vpn įrašymo scenarijai


Daugelis VPT žada apsaugoti jūsų privatumą ir saugumą, tačiau kas būtų, jei jų svetainės įrašytų kiekvieną jūsų judesį ir siųstų duomenis į trečiųjų šalių serverius?

Neseniai pasirodė naujienos, kad įrašomos kai kurios populiariausios pasaulio svetainės:

  • visi jūsų klavišų paspaudimai;
  • pelės judesiai;
  • slinkantis elgesys;
  • bet kokį turinį, kurį įvedate į formas (kreditinės kortelės, slaptažodžiai, adresai ir pan.), net jei forma nepateikta;
  • ir paties puslapio turinį, ši informacija automatiškai perduodama į trečiųjų šalių serveriai.

Iš esmės šie stebėjimo scenarijai veikia taip: a stebėjimo kamera - pažodžiui įrašydamas kiekvieną jūsų judesį kaip jūs naršote svetainėje.

Prieš atskleisdami VPT pažeidėjus, pažvelkime į tai perspektyvoje.

Daugelis svetainių naudoja „Google Analytics“ ar kitą stebėjimo programinę įrangą, kuri padeda optimizuoti svetainės turinį. Tai įprasta praktika, nors ji nėra ideali. Tačiau kai tyrinėtojų komanda iš Prinstono tai ištyrė sesijų įrašymo scenarijai, jie atskleidė visiškai naują stebėjimo ir įmonės stebėjimo lygį.

Prie kodo pridėjus tik keletą „sesijos pakartojimo“ scenarijų, svetainės gali lengvai įrašyti kiekvieną jūsų judesį. Čia pateiktas sesijos atsakymo scenarijus („FullStory“):

Sesijos įrašymas veikiant.

Dabar panagrinėkime problemas, kurias tai sukuria ...

Kas gali suklysti?

Tai akivaizdžiai sukuria privatumo ir saugumo riziką galutiniam vartotojui, nesąmoningai perduodant asmens duomenis - potencialiai neskelbtinus duomenis - į trečiųjų šalių serverius..

Tyrimo ataskaitoje apibendrinta ši rizika:

Rinkdami puslapio turinį iš trečiųjų šalių atkuriamų scenarijų, slapta informacija, tokia kaip sveikatos būklė, kreditinės kortelės informacija ir kita asmeninė informacija, rodoma puslapyje, gali nutekėti trečiajai šaliai kaip įrašo dalis. Tai gali sukelti vartotojams tapatybės vagystes, sukčiavimą internete ir kitokį nepageidaujamą elgesį. Tas pats pasakytina apie vartotojo įvestų duomenų rinkimą per patikros ir registracijos procesus.

Be to, šios bendrovės, tokios kaip „FullStory“, taip pat leidžia svetainių savininkams „susieti surinktus įrašus su vartotojo tikroji tapatybė.“

Prarasta privatumas.

Kai jūsų asmeniniai duomenys yra trečiųjų šalių serveriuose, tai sukuria dar daugiau ilgalaikės problemos, kaip aptarta pranešime:

Galiausiai tyrimo autoriai nerimauja, kad seansų scenarijų kompanijos gali būti pažeidžiamos tikslinių įsilaužimų, ypač dėl to, kad jos greičiausiai yra didelės vertės taikiniai. Pavyzdžiui, daugelis šių bendrovių turi prietaisų skydelius, kuriuose klientai gali atkurti surinktus įrašus. Tačiau „Yandex“, „Hotjar“ ir „Smartlook“ prietaisų skydeliai paleidžia ne šifruotus HTTP puslapius, o ne daug saugesnius, užšifruotus HTTPS puslapius..

Taip pat svarbu atkreipti dėmesį, kad kai kurios iš šių bendrovių teikia redagavimo įrankius. Teoriškai šios priemonės neleistų slaptų duomenų įrašyti ir saugoti trečiųjų šalių serveriuose. Tačiau tyrėjai nustatė, kad taip dažnai nėra.

Kaip aptarta pranešime:

Slaptažodžiai dažnai atsitiktinai įtraukiami į įrašus, nepaisant to, kad scenarijai yra sukurti norint juos pašalinti. Tyrėjai nustatė, kad kita asmeninė informacija taip pat dažnai nebuvo taisoma arba buvo iš dalies keičiama bent iš dalies, bent jau su kai kuriais scenarijais.

Aliarmo priežastis - Taigi ne tik stebėjimo scenarijai, fiksuojantys kiekvieną jūsų judesį, ne visada tinkamai veikia redagavimo įrankiai, turintys apsaugoti slaptus duomenis..

Ar norite, kad jūsų duomenys būtų ištrinti iš šių trečiųjų šalių serverių??

Sėkmės.

Neįmanoma atsisakyti, tačiau galite užblokuoti šiuos scenarijus, kuriuos aptarsime toliau.

Kaltininkai

Tyrėjai čia paskelbė duomenis, apimančius apie 97 000 svetainių, kurios „įterpia scenarijus iš analizės paslaugų teikėjų, siūlančių sesijų įrašymo paslaugas“. Jie ištyrė tik septynis populiariausius sesijų įrašymo scenarijus. Todėl tyrimas jokiu būdu nėra išsamus, ypač atsižvelgiant į plačią plėtrą internetinio stebėjimo srityje.

Norėdami pamatyti, kurios VPN svetainės buvo įtrauktos į duomenų rinkinį, čia galite atsisiųsti CSV failą.

Išnagrinėję CSV failą, rasite šiuos VPN teikėjus ir sesijų įrašymo scenarijus, kurie buvo rasti jų svetainėse.

Pastaba: kadangi ataskaita pirmą kartą buvo paskelbta anksčiau šį mėnesį, dauguma VPT pašalino sesijų įrašymo scenarijus iš savo svetainių. Tačiau kai kurie teikėjai scenarijus vis dar naudoja:

Interneto svetainė

Sesijos registratorius

Vis dar naudojamas?

astrill.com
„hotjar“
Taip

cyberghostvpn.com
„hotjar“
Ne

hidemyass.com
„hotjar“
Ne

ipvanish.com
„hotjar“
Ne

nordvpn.com
„hotjar“
Ne

purevpn.com
„hotjar“
Taip

safervpn.com
inspekcija
Taip

strongvpn.com
„hotjar“
Ne

zenmate.com
„hotjar“
Ne

VPT paslaugos žada apsaugoti vartotojų privatumą, tuo pačiu naudodamos sesijų įrašymo scenarijus, o tai pažeidžia tą privatumą.

Trečiųjų šalių dalijimasis duomenimis - Kitas akivaizdus prieštaravimas yra tas, kad daugelis šių VPT taip pat teigia nebendraujantys su trečiosiomis šalimis. Tačiau pagal nutylėjimą šie scenarijai yra skirti viskam įrašyti ir siųsti duomenis į trečiųjų šalių serverius.

Todėl gali būti naudojami sesijų įrašymo scenarijai pažeidžiant VPN privatumo politiką.

Jokio įspėjimo - Tai taip pat problematiška, nes vartotojams dažnai reikia patekti į VPN svetainę ir narių sritį, pavyzdžiui, atsisiunčiant programinę įrangą, gaunant palaikymą ar atnaujinant prenumeratą. Deja, neatrodo, kad šios svetainės skelbia kokio nors pobūdžio įspėjimus, pvz .:

„ĮSPĖJIMAS - viskas, ką darote, yra įrašoma ir siunčiama į trečiųjų šalių serverius. Nėra galimybės atsisakyti. “

Apsisaugok

Stebėjimas ir duomenų rinkimas yra labai didelis ir augantis verslas. Atsižvelgiant į tai, kad yra tūkstančiai svetainių, kuriose yra šie scenarijai, ir nėra veiksmingo būdo atsisakyti, vienintelis sprendimas liko blokuoti.

Originaliame straipsnyje teigta, kad „Adblock Plus“ bus užblokuoti visi tyrime nustatyti sesijos įrašymo scenarijai. Kitas naršyklės priedas, kuris turėtų veiksmingai blokuoti šių scenarijų veikimą, yra „NoScript“. Ir, galiausiai, „uBlock“ kilmė taip pat turėtų veikti.

Kitas sprendimas yra naudoti VPN skelbimų blokatorių, kuris filtruoja šiuos scenarijus ir domenus VPN serverio lygiu. Aš išbandžiau  funkcija nuo  ir nustatė, kad jis veiksmingai blokuoja aukščiau nurodytus scenarijus „hotjar“ ir „inspectlet“.

Atnaujinti 2017 m. Gruodžio 4 d - „SaferVPN“ iš savo svetainės pašalino scenarijų „inspeclet“.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me