštititi osjetljive podatke ne rade uvijek ispravno.

Želite li obrisati svoje podatke s tih trećih poslužitelja?

Sretno.

Ne možete se isključiti - ali možete blokirati te skripte koje ćemo detaljnije opisati u nastavku.

Krivci

Istraživači su ovdje objavili podatke, koji uključuju oko 97.000 web stranica koje "ugrađuju skripte od analitičkih pružatelja usluga koji nude usluge snimanja sesije". Ispitali su samo sedam najpopularnijih scenarija za snimanje sesija. Stoga studija ni u kojem slučaju nije iscrpna, posebno ako se ima u vidu široko širenje na području internetskog praćenja.

Da biste vidjeli koja su VPN web mjesta uključena u skup podataka, ovdje možete preuzeti zipped CSV datoteku.

Kada pregledate CSV datoteku, naći ćete sljedeće pružatelje VPN-a i skripte za snimanje sesije koje su pronađene na njihovim web stranicama.

Napomena: budući da je izvješće prvi put objavljeno početkom ovog mjeseca, većina VPN-ova uklonila je skripte za snimanje sesije sa svojih web stranica. Međutim, kod nekih pružatelja usluga skripte se i dalje koriste:

Web stranica

Snimač sjednice

Još uvijek u upotrebi?

astrill.com
hotjar
Da

cyberghostvpn.com
hotjar
Ne

hidemyass.com
hotjar
Ne

ipvanish.com
hotjar
Ne

nordvpn.com
hotjar
Ne

purevpn.com
hotjar
Da

safervpn.com
inspectlet
Da

strongvpn.com
hotjar
Ne

zenmate.com
hotjar
Ne

VPN usluge obećavaju zaštitu privatnosti korisnika, a istovremeno će koristiti skripte za snimanje sesije, što krši tu privatnost.

Dijeljenje podataka treće strane - Još je jedna očita kontradikcija to što mnogi od ovih VPN-a također tvrde da ne dijele podatke s trećim stranama. Ipak, ove su skripte prema zadanom dizajnirane za snimanje svega i slanje podataka na treće poslužitelje.

Stoga se može koristiti skripta snimanja sesije kršenje pravila o privatnosti VPN-a.

Nema upozorenja - To je također problematično jer korisnici često trebaju pristupiti VPN web mjestu i članovima, primjerice prilikom preuzimanja softvera, dobivanja podrške ili obnavljanja pretplate. Nažalost, ne čini se da te web-lokacije izdaju bilo kakva upozorenja, poput:

"UPOZORENJE - Sve što radite bilježi se i šalje na treće servere. Ne postoji mogućnost isključivanja. "

Zaštiti se

Praćenje i prikupljanje podataka vrlo je velik i rastući posao. S obzirom da postoji tisuće web stranica koje imaju ove skripte i da nema učinkovitog načina za isključivanje, jedino preostalo rješenje je njihovo blokiranje.

Izvorni članak to je tvrdio Adblock Plus blokirat će sve skripte za snimanje sesije identificirane u studiji. Još jedan dodatak preglednika koji bi trebao učinkovito blokirati pokretanje ovih skripti je NoScript. I konačno, uBlock Podrijetlo treba raditi i.

Drugo rješenje je korištenje VPN blokatora oglasa koji filtrira ove skripte i domene na razini VPN poslužitelja. Testirao sam  značajka od  i utvrdio je da učinkovito blokira gore navedene skripte "hotjar" i "inspectlet".

Ažurirajte 4. prosinca 2017 - SaferVPN uklonio je skriptu "inspectlet" s njihove web stranice.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me