vpn रिकॉर्डिंग स्क्रिप्ट


कई वीपीएन आपकी गोपनीयता और सुरक्षा की रक्षा करने का वादा करते हैं - लेकिन क्या होगा यदि उनकी वेबसाइटें आपके हर कदम को रिकॉर्ड कर रही हैं और डेटा को तीसरे पक्ष के सर्वर पर भेज रही हैं?

हाल ही में खबर आई कि दुनिया की कुछ सबसे लोकप्रिय वेबसाइटें रिकॉर्डिंग कर रही हैं:

  • आपके सभी कीस्ट्रोक्स;
  • माउस आंदोलनों;
  • स्क्रॉलिंग व्यवहार;
  • किसी भी सामग्री को आप फॉर्म (क्रेडिट कार्ड, पासवर्ड, पते, आदि) में टाइप करते हैं, भले ही फॉर्म सबमिट न किया गया हो;
  • और पेज की सामग्री स्वयं, इस जानकारी के साथ स्वचालित रूप से प्रेषित की जा रही है तृतीय-पक्ष सर्वर.

अनिवार्य रूप से, ये ट्रैकिंग स्क्रिप्ट ए की तरह काम कर रहे हैं निगरानी कैमरे - सचमुच आपके द्वारा किए गए हर कदम की रिकॉर्डिंग जैसा कि आप वेबसाइट ब्राउज़ करते हैं.

वीपीएन अपराधियों का खुलासा करने से पहले, आइए इसे परिप्रेक्ष्य में रखें.

कई वेबसाइटें Google Analytics या अन्य ट्रैकिंग सॉफ़्टवेयर का उपयोग करती हैं, जो साइट की सामग्री को अनुकूलित करने में मदद करता है। यह मानक अभ्यास है, भले ही यह आदर्श नहीं है। हालांकि, जब प्रिंसटन के शोधकर्ताओं की एक टीम ने इनकी जांच की सत्र रिकॉर्डिंग स्क्रिप्ट, उन्होंने ट्रैकिंग और कॉर्पोरेट निगरानी के एक पूरे नए स्तर का खुलासा किया.

कोड में जोड़े गए कुछ "सेशन रीप्ले" स्क्रिप्ट के साथ, वेबसाइटें आपके हर कदम को आसानी से रिकॉर्ड कर सकती हैं। यहाँ एक सत्र उत्तर स्क्रिप्ट (फुलस्टोरी) एक्शन में है:

कार्रवाई में सत्र रिकॉर्डिंग.

अब इसे बनाने वाली समस्याओं की जाँच करें ...

क्या गलत होने की सम्भावना है?

यह स्पष्ट रूप से अंतिम-उपयोगकर्ता के लिए गोपनीयता और सुरक्षा जोखिम पैदा करता है, जो अनजाने में व्यक्तिगत डेटा संचारित कर रहा है - संभावित संवेदनशील डेटा - तीसरे पक्ष के सर्वरों के लिए.

शोध रिपोर्ट में निम्नलिखित जोखिमों का सारांश दिया गया है:

तृतीय-पक्ष रिप्ले स्क्रिप्ट द्वारा पृष्ठ सामग्री का संग्रह संवेदनशील जानकारी जैसे कि चिकित्सा स्थिति, क्रेडिट कार्ड विवरण और अन्य व्यक्तिगत जानकारी को रिकॉर्डिंग के भाग के रूप में तीसरे पक्ष को लीक करने के लिए एक पृष्ठ पर प्रदर्शित कर सकता है। यह उपयोगकर्ताओं को पहचान की चोरी, ऑनलाइन घोटाले और अन्य अवांछित व्यवहार को उजागर कर सकता है। चेकआउट और पंजीकरण प्रक्रियाओं के दौरान उपयोगकर्ता इनपुट के संग्रह के लिए भी यही सच है.

इसके अलावा, ये कंपनियां, जैसे कि फुलस्टोरी, भी वेबसाइट मालिकों को "रिकॉर्डिंग को लिंक करने की अनुमति देती हैं जो वे उपयोगकर्ता के लिए इकट्ठा करते हैं।" असली पहचान."

गोपनीयता खो गई.

तृतीय-पक्ष सर्वर पर आपके निजी डेटा के साथ, यह आगे बनाता है दीर्घकालिक समस्याएं, रिपोर्ट में चर्चा की गई:

अंत में, अध्ययन के लेखक चिंतित हैं कि सत्र स्क्रिप्ट कंपनियां लक्षित हैक्स के लिए असुरक्षित हो सकती हैं, खासकर क्योंकि वे उच्च मूल्य वाले लक्ष्य हैं। उदाहरण के लिए, इन कंपनियों में से कई के पास डैशबोर्ड हैं जहां ग्राहक उन रिकॉर्डिंग को प्लेबैक कर सकते हैं जो वे एकत्र करते हैं। लेकिन Yandex, Hotjar और Smartlook के डैशबोर्ड गैर-एन्क्रिप्टेड HTTP पृष्ठ चलाते हैं, बजाय अधिक सुरक्षित, एन्क्रिप्ट किए हुए HTTPS पृष्ठ।.

यह नोट करना भी महत्वपूर्ण है कि इनमें से कुछ कंपनियां रेडिएशन टूल प्रदान करती हैं। सिद्धांत रूप में, ये उपकरण संवेदनशील डेटा को रिकॉर्ड किए जाने और तृतीय-पक्ष सर्वर पर संग्रहीत होने से बाहर रखेंगे। हालांकि, शोधकर्ताओं ने पाया कि यह अक्सर ऐसा नहीं होता है.

जैसा कि रिपोर्ट में चर्चा की गई है:

पासवर्ड को अक्सर गलती से रिकॉर्डिंग में शामिल कर लिया जाता है, इसके बावजूद स्क्रिप्ट को बाहर करने के लिए डिज़ाइन किया गया है। शोधकर्ताओं ने पाया कि अन्य व्यक्तिगत जानकारी को भी अक्सर कम नहीं किया जाता था, या केवल आंशिक रूप से कम किया जाता था, कम से कम कुछ लिपियों के साथ.

अलार्म का कारण - तो न केवल आपके हर कदम को रिकॉर्ड करने वाली ट्रैकिंग स्क्रिप्ट हैं, संवेदनशील डेटा की सुरक्षा के लिए माना जाने वाला रेडिएशन टूल हमेशा ठीक से काम नहीं करते हैं.

क्या आप इन तृतीय-पक्ष सर्वर से अपना डेटा मिटाना चाहते हैं?

सौभाग्य.

कोई विकल्प नहीं है - लेकिन आप इन लिपियों को अवरुद्ध कर सकते हैं, जिन्हें हम आगे नीचे कवर करेंगे.

अपराधी

शोधकर्ताओं ने यहां डेटा जारी किया है, जिसमें लगभग 97,000 वेबसाइट शामिल हैं जो "एनालिटिक्स प्रदाताओं से स्क्रिप्ट एम्बेड करते हैं जो सत्र रिकॉर्डिंग सेवाओं की पेशकश करते हैं"। उन्होंने सबसे लोकप्रिय सत्र रिकॉर्डिंग स्क्रिप्ट में से केवल सात की जांच की। इसलिए, अध्ययन किसी भी तरह से संपूर्ण नहीं है, खासकर जब ऑनलाइन ट्रैकिंग के क्षेत्र में व्यापक विस्तार पर विचार किया जाता है.

यह देखने के लिए कि डेटा सेट में कौन सी वीपीएन वेबसाइट शामिल थीं, आप यहाँ ज़िपित सीएसवी फ़ाइल डाउनलोड कर सकते हैं.

जब आप CSV फ़ाइल की जांच करते हैं, तो आपको निम्नलिखित वीपीएन प्रदाता और सत्र रिकॉर्डिंग स्क्रिप्ट मिलेंगे जो उनकी वेबसाइटों पर पाए गए थे.

नोट: चूंकि इस महीने की शुरुआत में रिपोर्ट पहली बार प्रकाशित की गई थी, इसलिए अधिकांश वीपीएन ने सत्र रिकॉर्डिंग स्क्रिप्ट को अपनी वेबसाइटों से हटा दिया है। हालांकि, कुछ प्रदाताओं के साथ, स्क्रिप्ट अभी भी उपयोग में हैं:

वेबसाइट

सत्र रिकॉर्डर

अभी भी उपयोग में है?

astrill.com
hotjar
हाँ

cyberghostvpn.com
hotjar
नहीं

hidemyass.com
hotjar
नहीं

ipvanish.com
hotjar
नहीं

nordvpn.com
hotjar
नहीं

purevpn.com
hotjar
हाँ

safervpn.com
inspectlet
हाँ

strongvpn.com
hotjar
नहीं

zenmate.com
hotjar
नहीं

वीपीएन सेवाएं उपयोगकर्ताओं की गोपनीयता की रक्षा करने का वादा कर रही हैं, जबकि एक ही समय में सत्र रिकॉर्डिंग स्क्रिप्ट का उपयोग करती है, जो उस गोपनीयता का उल्लंघन करती है.

तृतीय-पक्ष डेटा साझाकरण - यहां एक और स्पष्ट विरोधाभास यह है कि इनमें से कई वीपीएन तीसरे पक्ष के साथ डेटा साझा नहीं करने का भी दावा करते हैं। फिर भी, डिफ़ॉल्ट रूप से ये स्क्रिप्ट सब कुछ रिकॉर्ड करने और डेटा को तृतीय-पक्ष सर्वर पर भेजने के लिए डिज़ाइन की गई हैं.

इसलिए सत्र रिकॉर्डिंग स्क्रिप्ट का उपयोग हो सकता है वीपीएन की गोपनीयता नीति का उल्लंघन करना.

कोई चेतावनी नहीं - यह भी समस्याग्रस्त है क्योंकि उपयोगकर्ताओं को अक्सर वीपीएन वेबसाइट और सदस्य क्षेत्र तक पहुंचने की आवश्यकता होती है, जैसे कि सॉफ्टवेयर डाउनलोड करते समय, समर्थन प्राप्त करना, या सदस्यता को नवीनीकृत करना। दुर्भाग्य से, ऐसा नहीं लगता है कि ये साइट किसी भी प्रकार की चेतावनी जारी कर रही हैं, जैसे:

“चेतावनी - आप जो कुछ भी करते हैं वह रिकॉर्ड किया जा रहा है और तीसरे पक्ष के सर्वर को भेजा जाता है। बाहर निकलने का कोई रास्ता नहीं है। ”

अपनी रक्षा कीजिये

ट्रैकिंग और डेटा संग्रह एक बहुत बड़ा और बढ़ता व्यवसाय है। यह देखते हुए कि इन लिपियों की मेजबानी करने वाली हजारों वेबसाइटें हैं, और ऑप्ट आउट करने का कोई प्रभावी तरीका नहीं है, केवल एक ही समाधान बचा है.

मूल लेख ने दावा किया है कि ऐडब्लॉक प्लस अध्ययन में पहचाने गए सभी सत्र रिकॉर्डिंग स्क्रिप्ट को ब्लॉक करेगा। एक अन्य ब्राउज़र ऐड-ऑन जो प्रभावी रूप से इन स्क्रिप्ट को चलने से रोकना चाहिए NoScript. और अंत में, uBlock उत्पत्ति साथ ही काम करना चाहिए.

एक अन्य समाधान वीपीएन विज्ञापन-अवरोधक का उपयोग करना है जो वीपीएन सर्वर स्तर पर इन लिपियों और डोमेन को फ़िल्टर करता है। मैंने परीक्षण किया  से सुविधा  और पाया गया कि यह प्रभावी रूप से "हॉटजर" और "इंस्पेक्टलेट" लिपियों को ऊपर उद्धृत करने के लिए अवरुद्ध करता है.

अद्यतन 4 दिसंबर, 2017 - SaferVPN ने अपनी वेबसाइट से "इंस्पेक्टलेट" स्क्रिप्ट को हटा दिया है.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me